forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимости в WordPress-плагинах, имеющих более миллиона уста..."
Отправлено Аноним, 20-Фев-20 13:44

Это технический форум, как-никак, давайте обсуждать уязвимости а не нужность или ненужность WP. Последнее из области гуманитарного. Но если уж так хочется гуманитарных наук,.. ну нате =)
Есть корреляция между "популярностью технологии" и "найденными уязвимостями". Комментаторам опеннета на заметку, важно понимать, что это корреляция, а не импликация.
Причинно-следственную связь проследить сложно, но получается как-то так...
1. Пусть есть простые маленькие реализации одной и той же маленькой технологии 1, 2 и 3 (по KISS).
2. И пусть реализация 3 непропорционально популярнее у пользователей, чем 1 и 2 благодаря внешним не техническим причинам (истории, привычкам, маркетингу).
3. Всегда найдутся злоумышленники, желающие сломать реализацию технологии.
4. В виду большей популярности реализации 3, и попыток взлома будет больше для 3.
5. Большая вовлеченность в реализацию 3 порождает большую борьбу со злоумышленниками в 3.
6. Большее количество борьбы приведёт к большему количеству найденных уязвимостей.
Обратите внимание, что абзац выше - это не логическая цепочка, посылки 1 и 2 не приводят к 6, как к выводу! В ней нет прямого следствия, его вообще построить нельзя. Это всё из области гуманитарных наук. Тезисы 3 и 4 изучает криминология. 5 и 6 - социология. И это всё корреляции.
Усугубляется ситуация тем что при увеличении технологий защиты от уязвимостей в реализации 3:
1. Она попросту может выпругнуть из KISS, превратившись в огромный комбайн. Архитектура усложнилась и стало еще больше параметров для анализа (уязвимости в подсистеме безопасности и всё в таком духе)
2. Может быть найдена архитектурная недоработка в самой технологии / протоколе, что потребует изменения всех реализаций.
И все замеры будут на смарку.
С виду обывателю, анализируя найденные уязвимости, может показаться, что технология 1 и 2 безопаснее 3. На деле, там скорее синдром Неуловимого Джо. Мало кто находит, мало кто ищет, мало кто ломает, мало кто пользуется.
В общем случае мы увидели сколько находят страшных уязвимостей в WP и связываем это с его популярностью. Ура!
"Безопасность" языков программирования в смысле синтаксис/семантика. Возможность человека совершить в нём ошибки, сложность борьбы с статистически распространенными уязвимостями в реализациях на конкретном ЯП - всё это тоже из области гуманитарного.
P.S. Пишу этот гуманитарный бред в надежде, что закапыватели <нужное вставить> увидят, что вся их аргументация к закапыванию не имеет технической природы и посмотрят как глупо выглядит любая попытка что-то похоронить используя техническое сравнение протоколов, языков, реализаций вместо реальных гуманитарных аргументов на гуманитарную тему.

Исходное сообщение
"Уязвимости в WordPress-плагинах, имеющих более миллиона уста..." Отправлено Аноним, 20-Фев-20 13:44
Это технический форум, как-никак, давайте обсуждать уязвимости а не нужность или ненужность WP. Последнее из области гуманитарного. Но если уж так хочется гуманитарных наук,.. ну нате =) Есть корреляция между "популярностью технологии" и "найденными уязвимостями". Комментаторам опеннета на заметку, важно понимать, что это корреляция, а не импликация. Причинно-следственную связь проследить сложно, но получается как-то так... 1. Пусть есть простые маленькие реализации одной и той же маленькой технологии 1, 2 и 3 (по KISS). 2. И пусть реализация 3 непропорционально популярнее у пользователей, чем 1 и 2 благодаря внешним не техническим причинам (истории, привычкам, маркетингу). 3. Всегда найдутся злоумышленники, желающие сломать реализацию технологии. 4. В виду большей популярности реализации 3, и попыток взлома будет больше для 3. 5. Большая вовлеченность в реализацию 3 порождает большую борьбу со злоумышленниками в 3. 6. Большее количество борьбы приведёт к большему количеству найденных уязвимостей. Обратите внимание, что абзац выше - это не логическая цепочка, посылки 1 и 2 не приводят к 6, как к выводу! В ней нет прямого следствия, его вообще построить нельзя. Это всё из области гуманитарных наук. Тезисы 3 и 4 изучает криминология. 5 и 6 - социология. И это всё корреляции. Усугубляется ситуация тем что при увеличении технологий защиты от уязвимостей в реализации 3: 1. Она попросту может выпругнуть из KISS, превратившись в огромный комбайн. Архитектура усложнилась и стало еще больше параметров для анализа (уязвимости в подсистеме безопасности и всё в таком духе) 2. Может быть найдена архитектурная недоработка в самой технологии / протоколе, что потребует изменения всех реализаций. И все замеры будут на смарку. С виду обывателю, анализируя найденные уязвимости, может показаться, что технология 1 и 2 безопаснее 3. На деле, там скорее синдром Неуловимого Джо. Мало кто находит, мало кто ищет, мало кто ломает, мало кто пользуется. В общем случае мы увидели сколько находят страшных уязвимостей в WP и связываем это с его популярностью. Ура! "Безопасность" языков программирования в смысле синтаксис/семантика. Возможность человека совершить в нём ошибки, сложность борьбы с статистически распространенными уязвимостями в реализациях на конкретном ЯП - всё это тоже из области гуманитарного. P.S. Пишу этот гуманитарный бред в надежде, что закапыватели <нужное вставить> увидят, что вся их аргументация к закапыванию не имеет технической природы и посмотрят как глупо выглядит любая попытка что-то похоронить используя техническое сравнение протоколов, языков, реализаций вместо реальных гуманитарных аргументов на гуманитарную тему.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Это технический форум, как-никак, давайте обсуждать уязвимости а не нужность или ненужность 
> WP. Последнее из области гуманитарного. Но если уж так хочется гуманитарных 
> наук,.. ну нате =)

> Есть корреляция между "популярностью технологии" и "найденными уязвимостями". Комментаторам 
> опеннета на заметку, важно понимать, что это корреляция, а не импликация.

> Причинно-следственную связь проследить сложно, но получается как-то так...
> 1. Пусть есть простые маленькие реализации одной и той же маленькой технологии 
> 1, 2 и 3 (по KISS).
> 2. И пусть реализация 3 непропорционально популярнее у пользователей, чем 1 и 
> 2 благодаря внешним не техническим причинам (истории, привычкам, маркетингу).
> 3. Всегда найдутся злоумышленники, желающие сломать реализацию технологии.
> 4. В виду большей популярности реализации 3, и попыток взлома будет больше 
> для 3.
> 5. Большая вовлеченность в реализацию 3 порождает большую борьбу со злоумышленниками в 
> 3.
> 6. Большее количество борьбы приведёт к большему количеству найденных уязвимостей.

> Обратите внимание, что абзац выше - это не логическая цепочка, посылки 1 
> и 2 не приводят к 6, как к выводу! В ней 
> нет прямого следствия, его вообще построить нельзя. Это всё из области 
> гуманитарных наук. Тезисы 3 и 4 изучает криминология. 5 и 6 
> - социология. И это всё корреляции.

> Усугубляется ситуация тем что при увеличении технологий защиты от уязвимостей в реализации 
> 3: 
> 1. Она попросту может выпругнуть из KISS, превратившись в огромный комбайн. Архитектура 
> усложнилась и стало еще больше параметров для анализа (уязвимости в подсистеме 
> безопасности и всё в таком духе) 
> 2. Может быть найдена архитектурная недоработка в самой технологии / протоколе, что 
> потребует изменения всех реализаций.
> И все замеры будут на смарку.

> С виду обывателю, анализируя найденные уязвимости, может показаться, что технология 1 и 
> 2 безопаснее 3. На деле, там скорее синдром Неуловимого Джо. Мало 
> кто находит, мало кто ищет, мало кто ломает, мало кто пользуется.

> В общем случае мы увидели сколько находят страшных уязвимостей в WP и 
> связываем это с его популярностью. Ура!

> "Безопасность" языков программирования в смысле синтаксис/семантика. Возможность человека 
> совершить в нём ошибки, сложность борьбы с статистически распространенными уязвимостями 
> в реализациях на конкретном ЯП - всё это тоже из области 
> гуманитарного.

> P.S. Пишу этот гуманитарный бред в надежде, что закапыватели <нужное вставить> увидят, 
> что вся их аргументация к закапыванию не имеет технической природы и 
> посмотрят как глупо выглядит любая попытка что-то похоронить используя техническое сравнение 
> протоколов, языков, реализаций вместо реальных гуманитарных аргументов на гуманитарную 
> тему.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру