mboost-dp1

N: Oracle-chef beder folk om ikke at tjekke deres software for fejl eks. reverse enginerring


Gå til bund
Gravatar #1 - thimon
11. aug. 2015 17:52
Kilde: http://arstechnica.com/information-technology/2015...

En chef hos Oracle, Mary Ann Davidson, er åbenbart trætte af at folk hele tiden tjekker deres software for fejl. Hun beder derfor deres kunder om ikke at reverse engineer deres software, da det er en overtrædelse af deres licens.

*host* java *host*
Gravatar #2 - kurt7
11. aug. 2015 18:29
Er der fejl i Java?
Gravatar #3 - TheAvatar
11. aug. 2015 21:24
Så må vi da håbe, at folk straks holder op med det, så verden bliver et bedre sted for os allesammen?
Gravatar #4 - BetaLyte
13. aug. 2015 06:15
Har de ikke en PR-afdeling sådan noget skal igennem? Det er da det dummeste jeg længe har hørt. Et er, at de rent faktisk melder sådan noget ud - de må da vide der går Streisand i den med det samme. Et andet er da, at de da skal være glade for, at folk gider gøre dem den tjeneste, at finde hullerne i god tro, og melder det ind til dem.
Gravatar #5 - Magten
13. aug. 2015 20:50
#4
Der er mange firmaer (VMware og Microsoft bl.a.) der har blogs til deres folk hvor de kan skrive forskellige ting. Lige hende her burde nok have været under kontrol. Nogle gange skaber det lidt uro, men jeg synes nu det er cool de gør det så deres pointer ikke forsvinder i marketings-crap.
Gravatar #6 - arne_v
14. aug. 2015 14:06
Jeg tror at det er et godt eksempel på hvor galt det kan gå når fagfolk skriver noget i en blog uden at have overvejet læserne og millioner af internet brugere som ikke aner noget om emnet og for de flestes vedkommende kun læser overskriften inden de starter flammekasteren (de er også så hårdt at skulle læse flere hundrede liniers tekst).

Hvis man faktisk læser hele teksten så står der faktisk at de tager imod rapporter om bugs:


This is why we require customers to log a service request for each alleged issue (not just hand us a report) and provide a proof of concept (which some tools can generate).


Hvilket de fleste seriøse bug findere nok kan leve med.

Hvad hun tilsyneladende er ret træt af (så træt at hun valgte meget uklogt at få luft for det på en offentlig blog) er:


A customer can’t analyze the code to see whether there is a control that prevents the attack the scanning tool is screaming about (which is most likely a false positive)



She dismissed such reports, saying that "we don’t just accept scan reports as 'proof that there is a there, there,' in part because whether you are talking static or dynamic analysis, a scan report is not proof of an actual vulnerability. Often, they are not much more than a pile of steaming … FUD. (That is what I planned on saying all along: FUD.)


Peter Makholm som er lidt klogere end den gennemsnitlige internetbruger har tilsyneladende også oplevet det.

http://www.version2.dk/blog/det-mary-ann-mener-er-...


Jeg har selv oplevet at få en fejlmelding »Hej, jeg har fuzzet din kode, kan du ikke lige selv finde nålen i denne høstak af meningsløs data«. Det var simpelthen for tidsrøvende at gøre noget ved, ud over at jeg slet ikke havde nogle indikation for at fejlen var i vores del af koden.


og ræsonnerer:


Kan man forestille sig at Oracle har et tilsvarende problem: Mange af fejlrapporter der lugter af reverse engineering er simplethen umulige at håndtere på grund af at de består af en høstak og en temmelig stor risiko for falske positiver?

Det korrekte svar på den slags fejlrapporter burde selvfølgelig være et høfligt "Tak, men du spilder både din og vores tid".





Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login