Re: [轉錄][文章] 大家都看不見 世界就很安全?(轉錄)
: 至於問漏洞誰補得多之前, 請先問問為何需要補漏洞?
: 如果有著太理想的假設, 公開越多別人幫忙越多. 那麼世上人皆善良, 滿是漏洞其實也沒
: 關係, 不是嗎?
: 真正要看出兩種策略的差別, 請用心懷惡意的人的角度.
因為回答我的答案, 與前面我想提示的問題, 有差距, 所以自問自答一下.
-------------------------
為何要補漏洞? 如果面對世上的人皆善良, 那根本不需補.
但正因為有人心懷惡意, 所以才需補漏洞.
對於心懷惡意的人, 一個架構上無心的過失是漏洞.
那麼那些原本就被有心設計出來的, 無需猜測, 但隨你濫用的hook, algorithm,
protocol本身又算是什麼呢?
如果一個排序的服務, 用quicksort排序你輸入的資料,
那麼若一直輸入排序過的資料讓它總是以worst-case的時間去消耗資源, 那麼, 這算不算
是透過漏洞攻擊?
如果算, 那麼很明顯的...
程式沒有效能漏洞, 除非程式裡只有optimal algoirhtm
程徑沒有安全漏洞, 除非程式裡沒有heuristic algorithm
一個人的惡意, 有多少可發揮的地方是關鍵.
對於OSS, 其實上面的回文, 都是善意遠大於惡意.
但如果你有心做惡, 你其實會發現更多有意思之處...
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.161.68.242
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 6 之 6 篇):