Chm, tohle snad platí pro projekty jako openssh či apache. Ale vezmeš-li náhodný program z FM, myslíš, že tam ty školácké chyby nejsou?

teprve po nahrání updatů a patchů se situace vyrovná na stejnou úroveň.

... a má smysl začít něco srovnávat

(ten článek v CHIPu jsem nečetl, takže to berte jenom jako takový výkřik)

Článek v CHIPu jsem nečetl, a proto nevím, co s čím srovnává. Nebudu komentovat samu bezpečnost Mac OS X, protože v tomto směru nejsem kompetentní.

Nicméně co komentovat mohu, a čeho sis snad také všiml, jsou reakce Apple, když už se nějaký problém objeví. Když se před pár měsíci objevily v Jaguarovi, vypadalo to chvíli, že jediná možnost opravy je upgrade na Panthera (což nebylo zadarmo). Sice se to nakonec vyjasnilo, ale také se u toho vyjasnilo, že u Apple zřejmě komunikuje s veřejností jen marketing, a zatímco Unixoví dodavatelé, Linuxové distributoři i MS mají pro takové situace zaběhané postupy a distribuční kanály, Apple s nimi asi moc nepočítá, chová se chaoticky a mate uživatele. Což je to poslední, co v tu chvíli potřebují.

Ale vcelku by měl ale zajímalo, jak tu bezpečnost hodnotili, že jim vůbec něco vyšlo. V podstatě vidím tyto možnosti:

1. Audit. V případě testu v časopise je to možnost pouze hypotetická.

2. Různá povšechná hodnocení. Otevřené porty, bežící služby, modularita a dodržování principu nejmenších práv, defaultní politika účtů a práv uživatelů, sandboxing a virtualizace, komplikace exploitů typu NX, randomizace adres, etc., distribuce záplat, řešení zálohování, logování, security levels a bezpečnostní politiky vůbec, integrace firewallů, IDS, antivirů, etc., vzdálená správa, ... a jánevímco. To může být zajímavé čtení, ale problém je, jak to všechno kvantifikovat, přiřadit tomu váhy a udělat z toho jednoznačný závěr.

3. Počty veřejně známých chyb. To jsem ještě neviděl udělané tak, aby to dávalo smysl a nesrovnávalo neporovnatelné; kdo má trochu soudnosti, tohle nedělá. Předně je zapotřebí normalizovat závažnosti, které si každý vendor udává po svém. Potom je zapotřebí chyby normalizovat na počet lidí, které v daném kusu software chyby hledají -- zatímco u tradičních *nixů je jich hodně z tradice a u MS Windows proto, že jsou nejsnadnějším cílem, u MaC OS X se může snadno nacházet málo chyb proto, že se nehledají zdaleka tak intensivně. Dále je zapotřebí srovnávat plně opatchované systémy nebo systémy stejně staré od vydání (normalizovaně na počet lidí hledajících chyby) -- a nejlépe při splnění obojího -- protože počet nalezených chyb je funkcí relativního i absolutního času. Dále je zapotřebí chyby normalizovat na komponenty, které se vyskytují ve všech systémech -- takový TCP/IP stack mají sice všechny systémy, ale v tom už obvykle zase tak moc chyb nebývá, a srovnávat chyby HTTP serveru z jednoho systému s chybami wordprocessoru z druhého a instant messengeru z třetího nemá žádný smysl; mají-li systémy jiné komponenty, slouží zřejmě jiným účelům, mají jinou inherentní zabezpečitelnost a liší se množství i charakter útoků vůči nim podnikaných.

4. Počty 0wned systémů (normalizované na celkové počty a množství lidí a botů, kteří se o to snaží). To by mě zajímalo, jak zjistili.

5. Střední doba přežití neopatchovaného systému na síti. To je v praxi velmi zajímavé číslo (např. MS Windows nepřežijí dost dlouho ani na to, abys je záplatoval), ale opět neříká nic o bezpečnosti systému bez normalizací, které už nebudu znovu vyjmenovávat.

Tak jedině, že by v CHIPu vymysleli něco revolučního, co jsem tu nejmenoval.