Názory k článku
V KDE byla opravena deset let stará chyba

V tomhle kontextu mě napadá jenom Valve Time :D

Od objevení většinou pár dní. Když se jedná o závažnou bezpečnostní chybu, vydá se aktualizace i mimo běžný aktualizační cyklus, aby to bylo opravené co nejdřív. Samozřejmě bavíme se o podporovaných verzích.

A máš příklad nějaké kritické chyby v OSS, která by nebyla opravená v hlavních distribucích také během několika dnů?

Já ale neříkám, že v OSS se chyby opravují pomaleji nebo vůbec. Jen jsem reagoval na tu blbost od Jardy, že microsoftu trvá 10 let než opraví kritické chyby.

Ale ono to nie je blbost, pretoze existovalo/existuje niekolko takych chyb, ktore M$ stale ignoruje.

Opravu je nutné důkladně otestovat. Představte si, že MS nenechá proběhnout celé kolečko QA, a pustí opravu, která třeba na každém desátém počítači odrovná GDI. Tím by těch 10% počítačů odstavil, bez možnosti je uživatelsky opravit (vaše tchýně nebude stavět bootovací USB klíčenku).
Na chybu v podpoře WMF souborů se přišlo až po mnoha letech. Zajímavostí je fakt, že WINE open source mělo přesně ten samý problém. Možná opisovali, možná ne. Každopádně ani tisíc očí to v open source WINE nenašlo.

Podobné kritické bugy se vyskytly i ve světě open source, a jejich oprava nebyla dvakrát rychlá:
http://www.kb.cert.org/vuls/id/368819
http://www.us-cert.gov/cas/techalerts/TA04-217A.html

Ve Wine to bylo, protože se tak chovaly Windows a Wine se snaží zachovávat bug-for-bug compatibility. Samozřejmě zjevné chyby (různé buffer overflow) nekopírují, ale tohle zkopírovali, protože ta chyba byla zřejmě do Windows umístěna úmyslně (pravděpodobně nějakým zaměstnancem bez vědomí MS) a tvářila se jako rozumná funkce (to ostatně mohl být i důvod, proč si toho tak dlouho nikdo nevšiml v MS). Lidi ve Wine nad tím, co přepisují, zase tak moc nepřemýšlejí, kódu je hodně, má spousty nedokumentovaných chyb, které nejsou nebezpečné a na kterých spousta aplikací závisí, takže jejich snahou je hlavně to udělat co nejvíc kompatibilní. Tohle jim prostě uniklo. Nicméně chyby ve Wine mívají mnohem menší dopady, protože Wine typicky neběží pod administrátorem.

Ty chyby v PNG jsou moc pěkný. Pouze MS a Applu trvalo rok, než to opravili, ostatní ty chyby opravili během měsíce :-)

Ono to zjevně uniklo i při přepisu GDI na GDI32. Jak jsem říkal, o opisování kódu autory Wine můžeme jen spekulovat.

Minimálně tuhle chybu v podpoře WMF opravil MS za 9 dní (objevena 27.12.2005, oprava na Windows Update 5.1.2006).

Magistr byl worm, který si musel uživatel spustit z přílohy emailu. Prohledal pak disk na soubory s emailovými kontakty, a rozeslal se dál. Nějak mi není jasné, jak to svědčí o zbastlení Outlooku, a proč by ho kvůli tomu mělo být potřeba přepisovat :). BTW kontakty kradl i z Eudory a Netscape email clienta. BTW2 ta postižená MS aplikace byl Outlook, který je součástí MS Office, a nikdo vám ho nevnucoval.

Ten příběh mi nějak nesedí. Viruz Klez byl objeven 25.10.2001. Je pravda, že používal díru v Trident layout enginu, která se aktivovala už při zobrazení preview emailu v Outlooku i Outlooku Express. Ale tahle díra byla opravena už 29.3.2001, jak uvádí Microsoft Security Bulletin MS01-020. Jinými slovy je to problém uživatelů, kteří nepatchují. A to je zase problém "expertů", kteří jim často radili, aby si vypnuli ten "zbytečný" Windows Update. Kolikrát jste četl v diskusích něco jako "po instalaci Windows jako první věc vypnu ten debilní Windows Update"? Bohužel se za to nesmí sekat prsty :D
http://www.sans.org/reading_room/whitepapers/malicious/klezh-propagation-prevention_1089
http://technet.microsoft.com/en-us/security/bulletin/ms01-020

Kdyby Outlook používal jiný HTML engine a ten měl chybu, dopadlo by to úplně stejně. Pořád mi není jasné, jak to celé svědčí o zbastlení Outlooku.

Tak to jste ten virus zřejmě objevil o více než sedm měsíců dříve, než ho objevily antivirové firmy. Nebo byl počítač v doméně, a tahal jen aktualizace schválené adminem, který na to kašlal. A nebo to celé bylo nějak úplně jinak.

Psát HTML layout engine pro každou aplikaci znovu je nesmysl. Nedělá to tak skoro nikdo. Například Mozilla Thunderbird používá Gecko, Apple Mail používá Webkit atd. Outlook od verze 2007 používá z bezpečnostních důvodů HTML layout engine Wordu, který spoustu věcí neimplementuje (Flash, skripty, frameset atd. - přesně jak jste požadoval), a setkalo se to se širokou kritikou. Předpokládám, že byste si šel první hodit kamenem :)

Ten "šmejd" umožňuje věci, o kterých se běžnému emailovému klientu ani nesní, a díky kterým se stal standardním nástrojem ve většině firem po celém světě.

aby se jim v počítači množily viry a proháněli červi, ale proto, že praktkicky každý upgrade nebo "bezpečnostní záplata" (o servis pacích nemluvě) zneprovozní (v řadě případů nevratně) nějakou aplikaci. Velice často klíčovou z hlediska uživatele.
Sám jsme byl opakovaně svědkem toho, jak po podobných aktivitách přestaly nevratně fungovat makra v Excelu, založená na VisualBasicu. Jednou mi po aplikaci servis paku odešel kompletně sound systém a muselo se to celé reinstalovat (pochopitelně ne s likvidačními "záplatami" a "upgrade", ale jen instalační CD).

Jediné, co vás může potěšit je fakt, že podobné manýry začínají kopírovat i autoři linuxových dister, takže jsem už několikrát na Ubuntu a jednou na Debianu (6) zažil zneprovoznění grafiky po upgrade systému. Jenže na Linuxu si zpravidla mohu upgrade zcela zakázat, zatímco na Windows se velice agresívně vnucují i zcela likvidační a pro funkci bezcenné "záplaty".

Přestala fungovat makra? Hmm, to asi byl patch, který zaváděl zákaz maker, který se pak dá vypnout v menu. Samozřejmě řešením není zjistit si něco o té aktualizaci, ale reinstalovat bez záplaty, ať se viry dál množí :D

Ne, řešením je po aktualizaci upozornit uživatele, že se kvůli aktualizaci změnila funkčnost a co s tím lze udělat, jako to dělá mnoho aplikací na Androidu nebo třeba Firefox. Je podivné, že na tohle experti z MS ještě nepřišli.

Tyhle informace jsou v podrobném popisu aktualizace. Třeba změn při instalaci Service Packu bývají tisíce, takže je těžko uživateli vypisovat by default všechny. Navíc když při startu aplikace zobrazíte nevyžádané okno, můžete tím spoustu věcí rozbít. Nebude fungovat natahovaný plug-in, nebude fungovat aplikace která po startu aplikace začně posílat window messages (Alt+F, N, Alt+N, newfile.xls, enter - některé marco recordery takhle fungují).

V podrobném popisu aktualizací je těch informací spoustu a procházet je a hledat tam takové vážné regrese není zrovna jednoduché. Proto ty androidí či linuxové aplikace to zobrazují i po spuštění.

Pokud by vadilo okno při startu, jde to zobrazit třeba v upozorňovací liště (tam, jak se zobrazuje, že Word zablokoval marka, protože je soubor stažený z webu).

Spíš byly přepsány některé knihovny VB, které nebyly schopny ta makra obsloužit. Makra pochopitelně povolena byla. Prostě nebyla zajištěna zpětná kompatibilita s verzí před aktualizací, což je u Win prakticky norma. Bohužel se to začíná stávat normou i v některých linuxových distribucích (Debian, Ubuntu).
A řešení skutečně je jediné: nepovolit žádné aktualizace (na linuxu zbývá jistě ještě řešení napsat si ty záplaty sám, na windows tohle možné není).

Detaily? Který patch, které části maker tím přestaly fungovat?
Aplikace obecně poskytují dokumentovaný interface. Když použijete nedokumentovanou funkcionalitu, tak tam v příštím buildu nebo hlavní verzi už také nemusí být.

Pokud po aplikaci patche nebo SP něco nejede, bývá to v naproté většině případů tím, že autoři aplikace spoléhali na nedokumentovaný interface nebo nedokumentovanou vlastnost systému. S tím MS těžko něco udělá.

V těch makrech byl napsán docela komplexní program, do kterého se zadávala antropometrie a údaje o výživových zvyklostech, a pak to spoustu věcí nad tím počítalo. No a po nějakém service-paku se to prostě nedalo rozjet. Za ta léta (win 95, Excel 5) to už nikdo nevyvěští, i ty počítače, na kterých to bylo, jsou už dávno v křemíkovém nebi.
Nicméně poučení jsou z toho dvě:
1. Když funguje vše, co fungovat má, a tak, jak fungovat má, tak zásadně neupgraduj (zejména ne na windows).
2. Dělej takové věci co nejméně provázané s operačním systémem, ideálně přenosné mezi OS (java, python) (a vůbec nejlépe na systému, spustitelném z flešky, což wokna asi nikdy nebudou).
Jinak jsem se, pochopitelně, nikdy nesetkal s tím, že by upgrade nebo patch poskytl nějakou informaci nebo varování, že tamto nebo tohle přestane po jeho zavedení fungovat. Ono by si to potom nainstalovalo ještě méně lidí, než co si to instalují teď.

Ono z toho plyne něco úplně jiného. Používejte dokumentované interfacy, jako vývojář aplikace si vyzkoušejte po instalaci SP. Když něco nefunguje, přečtěte si seznam změn v SP (například u Office 2007 má seznam změn cca 480 položek).

Kdo píše jako prase, tomu může aplikaci rozhodit i update Javy. Kdo neaktualizuje, má ze stroje rozesílač spamu s praktickým ovládáním na dálku (bohužel kontrolu má někdo jiný).

Dělalo se to v Excelu 5, podle oficiální příručky. Dost pochybuji o tom, že by autor programu hackoval nějaké nedokumentované funkce (protože v literatuře tohoto druhu se nenajdou a psal to "s příručkou na kolenou"). Problém prostě spočívá v tom, že Windows nejsou s to zajistit zpětnou komaptibilitu ani u dílčích upgrade.
Zažil jsem i situaci (Win 95), kdy jednotlivé exempláře Windows, instalované v rámci školské multilicence z těch samých instalačních CD a tím stejným IT pracovníkem, se nebyly schopny vzájemně "domluvit" a ten samý wordovský dokument byl na jednech počítačích čitelný a na druhé skupině počítačů to byly jen prázdné obdélníčky na obrazovce. Prostě od tohoto systému raději dál a nemít s ním pokud možno naprosto nic společného.

Grafická karta se znefunkční:
1. tím, že se s upgrade nainstaluje její ovladač, který umí jen rozlišení 600x800, takže musíte po upgrade použít downgrade, abyste tam měl původní rozlišení (prakticky při jakémkoli upgrade Ubuntu nějakého balíčku s X)
2. tím, že se upgradují na novou verzi X-windows, které nemají ovladače k dané grafické kartě a ovladač z předchozí verze s nimi není kompatibilní - toto je neřešitelné bez nové instalace grafiky nebo celého systému z původních médií se starou verzí X. Zažil jsem na Debianu 6. Prostě how@do, co ten upgrade dalo dohromady, se neobtěžovalo s tím, že by si jeho výtvor nějak zjistil před nainstalováním svou kompatibilitu s HW.
Debian 6 je vůbec s kompatibilitou s grafickým HW na štíru, zatím se mi nepodařilo najít počítač, kde by pod ním jelo video ve fullscreenu (a to ani po snaze pracovníků specializované firmy), ačkoli na D5 na stejném HW jelo zcela bez problémů, jen po implicitní instalaci, bez nutnosti dalšího laborování.

"Znefunkčněním" tedy rozumím:
a- propad do nízkého rozlišení, navíc nekompatibilního s rozměry obrazu na monitoru (3:4 x širokoúhlý monitor)
b- zneprovoznění videa, případně jeho zneprovoznění ve fullscreenu
Obojí řešitelné pomocí downgrade nebo zákazem upgrade.

1) To máte asi nějak zajímavě splácané, že se to stalo. 800×600 je fallback rozlišení přes VESA, když se nepodaří spustit Xka s ovladačem pro vaši grafiku. Při používání balíčkovacího systému je téměř nemožné* (pokud to nevynutíte) toho po updatu dosáhnout.

2) Takový update/upgrade rozumný balíčkovací systém zablokuje. Dělá to Ubuntu i Debian. Ale samozřejmě musíte mít ty ovladače nainstalované z balíčků, pokud si je stáhnete z internetu, je to na vaši zodpovědnost.

Video (i Flash) funguje bez problémů třeba na ThinkPadu W500 nebo čtyřjádrovém Asusu s Intel HD grafikou (přesné teď nemám k dispozici), kde po bootu s připojeným monitorem nefunguje LCD panel, protože chlapce z Asusu jaksi nenapadlo, že by někdo mohl chtít používat dual-head.

* Bugy mohou být všude, bugfixy v takovém případě vycházejí rychle

A na tom je něco špatného? Pokud někdo chce windows, tak dá pár korun k novému počítači a má to jako OEM. Nebo krabicovou přenosnou verzi za 4000 na hodně dlouhou dobu s možností levných upgradů (třeba windows 8 za 780 kč). Nemyslím si, že by to byly nějak přehnané ceny. Navíc kdyby měli možnost vydělávat vývojáři linuxu miliardy dolarů ročně, tak by se toho chytili taky. ;)

Tak ono krabicovou verzi si většinou koupí člověk, který ví jak to použít a vydrží to dlouho. Když to navíc někdo potřebuje kvůli práci, tak se to rychle vrátí. Vista má rozšířenou podporu do dubna 2017. Takže na upgrade není potřeba spěchat a kdo ho chce, tak si ho levně koupí nebo počká ještě pár let a to už bude upgrade na další verze windows. Aktualizovat jde ale i z windows xp, kterému už brzy končí podpora úplně. Ten kdo si před 10 lety koupil krabicovou verzi teď doplatí jen 780 kč a má nový systém včetně podpory na x dalších let. Jako charita mi to nepřipadá. :)

Až bude mít MS dostatečný obrat a přestane je bavit se jen tak válet a pít kafe, tak možná něco opraví :-)