Archivi tag: patch

Non hanno ancora capito…

Non hanno ancora capito. Eppure è facile, soprattutto se pretendi di lavorare “nel campo”… e invece, zero: Microsoft non ha ancora capito che “sicurezza di un sistema” e “numero di patch pubblicate” non sono due fattori direttamente proporzionali.
Ancora in questi giorni, è stata pubblicata sul blog di Jeff Jones una ricerca (condotta da un team di Microsoft, ndr) secondo la quale Vista è più sicuro di XP, relativamente al suo primo anno di distribuzione. E fin qui, nulla da obiettare: se non fosse stato questo il risultato, ci sarebbe seriamente da chiedersi che cazzo sono pagati a fare, a Redmond, o no?

La cosa che mi fa girare gli emenicoli, invece, è che la ricerca come al solito non si limita a fare un paragone tra i due sistemi controllati da Microsoft, ma cerca di menare qualche “picconata” alla concorrenza, ricadendo nella solita “figura di m”. Infatti dalla ricerca si evince che Vista (ma anche lo stesso XP) è decisamente più sicura di Red Hat Linux, Ubuntu 6.06LTS nonchè (naturalmente) Apple MacOS X. Tutto questo, basandosi sul matematico conteggio settimanale degli aggiornamenti “di sicurezza” (spero che abbiano almeno filtrato i soli aggiornamenti di sicurezza!).

A dimostrazione che la teoria di Microsoft non sta in piedi, ci pensa Secunia (“indipendente”, magico suono…). Qui troviamo la pagina dedicata alle vulnerabilità trovate in Windows Vista, mentre qui troviamo quella relativa a Ubuntu 6.06 LTS (se volete confrontare i dati anche di Apple MacOS X e RedHat Enterprise Linux 4 WorkStation, li trovate rispettivamente qui e qui).

Cominciamo dal numero di vulnerabilità rilevate. A parte il mese di dicembre (dove evidentemente, durante le feste ed a causa del freddo, gli analisti di sicurezza hanno concentrato i propri sforzi su Vista), le vulnerabilità rilevate su Windows Vista sono effettivamente numericamente inferiori a quelle di Ubuntu. Inutile dire che Ubuntu porta con se una quantità di software non indifferentemente maggiore di quella che si porta dietro Windows Vista: nella ricerca in effetti, si fa riferimento ad un “reduced software set” che tenga conto di questo “dettaglio”, peccato che poi le vulnerabilità conteggiate a Ubuntu 6.06 da Microsoft siano 224 contro le 134 rilevate da Secunia. Tralasciamo e proseguiamo.

Anche la tipologia delle falle rilevate è importante. Ci sono infatti falle che compromettono l’intero sistema, altre che invece possono portare al più al crash di una certa applicazione. Sotto questo profilo, possiamo rilevare che di falle dichiarate “estremamente”, in Ubuntu, non ce ne siano, mentre quelle “molto” critiche siano al 21%. Per Vista invece, di falle “estremamente” critiche, ce ne sono il 6%, al quale si deve aggiungere un 41% di falle “molto critiche”. Certo i numeri non sono dalla parte di Vista, dato che in totale, quel 47% di falle “estremamente e molto” critiche sono numericamente parlando solamente 8 falle, mentre in Ubuntu il 21% di falle “molto” critiche raggiunge le 28 unità.

Potrei dilungarmi ancora sulla possibilità di fruttare o meno da remoto una certa vulnerabilità (questione sulla quale, per inciso, dirò che Vista si comporta sorprendentemente bene), o sull’impatto di queste vulnerabilità sul sistema (aspetto sul quale invece Vista si rivela piuttosto sensibile), ma non lo farò così in dettaglio. Infatti, falle o non falle, pericolose o meno, alla fine il succo del discorso è che, a prescindere dal numero degli aggiornamenti, è importante la qualità del lavoro fatto (ossia: la patch risolve o meno il problema?). Sotto questo aspetto, il grafico presentato da Secunia è piuttosto eloquente: in Vista persiste, al 1 gennaio 2008, una vulnerabilità non corrette, mentre in Ubuntu tutte le falle segnalate sono state corrette, che siano più numericamente maggiori o meno di quelle di Vista.

Naturalmente il discorso potrebbe essere allargato anche a Red Hat Linux e Apple MacOS X, ma non era questo il mio intento: volevo semplicemente far vedere come a volte, fare demagogica propaganda per il gusto di farla cercando di affossare i propri avversari, non porta a grandi risultati. Se Jeff si fosse limitato a dire che Vista è più sicuro di XP, avrei anche potuto applaudirlo. Ma il marketing è marketing, e se lui non resiste alla tentazione di spalare palle sul conto degli altri “player” del mercato, io non farò sforzi per resistere alla tentazione di smontare le cose che dice…

PS: ahm… vale far notare che Vista è uscito il 30 gennaio 2007, e quindi è “in corso di diffusione”, mentre Ubuntu 6.06 è uscita (per l’appunto) a metà 2006 e quindi è già decisamente “diffusa”, o è colpire sotto la cintura?

Annunci

Al lavoro su f-spot

Dopo aver giocato a fare lo sviluppatore patchando f-spot, l’altro giorno, mi sono reso conto che ci sta lavorando praticamente il solo Stephane Delcroix. Cosi ho deciso di dargli una mano, cominciando con il fixare qualche bug che le mie competenze sul codice in questione (zero) mi consentono di fare.

code

Nel frattempo ho scoperto che la mia patch relativa a Flickr, è servita a Lor enzo Milesi a sistemare un bug analogo anche per PicasaWeb. Ottimo 🙂

F-Spot, flickr e patch

F-Spot mi piace molto. Funziona bene, mi consente di gestire le foto, di importarle dalla scheda SD o dalla macchina fotografica, di esportarle su Flickr, di taggarle, riordinarle, modificarle… insomma, un bel prodotto, ben fatto.
Peccato che abbia, da tempo immemore ormai, un bug: inverte l’ordine delle foto durante l’upload su Flickr. In realtà lo fà solo se è non è impostato il “Reverse Order” del menu. Il workaround sarebbe semplice, quindi: si abilita il “Reverse Order”, si fà l’upload, e si ripristina l’ordine precedente.

Ma perchè rassegnarsi ad un malfunzionamento? Cosi questa mattina mi sono pescato il codice dell’SVN di sviluppo su Gnome, trovato il punto incriminato, modificato, testato, scritto la patch e l’ho attaccata al bug in questione. Già che c’ero, ho anche segnalato la cosa al team di ArchLinux, in modo che (magari) patchino il pacchetto della distro, in attesa di una nuova release di F-Spot che (spero) integri la patch e corregga il problema.

Il fatto positivo? Avviare la versione SVN di F-Spot modifica la struttura del database delle foto, che è cosi incompatibile con la versione “normale” (0.4.0). Mi sono dovuto pacchettizzare la SVN e lavorare con quella. Pazienz…

Edit: poche ore dopo, la patch viene accettata, integrata, il bug fixato. Ottimo.

Index: f-spot/ChangeLog
===================================================================
— f-spot/ChangeLog (revision 3355)
+++ f-spot/ChangeLog (revision 3356)
@@ -1,5 +1,10 @@
2007-09-10 Stephane Delcroix <stephane@delcroix.org>

+ * src/FlickrExport.cs: ensure correct upload order. Patch from Giacomo
+ Rizzo. Fixes bgo #345864.
+
+2007-09-10 Stephane Delcroix <stephane@delcroix.org>
+
* src/PhotoStore.cs: Creates versions with the same extension as the
default version, not original.

ArchLinux patcha NetworkManager

Finalmente è arrivata la tanto agognata patch. Sono mesi che NetworkManager funziona un po’ come vuole lui. Non tira giu correttamente le connessioni, non le riesce piu a tirare su, sembra funzionare ma non spedisce un pacchetto che sia uno… insomma, una ciofeca.

Mi chiedo perché (visto che le patch applicate da ArchLinux vengono direttamente da Ubuntu e Debian), queste non vengano inserite dagli sviluppatori di NetworkManager in una release stabile… mah…