Alfonso Maruccia

Heartbleed: fork, aggiornamenti e attacchi

Il bug che ha messo in pericolo mezza Internet spinge verso la creazione di un'alternativa. Ne frattempo le patch continuano ad accumularsi, mentre si registrano i primi attacchi

Roma - Uno degli effetti del baco Heartbleed è certamente quello di aver aperto la discussione in merito alla sicurezza dei componenti software usati per proteggere le comunicazioni SSL/TLS, una discussione che tende ad addossare alla libreria OpenSSL (e i suoi sviluppatori) ogni responsabilità e che spinge alla creazione di una piattaforma alternativa.

Una di queste possibili alternative si chiama LibreSSL, fork open source di OpenSSL realizzato dal creatore (tra le altre cose) del sistema operativo OpenBSD Theo de Raadt, con l'obiettivo specifico di ripulire la vecchia libreria del codice superfluo e quindi potenzialmente pericoloso per la sicurezza del componente.

Appena nato LibreSSL già risulta parecchio "dimagrito" rispetto a OpenSSL, con 90.000 linee di codice C in meno - la rimozione di molti delle quali era già stata preventivata dal team di OpenSSL ma non era ancora stata messa in pratica. E nonostante la cura dimagrante, spiega de Raadt, il codice di LibreSSL continua a essere compatibile a livello di API con OpenSSL e il software progettato per farne uso.
Mentre c'è chi pensa al futuro di OpenSSL, le grandi corporazioni continuano a operare per contenere le conseguenze del baco Heartbleed: Apple, che aveva inizialmente dichiarato l'immunità dei propri prodotti rispetto al problema, ha rilasciato un aggiornamento per il firmware di AirPort e Time Capsule (versione 7.7.3), dispositivi evidentemente colpiti dalla presenza del bug.

Identificare la messa in pratica di Heartbleed in un vero e proprio attacco pratico contro le infrastrutture di rete è complicato, dicono i ricercatori, ma di certo non impossibile: la società di sicurezza Mandiant sostiene di aver individuato uno di questi attacchi contro una non meglio specificata azienda, condotto entro le prime 24 ore seguite alla pubblicazione delle informazioni sul bug.

Alfonso Maruccia
Notizie collegate
  • AttualitàHeartbleed, la gestione della crisi e le patchIl baco di OpenSSL continua a essere al centro della scena tra allarmi e preoccupazioni, annunci di patch e bollettini che elencano i prodotti vulnerabili. Tutti sono coinvolti, chi più chi meno, e tutti hanno qualcosa da dire a riguardo
  • SicurezzaHeartbleed, arresti e patchIn Canada si arrestano i primi responsabili di aver abusato dell'oramai famigerato baco in OpenSSL, mentre il resto del mondo scopre nuovi software vulnerabili e corre contro il tempo per patcharli
62 Commenti alla Notizia Heartbleed: fork, aggiornamenti e attacchi
Ordina
  • Per la precisione: la sicurezza nelle comunicazioni NON esiste è solo un' illusione finalizzata con lo scopo di frugare tra gli affaracci della gente. Si ok, va bene, la crittografia blablabla, il canale trasmissivo e riblabla alla fine SSL è stato smontato su tutti i fronti, in ordine:
    Apple SSl
    GnuTLS
    OpenSSL
    Il tutto dopo lo squallido scandalo NSA, ossia dopo che qualcuno che era dentro il sistema ha parlato, prima se ne sbattevano tutti anche se forse sapevano. Il fatto è che se tu hai il canale trasmissivo in mano a TERZI, il software che implementa il presunto protocollo "sicuro" in mano a TERZI, beh che dire, sei fottuto.
    non+autenticato
  • il canale può anche stare in mano a terzi, a patto però di avere algoritmi crittografici robusti ed implementazioni non buggate
    non+autenticato
  • - Scritto da: collione
    > il canale può anche stare in mano a terzi, a
    > patto però di avere algoritmi crittografici
    > robusti ed implementazioni non
    > buggate
    direi che e' il fondamento principe dell'esistenza della crittografia, tra l'altroSorride [intendo quello dell'esistenza del canale untrusted]
    non+autenticato
  • - Scritto da: collione
    > il canale può anche stare in mano a terzi, a
    > patto però di avere algoritmi crittografici
    > robusti ed implementazioni non
    > buggate
    In teoria si e potrebbe anche applicarsi alla pratica, ma la verità è che chi lavora alle implementazioni riceve una telefonatina da quella agenzia lì, quella famosa, sisi NSA, con l' ordine di castrare la robustezza degli algoritmi. Lo dice Tanembaum, mica io, sul libro "reti di calcolatori" nel capitolo dedicato alla sicurezza.
    non+autenticato
  • Tanembaum? forse intendi Schneier

    comunque l'opensource esiste per questo motivo

    la trasparenza è la chiave per sconfiggere questa gente, trasparenza e partecipazione da parte di tutti noi

    la democrazia italiana sai perchè non ha mai funzionato? perchè l'italiano medio è un mediocre menefreghista ( è giusto un esempio, ma fa capire perchè è importante che tutti noi ci rimbocchiamo le maniche )
    non+autenticato
  • dal changelog di libressl :
    (..)
    Tons and tons of VMS/ MacOS 9/Windows code removal

    Praticamente il supporto ai sistemi inutiliA bocca aperta
    non+autenticato
  • i primi due più che inutili sono pressochè inesistenti
    non+autenticato
  • - Scritto da: collione
    > i primi due più che inutili sono pressochè
    > inesistenti
    VMS pero' e' (fu') utile (oltre ad essere una pietra miliare dell'informatica).
    Gli altri due no. mai statiSorride
    non+autenticato
  • Finalmente i big che finora hanno usato OpenSSL gratuitamente hanno capito che è nel loro stesso interesse sponsorizzarlo:
    http://arstechnica.com/information-technology/2014.../

    Prima che si scoprisse Heartbleed:

    "OpenSSL Software Foundation President Steve Marquess wrote in a blog post last week that OpenSSL typically receives about $2,000 in donations a year and has just one employee who works full time on the open source code."

    Dopo:

    "The foundation today is announcing a three-year initiative with at least $3.9 million to help under-funded open source projects—with OpenSSL coming first."

    Non tutti i soldi vanno ad OpenSSL, quello che importa è secondo me che sia passato il messaggio.
    Izio01
    3885
  • - Scritto da: Izio01
    > Finalmente i big che finora hanno usato OpenSSL
    > gratuitamente hanno capito che è nel loro stesso
    > interesse
    > sponsorizzarlo:
    > http://arstechnica.com/information-technology/2014
    >
    > Prima che si scoprisse Heartbleed:
    >
    > "OpenSSL Software Foundation President Steve
    > Marquess wrote in a blog post last week that
    > OpenSSL typically receives about $2,000 in
    > donations a year and has just one employee who
    > works full time on the open source
    > code."
    >
    > Dopo:
    >
    > "The foundation today is announcing a three-year
    > initiative with at least $3.9 million to help
    > under-funded open source projects—with OpenSSL
    > coming
    > first."
    >
    > Non tutti i soldi vanno ad OpenSSL, quello che
    > importa è secondo me che sia passato il
    > messaggio.

    E il messaggio di prima?

    Quello che Open è bello e sicuro perché gratis ce lo siamo già dimenticato?
    maxsix
    8899
  • - Scritto da: maxsix
    > - Scritto da: Izio01
    > > Finalmente i big che finora hanno usato
    > OpenSSL
    > > gratuitamente hanno capito che è nel loro
    > stesso
    > > interesse
    > > sponsorizzarlo:
    > >
    > http://arstechnica.com/information-technology/2014
    > >
    > > Prima che si scoprisse Heartbleed:
    > >
    > > "OpenSSL Software Foundation President Steve
    > > Marquess wrote in a blog post last week that
    > > OpenSSL typically receives about $2,000 in
    > > donations a year and has just one employee
    > who
    > > works full time on the open source
    > > code."
    > >
    > > Dopo:
    > >
    > > "The foundation today is announcing a
    > three-year
    > > initiative with at least $3.9 million to help
    > > under-funded open source projects—with
    > OpenSSL
    > > coming
    > > first."
    > >
    > > Non tutti i soldi vanno ad OpenSSL, quello
    > che
    > > importa è secondo me che sia passato il
    > > messaggio.
    >
    > E il messaggio di prima?
    >
    > Quello che Open è bello e sicuro perché gratis ce
    > lo siamo già
    > dimenticato?

    A vedere i buchi di MacoOS e' confermatissimo.
    krane
    22544
  • - Scritto da: maxsix
    > - Scritto da: Izio01

    > > importa è secondo me che sia passato il
    > > messaggio.
    >
    > E il messaggio di prima?
    >
    > Quello che Open è bello e sicuro perché gratis ce
    > lo siamo già
    > dimenticato?
    per forza. Non c'e' mai stato.

    Il msg era "open e' bello e sicuro. ed e' pure gratis". E cosi' rimane.

    O pensi che domani dovrai pagare openssl per giocare a iFart over https?
    non+autenticato
  • > Quello che Open è bello e sicuro perché gratis ce
    > lo siamo già
    > dimenticato?
    Di sicuro al mondo c'e' solo la morte ma almeno con l'open sai di che morte morire con il closed nemmeno quello.
    non+autenticato
  • - Scritto da: maxsix
    > - Scritto da: Izio01
    > > Finalmente i big che finora hanno usato
    > OpenSSL
    > > gratuitamente hanno capito che è nel loro
    > stesso
    > > interesse
    > > sponsorizzarlo:
    > >
    > http://arstechnica.com/information-technology/2014
    > >
    > > Prima che si scoprisse Heartbleed:
    > >
    > > "OpenSSL Software Foundation President Steve
    > > Marquess wrote in a blog post last week that
    > > OpenSSL typically receives about $2,000 in
    > > donations a year and has just one employee
    > who
    > > works full time on the open source
    > > code."
    > >
    > > Dopo:
    > >
    > > "The foundation today is announcing a
    > three-year
    > > initiative with at least $3.9 million to help
    > > under-funded open source projects—with
    > OpenSSL
    > > coming
    > > first."
    > >
    > > Non tutti i soldi vanno ad OpenSSL, quello
    > che
    > > importa è secondo me che sia passato il
    > > messaggio.
    >
    > E il messaggio di prima?
    >
    > Quello che Open è bello e sicuro perché gratis ce
    > lo siamo già
    > dimenticato?

    Forse non ti entra in testa che opensource non vuol dire gratis.
    Redhat usa software opensource ma mi sembra che faccia un discreto sacco di soldi e paghi i propri impiegati.
    non+autenticato
  • Voi avete pagato... ma avete avuto più problemi di quanti ne abbiamo avuti noi (almeno, per il momento siete voi che sbraitano e rosicano, non noi)
    non+autenticato
  • - Scritto da: Izio01
    > Finalmente i big che finora hanno usato OpenSSL
    > gratuitamente hanno capito che è nel loro stesso
    > interesse
    > sponsorizzarlo:
    > http://arstechnica.com/information-technology/2014
    >
    > Prima che si scoprisse Heartbleed:
    >
    > "OpenSSL Software Foundation President Steve
    > Marquess wrote in a blog post last week that
    > OpenSSL typically receives about $2,000 in
    > donations a year and has just one employee who
    > works full time on the open source
    > code."
    >
    > Dopo:
    >
    > "The foundation today is announcing a three-year
    > initiative with at least $3.9 million to help
    > under-funded open source projects—with OpenSSL
    > coming
    > first."
    >
    > Non tutti i soldi vanno ad OpenSSL, quello che
    > importa è secondo me che sia passato il
    > messaggio.
    gia'... e' una buona cosa.
    Speriamo anche che diminuisca (e non aumenti) "l'inquinamento da corporation/gov" ( FIPS-related, ecc .. visto che gia' conoscono 'il problema' )... e infine l'accettazione di aggiornamenti/patch 'da fuori'... se c'e' piu gente si puo' gestire di piu' e meglio il tutto, ovviamente.

    Vedremo anche libressl dove porta gh...
    non+autenticato
  • L'idea di forkare OpenSSl sembrerebbe una follia, ma alla base di questa decisione c'è il fatto che ormai questo software, pur restando open source, appare sempre meno libero (nel senso del software libero).
    Come ha ammesso Steve Marquess, responsabile amministrativo di OpenSSL, i contributi finanziari a questo progetto arrivano non solo dai colossi dell'informatica, ma persino da enti militari come il DARPA; "in cambio", dice Steve Marquess, viene chiesto un modello di sviluppo del software che finisce per "distorcere e contorcere" il codice di OpenSSL.
    In parole povere, gli sviluppatori di OpenSSL non hanno il controllo della situazione!

    Steve Marquess comunque dovrebbe spiegare cosa c'entra tutto questo sfogo con un "errore" di programmazione che molti esperti hanno definito "da idioti" ...
    non+autenticato
  • >
    > Steve Marquess comunque dovrebbe spiegare cosa
    > c'entra tutto questo sfogo con un "errore" di
    > programmazione che molti esperti hanno definito
    > "da idioti"
    > ...

    Che questo "errore" ha messo in ginocchio mezza internet.
    Alla faccia dell'idiozia dell'errore.
    maxsix
    8899
  • - Scritto da: maxsix

    > Che questo "errore" ha messo in ginocchio mezza
    > internet.
    > Alla faccia dell'idiozia dell'errore.

    In ginocchio non proprio. A rischio.
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: maxsix
    >
    > > Che questo "errore" ha messo in ginocchio
    > mezza
    > > internet.
    > > Alla faccia dell'idiozia dell'errore.
    >
    > In ginocchio non proprio. A rischio.

    Vedi la questione è che il conto di Hearbleed non tanto da un punto di vista di effetti diretti, ma da un punto di vista sistemistico è ben lungi da essere ancora fatto.

    Tu vedrai che cifre abnormi salteranno fuori.
    maxsix
    8899
  • - Scritto da: maxsix
    > - Scritto da: FDG
    > > - Scritto da: maxsix
    > >
    > > > Che questo "errore" ha messo in
    > ginocchio
    > > mezza
    > > > internet.
    > > > Alla faccia dell'idiozia dell'errore.
    > >
    > > In ginocchio non proprio. A rischio.
    >
    > Vedi la questione è che il conto di Hearbleed non
    > tanto da un punto di vista di effetti diretti, ma
    > da un punto di vista sistemistico è ben lungi da
    > essere ancora fatto.

    > Tu vedrai che cifre abnormi salteranno fuori.

    Io non le vedo, ce le mostri magari con qualche link ?
    Cosi' dimostreresti di non avere manie di persecuzione come sembra ultimamente.
    krane
    22544
  • Tanto sarete voi a pagarle, non noi.
    non+autenticato
  • - Scritto da: cicciobello
    > Tanto sarete voi a pagarle, non noi.

    Ah si?

    Ce la racconteremo la prossima volta che ti annunceranno che le commissioni per le transazioni e per l'uso del conto corrente avranno un "leggerissimo aumento dovuto agli ingenti investimenti sostenuti".

    Poi prenderò le varie sure maria e le manderò a casa vostra in quanto vorranno delle giuste spiegazioni.
    maxsix
    8899
  • - Scritto da: maxsix
    > - Scritto da: cicciobello
    > > Tanto sarete voi a pagarle, non noi.

    > Ah si?

    > Ce la racconteremo la prossima volta che ti
    > annunceranno che le commissioni per le
    > transazioni e per l'uso del conto corrente
    > avranno un "leggerissimo aumento dovuto agli
    > ingenti investimenti sostenuti".

    Quali investimento ? Ci pensa BSD, mica e' apple che fa pagare anche se vuoi usare il telefono con un'altra mano.

    > Poi prenderò le varie sure maria e le manderò a
    > casa vostra in quanto vorranno delle giuste
    > spiegazioni.

    Sura maria lavora per BSD e sta lavorando al fork, se non ti va puoi sempre pagare qualcuno per farlo no ? Semplice...
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: maxsix
    > > - Scritto da: cicciobello
    > > > Tanto sarete voi a pagarle, non noi.
    >
    > > Ah si?
    >
    > > Ce la racconteremo la prossima volta che ti
    > > annunceranno che le commissioni per le
    > > transazioni e per l'uso del conto corrente
    > > avranno un "leggerissimo aumento dovuto agli
    > > ingenti investimenti sostenuti".
    >
    > Quali investimento ?
    ma appunto... maxsix si vede che piglia mele con fitofarmaci da troppo tempo....
    e' assatanato su una questione che non lo tange di striscio... come se un proprietario di lavanderia a gettone si preoccupasse dei ritardi un una missione shuttle...
    A chi fa il Genius, piazzando icosi tutto il di', l'heartbleed non tange minimamente..
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: krane
    > > - Scritto da: maxsix
    > > > - Scritto da: cicciobello
    > > > > Tanto sarete voi a pagarle, non noi.
    > >
    > > > Ah si?
    > >
    > > > Ce la racconteremo la prossima volta che ti
    > > > annunceranno che le commissioni per le
    > > > transazioni e per l'uso del conto corrente
    > > > avranno un "leggerissimo aumento dovuto
    > agli
    > > > ingenti investimenti sostenuti".
    > >
    > > Quali investimento ?
    > ma appunto... maxsix si vede che piglia mele con
    > fitofarmaci da troppo tempo....
    >
    > e' assatanato su una questione che non lo tange
    > di striscio... come se un proprietario di
    > lavanderia a gettone si preoccupasse dei ritardi
    > un una missione
    > shuttle...
    > A chi fa il Genius, piazzando icosi tutto il di',
    > l'heartbleed non tange
    > minimamente..

    E' evidente che gli e' uscito qualche problemino, alla fine gli psicopazzi atterrano quaA bocca aperta
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: bubba

    > > e' assatanato su una questione che non lo
    > tange
    > > di striscio... come se un proprietario di
    > > lavanderia a gettone si preoccupasse dei
    > ritardi
    > > un una missione
    > > shuttle...
    > > A chi fa il Genius, piazzando icosi tutto il
    > di',
    > > l'heartbleed non tange
    > > minimamente..
    >
    > E' evidente che gli e' uscito qualche problemino,
    dici nel merito (o in generale)? oh puo' anche darsi che qualcuno gli abbia rubato i crediti di iFart mentre giocava via router WPS-bacato di eppolA bocca aperta allora si spiegherebbe tutta la faccenda ..

    > alla fine gli psicopazzi atterrano qua
    >A bocca aperta
    pero' c'e' una convergenza di psicopazzi in certi adepti alla chiesa di cupertino.. sara' un caso?Sorpresa
    non+autenticato
  • La cosa strana è il fatto che i primi attacchi si registrino solo ora...
    Oramai è quasi più di una settimana che si sa del bug di Heartbleed e che tutte le vittime stanno cercando di porre rimedio attraverso patch.
    -----------------------------------------------------------
    Modificato dall' autore il 23 aprile 2014 21.29
    -----------------------------------------------------------
  • In "certi ambienti" il bug era conosciuto da anni.
    (ed anche altri di bug)
    non+autenticato
  • Si tratta infatti di amministratori di sistema a dir poco irresponsabili che non hanno ancora proceduto ad aggiornare openSSL e a rigenerare i codici di sicurezza.
    Per fortuna si tratta di pochi idioti; nella quasi totalità dei casi, il problema era stato già corretto prima che Heartbleed venisse reso pubblico.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > Si tratta infatti di amministratori di sistema a
    > dir poco irresponsabili che non hanno ancora
    > proceduto ad aggiornare openSSL e a rigenerare i
    > codici di
    > sicurezza.

    L'irresponsabile sei te.
    Come fai ad aggiornare a occhi chiusi senza prima testare adeguatamente l'aggiornamento stesso?

    Sopratutto quando l'aggiornamento stesso viene da quelli che il bug l'hanno generato.

    I veri sysop dopo una catastrofe del genere hanno dovuto ritestare il tutto per verificare che tutto funzionasse correttamente.

    Poi ci sono quelli tipo Panda Rossa che procederono con il blind update e poi si accorgono che non funziona più niente.

    > Per fortuna si tratta di pochi idioti; nella
    > quasi totalità dei casi, il problema era stato
    > già corretto prima che Heartbleed venisse reso
    > pubblico.

    Balle.
    Zend ha dato il suo verdetto lunedì.
    Per fare un esempio.

    Sai cos'è Zend vero?
    -----------------------------------------------------------
    Modificato dall' autore il 24 aprile 2014 09.53
    -----------------------------------------------------------
    maxsix
    8899
  • - Scritto da: maxsix

    > L'irresponsabile sei te.
    > Come fai ad aggiornare a occhi chiusi senza prima
    > testare adeguatamente l'aggiornamento
    > stesso?

    In questo caso c'è da testare openssl... e mica lo deve ritestare ogni sistemista che procede ad aggiornarlo.

    Poi, essendo appunto un minor update, non credo che, anche dal punto di vista della correttezza del software, richieda chissà quali test.

    EDIT: ciò non toglie che un minimo di attenzione nel fare aggiornamenti di questo tipo lo devi pure avere... ma un minimo, giusto quella necessaria per capire che cosa stai aggiornando.
    -----------------------------------------------------------
    Modificato dall' autore il 24 aprile 2014 10.20
    -----------------------------------------------------------
    FDG
    10893
  • - Scritto da: FDG
    > - Scritto da: maxsix
    >
    > > L'irresponsabile sei te.
    > > Come fai ad aggiornare a occhi chiusi senza
    > prima
    > > testare adeguatamente l'aggiornamento
    > > stesso?
    >
    > In questo caso c'è da testare openssl... e mica
    > lo deve ritestare ogni sistemista che procede ad
    > aggiornarlo.
    >
    > Poi, essendo appunto un minor update, non credo
    > che, anche dal punto di vista della correttezza
    > del software, richieda chissà quali
    > test.
    >
    > EDIT: ciò non toglie che un minimo di attenzione
    > nel fare aggiornamenti di questo tipo lo devi
    > pure avere... ma un minimo, giusto quella
    > necessaria per capire che cosa stai
    > aggiornando.

    Non sono assolutamente d'accordo.
    Che i vari middleware nor applicazioni si appoggino alle API e per modularità sostituendo l'API si vada a risolvere è teoricamente vero.

    In pratica, dopo una cosa del genere, i test vanno fatti estensivamente per non ritrovarsi ad avere problemi anche da altre parti, ricordi il detto "la toppa è peggio del buco"?

    Ecco.

    Almeno io ragiono e agisco così, e pretendo anche dai miei collaboratori un sano indice di scetticismo e sopratutto di mancanza di fiducia rispetto a questa gentaglia.

    Perché questo ha dimostrato di essere.
    maxsix
    8899
  • - Scritto da: maxsix
    > - Scritto da: FDG
    > > - Scritto da: maxsix
    > >
    > > > L'irresponsabile sei te.
    > > > Come fai ad aggiornare a occhi chiusi
    > senza
    > > prima
    > > > testare adeguatamente l'aggiornamento
    > > > stesso?
    > >
    > > In questo caso c'è da testare openssl... e
    > mica
    > > lo deve ritestare ogni sistemista che
    > procede
    > ad
    > > aggiornarlo.
    > >
    > > Poi, essendo appunto un minor update, non
    > credo
    > > che, anche dal punto di vista della
    > correttezza
    > > del software, richieda chissà quali
    > > test.
    > >
    > > EDIT: ciò non toglie che un minimo di
    > attenzione
    > > nel fare aggiornamenti di questo tipo lo devi
    > > pure avere... ma un minimo, giusto quella
    > > necessaria per capire che cosa stai
    > > aggiornando.
    >
    > Non sono assolutamente d'accordo.
    > Che i vari middleware nor applicazioni si
    > appoggino alle API e per modularità sostituendo
    > l'API si vada a risolvere è teoricamente
    > vero.
    >
    > In pratica, dopo una cosa del genere, i test
    > vanno fatti estensivamente per non ritrovarsi ad
    > avere problemi anche da altre parti, ricordi il
    > detto "la toppa è peggio del
    > buco"?
    >
    > Ecco.
    >
    > Almeno io ragiono e agisco così, e pretendo anche
    > dai miei collaboratori un sano indice di
    > scetticismo e sopratutto di mancanza di fiducia
    > rispetto a questa
    > gentaglia.
    >
    > Perché questo ha dimostrato di essere.

    Che problema c'e': smetti di usare ogni forma di ssh finche' non sarai sicuro che tutto non sia risolto no ?
    Cosi' magari smetti anche di tediare qua.
    krane
    22544
  • > >
    > > Perché questo ha dimostrato di essere.
    >
    > Che problema c'e': smetti di usare ogni forma di
    > ssh finche' non sarai sicuro che tutto non sia
    > risolto no
    > ?
    > Cosi' magari smetti anche di tediare qua.

    Da adesso che vi hanno forkato dormirò sonni più tranquilli.
    Attendo con ansia ulteriori fork su altre simpaticissime API.
    maxsix
    8899
  • - Scritto da: maxsix
    > > >
    > > > Perché questo ha dimostrato di essere.

    > > Che problema c'e': smetti di usare
    > > ogni forma di ssh finche' non sarai
    > > sicuro che tutto non sia risolto no ?

    > > Cosi' magari smetti anche di tediare qua.

    > Da adesso che vi hanno forkato dormirò sonni più
    > tranquilli.

    Mi fa piacere, ti stava scoppiando il fegato !
    krane
    22544
  • - Scritto da: maxsix

    > Non sono assolutamente d'accordo...

    Ma stiamo ragionando di un controllo aggiunto, di un if e poco più, non di correzioni più corpose o di nuove funzionalità che modificano la semantica del software.

    Questi discorsi valgono se appunto ti trovi nelle condizioni che ho descritto. Ma per questo update, basta solo sapere di che si tratta. E si fa. Anzi, update del genere, anche più significativi, si fanno regolarmente.

    Non creiamo problemi quando non ce ne sono. Fortuna che l'errore era banale. E l'aggiornamento è banale.
    FDG
    10893
  • > Non creiamo problemi quando non ce ne sono.

    No caro.
    Se tu sei una software house con le OO è ovvio che una modifica del genere che va a ripercuotersi su tutte le installazioni e tutti i deploy va testata.

    Non sto dicendo che è difficile. Sto dicendo che va testata.
    E più l'infrastruttura è complessa e più il testing è costoso.

    > Fortuna che l'errore era banale.

    Dai danni che ha fatto (qualcuno è già finito amorevolmente dietro le sbarre DOPO la scoperta del bug) e dal danno potenziale di cui nessuno ne conosce la portata, definirlo banale è un po' poco.


    >E
    > l'aggiornamento è
    > banale.

    Ma va testato.
    Se poi in cantina ste cose non si fanno, pazienza.

    Ma da altre parti si fanno, eccome se si fanno.
    maxsix
    8899
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)