Nou, aangezien ze geen verwachte 250 maar "slechts" 44
lekken hebben kunnen vinden kan het wel kloppen dan

Heeft de leraar ze ook laten zoeken in andere OS'en buiten
UNIX ?

44 bugs? Kan ik in 4 jaar ook wel vinden, ff wazig PHP
scriptjes die niemand gebruikt bekijken en hoppa

Voor beide bovenstaande anoniempjes: anders lees je de samenvatting even.

Dat vak waarbij de leerlingen als practicum 10 bugs moesten vinden en een exploit weten te fabriceren liep maar 16 weken (http://cr.yp.to/2004-494.html), en heeft niet direct met dat 4-jarig onderzoek te maken. En dat 4-jarig onderzoek heet zo omdat het gegevens gebruikt die over een periode van 4 jaar verzameld zijn, niet omdat daar 4 jaar aan is gewerkt.

oooooow bedankt voor de verheldering

Over een paar lesjaren wordt er niets meer gevonden, dus nog
moeilijker om te slagen. Niet zo gek dus dat deze software
aanzienlijk minder fouten bevat.

Wel een schande dat 4 studentjes zoveel lekken kunnen vinden.
Conclusie: even in Unix graven en je hebt ze zo.

lezen blijkt nog steeds een vak apart,

er staat duidelijk: 25 studenten.

En deze personen waren 16 weken intensief opgeleid om fouten
in UNIX te vinden.

Dus persoonlijk vind ik 44 fouten niet zo enorm veel als je
hoort dat ze ook fouten in allerlei zeldzame applicaties
gevonden hebben.

En belangrijker: Deze fouten kunnen nu netjes gepatched
worden, waardoor de bugs niet meer te misbruiken zijn...

Gheh. Jammer dat al die anoniempjes hier het stuk niet
lijken te lezen. Het telt voor 40% mee (de andere 60% zijn
de examens). Dat houdt dus in, dat het een erg belangrijk
onderdeel is. Maar het doel was om *10* fouten te vinden in
software die op *NIX redelijkerwijs gebruikelijk gebruikt
wordt (dus niet een of andere vage software van $Jantje).
Het punt is, dat er 25 studenten meededen. Ze hebben er 44
gevonden; ervan uitgaande dat ze graag wilden slagen en op
10 hebben gedoelt, hebben ze er maar 44 gevonden. Dat houdt
dus in 44/250 is minder dan 20% van het doel bereikt.
Volgens de regel 80/20 zou dat inhouden dat 80% van de
studenten niet bekwaam is in software auditing, maar we
hebben het hier wel over mensen die zich hier specifiek in
verdiepen. Ik vind het dus wat te makkelijk om een verband
met de (on)veiligheid van *NIX te stellen.

Overigens zag ik geen belangrijke server software of de
Linux kernel in het lijstje staan; het ging voornamelijk om
desktop programma's. Als ik eerlijk ben, is dat ook exact
waar ik weinig vertrouwen in heb, maar dat even terzijde.

Btw de website van DJB vertelt je meer over zijn software
(auteur van o.a. Qmail), zijn publicitaties en analyses. Het
is een aparte man, voor mij haast intrigrerend. Met Google
kun je evt. zoeken naar conflicten tussen hem en anderen.
Een eigenaardig figuur...

In de code KAN je tenminste graven....
Kun je nagaan wat een opgave het is om zoveel fouten in
gesloten code te vinden...... en toch, gek genoeg is dat
makkelijker gebleken vanwege de lage kwaliteit....

Dus ga jij er maar direct vanuit dat alle unix varianten opensource zijn.

Dat zal je tegen gaan vallen ;)
Pak de source van een gemiddeld Microsoft product erbij, en
je mag de lat aanzienlijk hoger leggen ten aanzien van het
minimaal aantal te vinden fouten: anders wordt slagen een eitje.

Precies die kan je niet zomaar vinden, das ook een voordeel aan gesloten.
Anders kan elke idioot (of student) wel een paar fouten vinden. Elke fout is
er een die hackers zouden kunnen misbruiken.

Denk je de source-code nodig te hebben voor het vinden van
fouten en lekken?
Zoek voor de lol bijvoorbeeld eens op 'debugging' en
'disassembly' met onze grote vriend Google.
Gebrek aan source is dus gevaarlijker omdat er minder mensen
zullen zijn die deze kunnen controleren of preventief
corrigeren.

Kom maar terug als je enige bugs hebt gevonden.. dat zal je
zeer vies tegen vallen.. vooral om enigszins *exploitable*
bugs te vinden zal je *zeer vies* tegen vallen.. Probeer het
eens! Ik denk eerder dat in plaats van bugs vinden je de
kwaliteit van de code zult waarderen, en de interessante en
slimme coding styles in bijv. de linux kernel.. Ik kan het
weten.

das juist het voordeel van open code, nu worden fouten (die
je ALTIJD hebt) tenminste door studenten gevonden (en bekend
gemaakt) en niet door mensen met kwaadaardige bedoelingen.

Dat komt vanzelf, als er maar voldoende commercieel gewin op
het spel staat.

Good old Bernstein. De vent is een totale troll, maar wat zou ik graag willen
dat we wat meer van dat soort trollen hadden.

als dat niet zo zou zijn, zouden ze de GNU en GPL licenses niet volgen,
praat niet over dingen waar je geen verstand van hebt