2014-06-04 8:01 GMT+02:00 cyryl cyplo@cyplo.net:
On Wed 04 Jun 2014 00:32:40 CEST, rysiek wrote:
I should emphasize that that I personally consider these people to be extremely skilled. One possible conclusion that could be drawn from this experience is that a skilled backdoor-writer can defeat skilled auditors. This hypothesis holds that only accidental bugs can be reliably detected by auditors, not deliberately hidden bugs.
Discuss.
audyt audytem a testy testami imho. trzeba miec obydwa. duzo testow jednostkowych + integracyjnych do softu, tez w pelni otwartych i audytowalnych imho by zapobieglo wiekszosci poprzednich katastrof, najbardziej widoczne w przypadku goto fail.
Ale to był bug przypadkowy. Autor backdoora z pewnością skorzysta z testów jednostkowych.
tam ewidentnie nie mieli testu na sciezke blednego certa.
To akurat prawda.
jasne ze testy do "bezpieczenstwa" pise sie trudno, ale to nie znaczy ze sie nie da.
Nie na dobrego backdoora. Najwyżej utrudnisz jego napisanie.
R.