Re: qmail or not qmail?
26 января 2010 г. 13:44 пользователь Alexey Pechnikov
<pechnikov@mobigroup.ru> написал:
>> При этом их фиксят, а не замалчивают.
> И все баги фиксит именно _создатель_ exim?
Нет, но при этом он их таки принимает, в отличие от.
>> Хидеры - пока маловероятно, хотя некоторые уже вставляли содержимое
>> документа в Subject
> Вот DJB тоже пишет, что маловероятно, ровно такими же словами :-)
Сейчас - маловероятно. А вот спустя некоторое время - уже вполне вероятно.
Рекомендую вспомнить цитату про 640кб.
>> У меня на почтовке локальных пользователей с шеллом - два. Я и рут.
>> А вот удалённый рут - это несколько посерьёзней будет.
> Я о том, что нельзя гарантировать, что даже в самом лучшем ПО нет ни одной
> уязвимости. И когда автор берется предоставить какие-то гарантии, это здорово,
> т.к. вызывает интерес у многих экспертов и это ПО исследуется намного
> внимательнее, нежели любое другое. Попробуйте предложить 1000$ за уязвимость
> в exim, если вы не согласны - готовы вы на это?
Я о том, что баги надо править в том числе и автору, а не отмахиваться от них.
Или хотя бы описывать пути обхода в документации.
>> Отправка почты _неограниченному_ списку получателей (спам-дыра) с
>> перспективой упасть - таки про кумыл.
> Извините, но такой уязвимости в списке закрываемых деб-девелоперами я не
> припоминаю. Мог не заметить, да, т.к. что мешает вашему юзеру вызвать
> рассылку спама в цикле, указывая по одному адресату?.. У меня это все
> проверяется до того, как данные для отправки будут переданы в почтовую
> систему (независимо от того, какая именно почтовая система используется -
> проверки были и тогда, когда я еще использовал exim).
Не пользуюсь кумылом, потому доверяю источникам. Сходите по ссылке.
Там на руссоком, но есть и ссылка на оригиналы.
>> > А вот это интереснее. Но, как можно судить по текущей ветке рассылки и по
>> > обсуждению "серых списков" некоторое время назад, тут далеко не все
>> Назовите RFC, которое нарушает грейлист.
>> Точнее, по какому RFC почтовая система обязана принимать почту по
>> первому требованию, не отпинывая по 4xx?
> Вы обманываете получателя, делая вид, что не можете сейчас обработать эту почту.
> В итоге вы его DOS-ите, заставляя тратить ресурсы на хранение и повторную
Наглое враньё насчёт DoS. Первое же прошедшее письмо включит сервер в
белый список.
> пересылку. Т.е. вы пользуетесь недосказанностью стандарта, чтобы намеренно
> причинять ущерб.
Еще раз. Назовите RFC или прекратите болтать ерундой.
И почему я должен принимать почту хз от кого?
Нормальный сервер перепошлёт без особых напрягов, а спамеру легче
перепослать через более доступные сервера.
А вот что вы будете делать, если через ваш сервер будет рассылаться
спам путём подставления неверного обратного адреса и случайного
адресата?
>> Э... Не путайте патчи, которые накладываются для безопасности и патчи,
>> без которых система неюзабельна. Первые - необходимы, вторые - как раз
>> костыли, ибо автор не чешется, а соответствует ли квалификация
>> патчеписателя репутации djb - еще неизвестно.
> Странный какой-то подход. Сколько систем вы знаете, выпущенных более 10 лет
> назад, которые сегодня могут быть использованы ровно в том же виде, без
> выпущенных за прошедшее время обновлений, патчей, etc.?
Пожалуй, только TeX.
> И в очередной раз
> вы открытый код отказываетесь видеть в управлении комьюнити. И на этот раз
> еще и комьюнити в безграмотности подозреваете, притом безосновательно -
> я интересовался, чьи же патчи закрывают баги qmail. А вы квалификацию всех
> разработчиков exim проверили, или там идеальные разработчики сидят?..
Я не отказываюсь видеть код в управлении коммунити.
Я не вижу этого самого управления для кумыла.
Каждый лепит свой патч. Управления нет вообще.
--
Stanislav
Reply to: