mopz0506：

关于谁修复漏洞更快，不同的统计，得出了完全相反的结论。相信谁取决于你。回到原帖

现在的统计啊，真是世风日下。

mopz0506：

现在的统计啊，真是世风日下。回到原帖

flaw 是根据一些定义得出，数量可以因定义改变而改变。flaw 的性质不同，严重程度也不同，一个 cracker 容易实现的 flaw，可以比一百个 cracker 难以实现的 flaw 更危险。

而被入侵数字就是被入侵数字，十分清晰。

而被入侵数字就是被入侵数字，十分清晰。

我没见过 "十分清晰" 这种事。

安全这种东西本来就没有 "十分清晰" 的定义。通常都是以漏洞数量和危险性计算的，CERT 的评级也算得相当权威了。反而是以入侵数字为标准来衡量系统的安全性，本来就是奇峰突起的定义。照这样计算，IE 被感染的次数几乎是 FF 的无穷多倍了，奇哉。

何况 Mi2g 的入侵数字究竟是怎么个组成大概你也不知道，其客观性很难说。比如，仅计算服务器还是包括普通桌面？

就跟测试 CPU 性能一样，两块相同的 CPU，不同的测试程序可以测出完全相反的结果来。当年 AMD 的 K6 浮点跑不过 Intel 的 P3，就测整数；P3 浮点和整数都跑不过 Athlon，Intel 就测功耗和温度；P4 的整数、浮点在多数项目上都跑不过 Athlon64，温度和功耗更比 Athlon64 差，就利用 HT 优势测多任务切换流畅性。

实在太正常了。

一个
 
[quote="abc@home"]呵呵，这现象怎样解释我就不清楚了。[/quote]

的统计数字，我希望至少有个类似标准的独立研究参考。

怎样才算是漏洞，甚么程度的 flaw 才算是漏洞，当然难以界定。

但怎样才算是被入侵，没甚么复杂，被入侵就是被入侵。

abc@home：怎样才算是漏洞，甚么程度的 flaw 才算是漏洞，当然难以界定。

但怎样才算是被入侵，没甚么复杂，被入侵就是被入侵。回到原帖

所以 flaw 就有级别之分了.

在例行安全检查中,或被入侵探测程序发现的有入侵行为,或有入侵迹象存在,算不算被入侵?

怎样才算是漏洞，甚么程度的 flaw 才算是漏洞，当然难以界定。

你可以不同意 coverity 对他们扫描出来 defect 的分类，但操作系统厂商自己有漏洞数据库，界定得清清楚楚，怎么能算难以界定。

如果你认为操作系统厂商不中立，可以找 SecurityFocus 的界定；如果你认为 SecurityFocus 会受到商业因素的影响，可以找 CERT 的界定。

如果你硬说 MS、Redhat、SecurityFocus 和 CERT 的界定都是毫无道理的，那我也没话说。

[quote="abc@home"]但怎样才算是被入侵，没甚么复杂，被入侵就是被入侵。[/quote]

前面说过了，Mi2g 的统计模糊不清，是否包括了桌面？是计算了蠕虫的攻击还是仅手工入侵？Mi2g 数据样本来源？

成功进行而未被发现的入侵，以及发现而未被报告的入侵，占多大比重？

缺乏可重复性和可验证性的数据，在我看来没什么意义。

最后，很难相信，现在你是在主张，最为普遍采用的将漏洞作为衡量安全性指标的做法是无价值的和错误的，反而认为几乎不可能搜集到可靠数字的实际发生的入侵事件数量才是可信的。

ydgi：
所以 flaw 就有级别之分了.

在例行安全检查中,或被入侵探测程序发现的有入侵行为,或有入侵迹象存在,算不算被入侵?回到原帖

从字面解释，如果没有被成功入侵，应该不计。

对于安全性，M$最擅长指鹿为马了，谁叫它是PC OS的老大呢

不过M＄要在服务器领域有所进步的话，先要学会用自己的系统来编译windows，而不是还再用unix编译，没长进。

据说top 500中没有一台是用M$ windows。

对于安全性，M$最擅长指鹿为马了，谁叫它是PC OS的老大呢

先扣个帽子



呀？不会吧。哪听来的？

[quote="desatan"]
据说top 500中没有一台是用M$ windows。
[/quote]

这个主要还是历史原因。现在 MS 正在搞 HPC 版，搭配 MPI，等着看效果如何。

mopz0506：

前面说过了，Mi2g 的统计模糊不清，是否包括了桌面？是计算了蠕虫的攻击还是仅手工入侵？Mi2g 数据样本来源？

成功进行而未被发现的入侵，以及发现而未被报告的入侵，占多大比重？

缺乏可重复性和可验证性的数据，在我看来没什么意义。

最后，很难相信，现在你是在主张，最为普遍采用的将漏洞作为衡量安全性指标的做法是无价值的和错误的，反而认为几乎不可能搜集到可靠数字的实际发生的入侵事件数量才是可信的。回到原帖

不，我完全没意见，只不过觉得 "被入侵个案" 比 "flaw" 相对比较清晰。

就像 FF 有 7 千几个 open 的 bug，maxthon 大概有 1 百几个，但用户很难用这些 bug 的数量来判断 FF 还是 maxthon 合用。但功能，速度，兼容等实际使用问题，用户就较容易判断。

M$的系统用unix编译已经是一个公开很久的"秘密"了，靠NT内核那60x60s的稳定性编译M＄ windows？

这个主要还是历史原因。现在 MS 正在搞 HPC 版，搭配 MPI，等着看效果如何。

恐怕没那么容易。

高级服务器（可不是NT跑的一两个CPU的）可不比PC，高级服务器需要的是专家友好而不是普通用户友好。

另外模块化要强，unix类是KISS下原则开发的，而M$是集成原则，拥肿懒散。不知道M＄有什么法宝，变一下性？

不，我完全没意见，只不过觉得 "被入侵个案" 比 "flaw" 相对比较清晰。

前面说没意见，后面还是说它比较差否定掉了，呵呵。

入侵个案一般很难得到数据。被发现的只是成功入侵的一小部分；被报告的往往又是被发现的一小部分；结果你得到的只是一个极其局部的数据。这种数据在统计上本身就没什么代表性。

比如我可以解释说，Windows 管理员平均水平较低，自带日志和审核工具较差且不方便，且默认对很多安全事件是不记录的，结果对入侵浑然不觉。

而程序漏洞，基本上不会有太大争议，当众演示一段攻击代码就行了。

转到最后，还是变成方法论之争，能有什么结果。还是跟我说的那样，性能比不过就测功耗，功耗也比不过就测切换速度。议会不把袁大总统选为皇帝不许吃饭，这单能不 pass 么？

总之，主流的方法就是扳手指头数漏洞，你要用其它的衡量标准不是不可以，但最好先让 MS、Redhat、CERT 还有那个什么 Focus 单词太长了记不住这票人同意你，这样说服力大些。



你这里就给出了一个统计，FF 有 7 千几个 open 的 bug，maxthon 大概有 1 百几个。

仅仅给出这个数字，就容易误导不了解的人，以为 maxthon 比 FF 稳定 70 倍（仅仅举例而言，不是说你本意是这样）。因为大多数人不清楚 FF 的统计里是否包括 Gecko 的 bug，maxthon 的统计里则肯定不包括 IE 的 bug，对吧？

如果只统计 FF 的界面外壳，大致跟 maxthon 相当的部分，那么 FF 在不带插件的情况下，功能又远不如 maxthon（没用过 maxthon，听说的）。

仅仅一个 7000 vs. 1x0 的数据，对一般人来说，很难正确解读，因此没什么意义。

[quote="abc@home"]
但功能，速度，兼容等实际使用问题，用户就较容易判断。
[/quote]

刚才有人说 Firefox 速度就是快，就是能连接 IE 连不上的网站，我还看到你大力反对主观感受。我还以为主观性的东西是你最反对的，没想到标准已然变了

FF 的 7 千几个 open 的 bug 是不包括 gecko 的 bug。gecko 的 bug 属于 "core" 类别。我之前贴过炼接，你找找吧。

[quote]刚才有人说 Firefox 速度就是快，就是能连接 IE 连不上的网站，我还看到你大力反对主观感受。我还以为主观性的东西是你最反对的，没想到标准已然变了

谁叫你用感觉，比较速度可以用测试嘛，网上多如牛毛。例如这个: http://www.numion.com/Stopwatch/ ，你输入网址按 "start stopwatch" 便会计算网页打开时间。

唉，万流归宗，从 Mi2g 又扯到 FF vs. maxthon 了。

我只对我说过的

Mi2g Ltd 公司自己就是个说谎精，不值得相信。

负责，其它的说不过你，OK？