就是資安

被尊稱為Linux之父的Linus Torvalds前一陣子針對PaX Team的指控做出了反擊，PaX Team指控Torvalds與其他人對於程式的Bug沒有針對其安全性危害做出分類與警告。Torvalds則認為找出Bugs已經足夠，並不需要特別去強調安全性的問題。其他跟安全不相關的Bugs，數量甚至更多，也同樣需要加以修正，而過於強調安全性的Bugs其實並無助於解決所有的Bugs。他以為目前很多以做安全為名的人，誇大了安全的議題，甚至只是利用發現安全性的弱點來增加自己的知名度。他也提到了OpenBSD過於強調安全性，並且用了很不好聽的形容詞去描述其開發團隊-a bunch of masturbating monkeys(一群自己爽的猴子)。

前一陣子我談到有關Scan發表了一篇對於 OSS (開放源碼軟體)的安全性檢測報告，基本上整個方向大致上是正面的。不過這兩天另外一家應用系統與程式安全的公司 -Fortify- 發表了另一篇的報告，其內容對於OSS的安全性則有完全不一樣的見解。

DNS，對一般網路的使用者來說是個很陌生的名詞。但是幾乎所有網路/系統管理者都聽過，甚至管理過這個服務伺服器。它這麼知名的原因，在於沒有它，現在的網際網路大概沒幾個人願意使用。透過它，我們才能方便地使用像是g.cn這樣的名稱來對遠端的伺服器進行連線。它算是網際網路運作中一個很基礎也很重要的服務。雖然這個服務對管理者來說並不陌生，其運作原理也不算複雜，但是事實上很多DNS服務器的設定存在著不少問題(不安全、甚至是錯誤的設定)。而這個服務利害的地方在於，就算是存在一些不正常的設定，運氣好還是可以正常運作。運氣差一點的，就是不能運作。運氣最差的則是出現網路/服務不穩定的現象，因為這類問題很少人會懷疑到實際上是根源於DNS的錯誤設定。事實上，我在幾年前遇到一個曾在台灣知名網路公司服務過多年的人。當時因為網站不穩定，所以我請對方檢查DNS的設定，但是對方一直堅持不是DNS的問題。為什麼我會這樣懷疑，因為我從外部的查詢出現了好幾個192.168.x.x的設定。看到這些資料，就像我剛剛說的，運氣好還是可以運作，只是我認為我的運氣一向不太好。