Paweł Goleń, blog

Nie, wcale nie chodzi o malware. Chodzi o konia trojańskiego w prawdziwym życiu. A konkretnie o film. Ja rozumiem, że (...) że Słowacki wielkim poetą był!, rozumiem, że Seksmisja to film o statusie kultowym, podobnie jak kilka innych dzieł, których autorem jest Machulski. Problem w tym, że Ile waży koń trojański nie jest komedią, nawet komedią romantyczną. Nie jest to również, według mnie, dzieło wybitne (choć niezłe), a reklamowanie filmu poprzez odwołania ((...) mnie się podobają melodie, które już raz słyszałem (...)) do Seksmisji, Killerów czy Vabank, tylko mu szkodzi. Idzie się wówczas do kina z określonym nastawieniem, a tu nagle z konia (trojańskiego) wychodzi coś zupełnie do seksmisji niepodobne... ...nieźleście nas urządzili, spece od marketingu (jego mać)!

Wczoraj kupiłem sobie książkę Jedyna szansa. Oczywiście już ją skończyłem ("psuję" książki na potęgę), muszę przyznać, że odpowiada mi tego typu literatura. Ostatnio, gdy czytałem Zamieć (choć to akurat Ken Follet), napisałem kilka słów o zwalnianiu ludzi i odbieraniu dostępu (Bo zwalniać też trzeba umieć oraz Bo zwalniać (...) - rozwinięcie). Tym razem krócej, ale też "dziwnie". W książce pojawia się temat "tajemniczej płyty CD" oraz pytanie o (przybliżoną) datę jej nagrania, które pozostaje bez odpowiedzi. A przecież to takie oczywiste, wystarczy sprawdzić timestampy plików zawartych na płycie. Znajdując plik o najnowszej dacie, wiemy, że płyta nie została nagrana przed tą datą (nie wiemy tego na pewno, ale można z dużym prawdopodobieństwem to założyć). Można też spróbować zbadać metadane płytki/obrazu, choć niekoniecznie musi to dostarczyć więcej informacji. Tak, wiem - nie jestem całkiem normalny.

YAGNI jest podejściem mocno minimalistycznym. Jak ma się to do bezpieczeństwa? Czy (pośrednio) moje wymagania nie są czymś zbędnym? Czymś, co dodaje nie potrzebną złożoność do problemu? Odpowiedź krótka: NIE.

You Ain't Gonna Need It (YAGNI) jest pojęciem związanym z inżynierią oprogramowania. W skrócie chodzi o to, by dodawać tylko te funkcje, które są potrzebne. Na przykład jeśli ma się do czynienia z Test-driven development (TDD), pisze się tylko tyle kodu, by przejść testy. Swoją drogą świadczy to tylko o tym, jak istotna jest rola testera (nie chodzi mi w tej chwili o "testera bezpieczeństwa"), ale ja nie o tym. Nawet nie o inżynierii oprogramowania, tylko o zasadzie, że "lepsze jest wrogiem dobrego".

I wciąż bez pozytywnych rezultatów. Korzystałem z różnych list, w tym na przykład tej zawartej w MS08-067 Worms. Większość z tych stron jest już zablokowana (brak wpisów DNS, brak serwera), a te nieliczne, które działają, jakoś nie są zbyt agresywne (w sensie - samo wejście na nie nie powoduje skutecznej infekcji mojej testowej maszyny). Zaczynam być trochę rozczarowany. Mój nepenthes też nic ciekawego nie upolował... Co prawda po same próbki mogę sięgnąć tu Home Offensive Computing, ale ja chcę coś złapać.