คำว่า day-one-bug หมายถึงอะไร


12

ฉันเจอคำศัพท์นี้เมื่อไม่นานมานี้ในห่วงโซ่จดหมาย Google บอกฉันว่ามีบั๊กแบบ zero-dayและ Microsoft และ Adobe เป็น frontrunners :)

มีคำเช่นวันหนึ่งบั๊กหรือไม่ นั่นแปลว่าอะไร?


2
มันสำคัญจริง ๆ หรือเปล่าที่ดูเหมือนว่าไม่มีใครใช้มัน?
Mchl

1
มันหมายความว่า "ญาติที่ตายแล้ว" ของคุณในกานาที่มีโชคลาภที่พวกเขาสอดแทรกผ่านเล่ห์เหลี่ยมคอมพิวเตอร์ของพวกเขา ... ไม่มีอยู่จริง ๆ ... ฉันรู้ว่าอาจจะทำให้คุณแกน
SoylentGray

คำตอบ:


30

วันหนึ่งข้อผิดพลาดเป็นข้อบกพร่องที่ไม่ใช่การถดถอย ข้อบกพร่องอยู่ที่นั่นตั้งแต่วันแรกเมื่อมีการใช้งานคุณลักษณะนี้ ใช้เพื่อยืนยันว่าข้อบกพร่องมีลำดับความสำคัญต่ำเนื่องจากมีการจัดส่งในรุ่นก่อนหน้าโดยไม่มีการร้องเรียนจำนวนมากจากลูกค้า

อ้างอิง:


3
[จำเป็นต้องมี]
Piskvor ออกจากอาคาร

มีการอ้างอิง @Piskvor โปรดดูคำตอบสำหรับรุ่นที่อัปเดตแล้ว
gnat

2

รัฐ Wikipedia

การโจมตี "zero day" เกิดขึ้นในหรือก่อนวันแรกหรือ "zeroth" ของการรับรู้ของนักพัฒนา

ตามคำนิยามนี้วันหนึ่งจะเป็นข้อผิดพลาดอย่างใดอย่างหนึ่งซึ่งการหาประโยชน์ได้รับการพัฒนาในวันที่สองของการรับรู้ของนักพัฒนา?

อย่างไรก็ตามจากInfoworld.com

ข้อบกพร่อง zero-day เป็นช่องโหว่ที่ยังไม่ได้รับการแก้ไขหรือเผยแพร่สู่สาธารณะ

พวกเขายังอ้างถึง Justine Aitel ซีอีโอของ Immunity ว่าระบุ

"บักตายเมื่อพวกเขาออกสู่สาธารณะและพวกเขาก็ตายเมื่อพวกเขาได้รับปะ"

ฉันคิดว่าคุณสามารถอนุมานได้จากคำจำกัดความนี้ว่า "หนึ่งวันบั๊ก" จะเป็นคำที่ไม่มีความหมายหรือฉันเดาว่าคุณสามารถพูดได้ว่ามันเป็นสิ่งที่แพตช์มีอยู่ในที่สาธารณะ แต่ผู้ใช้ไม่ได้ใช้แพทช์


2
เราสามารถมีแหล่งข้อมูลที่เชื่อถือได้มากกว่าวิกิพีเดีย!
Martin York

2
@ มาร์ตินแน่นอนว่าเราทำได้
Stephen

@Martin เพียงเพราะวิกิพีเดียไม่ได้ทำให้มันไม่มีสิทธิ์โดยอัตโนมัติ
Kenneth

@ เคนเน็ ธ : จริง ๆ แล้วนั่นคือสิ่งที่วิกิพีเดียเป็น (ไม่มีสิทธิ์) มันเป็นสถานที่ที่เหมาะสำหรับการเริ่มต้นค้นคว้าเพื่อค้นหาแหล่งข้อมูลที่เชื่อถือได้ แต่ในตัวมันเองมันไม่ได้มีสิทธิ์ (ตามที่วิกิพีเดียกำหนดตัวเองเป็น) ตรวจสอบข้อความต้นฉบับของผู้ค้นหาเกี่ยวกับเว็บไซต์
Martin York

5
@ มาร์ติน: Wikipdia ไม่ได้มีสิทธิ์ แต่แหล่งอ้างอิงก็คือ ดังนั้นเราไม่จำเป็นต้องจู้จี้จุกจิกเกี่ยวกับวิกิพีเดียว่ามีสิทธิ์หรือไม่เราสามารถเลื่อนลงมาและดูที่ส่วนที่อ้างถึงผลงานและดูด้วยตัวเราเอง
richard

2

ข้อผิดพลาด "วันแรก" เป็นเพียงข้อบกพร่องที่มีมานานแล้ว (วันแรกเป็นวันที่สร้างซอฟต์แวร์) เมื่อเทียบกับ "การถดถอย" หรือข้อผิดพลาดที่เพิ่งเปิดตัว เมื่อวิเคราะห์ปัญหาที่เพิ่งถูกรายงานเป็นครั้งแรกเป็นเรื่องปกติที่จะมุ่งเน้นไปที่การเปลี่ยนแปลงล่าสุดของซอฟต์แวร์ซึ่งเป็นสาเหตุที่เป็นไปได้มากที่สุดของปัญหา อย่างไรก็ตามข้อบกพร่องบางอย่างนำไปสู่ชีวิตที่มีเสน่ห์และนอนเฉยๆเป็นเวลาหลายปี (หรือหลายสิบปี) โดยไม่ถูกสังเกต จากประสบการณ์ของฉันในฐานะนักพัฒนาซอฟต์แวร์มักพบข้อบกพร่องหนึ่งวันที่ซอฟต์แวร์อื่นทำการซ่อมแซมความเสียหายหรือป้องกันข้อผิดพลาดจากการใช้งาน การเปลี่ยนแปลงที่ไม่เกี่ยวข้องกันดูเหมือนจะสามารถลบหนึ่งใน "ปัจจัยชดเชย" เหล่านี้ซึ่งช่วยให้ข้อผิดพลาดเดิมที่จะเปิดเผยและในที่สุดก็สังเกตเห็น ฉันพบข้อบกพร่องในปี 2012 ในรหัสที่ฉันเขียนในปี 1986 และมีการประมวลผลพันล้านหากไม่ทำธุรกรรมหลายล้านล้านครั้งที่การติดตั้งหลายร้อยครั้งก่อนที่จะเกิดความผิดพลาดครั้งแรก ฉันใช้เวลาหลายวันในการโน้มน้าวใจตัวเอง (โดยการสร้างแบบทดสอบที่ซับซ้อน) ว่าข้อผิดพลาดเป็นวันแรกอย่างแท้จริง

คำว่า "zero day" ไม่เกี่ยวข้องกับ "วันหนึ่ง" ที่เก่ากว่ามาก


0

ถามคนที่ใช้การแสดงออก มันไม่ได้ใช้กันอย่างแพร่หลายพอสำหรับคำจำกัดความที่ตกลงกันโดยทั่วไปว่ามีอยู่

"zero day exploit" เป็นช่องโหว่ด้านความปลอดภัยที่ผู้พัฒนาซอฟต์แวร์ (หรือชุมชนการรักษาความปลอดภัยโดยทั่วไป) ได้รู้จักมาเป็นเวลา 0 วัน (เช่นยังไม่ได้) เพื่อที่จะไม่สามารถแก้ไขได้ การคาดการณ์จากนั้น "การใช้ประโยชน์จากหนึ่งวัน" จะเป็นสิ่งที่เป็นที่รู้จักกันแพร่หลายในปัจจุบันดังนั้นหากผู้พัฒนาและผู้ใช้ดำเนินการอย่างรวดเร็วระบบบางระบบอาจได้รับการติดตั้งแล้ว

แต่การคาดการณ์นั้นไม่จำเป็นต้องถูกต้องนิพจน์อาจไม่มีส่วนเกี่ยวข้องกับการหาประโยชน์จากศูนย์ คำตอบของ Brian ดูเหมือนจะเป็นไปได้มากกว่า ซึ่งนำเรากลับไปที่ย่อหน้าแรกของฉัน

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.