Orme går efter 3. parts software

IT-afdelingerne er ikke klar til at håndtere angreb på 3. parts software mener eEye.

Så vil jeg da opfordre til, at brugerne går efter software, som tillader 3. parts software at blive opdateret sammen med operativsystemssoftware.

Yum er et eksempel på et system, som har gjort det her rigtigt. Yum indlæser en række konfigurationsfiler fra et directory, hver fil beskriver en kilde til opdateringer. Installering af 3. parts software foregår ved, at man installerer en pakke, der indeholder sådan en beskrivelse af en 3. parts servere. Så kan både første version af softwaren og efterfølgende opdateringer downloades fra en af dem. Yum vil helt automatisk checke alle kilder.

Yum er selvfølgelig ikke perfekt, men det demonstrerer i hvert fald helt klart, at 3. parts software ikke behøver være mere besværligt at opdatere, end basissoftware.

Der skal tre ting til, for at brugerne får glæde af den mulighed. For det første skal producenter af operativsystemer, sørge for at indrette opdateringssystemet, så det kan lade sig gøre. For det andet skal producenter af 3. parts software gøre brug af muligheden. For det tredje skal brugerne vælge software ud fra det kriterie.

Jeg har umiddelbart kun kendskab til et operativsystem, som har gjort det. Det er Fedora Core. Men det er sikkert kun fordi, jeg ikke kender alle. F.eks. vil jeg gætte på, at andre yum baserede systemer også har muligheden. Er her nogen, som kender andre?

#1 YASTs software managment funger på mere eller mindre samme måde.

Jeg ved at (open)SuSE bruger YAST , som vidst nok har YUM som core. Begge dele bliver i hvertfald installeret på maskinen.

[edit]
Tog lige en hurtig søger på google, og YAST er et andet opdaterings system, dvs. det har ikke yum som core.

Men som #2 siger, så fungerer det på samme måde.

#1 APT til Debian.

Der er flere af sådanne systemer, dog ingen til Windows som jeg kender til, og det er det der er problemet.

jeg ved da for min arbejdesplads vedkommende skal en opdatering til et stykke software tjekkes igennem for om det giver nogen fejl i forskellige sammenhænge.
f.eks. så giver de nye røde ordbørger os fejl på diverse andre sider, men deaktivere vi et komponent, jamen så er andre programmer kørende igen.

hvilket gør at de røde ordbøger ikke bare bliver rullet automatisk ud.

hvilket som jeg kan se det, var det i gerne ville have med yum.

jo større virksomhed man er jo flere forholdsregler skal der tages til opdateringer.

#5

jeg ved da for min arbejdesplads vedkommende skal en opdatering til et stykke software tjekkes igennem for om det giver nogen fejl i forskellige sammenhænge.

Selvfølgelig. Det gør man vel alle steder.

hvilket gør at de røde ordbøger ikke bare bliver rullet automatisk ud.

Heller ikke når der er testet?

Hvis man har et større antal maskiner, laver man en lokal kopi af pakkerne, som maskinerne downloader fra. Man tester naturligvis på et passende niveau, inden der lægges i den lokale kopi.

Så har man styr på sagerne, og sparer i øvrigt noget trafik.

OT: De røde ordbøger er roden til alle problemer. (Det her 16Bit system de har lavet til gruppe license :))

Jeg tror artiklen mere er rettet i mod windows miljøer, jeg ved da her er problemet alle er local administrators, hvilket gør de selv kan installere itunes/winamp/Logitech osv. som sikkert kunne være et mål findes der nogle såbarheder i det.

FreeBSD Ports opfører sig som #1 beskriver.

YUM? YAST? APT?
Hvad med en forklaring på forkortelsen og evt. link med forklaring om hvad det er?

#9

YUM, YaST, og APT...

er APT ikke bare en Package Manager .. som fx RPM .. fra red hat ?

#11

For pokker da, se lige indlæget ovenover dit eget, der finder du et link der forklarer det...

Advanced Packaging Tool, or APT, is a package management system used by Debian GNU/Linux and its derivatives.

Port(s|age).. generelt er det vel kun windows der efterhånden mangler en package-manager?

btw. forskellen mellem Gentoo og Windows:

Gentoo: $ emerge -uDN world
Windows:
[foreach ${software}] {
manually locate update-site;
manually fetch update;
manually install update;
}

medmindre man bruger AD...

#13

medmindre man bruger AD...

Det kræver så bare at ens programmer er pakket med Windows Installer i en MSI fil. Hvilket ikke altid er tilfældet ;)

Og så vidt jeg ved, er det kun MS windows der ikke har en package-manager.

Man kan måske argumentere for at AD er en wanna-be package manager, da den kan distibruere MSI filer.

[edit]
Men igen, så kræver det, at ens maskine er med i et domæne, og jeg kan forestille mig at det er de færreste hjemmebrugere der er det.

#14

Så er løsningen jo bare at købe en server, købe en licens til en server-udgave af Windows (som jo er rigtig billig), installere den, opsætte AD, finde ens software i .msi-filer, opsætte dem til automatisk udrulning, konfigurere ens maskine til at køre i domænet. Hvor svært kan det være :-)

#15:
betydeligt sværre end at smække apt-get update && apt-get upgrade i sin crontab... desuden er det sgu da heller ikke fedt at have en server stående med et hullet OS bare til at styre opdateringer, til sine yderligere hullet klienter..

#13 Du glemte reboot

#16 Jeg synes, jeg sporede en anelse ironi i #15's indlæg, men det kan godt være, jeg misforstår :)

#16

Ja for der er jo ikke sikkerhedshuller i gnu/linux...

#18

Nej! Det er det ikke :) Men hvor tit er det lige at vi hører en linux server der gik ned pga virus eller malware infektion?

og med #16's løsning, er man helt fri for at have en server, og de eventuelle huller der måtte være, bliver så rettet når hans crontab eksekverer de to ovenstående kommandoer.

#16 Det var ironisk ment, men måske var det ikke tydeligt nok.

I øvrigt... jeg har engang prøvet at en linux server blev lagt ned pga. automatiske opdateringer, hvor nogle opdateringer til dependencies endnu ikke var indsat i repositoriet. Så det skal man passe lidt på med, selvom det generelt er utroligt nemt at bruge sin pakkemanager.

#20

jeg har engang prøvet at en linux server blev lagt ned pga. automatiske opdateringer, hvor nogle opdateringer til dependencies endnu ikke var indsat i repositoriet.

Hele pointen (eller én af dem i hvert fald) med pakkehåndtering er at undgå den slags. Der bliver ikke installeret noget, før alle dependencies er på plads, hvilket sker automatisk, hvis det er muligt.
Det har været hverdag for mig i måske 10 år nu. Og da jeg kører test-versionen (og holder godt øje med det) ser jeg jævnligt den slags problemer, men ikke mere end at jeg får at vide, at jeg ikke kan opgradere til den version lige nu, fordi XYZ ikke findes i version 2.noget i det miljø endnu.

#17:
jo, det gjorde jeg også, men måtte hellere være sikker :)

#20:
ja, men så har du sikkert heller ikke kørt en distribution med frosset pakke repositorie :) hvilken distribution var dette? normalt vil en pakke manager installere dependencies først, i den rækkefølge det kan virke, for eksempel:

a depender på b
b depender på c

så vil det bliver installeret: c b a
og hvis der sker en fejl under installation af b, vil a ikke blive installeret. så det værste der sker er at b ligger der uden at blive brugt. (og hvis det er en source distribution, vil det i langt de fleste tilfælde ikke engang kunne ske at a bliver installeret/opdateret, da det vil kræve dependency b er der, til at compile/linke imod.)

#21, #22 Det var en opdatering af Samba-pakkerne uden et eller andet library de var afhængige af, jeg ikke længere kan huske. Det var YUM på Fedora Core 5. Er klar over hvordan det burde virke, men det gjorde det så åbenbart ikke. Fik dog løst problemet ved midlertidigt at nedgradere Samba-pakkerne og et par dage efter havde de lagt de rigtigte libraries ind.

Edit: Kan det være at Samba-rpm'erne ikke var blevet opdateret med de libraries de rent faktisk var afhængige af? Men generelt er YUM ikke min ynglings-pakkemanager.

#23:
well :) nu er fedora jo heller ikke beregnet til produktion :)

#5 MonZ

f.eks. så giver de nye røde ordbørger os fejl på diverse andre sider, men deaktivere vi et komponent, jamen så er andre programmer kørende igen.

Det lyder som om nogen ikke helt har forstået forskellen på et computerprogram og en webside. (Og at dømme efter det du skriver må en stor del af misforståelsen ligge hos producenterne, af de produkter i bruger).

Noget så trivielt som en ordbog burde på ingen måde kunne introducere fejl i andre programmer. Heldigvis er de ordbøger jeg bruger bare et par flade html filer. Og bortset fra, at browseren skal bruge mange resourcer på at renderer html filer af den størrelsesorden, så har sådan nogle html filer ingen negativ inflydelse på systemets funktionalitet.

Nu har jeg ikke lige beskrevet problemet detaileret, men der var nogle problemer.

men jeg tænker os, er det efter hånden ikke ret mange programmer der kan hente opdateringer til sig selv? men oftes så kræver det en brugerhånd at acceptere at de skal opdatere.

#26 MonZ

Men jeg tænker også, er det efterhånden ikke ret mange programmer der kan hente opdateringer til sig selv?

Det er der en del, der kan, men det er bare ikke nogen fornuftig måde at gøre det på. 3. parts software bør næsten aldrig køre med administratorrettigheder. Men for at opdatere softwaren skal man have de rettigheder.

Det er bare et af de problemer, man skal finde en løsning på. Og det er ikke særlig smart hvis hvert 3. parts program finder på sin egen løsning. Den rigtige løsning er at have en pakkemanager, hvor man når man sætter sin computer op vælger om pakker skal downloades automatisk og om de skal installeres automatisk. Samme sted bør man også kunne vælges, hvilke rettigheder der skal til for at man kan aktivere den manuelle del af installationen.

Hvis der havde været en god pakkemanager, så ville mange af de 3. parts programmer nok have gjort brug af den. Og muligvis ville endnu flere have gjort det nemt for brugerne at opdatere, hvis de ikke selv skulle udvikle opdateringssoftwaren.

#26

men jeg tænker os, er det efter hånden ikke ret mange programmer der kan hente opdateringer til sig selv?

Vi har snakket om at indføre et kø-system i kantinen, men ret mange medarbejder har efterhånden lavet hvert sit kø-system. .

Hov, det skulle være "fordi", ikke "men".

Overdrivelse fremmer forståelsen, men der er utroligt langt fra at hvert program gør det på sin egen måde, til en samlet løsning. Langt de fleste funktioner går tabt i "Windows-metoden". Og om ikke andet: Hvor mange af dine programmer har en velfungerende måde at gøre det på? Hvor mange kan overhovedet?

Hvis vi alle skal opfinde den dybe tallerken, bliver de altså langt fra lige gode hver gang, og mange vil drikke suppe af et krus. (Og nogle vil lave en perfekt dyb tallerken, men konsekvent vende den på hovedet.)

Måske var eksemplet ikke helt overdrevet alligevel.

Heldigvis har vi god kø-kultur i kantinen, vi er flere hundrede mennesker om den. ;-)

#25

JO! Gyldendals røde ordbøger fucker Internet Explorer op. Vi har samme problem på min arbejdsplads. Det skyldes at den installerer et ActiveX komponent "Quick search BHO et eller andet", som laver ballade, når man besøger sider.

#27

Problemet ligger vel et eller andet sted også i at der er forskellige senarier om det er en hjemme PC eller en domaine PC
for en Domaine PC kan man bruge SMS til at udrulle opdateringer (nogle gange)
men en hjemmepc/privatpc fungere ikke jo ikke helt på samme måde.

jeg tror den eneste løsning er at Microsoft finder en bedre måde at få opdateret hjemme klienterne(ikke kun MS produkter) på, for opdateringer til domaine pcer fungere jo som sådan fint, når opdateringen er blevet godkendt af virksomheden. (og sådan skal det jo helst blive ved)

#30
Eller at de laver en løsning som YAST eller YUM og får alle, store som små, virksomheder til at understøtte deres protokol/løsning, så der derved kan distibrueres opdateringer. Derudover kan de så lave en server løsning til virksomheder, der står og distibruerer godkendte opdateringer til medarbejder PC'er (ligesom WSUS og SMS).

#29 Zehnox

JO! Gyldendals røde ordbøger fucker Internet Explorer op.

Vil du dermed sige, at du synes det skal være sådan? Jeg sagde det burde ikke kunne ødelægge noget. Men selvfølgelig er der personer, som begår fejl, man ikke burde kunne begå.

#32
Sorry, jeg læste forkert. Troede du skrev at det ikke kunne. Nej selvfølgelig skal det ikke være sådan, det er under al kritik, og jeg kan slet ikke forstå, hvorfor de skal inkludere et Active X komponent til en ordbog

My bad!