mboost-dp1
Adobe
Kina er det eneste sted i verden hvor kildekoden til disse produkter vil kunne blive brugt kommercielt. Alle andre steder vil de blive sagsoegt ind i naeste aarhundrede. Saa hvis det kun havde vaeret koden der var taget, saa kunne man nemt pege fingre, men nu er der ogsaa en masse konti... saa kan det vaere hvem som helst.
luuuuu (1) skrev:Kina er det eneste sted i verden hvor kildekoden til disse produkter vil kunne blive brugt kommercielt. Alle andre steder vil de blive sagsoegt ind i naeste aarhundrede. Saa hvis det kun havde vaeret koden der var taget, saa kunne man nemt pege fingre, men nu er der ogsaa en masse konti... saa kan det vaere hvem som helst.
Piratkopiering er det mindste af det. Det vigtige er at du med kildekoden i hånden (på skærmen), kan se hvilke krumspring du skal lave for at omgå sikkerheden i de nævnte produkter og installere alverdens snavs via exploit kits.
Det er pandoras æske.
Er der nogen her der ved hvilke versioner af det nævnte software der er ramt?
engfeh (3) skrev:Du mener ligesom at Linux er kendt for at være meget usikkert pga. den frit tilgængelige kildekode?
Det kan ikke sammenlignes. Linux har en masse frivillige (og 'ansatte'), der kigger koden igennem og har mulighed for at submitte fejlrettelser mv.
Adobe har kun de interne ansatte. Dem der kigger kildekoden igennem nu her har næppe nogen interesse i at rette fejl.
#4
Det kan godt sammenlignes.
Sikkerheden i software skal ikke afhænge af at kildekoden er hemmelig. Det er security by obscurity.
Og Linux er et udmærket eksempel på at en platform ikke bliver mere usikker fordi bad guys har adgang til kildekoden.
At Linux formentligt er blevet mere sikker p.g.a. åbenheden fordi de har modtaget patches og at Adobe ikke vil få samme fordel, da disse hackere næppe vil sende security fix patches til Adobe er en lidt anden diskussion. Det er jo mere et argument for at Adobe burde release kildekoden til alle.
Det kan godt sammenlignes.
Sikkerheden i software skal ikke afhænge af at kildekoden er hemmelig. Det er security by obscurity.
Og Linux er et udmærket eksempel på at en platform ikke bliver mere usikker fordi bad guys har adgang til kildekoden.
At Linux formentligt er blevet mere sikker p.g.a. åbenheden fordi de har modtaget patches og at Adobe ikke vil få samme fordel, da disse hackere næppe vil sende security fix patches til Adobe er en lidt anden diskussion. Det er jo mere et argument for at Adobe burde release kildekoden til alle.
Det er iøvrigt en total misforståelse at tro at adgang til kildekode er noget nyt som relaterer sig til open source.
Open source drejer sig om at brugerne har ret til at modificere og videredistribuere kildekoden.
Men adgang til at læse kildekoden er noget som er brugt før OSI OSD, FSF eksisterede og almindeligt brugt for kommerciel software.
Jeg kan komme med et konkret eksempel.
OpenVMS (førend version 5.5 bare VMS). 100% kommercielt styresystem. License og binære medier solgt for big money. Men man har altid kunnet bestille compiler listings som viste hele kildekoden (undtaget noget tredieparts kode hvor det ikke var muligt licensmæssigt) så interesserede kunne studere hvordan styresystemet fungerede internt.
VMS er fra 1978 og i de første mange år blev de listings distribueret på mikrofilm (man skiftede til CD en gang midt i 90'erne).
MS giver også stadig visse særligt udvalgte firmaer adgang til at kigge på kildekoden til Windows.
Open source drejer sig om at brugerne har ret til at modificere og videredistribuere kildekoden.
Men adgang til at læse kildekoden er noget som er brugt før OSI OSD, FSF eksisterede og almindeligt brugt for kommerciel software.
Jeg kan komme med et konkret eksempel.
OpenVMS (førend version 5.5 bare VMS). 100% kommercielt styresystem. License og binære medier solgt for big money. Men man har altid kunnet bestille compiler listings som viste hele kildekoden (undtaget noget tredieparts kode hvor det ikke var muligt licensmæssigt) så interesserede kunne studere hvordan styresystemet fungerede internt.
VMS er fra 1978 og i de første mange år blev de listings distribueret på mikrofilm (man skiftede til CD en gang midt i 90'erne).
MS giver også stadig visse særligt udvalgte firmaer adgang til at kigge på kildekoden til Windows.
arne_v (5) skrev:Sikkerheden i software skal ikke afhænge af at kildekoden er hemmelig. Det er security by obscurity.
Det er en lidt anden diskussion i mine øjne.
arne_v (5) skrev:At Linux formentligt er blevet mere sikker p.g.a. åbenheden fordi de har modtaget patches og at Adobe ikke vil få samme fordel, da disse hackere næppe vil sende security fix patches til Adobe er en lidt anden diskussion.
Det var netop min pointe, og det jeg mente diskussionen gik på. Det vil formentlig, primært, være black hats der kigger på kildekoden for at finde mulighed for exploits.
XorpiZ (7) skrev:Det er en lidt anden diskussion i mine øjne.
Det er den primære grund til at logikken i #2 ikke holder vand.
XorpiZ (7) skrev:Det var netop min pointe, og det jeg mente diskussionen gik på. Det vil formentlig, primært, være black hats der kigger på kildekoden for at finde mulighed for exploits.
Men det at Adobe ikke får security fixes fra dem som nu har adgang til kildekoden er ligesom ikke et argument for at det er en sikkerhedsmæssig katastrofe at de har fået den adgang.
arne_v (8) skrev:Det er den primære grund til at logikken i #2 ikke holder vand.
Jeg har slet ikke forholdt mig til #2.
arne_v (8) skrev:Men det at Adobe ikke får security fixes fra dem som nu har adgang til kildekoden er ligesom ikke et argument for at det er en sikkerhedsmæssig katastrofe at de har fået den adgang.
Det har jeg heller ikke skrevet.
engfeh (3) skrev:#2
Du mener ligesom at Linux er kendt for at være meget usikkert pga. den frit tilgængelige kildekode?
Hvis Adobe har gjort deres arbejde ordentligt bør der vel ikke blive afdækket voldsomme mængder sikkerhedshuller af kildekoden.
“This is a source code breach not just a data breach. Having source code is a huge advantage because they can more easily hunt for and find weaknesses in the code. Before they’d have to run lots of black-box testing to do that.”
-Dan Hubbard, CTO of web security vendor OpenDNS
Hvis jeg skal vælge hvem af jer to jeg skal tro, tager jeg nok Dan Hubbard.
Jeg gider ikke gå ind i en Linux vs. Windows med dig, men godt forsøgt.
#10
Der er ingen grund til at være et røvhul.
Jeg var ikke ude efter en Linux vs Windows flamewar, jeg argumenterede bare for hvorfor det ikke behøver være et problem at kildekoden til et program er offentligt tilgængeligt.
At du tager det personligt og ikke kan håndtere en saglig debat er ikke mit problem.
Der er ingen grund til at være et røvhul.
Jeg var ikke ude efter en Linux vs Windows flamewar, jeg argumenterede bare for hvorfor det ikke behøver være et problem at kildekoden til et program er offentligt tilgængeligt.
At du tager det personligt og ikke kan håndtere en saglig debat er ikke mit problem.
Problemet er vel hvis kildekoden bliver offentligt tilgængelig uden at det var tilsigtet?
Det er jo ikke dét, som er tilfældet med f.eks. Linux, og det udgør da en kæmpe forskel.
Havde Adobes programmer været open source fra starten, så havde situationen været en anden, fordi mange huller nok var blevet fixet. Men så var koden heller ikke blevet stjålet nu her, så lidt svært at sammenligne.
Og security by obscurity er uanset hvordan man vender og drejer det sikkerhed, og mange gange forhindre sikkerhedshuller i at blive opdaget og misbrugt.
Det er bare en dårlig idé, at benytte det som eneste sikkerhed.
Edit: f.eks. flytter man sshd fra port 22 til noget andet, så er sandsynligheden for, at man bliver angrebet mindsket ekstremt, og sammenholdt med gode kodeord (eller keys), så giver det sikkerheden et godt ryk op. Men sat alene, er det blot et spørgsmål om tid.
Det er jo ikke dét, som er tilfældet med f.eks. Linux, og det udgør da en kæmpe forskel.
Havde Adobes programmer været open source fra starten, så havde situationen været en anden, fordi mange huller nok var blevet fixet. Men så var koden heller ikke blevet stjålet nu her, så lidt svært at sammenligne.
Og security by obscurity er uanset hvordan man vender og drejer det sikkerhed, og mange gange forhindre sikkerhedshuller i at blive opdaget og misbrugt.
Det er bare en dårlig idé, at benytte det som eneste sikkerhed.
Edit: f.eks. flytter man sshd fra port 22 til noget andet, så er sandsynligheden for, at man bliver angrebet mindsket ekstremt, og sammenholdt med gode kodeord (eller keys), så giver det sikkerheden et godt ryk op. Men sat alene, er det blot et spørgsmål om tid.
TheAvatar (12) skrev:Problemet er vel hvis kildekoden bliver offentligt tilgængelig uden at det var tilsigtet?
Det er jo ikke dét, som er tilfældet med f.eks. Linux, og det udgør da en kæmpe forskel.
Havde Adobes programmer været open source fra starten, så havde situationen været en anden, fordi mange huller nok var blevet fixet. Men så var koden heller ikke blevet stjålet nu her, så lidt svært at sammenligne.
Det var dog den mest absurdt fanatiske open source holdning jeg længe har set.
Naturligvis fixer closed source udviklere da sikkerhedshuller selvom koden ikke skal offentliggøres.
TheAvatar (12) skrev:Og security by obscurity er uanset hvordan man vender og drejer det sikkerhed, og mange gange forhindre sikkerhedshuller i at blive opdaget og misbrugt.
Problemet er jo at det kun beskytter mod mindre dygtige hackere og ikke mod de dygtige.
Da man også ønsker at beskytte sig mod de dygtige og fordi man ved at beskytet sig mod de dygtige også beskytter sig mod de mindre dygtige, så er security by obscurity i best case spild af tid.
TheAvatar (12) skrev:Det er bare en dårlig idé, at benytte det som eneste sikkerhed.
Det kan specielt for de ikke teknisk kyndige hurtigt udvikle sig til en sovepude og dermed reducere den faktiske sikkerhed.
Det kan også skabe et tillidsproblem hos brugere/partnere.
#security by obscurity
V2 havde for nylig en diskussion omkringt udbredelsen af Umbraco hvor det kom frem at tallene fra en undersøgelse var misvisende, fordi Umbraco havde fjernet en header der identificerede Umbraco.
Fordi citat:
Jeg har såmænd ikke noget imid at Umbraco ikke sender en header der identificerer den. Den slags tiltag er faktisk anbefalet af OWASP etc..
Men alle bør jo gøre sig klart at det reelle problem er ikke den header - det reelle problem er de upatchede versioner som er tilgængelige via internettet. Og at Umbraco beskytter dem mod "amatør crackere" ved ikke at sende den header på ingen vis gør de sites sikre.
http://www.version2.dk/artikel/her-er-danskernes-f...
V2 havde for nylig en diskussion omkringt udbredelsen af Umbraco hvor det kom frem at tallene fra en undersøgelse var misvisende, fordi Umbraco havde fjernet en header der identificerede Umbraco.
Fordi citat:
Et - af mange - tiltag er at sikre brugere af Umbraco mod nemt at blive opdaget af crawlere - et redskab som desværre i stigende grad misbruges af amatør crackere som kan finde det sjovt at lege med upatchede installationer af CMS. Selvom Umbraco suverænt er blandt de CMS som har haft færrest sikkerhedshuller (seks huller på otte år), så mener vi ikke at der er grund til at gøre det nemt at opdage en Umbraco installation.
Jeg har såmænd ikke noget imid at Umbraco ikke sender en header der identificerer den. Den slags tiltag er faktisk anbefalet af OWASP etc..
Men alle bør jo gøre sig klart at det reelle problem er ikke den header - det reelle problem er de upatchede versioner som er tilgængelige via internettet. Og at Umbraco beskytter dem mod "amatør crackere" ved ikke at sende den header på ingen vis gør de sites sikre.
http://www.version2.dk/artikel/her-er-danskernes-f...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund