mboost-dp1
unknown
Med til historien hører vel også, at software er blevet væsentligt mere avanceret de sidste 20 år, og ikke mindst langt lettere at bruge.
"nææee... da JEG kodede software var der andre boller på suppen! Og der var også flere stjerneskud om natten!"
Alting var bedre i gamle dage, sommeren var varmere, der var altid hvid jul etc.
Software har aldrig være fri for fejl, der er blot kommet flere brugere til at opdage dem, og der er kommet flere folk der ikke fatter computere til.
Software har aldrig være fri for fejl, der er blot kommet flere brugere til at opdage dem, og der er kommet flere folk der ikke fatter computere til.
egil:
Og det skulle være en undskyldning for at lave dårligere software ?
Mener du også det er okay hvis biler er mere farlige at køre bare fordi at de idag har flere features end for 20 år siden ?
Og det skulle være en undskyldning for at lave dårligere software ?
Mener du også det er okay hvis biler er mere farlige at køre bare fordi at de idag har flere features end for 20 år siden ?
#4
Hvem siger at det ikke allerede er sådan?
Her er det bedste af begge verdener endda blandet sammen.
Hvem siger at det ikke allerede er sådan?
Her er det bedste af begge verdener endda blandet sammen.
Drop nu de gamle nyheder! Newz er efterhånden dødsyg at læse - det hele er noget gammelt lort!
Og JA jeg har forsøgt mange gange at indlægge nyheder, men det tager EN KRIG før de ryger online!
Til newz-teamet: luk lortet eller GET-UP-TO-DATE!!!! Det er sgu ik nyheder for nørder - rettere et nyhedsARKIV for nørder!!
Men sådan er det jo, når der ikke bliver postet penge i det - man kan ikke lave kvalitet for free! Interessen (pga. pengene) dør ligeså stille... min teori mht. open/free-source ingen gider sgu code gratis i det lange løb!! Og i øjeblikket drives folk af interessen og M$-had! Men brugte alle open-source, vil jeg vædde på det ikke værede længe før udviklingen gik i stå.
Romerriget kørte også stort set perfekt indtil alt var besejret!!!
Og JA jeg har forsøgt mange gange at indlægge nyheder, men det tager EN KRIG før de ryger online!
Til newz-teamet: luk lortet eller GET-UP-TO-DATE!!!! Det er sgu ik nyheder for nørder - rettere et nyhedsARKIV for nørder!!
Men sådan er det jo, når der ikke bliver postet penge i det - man kan ikke lave kvalitet for free! Interessen (pga. pengene) dør ligeså stille... min teori mht. open/free-source ingen gider sgu code gratis i det lange løb!! Og i øjeblikket drives folk af interessen og M$-had! Men brugte alle open-source, vil jeg vædde på det ikke værede længe før udviklingen gik i stå.
Romerriget kørte også stort set perfekt indtil alt var besejret!!!
Der er i stedet tale om, at man bruger social engineering til at overbevise brugeren om at downloade filen uden at få advarselsdialogen.
Er jeg den eneste der grinede højlydt af denne sætning? :D Uden at kende nogen detaljer om fejlen, synes jeg at det lyder ret usansynligt at man skal kunne bruge social engineering til at omgå en adverselsdialogboks. Hvis man kan, vil jeg ligefrem gå langt og sige, at dét i sig selv er en sikkerhedsfejl.
Richard Starnes er vist ikke meget værd. Mener han så også kun at det Microsoft der skal betale?
Hvad med open source? Skal de betale med en pose imaginære penge?(Edit: Dermed ikke sagt at Open Source programmer ikke kan tjene penge, men det ville da være typisk at mange "hjemmeprojekter" ikke har særlig mange penge til rådighed)
Er egentlig overraskende at høre taget i betragtning af at grunden til han er en "sikkerheds-ekspert" er jo lige netop pga sikkerhedsfejl der overhovedet gør han kan kalde sig ekspert.
Dog er jeg enig i at fejlen skal rettes selvom den er lidt la la, brugeren siger vel ja uanset hvad fanden der står.
Hvad med open source? Skal de betale med en pose imaginære penge?(Edit: Dermed ikke sagt at Open Source programmer ikke kan tjene penge, men det ville da være typisk at mange "hjemmeprojekter" ikke har særlig mange penge til rådighed)
Er egentlig overraskende at høre taget i betragtning af at grunden til han er en "sikkerheds-ekspert" er jo lige netop pga sikkerhedsfejl der overhovedet gør han kan kalde sig ekspert.
Dog er jeg enig i at fejlen skal rettes selvom den er lidt la la, brugeren siger vel ja uanset hvad fanden der står.
#8 det som nyheden kalder social engineering, er at man på sit website skriver en lokkende tekst som f.eks:
"højreklik på nedenstående link, og gem filen i "c:\documents and settings\all users\start menu\programs\startup"
så har brugeren selv gemt filen uden advarsler, og den køres automatisk af windows når brugeren logger på...
men om man vil kalde det social engineering ved jeg ik, troede ikke at det at narre dumme mennesker som ikke passer på, var at sammenligne med social engineering (som indeholder en del overtalelse osv imho)
det kan da aldrig være softwareproducentens skyld, at en bruger kan være dum nok til at lade sig lokke og installere noget skidt?
og hvorfor er det egentlig at MS' browser og tilhørende programmer skal betegnes som værende godt, mens 3. parts filer er SÅ slemme?
hysteri, er hvad det er... ham "forskeren" ellre hvad han er, har nok bare gået og ventet 20 år på at komme i medierne, derfor han kommer med denne gang BS
"højreklik på nedenstående link, og gem filen i "c:\documents and settings\all users\start menu\programs\startup"
så har brugeren selv gemt filen uden advarsler, og den køres automatisk af windows når brugeren logger på...
men om man vil kalde det social engineering ved jeg ik, troede ikke at det at narre dumme mennesker som ikke passer på, var at sammenligne med social engineering (som indeholder en del overtalelse osv imho)
det kan da aldrig være softwareproducentens skyld, at en bruger kan være dum nok til at lade sig lokke og installere noget skidt?
og hvorfor er det egentlig at MS' browser og tilhørende programmer skal betegnes som værende godt, mens 3. parts filer er SÅ slemme?
hysteri, er hvad det er... ham "forskeren" ellre hvad han er, har nok bare gået og ventet 20 år på at komme i medierne, derfor han kommer med denne gang BS
#10: Social Engineering går vel primært ud på at lokke folk til at gøre ting i god tro, som de ellers ikke ville drømme om hvis de kendte konsekvensen af handlingerne.
I gamle Kevin Mitnick dage gik det så primært ud på at lokke passwords og lign. oplysninger ud af folk (går ud fra det er det du hentyder til med at social engineering har med overtalelse at gøre).
Efter introduktionen af internettet går det så snarere i retningen af at få folk til at installere trojans, spyware og lign. eller aflevere deres kreditkort-nummer og den slags oplysninger til tilfældige nigerianere.
Så ja, jeg vil umiddelbart give MS ret i at der er tale om en form for social engineering. Det er vel ikke meget anderledes end når forskelligt Vira i ens mailbox forsøger at lokke en til at dobbeltklikke på den vedhæftede attachment.
Når det er sagt, så ville det dog være forholdsvis nemt for MS at lave en patch der gav en advarsel hvis folk forsøgte at gemme filer direkte i deres startup folder.
I gamle Kevin Mitnick dage gik det så primært ud på at lokke passwords og lign. oplysninger ud af folk (går ud fra det er det du hentyder til med at social engineering har med overtalelse at gøre).
Efter introduktionen af internettet går det så snarere i retningen af at få folk til at installere trojans, spyware og lign. eller aflevere deres kreditkort-nummer og den slags oplysninger til tilfældige nigerianere.
Så ja, jeg vil umiddelbart give MS ret i at der er tale om en form for social engineering. Det er vel ikke meget anderledes end når forskelligt Vira i ens mailbox forsøger at lokke en til at dobbeltklikke på den vedhæftede attachment.
Når det er sagt, så ville det dog være forholdsvis nemt for MS at lave en patch der gav en advarsel hvis folk forsøgte at gemme filer direkte i deres startup folder.
"...mener endvidere, at kvaliteten på software er faldet gennem de sidste 20 år..." er jo et fuldstændig åndsvagt postulat.
Kompleksiteten af programmer i dag er MANGE gange større, jeg kan da også lave et "Hello world" program i Basic i meget høj kvalitet som jeg garanterer er 100% fri for fejl. En microkernel OS med netværkslag, sikkerhedslag, filsystemlag, GDI lag osv. er imidlertid en ganske anden sag.
Men der er ingen tvivl om at *nix arkitekturen ER mere sikker/stabil, simpelthen fordi den - modsat Windows - fra et tidligt tidspunkt var fødested for alle de protokoller vi (desværre stadig) bruger i dag, jeg husker stadig hvon' man i Windows 3.x skulle KØBE en TCP/IP suite som ekstern software.
Kompleksiteten af programmer i dag er MANGE gange større, jeg kan da også lave et "Hello world" program i Basic i meget høj kvalitet som jeg garanterer er 100% fri for fejl. En microkernel OS med netværkslag, sikkerhedslag, filsystemlag, GDI lag osv. er imidlertid en ganske anden sag.
Men der er ingen tvivl om at *nix arkitekturen ER mere sikker/stabil, simpelthen fordi den - modsat Windows - fra et tidligt tidspunkt var fødested for alle de protokoller vi (desværre stadig) bruger i dag, jeg husker stadig hvon' man i Windows 3.x skulle KØBE en TCP/IP suite som ekstern software.
det var da den værste af alle løsninger at foreslå lovgivning for at undgå sikkerhedshuller i software.. det ville kvæle samtlige selvstændige udviklere, da de ikke ville turde udgive noget somhelst af frygt for at de bliver straffet for en sikkerhedsfejl, dermed ikke sagt at der ikke skal være fokus på at softwaren skal være så sikker som mulig... (intet er jo som bekendt 100% sikkert)
hvis det overhovedet kommer på tale mht. lovgivning ang. sikkerhed i produkter, vil det kvæle softwarebranchen fuldstændig...
men det er måske det de vil?
det bør i hvert fald være muligt at fraskrive sig forpligtelserne i denne lov, gennem licensbetingelser mv. (som om folk læser dem hvis de ik læser advarsler)
men det er måske det de vil?
det bør i hvert fald være muligt at fraskrive sig forpligtelserne i denne lov, gennem licensbetingelser mv. (som om folk læser dem hvis de ik læser advarsler)
#18 "...at fraskrive sig forpligtelserne..."
Ja det er vel dét de fleste selvstændige gør, incl. mig selv. For hvem ved hvad en eller anden tosset Amerikaner kan finde på at sagsøge med?! Man kan jo ikke teste alle konfigurationer, alle sprog, alle filsystemer, med/uden unicode, med service packs osv osv. Iøvrigt kender jeg til firmaer hvor politikken er "Kan det kompileres, så virker det!" men det er så nok at tage lidt for let på kvaliteten.
Ja det er vel dét de fleste selvstændige gør, incl. mig selv. For hvem ved hvad en eller anden tosset Amerikaner kan finde på at sagsøge med?! Man kan jo ikke teste alle konfigurationer, alle sprog, alle filsystemer, med/uden unicode, med service packs osv osv. Iøvrigt kender jeg til firmaer hvor politikken er "Kan det kompileres, så virker det!" men det er så nok at tage lidt for let på kvaliteten.
Microsoft taler udenom, og bagatelisere problemet.
Hvilket jeg finder komplet absurd.
Ham den anden går så over i den stik modsatte grøft, og det er jeg ikke sønderligt imponeret over heller.
Sandheden skal vist findes et stykke imellem dem... :D
#6 onetimer
Der er ingen der holder på dig...
Så tag lige flet næbbet.
Der er mange incitamenter for godt stabilt arbejde, og penge er bestemt ikke det effektiveste af dem.
Bullshit!.
Modellen bag opensource og fri software, er langt ældre end Microsoft, så må du selv regne resten ud... :P
De vigtigste fri software / opensource udviklere er SKIDE LIGEGLADE med microsoft. (Mildest talt.)
Der eksistere LANGT mere had, i deres egne rækker end i fri software og opensource kredse.
Øhh?
"Vi" har det såmænd fint med indbyrdes, at være komplet selvforsynende med software.
Hvorfor folk der ikke tjener penge på det, bruger mange ugentlige timer på at kode, er sikkert en gåde for dig.
Men for sande hackere er det at kode, en udfordring de slet ikke kan leve foruden.
Specielt fordi de finder det sjovt.
Derfor kan de da stadig godt værdsætte at blive belønnet økonomisk, hvilket mange af dem også bliver.
Men det vil ALDRIG kunne opveje udfordrings incitamentet.
Hvilket jeg finder komplet absurd.
Ham den anden går så over i den stik modsatte grøft, og det er jeg ikke sønderligt imponeret over heller.
Sandheden skal vist findes et stykke imellem dem... :D
#6 onetimer
Der er ingen der holder på dig...
Så tag lige flet næbbet.
Men sådan er det jo, når der ikke bliver postet penge i det - man kan ikke lave kvalitet for free! Interessen (pga. pengene) dør ligeså stille...
Der er mange incitamenter for godt stabilt arbejde, og penge er bestemt ikke det effektiveste af dem.
min teori mht. open/free-source ingen gider sgu code gratis i det lange løb!! Og i øjeblikket drives folk af interessen og M$-had!
Bullshit!.
Modellen bag opensource og fri software, er langt ældre end Microsoft, så må du selv regne resten ud... :P
De vigtigste fri software / opensource udviklere er SKIDE LIGEGLADE med microsoft. (Mildest talt.)
Der eksistere LANGT mere had, i deres egne rækker end i fri software og opensource kredse.
Men brugte alle open-source, vil jeg vædde på det ikke værede længe før udviklingen gik i stå.
Romerriget kørte også stort set perfekt indtil alt var besejret!!!
Øhh?
"Vi" har det såmænd fint med indbyrdes, at være komplet selvforsynende med software.
Hvorfor folk der ikke tjener penge på det, bruger mange ugentlige timer på at kode, er sikkert en gåde for dig.
Men for sande hackere er det at kode, en udfordring de slet ikke kan leve foruden.
Specielt fordi de finder det sjovt.
Derfor kan de da stadig godt værdsætte at blive belønnet økonomisk, hvilket mange af dem også bliver.
Men det vil ALDRIG kunne opveje udfordrings incitamentet.
#17 Det er rigtigt, det burde ikke være som han foreslår, derimod synes jeg man burde kunne lave lige præcis de licens/EULA aftaler man havde lyst til istedetfor som idag hvor det ikke er det hele i aftalerne der må gælde, så kunne man købe det produkt der havde en akseptabel aftale og så ville det jo også være selvregulerende så der ikke kom nogle fuldstændigt sindsyge aftaler. Så kunne det jo også være en del af aftalen at der var en eller anden form for garanti eller mulighed for erstatning.
Man skal lokke en bruger til at klikke på et link på en 404-side. Så vidt jeg kan se kan siden ikke selv bestemme hvor filen placeres.
Så dels kræver det en handling fra brugeren (på en 404-side hvor de fleste trykker Back eller Close) og dels kræver det at man på anden vis får eksekveret filen. Lidt langt ude.
Men en fejl er det og den skal self. rettes ASAP.
Lidt mere interessant er det, at IE-fejlen (som IMHO ikke er kritisk) er den eneste der er blæst op. Andre fejl fra samme dag:
* UnArj fejl (2 stk) til RedHat og Gentoo => mulighed for afvikling af vilkårlig kode
* Linux Kernel svaghed (alle versioner < 2.4.28) => priv. eskalering
* Flere fejl i Operas Java håndtering => priv. eskalering
* Sun's JRT VM hullet => priv. eskalering
* Fejl i Windows Logon screensaver => mulighed for priv. eskalering
Efter min mening er samtlige ovnst. værre; men åbenbart med mindre nyhedsværdi.
/Claus
Så dels kræver det en handling fra brugeren (på en 404-side hvor de fleste trykker Back eller Close) og dels kræver det at man på anden vis får eksekveret filen. Lidt langt ude.
Men en fejl er det og den skal self. rettes ASAP.
Lidt mere interessant er det, at IE-fejlen (som IMHO ikke er kritisk) er den eneste der er blæst op. Andre fejl fra samme dag:
* UnArj fejl (2 stk) til RedHat og Gentoo => mulighed for afvikling af vilkårlig kode
* Linux Kernel svaghed (alle versioner < 2.4.28) => priv. eskalering
* Flere fejl i Operas Java håndtering => priv. eskalering
* Sun's JRT VM hullet => priv. eskalering
* Fejl i Windows Logon screensaver => mulighed for priv. eskalering
Efter min mening er samtlige ovnst. værre; men åbenbart med mindre nyhedsværdi.
/Claus
#23+24: Som hovedregel er remote exploits også værre end local exploits.
For alle de 3 ovennævnte fejl gælder iøvrigt at man ikke kan forvente de er på alle systemer. F.eks. har jeg ikke unarj på min gentoo installation. Den svaghed er rettet via gentoo patches og indtil der kommer en ny version af SUN JDK bruger jeg Blackdown JDK.
For alle de 3 ovennævnte fejl gælder iøvrigt at man ikke kan forvente de er på alle systemer. F.eks. har jeg ikke unarj på min gentoo installation. Den svaghed er rettet via gentoo patches og indtil der kommer en ny version af SUN JDK bruger jeg Blackdown JDK.
#26: Hvis jeg nu brugte IE via WINE så ja, men det gør jeg heller ikke - det vil dog ikke betyde. Det er nu også ligegyldigt - pointen er at remote exploits er betydeligt værre end local exploits (hvor netop priv. esc. ofte forekommer).
Når det så er sagt så er det jo ikke fordi passwords på hverken windows eller linux er særligt godt beskyttet.
På linux har du nogle muligheder for at kryptere - men stadig langt fra optimalt.
Dette er også argumentet for Siemens og IBM's sikkerhedskoncepter, idet du via dem kan lave betydeligt bedre beskyttelse af en lokal maskine.
Til sidst nogle af de ting der gør sikkerhedshuller i windows software mere 'hyped' er:
Det har større impact idet at alle windows brugere har softwaren - hvis man nu havde mulighed for at afinstallere IE eller WMP eller hvad det nu måtte være, ville impacten være langt mindre.
Problemerne gælder både desktops og servere.
MS har en langt dårligere track record hvad angår remote exploits.
Og dermed ikke sagt at dette ikke findes på linux - sendmail er f.eks. et perfekt eksempel på usikker software - sendmail er dog en optional component og kan udskiftes med en del andre mta'er det er straks værre med kernelen, som dog ofte har custom patches.
Når det så er sagt så er det jo ikke fordi passwords på hverken windows eller linux er særligt godt beskyttet.
På linux har du nogle muligheder for at kryptere - men stadig langt fra optimalt.
Dette er også argumentet for Siemens og IBM's sikkerhedskoncepter, idet du via dem kan lave betydeligt bedre beskyttelse af en lokal maskine.
Til sidst nogle af de ting der gør sikkerhedshuller i windows software mere 'hyped' er:
Det har større impact idet at alle windows brugere har softwaren - hvis man nu havde mulighed for at afinstallere IE eller WMP eller hvad det nu måtte være, ville impacten være langt mindre.
Problemerne gælder både desktops og servere.
MS har en langt dårligere track record hvad angår remote exploits.
Og dermed ikke sagt at dette ikke findes på linux - sendmail er f.eks. et perfekt eksempel på usikker software - sendmail er dog en optional component og kan udskiftes med en del andre mta'er det er straks værre med kernelen, som dog ofte har custom patches.
Nu kategoriseres Sun JRT, Opera Java og UnARJ alle som remote exploits. Men derudover er vi stort set enige. En remote exploit der ikke kræver aktiv handling fra bruger er giftig og fortjener opmærksomhed på ikke-security sites (som Newz); men det er der ikke tale om her.
IMHO er lige denne fejl ikke vigtig i sig selv og er over-hyped.
IMHO er lige denne fejl ikke vigtig i sig selv og er over-hyped.
#28: Har ikke checket det nærmere - var mest det koncept at MS fejl bare blev overhyped fordi det var MS jeg opponerede imod (det er dog korrekt der til en vis grad er mere opmærksomhed omkring dem, idet der har været langt flere remote exploits på windows end der har været på kde eller gnome projektet).
Så i sidste ende er vi nok enige :)
Så i sidste ende er vi nok enige :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund