mboost-dp1
unknown
Okay pænt skræmmende.. :O
En tanke:
Så installeres der et lille program, der venter til computeren er inaktiv. Og så begynder det ellers med at søge efter antispywareprogrammer, den skal slå fra, før den downloader og installerer sig selv på maskinen.. :\
..
Det burde klart være ulovligt. Hvis det ikke allerede er det. :S
En tanke:
Så installeres der et lille program, der venter til computeren er inaktiv. Og så begynder det ellers med at søge efter antispywareprogrammer, den skal slå fra, før den downloader og installerer sig selv på maskinen.. :\
..
Det burde klart være ulovligt. Hvis det ikke allerede er det. :S
Ifølge artiklen er alt man skal gøre, at afregistrere den problematiske dll med kommandoen:
REGSVR32 /U SHIMGVW.DLL
Jeg forstår ikke hvorfor det ikke var med i nyheden. For hvor mange læser lige kilderne?
REGSVR32 /U SHIMGVW.DLL
Jeg forstår ikke hvorfor det ikke var med i nyheden. For hvor mange læser lige kilderne?
Microsoft har bare at lukke det hul i en fart, det er jo helt til grin at de tøver med sådan noget.
Microsoft:
"brugerene må være opmærksomme når de surfer og ikke gå ind på sider som de ikke kender"
Men så kan man jo ikke bruge internettet og kun sidde i sin egen lille bobble.
Microsoft:
"brugerene må være opmærksomme når de surfer og ikke gå ind på sider som de ikke kender"
Men så kan man jo ikke bruge internettet og kun sidde i sin egen lille bobble.
Jeg kan særlig godt lide kommentaren i Jyllandsposten hvor de forklarer at det ikke engang hjælper at omdøbe filen til .tif eller .jpg ;-)
Google Desktop kan vel næppe ses som synderen i dette her. Enhver virus scanner der kører aktivt i baggrunden er vel også nok til at virusen aktiverer sig selv, da denne jo læser filen ved f.eks. download.
#2 Hvis du lægger mærke til hvilken blog entry nyheden faktisk peger på, vil du se at ideen med at afregistrere den uheldige dll først er kommet frem efter indsendelse af nyheden. Men ja, det ville da bestemt være relevant at have med i nyheden nu.
#3 Jeg er helt enig i at de bør lukke det "hurtigst muligt", men når man laver software der bruges af mange mange millioner brugere, er man også nødt til at være seriøse omkring sine tests. Ellers sker det nemt at de får sendt noget halvt ud der i værste fald bare gør tingene endnu værre.
#7 Personligt bruger jeg det. Søger ikke lokalt på maskinen hver dag, men da jeg ikke anser mig for værende konspirationsteoretiker er jeg ikke bange for at have den kørende. Synes den er rar når man faktisk skal bruge den.
#9 Det er korrekt at Google Desktop næppe kan klandres for hvad der sker. Men det er forkert at antivirus programmer ligeledes vil aktivere en evt. virus i en MDF-fil, med mindre antivirusprogrammer (eller andre programmer der læser filen) specifikt spørger Windows til meta oplysninger om filen. Da Google Desktop netop indekserer filerne er det logisk at Google indekserer evt. kommentarer, copyrights eller lignende i filen, hvorimod antivirus næppe vil have fordel af at undersøge om forfatteren af en given mdf-fil hedder "A. V. Irusauthor".
#3 Jeg er helt enig i at de bør lukke det "hurtigst muligt", men når man laver software der bruges af mange mange millioner brugere, er man også nødt til at være seriøse omkring sine tests. Ellers sker det nemt at de får sendt noget halvt ud der i værste fald bare gør tingene endnu værre.
#7 Personligt bruger jeg det. Søger ikke lokalt på maskinen hver dag, men da jeg ikke anser mig for værende konspirationsteoretiker er jeg ikke bange for at have den kørende. Synes den er rar når man faktisk skal bruge den.
#9 Det er korrekt at Google Desktop næppe kan klandres for hvad der sker. Men det er forkert at antivirus programmer ligeledes vil aktivere en evt. virus i en MDF-fil, med mindre antivirusprogrammer (eller andre programmer der læser filen) specifikt spørger Windows til meta oplysninger om filen. Da Google Desktop netop indekserer filerne er det logisk at Google indekserer evt. kommentarer, copyrights eller lignende i filen, hvorimod antivirus næppe vil have fordel af at undersøge om forfatteren af en given mdf-fil hedder "A. V. Irusauthor".
Jeg har lidt svært ved at forstå hvordan det her exploit kan opnå administrator rettigheder ved at få metafile parseren til at crashe.
Hvis brugeren der benytter maskinen ikke i forvejen er administrator, så skulle det ikke være muligt for ham pludselig at få administrator rettigheder, lige meget hvor meget forkert kode han kører.
Hvis brugeren der benytter maskinen ikke i forvejen er administrator, så skulle det ikke være muligt for ham pludselig at få administrator rettigheder, lige meget hvor meget forkert kode han kører.
Synes ikke man bør straffe "forfatteren" hårdt. Som det er nu, så kommer der en masse Windows-sikkerhedshuller dryssende og Microsoft lapper dem løbende.
Hvad nu, hvis man i stedet for at anvende hullerne til at tjene lidt penge på spyware, gemte dem, og så senere brugte dem til terrorisme/afpresning? Det ville kunne skade samfundet. Derfor: Jo flere huller, der udnyttes til spyware jo bedre!
(Alt imens triller min linux-box videre...)
Hvad nu, hvis man i stedet for at anvende hullerne til at tjene lidt penge på spyware, gemte dem, og så senere brugte dem til terrorisme/afpresning? Det ville kunne skade samfundet. Derfor: Jo flere huller, der udnyttes til spyware jo bedre!
(Alt imens triller min linux-box videre...)
Off-Topic: Hvis linux var verdens mest udbredte operativ system, ville vi bare se at disse huller blev fundet på linux systemer. Så drop jeres "linux er bare super" gøgl.
#14: Enig atrox. Alle OS'er er sku hullede. Med så mange linier kode der skal til i dagens OS'er, så er det da nærmest en selvfølge at der også er bugs - og jo mere udbredt et OS, jo flere fejl findes der fordi det er hensigtsmæssigt for personer med lyssky intentioner at ramme de udbredte OS'er.
#14, 15
Mjah, men linux er saa heldigvis bygget op saaledes at en bruger ikke bare paa magisk vis faar root rettigheder :)
Det kan selvfoelgelig lade sig goere, men naeppe fordi en parser fejler..
Saa i dette tilfaelde "rockz" linux altsaa ret saa meget :P
Og generelt er linux bygget op omkring en "sikker" struktur, saaledes at det vil vaere klart nemmere at adskille bruger og root, saa man i det mindste kan soerge for at brugeren ikke har adgang til visse filer / mapper :)
Windows er bygget op anderledes, ikke noedvendigvis daarligere, men mindre sikkert :)
Mjah, men linux er saa heldigvis bygget op saaledes at en bruger ikke bare paa magisk vis faar root rettigheder :)
Det kan selvfoelgelig lade sig goere, men naeppe fordi en parser fejler..
Saa i dette tilfaelde "rockz" linux altsaa ret saa meget :P
Og generelt er linux bygget op omkring en "sikker" struktur, saaledes at det vil vaere klart nemmere at adskille bruger og root, saa man i det mindste kan soerge for at brugeren ikke har adgang til visse filer / mapper :)
Windows er bygget op anderledes, ikke noedvendigvis daarligere, men mindre sikkert :)
#14 - Det er jo ikke udbredelsen der afgør hvor mange huller der bliver fundet i systemet, men hvor mange programmører der arbejder og læser kildekoden. Og der bliver fundet masser af huller i open-source software, men de er så tilgengæld lukket ofte af de samme personer som finder hullet, fremfor at man nu skal vente længe på at Microsoft får gjort sig færdig.
#12 - Det er vel en slags bufferoverflow, som sagtens kan give administratorrettigheder i grumme tilfælde.
#12 - Det er vel en slags bufferoverflow, som sagtens kan give administratorrettigheder i grumme tilfælde.
#3 #12
Det kan være at MS er ved at lukke denne fejl men at det tager tid og denne tid kan virke som en tøven...
Jeg tror ikke personligt at MS tøver mere med at lukke sikkerheds fejl som de bliver gjort opmærksom på efter at de i 95 blev gjort opmærksom på et stort sikkerhed hul fra Hacker gruppen Cult of the dead cow som var i Backoffice produktet kan ikke huske kæle navned viraen fik men det var tæmmelig skramme lige så skrammende som denne fejl.
En årsag til at jeg tror det tager et stykke tid er at de er ved at finde ud af hvad fejlen er og hvordan man retter den bedst uden at lave endnu en fejl.
Det ville jo være surt at de retter denne men samtidig lave et nyt problem, så jeg personligt bruger den med at unregistere den DLL fil og så venter jeg på at fejlen bliver rettet.
Af andre ting at sige om dette med MS og open source denne diskution handler om en fejl i MS og ikke om MS Vs. Open source, og ja der er lige så mange fejl i Open source som i MS hvorvidt de bliver rettet hurtiger eller langsommer er fuldstændig irrelevant hoved sagen er at de bliver rettet.
N.B
Godt nyt år og lad ny være med at drikke formeget :)
Det kan være at MS er ved at lukke denne fejl men at det tager tid og denne tid kan virke som en tøven...
Jeg tror ikke personligt at MS tøver mere med at lukke sikkerheds fejl som de bliver gjort opmærksom på efter at de i 95 blev gjort opmærksom på et stort sikkerhed hul fra Hacker gruppen Cult of the dead cow som var i Backoffice produktet kan ikke huske kæle navned viraen fik men det var tæmmelig skramme lige så skrammende som denne fejl.
En årsag til at jeg tror det tager et stykke tid er at de er ved at finde ud af hvad fejlen er og hvordan man retter den bedst uden at lave endnu en fejl.
Det ville jo være surt at de retter denne men samtidig lave et nyt problem, så jeg personligt bruger den med at unregistere den DLL fil og så venter jeg på at fejlen bliver rettet.
Af andre ting at sige om dette med MS og open source denne diskution handler om en fejl i MS og ikke om MS Vs. Open source, og ja der er lige så mange fejl i Open source som i MS hvorvidt de bliver rettet hurtiger eller langsommer er fuldstændig irrelevant hoved sagen er at de bliver rettet.
N.B
Godt nyt år og lad ny være med at drikke formeget :)
#19 Tre argumenter for at linux er bedre til at undgå buffer overflows:
1) Linux var først til at understøtte No eXecute (NX bit) teknologi, som findes i Athlon 64 og også nyere Intel CPU'er. Memoryspace opdeles i eksekverbar dele og data-dele. Beskyttelsen med buffer overflow er at CPU'en ikke kan eksekvere kommandoer fra data-memory.
2) Opdelingen mellem root og user-privilegier er meget mere stringent anvendt på linux. De fleste windows-brugere, jeg kender kører deres system til hverdag som systemadministrator. for at kunne installere nyt software og hardware uden bøvl.
Det er ikke tilfældet for nær så mange linux-brugere.
3) Mange flere øjne ser linux-koden, og kan være med til at spotte hullerne inden de udnyttes. En undersøgelse, hvor MySQL blev sammenlignet med store kommercielle, closed source databaser understøtter argumentet at open source software (med stor bruger-involvering) har færre huller. Det kan kun forventes at dette også gælder for linux.
1) Linux var først til at understøtte No eXecute (NX bit) teknologi, som findes i Athlon 64 og også nyere Intel CPU'er. Memoryspace opdeles i eksekverbar dele og data-dele. Beskyttelsen med buffer overflow er at CPU'en ikke kan eksekvere kommandoer fra data-memory.
2) Opdelingen mellem root og user-privilegier er meget mere stringent anvendt på linux. De fleste windows-brugere, jeg kender kører deres system til hverdag som systemadministrator. for at kunne installere nyt software og hardware uden bøvl.
Det er ikke tilfældet for nær så mange linux-brugere.
3) Mange flere øjne ser linux-koden, og kan være med til at spotte hullerne inden de udnyttes. En undersøgelse, hvor MySQL blev sammenlignet med store kommercielle, closed source databaser understøtter argumentet at open source software (med stor bruger-involvering) har færre huller. Det kan kun forventes at dette også gælder for linux.
#20
Dette argument mener jeg ikke holder. Selvom det er muligt for flere mennesker at se koden og dermed rette fejl, er det ikke ensbetydende med at de gør det. Dette understøttes af en anden undersøgelse foretaget af Symantec, som viser at Firefox i en periode havde flere alvorlige sikkerhedshuller end Internet Explorerer.
Dit argument nr. 2 er jeg dog enige i er et problem (nr. 1 ved jeg ikke noget om).
En undersøgelse, hvor MySQL blev sammenlignet med store kommercielle, closed source databaser understøtter argumentet at open source software (med stor bruger-involvering) har færre huller.
Dette argument mener jeg ikke holder. Selvom det er muligt for flere mennesker at se koden og dermed rette fejl, er det ikke ensbetydende med at de gør det. Dette understøttes af en anden undersøgelse foretaget af Symantec, som viser at Firefox i en periode havde flere alvorlige sikkerhedshuller end Internet Explorerer.
Dit argument nr. 2 er jeg dog enige i er et problem (nr. 1 ved jeg ikke noget om).
#18:
du er sindsyg, det er hverken irellevent hvor hurtigt de bliver rettet, eller hvor mange fejl der er.. og nej, generelt har opensource ikke så mange fejl..
#21:
ja, alvorlige i forhold til mozilla's og m$'s egen skala, og før at microbloat anser en fejl for critical skal den jo nærmest være så stor så der kommer en hammer ud af skærmen, forvandler en til en zombie og går hen og slår en m$ ansat ned..
generelt om sikkert software:
http://irccrew.org/~cras/security/securesoftware.h...
du er sindsyg, det er hverken irellevent hvor hurtigt de bliver rettet, eller hvor mange fejl der er.. og nej, generelt har opensource ikke så mange fejl..
#21:
ja, alvorlige i forhold til mozilla's og m$'s egen skala, og før at microbloat anser en fejl for critical skal den jo nærmest være så stor så der kommer en hammer ud af skærmen, forvandler en til en zombie og går hen og slår en m$ ansat ned..
generelt om sikkert software:
http://irccrew.org/~cras/security/securesoftware.h...
Bare jeg havde vidst det noget før. Fik en ond malicious ting igår der fuckede hele mit system op og åbede op for worms osv. Har nu geninstalleret, da jeg intet kunne gøre mod det.
Og ja efter at have åbnet en wmv.
Og ja efter at have åbnet en wmv.
#22
The Security in a operating system is only as good as the administrators abilities to administrate it, or the the programmers skill to created it. Or the hackers abilities to Hack it..
Det er noget forbandet sluder du kommer med.
Jeg har programmeret i 20 år started da jeg var 8, og jeg kender til en del fejl der både eksistere i Windows og Linux.
Desuden er det ikke operativ system der bestemmer hvor sikkert eller hvor usikkert det er, det er dine evner til at opgradere administre og velige holde det som bestemmer dette.
Der er 65535 Mulige huller at komme ind i din maskine på og dette gælder både linux, unix, og windows.
Lige så snart din maskine er på internettet er den i fare for angreb uanset hvilket operativ system du bruger.
Det er rigtigt at Linux / Unix har en anden struktur som give en stor del Nubes som godt vil blive kaldt hacker problemer, men dem der vil ind kommer det uanset om du vil have det eller ej.
Dem som du høre der blev fanget af FBI, PET, CIA, politiet og andre ordens magter med flere eller mindre end 3 bogstaver i deres betegnelse, er ikke hacker for dem høre du aldrig om, men de er der.
Det er dem som studere et system til ukendelighed og før eller senere kommer de ind om du så har 30 Firewalls eller 27 virus dræber.
En virus dræber er kun effektiv når den begynder at tænke som en hacker og en firewall er kun sikker når den kun tillader forbindelser indfra at komme ud og tilbage igen og ikke den anden vej.
Til samme udgøre disse to stykker værktøj en mur mod uønsket software på din maskine.
Men de er kun så gode så længe at du bliver ved med at opdatere dit system og studere dit ejet system lige så effektivt som hackerne, ved at gøre dette kan du måske komme på nogle fejl i operativ system og der efter forbygge et evt angreb.
Hvis du stoler blindt på masse media paranoia om at Windows er usikkert og Linux er sikkert er du lige så naiv som alle andre som tænker det samme.
The Security in a operating system is only as good as the administrators abilities to administrate it, or the the programmers skill to created it. Or the hackers abilities to Hack it..
Det er noget forbandet sluder du kommer med.
Jeg har programmeret i 20 år started da jeg var 8, og jeg kender til en del fejl der både eksistere i Windows og Linux.
Desuden er det ikke operativ system der bestemmer hvor sikkert eller hvor usikkert det er, det er dine evner til at opgradere administre og velige holde det som bestemmer dette.
Der er 65535 Mulige huller at komme ind i din maskine på og dette gælder både linux, unix, og windows.
Lige så snart din maskine er på internettet er den i fare for angreb uanset hvilket operativ system du bruger.
Det er rigtigt at Linux / Unix har en anden struktur som give en stor del Nubes som godt vil blive kaldt hacker problemer, men dem der vil ind kommer det uanset om du vil have det eller ej.
Dem som du høre der blev fanget af FBI, PET, CIA, politiet og andre ordens magter med flere eller mindre end 3 bogstaver i deres betegnelse, er ikke hacker for dem høre du aldrig om, men de er der.
Det er dem som studere et system til ukendelighed og før eller senere kommer de ind om du så har 30 Firewalls eller 27 virus dræber.
En virus dræber er kun effektiv når den begynder at tænke som en hacker og en firewall er kun sikker når den kun tillader forbindelser indfra at komme ud og tilbage igen og ikke den anden vej.
Til samme udgøre disse to stykker værktøj en mur mod uønsket software på din maskine.
Men de er kun så gode så længe at du bliver ved med at opdatere dit system og studere dit ejet system lige så effektivt som hackerne, ved at gøre dette kan du måske komme på nogle fejl i operativ system og der efter forbygge et evt angreb.
Hvis du stoler blindt på masse media paranoia om at Windows er usikkert og Linux er sikkert er du lige så naiv som alle andre som tænker det samme.
Der er ikke tale om et root exploit, direkte er der kun mulighed for at afvilke kode med samme rettigheder som den proces der tilgår den inficerede wmf. At de rettigheder ofte er en administrators, er så noget helt andet.
Forresten virker det ret åndsvagt nogen overhovedet gider snakke sikkerhed for databaser, Oracle udsendte for nyligt en kvartalsopdatering der lukkede 88 sikkerhedshuller. 33 var i deres database software, altså mere end et hul hver tredje dag, og så er det da vist en joke at snakke sikkerhed. Det er selvfølgelig ikke så slemt i praksis da det ikke er en service med direkte tilslutning til nettet, men at snakke om sikkerhed - det giver da ingen mening.
Forresten virker det ret åndsvagt nogen overhovedet gider snakke sikkerhed for databaser, Oracle udsendte for nyligt en kvartalsopdatering der lukkede 88 sikkerhedshuller. 33 var i deres database software, altså mere end et hul hver tredje dag, og så er det da vist en joke at snakke sikkerhed. Det er selvfølgelig ikke så slemt i praksis da det ikke er en service med direkte tilslutning til nettet, men at snakke om sikkerhed - det giver da ingen mening.
#16
Måske du mener Windows har en dårlig model, hvilket jeg ikke kan betvivle da mit kendskab til hvordan det indre af Windows er bygget op er ringe, men når det gælder FS så har Windows en klar fordel med de ACL man kan lave. bruger / gruppe konceptet som vi kender det fra *nix har en masse besværligheder, hvis man skal styre ting på en fine-grained måde, på dette punkt har du en masse fordele i Windows.
#20
Lidt off-topic, men Linux var ikke først med NX bit understøttelse, OpenBSD var ude med det over et år før linux (http://en.wikipedia.org/wiki/NX_bit). Hvis du vil have et OS som er på forkant med sikkerheden så bør du overveje at skifte til OpenBSD.
Måske du mener Windows har en dårlig model, hvilket jeg ikke kan betvivle da mit kendskab til hvordan det indre af Windows er bygget op er ringe, men når det gælder FS så har Windows en klar fordel med de ACL man kan lave. bruger / gruppe konceptet som vi kender det fra *nix har en masse besværligheder, hvis man skal styre ting på en fine-grained måde, på dette punkt har du en masse fordele i Windows.
#20
Lidt off-topic, men Linux var ikke først med NX bit understøttelse, OpenBSD var ude med det over et år før linux (http://en.wikipedia.org/wiki/NX_bit). Hvis du vil have et OS som er på forkant med sikkerheden så bør du overveje at skifte til OpenBSD.
OFF-topic / JOKE
# 2
#5
kommandoen "format c: /u" løser problemet lige så godt og har samme bivirkning at man ikke kan se wmf filer mere - hverken i word eller ......
****seriøst****
Generelt er man jo lidt på Herrens mark når det gælder disse huller. MS's softwaren er i dag så kompleks at de nok ikke engang selv har overblikket over hele koden mere - (hvilket jo skaber disse huller)
Så længe forbrugere ikke reagerer sundt på dette problem (dvs sætter krav om at lortet virker ellers afleverer man det tilbage) så kommer der ingen ændringer. Denne tråd er egentlig fuldstændig i tråd med alle de "hul-debatter" der har været siden XP's fremkomst (og man kan nok regne 98 og ME med).
Men hvis man siger A og nægter B må man også acceptere de "problemer" der følger med.
Tænk hvis MS havde licenser/struktur der gjorde at firmaer selv kunne lave patches der virker i en overgangsfase og så MS kunne frigive en officiel patch senere - DET VILLE VÆRE GENIALT
Hmmm - det jeg siger er nok at hvis man har valgt A så er man på den! Indtil A får fingeren ud!!!!!
#11
Var det ikke sådan de burde have tænkt FØR de udgav deres styresystem??? - Det er jo ikke første gang at deres kære kunder får problemer - kan i huske den med at man havde 30 sekunder til at slukke computeren?????? :-)
PS - dette kan umuligt være en flaimebait da dette jo er problemets kerne
# 2
Ifølge artiklen er alt man skal gøre, at afregistrere den problematiske dll med kommandoen:
REGSVR32 /U SHIMGVW.DLL
Jeg forstår ikke hvorfor det ikke var med i nyheden. For hvor mange læser lige kilderne?
#5
#2 Når dette er gjort har du et system der ikke kan tilgå WMF filer overhovedet. Hverken i word eller explorer. Så den løser ikke problemet.
kommandoen "format c: /u" løser problemet lige så godt og har samme bivirkning at man ikke kan se wmf filer mere - hverken i word eller ......
****seriøst****
Generelt er man jo lidt på Herrens mark når det gælder disse huller. MS's softwaren er i dag så kompleks at de nok ikke engang selv har overblikket over hele koden mere - (hvilket jo skaber disse huller)
Så længe forbrugere ikke reagerer sundt på dette problem (dvs sætter krav om at lortet virker ellers afleverer man det tilbage) så kommer der ingen ændringer. Denne tråd er egentlig fuldstændig i tråd med alle de "hul-debatter" der har været siden XP's fremkomst (og man kan nok regne 98 og ME med).
Men hvis man siger A og nægter B må man også acceptere de "problemer" der følger med.
Tænk hvis MS havde licenser/struktur der gjorde at firmaer selv kunne lave patches der virker i en overgangsfase og så MS kunne frigive en officiel patch senere - DET VILLE VÆRE GENIALT
Hmmm - det jeg siger er nok at hvis man har valgt A så er man på den! Indtil A får fingeren ud!!!!!
#11
#3 Jeg er helt enig i at de bør lukke det "hurtigst muligt", men når man laver software der bruges af mange mange millioner brugere, er man også nødt til at være seriøse omkring sine tests. Ellers sker det nemt at de får sendt noget halvt ud der i værste fald bare gør tingene endnu værre.
Var det ikke sådan de burde have tænkt FØR de udgav deres styresystem??? - Det er jo ikke første gang at deres kære kunder får problemer - kan i huske den med at man havde 30 sekunder til at slukke computeren?????? :-)
PS - dette kan umuligt være en flaimebait da dette jo er problemets kerne
#27 Linux har ACL, selvom jeg ikke har brugt det selv endnu. Kan kun forestille mig at i det mindste de fleste andre Unix'er har det.
Hvor mange der kommer med det som standard skal jeg ikke kunne sige, men jeg så at KDE skulle virke fint med ACL nu. Så det burde vel ikke være svære at gå til end på Windows.
Hvor mange der kommer med det som standard skal jeg ikke kunne sige, men jeg så at KDE skulle virke fint med ACL nu. Så det burde vel ikke være svære at gå til end på Windows.
#28
Det er så din mening...
Det gør de jo netop også - derfor de gerne bliver temmelig forsinket. Men når du skal teste et gigantisk OS kan du altså ikke fange alting i tests. FAKTUM! (I bedste Dolph stil.)
Ligesom mange andre, har du totalt misforstået de 30 sekunder. De 30 sekunder har faktisk intet med den udnyttede sårbarhed at gøre, men er derimod en sikkerhedsforanstaltning by design. Det der sker er at Windows opdager at et service er gået ned (I det givne tilfælde svjh. RPC-servicen) og Windows forsøger derfor at recover. Out of the box er Windows sat op til at genstarte efter 30 sekunder hvis ligepræcis denne service fejler, og det er derfor hvad der sker. Hvis man ønsker en anden handling kan man sætte det op istedet for de services man måtte ønske.
Men ja - hvis du mener at kunne argumentere for noget som helst ved at pointere, at "det ikke er første gang" at der opdages en bug, så fred være med det.
la la la Ævl og bævl
Det er så din mening...
Var det ikke sådan de burde have tænkt FØR de udgav deres styresystem???
Det gør de jo netop også - derfor de gerne bliver temmelig forsinket. Men når du skal teste et gigantisk OS kan du altså ikke fange alting i tests. FAKTUM! (I bedste Dolph stil.)
Det er jo ikke første gang at deres kære kunder får problemer - kan i huske den med at man havde 30 sekunder til at slukke computeren?????? :-)
Ligesom mange andre, har du totalt misforstået de 30 sekunder. De 30 sekunder har faktisk intet med den udnyttede sårbarhed at gøre, men er derimod en sikkerhedsforanstaltning by design. Det der sker er at Windows opdager at et service er gået ned (I det givne tilfælde svjh. RPC-servicen) og Windows forsøger derfor at recover. Out of the box er Windows sat op til at genstarte efter 30 sekunder hvis ligepræcis denne service fejler, og det er derfor hvad der sker. Hvis man ønsker en anden handling kan man sætte det op istedet for de services man måtte ønske.
Men ja - hvis du mener at kunne argumentere for noget som helst ved at pointere, at "det ikke er første gang" at der opdages en bug, så fred være med det.
Det eneste som forarger mig voldsomt er, at rettelse sikkerhedsbrister af den art her, IKKE UNDER NOGEN OMSTÆNDIGHEDER MÅ UDSÆTTES!!!
Det kan ikke undgås at der opstår fejl. Det som siger mest, er hvordan du håndtere dem. De SKAL rettet ASAP, og uden nogen tøven overhovedet!.
Syntes så det er ret sigende, at grunden til at "Linux" overhovedet blive blandet ind i tråden her, var fordi en eller anden padde kom med den sædvanlige "bland nu ikke linux ind i det her" svada.
No shit sherlock!... Du gjorde det lige selv!... :P
Det kan ikke undgås at der opstår fejl. Det som siger mest, er hvordan du håndtere dem. De SKAL rettet ASAP, og uden nogen tøven overhovedet!.
Syntes så det er ret sigende, at grunden til at "Linux" overhovedet blive blandet ind i tråden her, var fordi en eller anden padde kom med den sædvanlige "bland nu ikke linux ind i det her" svada.
No shit sherlock!... Du gjorde det lige selv!... :P
#25:
det du siger passer ikke helt..
"det er dine evner til at opgradere administre og velige holde det som bestemmer dette."
lad os antage, man er perfekt til at administrere, opdatere og vedligeholde sit system, man har sat det til den mest paranoide konfiguration, man har kørt ALLE security updates, og det bliver gjort så hurtigt de overhovedet kommer ud..
er man så lige så sikker i et OS hvor der er 100 af de opdateringer om måneden end et hvor der er 10? det tager jo tid for vendoren at komme med updates, specielt m$.
og nej, jeg stoler ikke på media paranoia, jeg stoler på facts, og sig mig ikke det er en fact at windows er lige så sikker som linux, fordi så fortjener dine ord ikke den plads på newz.dk serveren som det fylder.
#27:
linux har også ACL. og det er endda posix ACL, ikke det winblows bastardized noget... linux har også support for default ACLs, har windows? (note: måske windows har, ved ikke.)
#29:
helt korrekt, kde har en ACL manager, men selvom man bruger terminalen, er ACL's i linux meget nemt at bruge...
det du siger passer ikke helt..
"det er dine evner til at opgradere administre og velige holde det som bestemmer dette."
lad os antage, man er perfekt til at administrere, opdatere og vedligeholde sit system, man har sat det til den mest paranoide konfiguration, man har kørt ALLE security updates, og det bliver gjort så hurtigt de overhovedet kommer ud..
er man så lige så sikker i et OS hvor der er 100 af de opdateringer om måneden end et hvor der er 10? det tager jo tid for vendoren at komme med updates, specielt m$.
og nej, jeg stoler ikke på media paranoia, jeg stoler på facts, og sig mig ikke det er en fact at windows er lige så sikker som linux, fordi så fortjener dine ord ikke den plads på newz.dk serveren som det fylder.
#27:
linux har også ACL. og det er endda posix ACL, ikke det winblows bastardized noget... linux har også support for default ACLs, har windows? (note: måske windows har, ved ikke.)
#29:
helt korrekt, kde har en ACL manager, men selvom man bruger terminalen, er ACL's i linux meget nemt at bruge...
#31
Ja du har ret i det med den pade som involdveret linux i denne saga, Og ja det med at rette fejlende ASAP er jeg også helt med på som sagt kan det kun gå for (langsomt).
Med det sagt syndes jeg at det er helt ok at de tager sig en tænke pause og ser på problem barnet for at sikker sig at de ikke haster sig igennem og laver flere fejl end de retter.
Hvad dog kan gøre mig lidt harm på de kære MS folk er deres måde at priotere fejl på og hvad der kommer hvornår og i hvilken rækkefølge.
Men jeg går ud fra at det er det gode gamle sagn om at når du er for tæt på skoven kan du ikke se skoven for bare trærer det er lidt ærgeligt, men det sker oftes.
Der er kun enkelte ting man kan gøre for at rette op på overbliks problemet og det er at have en 3'ede part med inde i billeded som tester og melder tilbage.
Mit forslag til hvordan sådanne en 3'ede part kunne se ud ville være en flok hacker som blev betalt godt for at bryde sikkerheden i Windows OS eller linux, når de så brudte ind i sikkerheden skulle de udfylde en form der giver et syn på hvor næmt det var at bryde ind og de steder hvor det er ret næmt er så de sikkerheds huller der skal lukkes først.
For jo nemmer det er at bryde ind i et hul jo mere tid har de såkaldte "hacker " AKA Nubs en changse for at finde ud af hvad og hvordan man så udnytter dette hul bedst.
Ja du har ret i det med den pade som involdveret linux i denne saga, Og ja det med at rette fejlende ASAP er jeg også helt med på som sagt kan det kun gå for (langsomt).
Med det sagt syndes jeg at det er helt ok at de tager sig en tænke pause og ser på problem barnet for at sikker sig at de ikke haster sig igennem og laver flere fejl end de retter.
Hvad dog kan gøre mig lidt harm på de kære MS folk er deres måde at priotere fejl på og hvad der kommer hvornår og i hvilken rækkefølge.
Men jeg går ud fra at det er det gode gamle sagn om at når du er for tæt på skoven kan du ikke se skoven for bare trærer det er lidt ærgeligt, men det sker oftes.
Der er kun enkelte ting man kan gøre for at rette op på overbliks problemet og det er at have en 3'ede part med inde i billeded som tester og melder tilbage.
Mit forslag til hvordan sådanne en 3'ede part kunne se ud ville være en flok hacker som blev betalt godt for at bryde sikkerheden i Windows OS eller linux, når de så brudte ind i sikkerheden skulle de udfylde en form der giver et syn på hvor næmt det var at bryde ind og de steder hvor det er ret næmt er så de sikkerheds huller der skal lukkes først.
For jo nemmer det er at bryde ind i et hul jo mere tid har de såkaldte "hacker " AKA Nubs en changse for at finde ud af hvad og hvordan man så udnytter dette hul bedst.
#32
Der var ingen der sage paranoia, men at administrere et netværk eller en maskine er mere end blot at køre sikkerhed pakker ned fra MS eller Linux Server.
Det drejer sig også om at tage et blik på ens netværk F.eks. Kan jeg nævne et netværk i et hospital som hvor administratoren havde kørt alle sikkerhed pakker han kunne køre men han glemte at checke sit netværk ordenligt hvor efter at jeg fandt en Win98 i DMZ zonen som kendte til alle IP'erne og som havde et password register gemt i Registerings filen.
Dette måtte sige sig at være i det ekstrem men sådanne nogle fejl forkommer, og så kan alverdens sikkerheds pakker hjælpe nok så meget.
Af andre ting kan jeg nævne en Win200 Active Directory server som blev brugt til at køre ASP site hvor at en eller anden tåbe havde installert en FTP server også som ikke var afgrænset til kun et bibliotek men havde Root access og hvor passwordet ikke var blevet ændret sinden runderkonge var knægt, og ja han promoneret også stoldt af at han var administrator og han havde kørt alle sikkerheds pakker fra MS men han kunne stadig ikke finde ud af hvorfor han måtte installerer sin Backup hver 14 dag.
Så Jo det passer, at det er dine evner til at administrer samtidig med de sikkerheds pakker som du henter, og ja har du programmerings engenskaber samtidig kan du sikkert komme på smarte løsninger til evt problmer i netværket som du ville kunne løse, måske ved at smiden nogle at de mest banale ting ned i et program som f.eks et program der ændre alle passwords i netværket hver 14 dag og der efter udskriver en liste som du må klippe kister i og sende til dine medarbejder.
Eller en Søge maskine som griber fat i log filerne og sortere dem efter fejl og hvad er de største problem og udskriver en liste til dig selv så du kan rette disse fejl ASAP.
F.eks har jeg selv lavet den søge maskine til min Linux Maskine som søger log filerne igennem efter forskellige ting der efter laver den en data fil over de problemer der måtte være og denne data fil kan jeg så via et andet program gennem se og finde de meste graverlige fejl.
Et godt værktøj til at kommer ud over det problem at ingen gider og side og læse 65000 liner log igennem og der efter starte på næste log af samme størrelse.
Der var ingen der sage paranoia, men at administrere et netværk eller en maskine er mere end blot at køre sikkerhed pakker ned fra MS eller Linux Server.
Det drejer sig også om at tage et blik på ens netværk F.eks. Kan jeg nævne et netværk i et hospital som hvor administratoren havde kørt alle sikkerhed pakker han kunne køre men han glemte at checke sit netværk ordenligt hvor efter at jeg fandt en Win98 i DMZ zonen som kendte til alle IP'erne og som havde et password register gemt i Registerings filen.
Dette måtte sige sig at være i det ekstrem men sådanne nogle fejl forkommer, og så kan alverdens sikkerheds pakker hjælpe nok så meget.
Af andre ting kan jeg nævne en Win200 Active Directory server som blev brugt til at køre ASP site hvor at en eller anden tåbe havde installert en FTP server også som ikke var afgrænset til kun et bibliotek men havde Root access og hvor passwordet ikke var blevet ændret sinden runderkonge var knægt, og ja han promoneret også stoldt af at han var administrator og han havde kørt alle sikkerheds pakker fra MS men han kunne stadig ikke finde ud af hvorfor han måtte installerer sin Backup hver 14 dag.
Så Jo det passer, at det er dine evner til at administrer samtidig med de sikkerheds pakker som du henter, og ja har du programmerings engenskaber samtidig kan du sikkert komme på smarte løsninger til evt problmer i netværket som du ville kunne løse, måske ved at smiden nogle at de mest banale ting ned i et program som f.eks et program der ændre alle passwords i netværket hver 14 dag og der efter udskriver en liste som du må klippe kister i og sende til dine medarbejder.
Eller en Søge maskine som griber fat i log filerne og sortere dem efter fejl og hvad er de største problem og udskriver en liste til dig selv så du kan rette disse fejl ASAP.
F.eks har jeg selv lavet den søge maskine til min Linux Maskine som søger log filerne igennem efter forskellige ting der efter laver den en data fil over de problemer der måtte være og denne data fil kan jeg så via et andet program gennem se og finde de meste graverlige fejl.
Et godt værktøj til at kommer ud over det problem at ingen gider og side og læse 65000 liner log igennem og der efter starte på næste log af samme størrelse.
# 30
Nu mener jeg ikke deres nye vista. Jeg mener måske generelt at MS er lidt for hurtig med at ophøje deres OS-systemer til "salgsbare" styresystemer. Det har været den samme historie hver gang (win95+) den nye windows bliver solgt og så vælter det ind med problemer - efter 1-2 år kører systemet næsten som det skal, men så kommer der sjovt nok en ny windows man opgraderer til (betaler for) (man kunne jo også her argumentere for at win 98/98SE/Me reelt bare var meget omfattende patches som MS tog sig kraftigt betalt for) og så starter cirkusset en gang til. Men nu har de jo indført deres nye "lejekontrakts"-licens - så bliver udgiften jo spredet over flere år - dvs MS's selvopfunde TCO definition bliver mere favorabel for dem selv.
Og så kan det godt være at det var et sikkerhedsdesign at XP lukkede ned efter 30 sekunder - men derfor var det stadig en virus/orm whatever der lagde XP'world i gruset et par dage (var i nyhederne både i udland og DK) og spøgte meget lang tid på de private maskiner.
Hvis det er en Peugeut der går ild i skal fejlen udbedres på værksted og på firmaets regning, men hvois det er windows skal vi alle klappe hælene i - reinstallere/ghoste/reetablere på egen bekostning. Det ville svare til at man skal køre hen til værkstedet i sin peugot (fordi de skal jo lige tjekke om den er ægte),
får udleveret dimsen som samlesæt dog med en teknisk manual til, en disklaimer om at alle fejl der måtte komme pga personligt fumleri (eller utilsigtede bivirkninger pga den nye dels design) er ens eget personlige ansvar - ligegyldigt om det er producenten der har knoldet i det
kører hjem og sætter dimsen i - og beder til at lortet ikke futter af.
Det er til grin at man køber et produkt, man ikke kan stole 100% på. Jeg var sysadmin på en skole dengang (dvs uuddannet, 100 timer pr år til 100 maskiner) så jeg stod i lortet til halsen. og hvis du mindes tiden var der MEGET mere end en virus/orm whatever der boltrede sig i MS-verdenen. og det er faktisk først inden for det seneste år at XP har været relativ foolproof'ed.
MS burde efter min mening ansætte 25 monstercrackere der skulle bruge 3 mdr (efter at MS mener at OS'et er parat) på at knække systemet. Generelt kan man jo sige at hvis MS's egne test ikke finder disse "knuder" må man jo sige at deres test ikke er gode nok.
myself
Den udtalelse står jeg altså ved - jeg fatter símpelthen ikke den u-kritisisme der eksisterer overfor MS's produkter.
BTW
Jeg mener at have læst et sted at Novel glæder sig voldsomt til at Vista kommer. De regner med at mange vil migrere deres systemer til novels nyerhvervede styresystem (SuSe), bruge deres mailprogram og Exchange-dims. Når man alligevel skal til at skifte er der jo nok nogle der lige pludselig kigger på regningen. Men "det er svært at spå - især om fremtiden" (Storm P klonet citat)
Det gør de jo netop også - derfor de gerne bliver temmelig forsinket. Men når du skal teste et gigantisk OS kan du altså ikke fange alting i tests. FAKTUM! (I bedste Dolph stil.)
Nu mener jeg ikke deres nye vista. Jeg mener måske generelt at MS er lidt for hurtig med at ophøje deres OS-systemer til "salgsbare" styresystemer. Det har været den samme historie hver gang (win95+) den nye windows bliver solgt og så vælter det ind med problemer - efter 1-2 år kører systemet næsten som det skal, men så kommer der sjovt nok en ny windows man opgraderer til (betaler for) (man kunne jo også her argumentere for at win 98/98SE/Me reelt bare var meget omfattende patches som MS tog sig kraftigt betalt for) og så starter cirkusset en gang til. Men nu har de jo indført deres nye "lejekontrakts"-licens - så bliver udgiften jo spredet over flere år - dvs MS's selvopfunde TCO definition bliver mere favorabel for dem selv.
Og så kan det godt være at det var et sikkerhedsdesign at XP lukkede ned efter 30 sekunder - men derfor var det stadig en virus/orm whatever der lagde XP'world i gruset et par dage (var i nyhederne både i udland og DK) og spøgte meget lang tid på de private maskiner.
Hvis det er en Peugeut der går ild i skal fejlen udbedres på værksted og på firmaets regning, men hvois det er windows skal vi alle klappe hælene i - reinstallere/ghoste/reetablere på egen bekostning. Det ville svare til at man skal køre hen til værkstedet i sin peugot (fordi de skal jo lige tjekke om den er ægte),
får udleveret dimsen som samlesæt dog med en teknisk manual til, en disklaimer om at alle fejl der måtte komme pga personligt fumleri (eller utilsigtede bivirkninger pga den nye dels design) er ens eget personlige ansvar - ligegyldigt om det er producenten der har knoldet i det
kører hjem og sætter dimsen i - og beder til at lortet ikke futter af.
Det er til grin at man køber et produkt, man ikke kan stole 100% på. Jeg var sysadmin på en skole dengang (dvs uuddannet, 100 timer pr år til 100 maskiner) så jeg stod i lortet til halsen. og hvis du mindes tiden var der MEGET mere end en virus/orm whatever der boltrede sig i MS-verdenen. og det er faktisk først inden for det seneste år at XP har været relativ foolproof'ed.
MS burde efter min mening ansætte 25 monstercrackere der skulle bruge 3 mdr (efter at MS mener at OS'et er parat) på at knække systemet. Generelt kan man jo sige at hvis MS's egne test ikke finder disse "knuder" må man jo sige at deres test ikke er gode nok.
myself
Så længe forbrugere ikke reagerer sundt på dette problem (dvs sætter krav om at lortet virker ellers afleverer man det tilbage) så kommer der ingen ændringer.
Den udtalelse står jeg altså ved - jeg fatter símpelthen ikke den u-kritisisme der eksisterer overfor MS's produkter.
BTW
Jeg mener at have læst et sted at Novel glæder sig voldsomt til at Vista kommer. De regner med at mange vil migrere deres systemer til novels nyerhvervede styresystem (SuSe), bruge deres mailprogram og Exchange-dims. Når man alligevel skal til at skifte er der jo nok nogle der lige pludselig kigger på regningen. Men "det er svært at spå - især om fremtiden" (Storm P klonet citat)
#36:
du har fuldstændig ret, jeg fatter heller ikke hvorfor folk ikke bliver sure over alle de problemer der er med windows, specielt med alle de andre, og bedre systemer der findes..
for også at benytte et eksempel med en bil, hvis der var så mange fejl på en bil som på windows, ville modellen slet ikke blive fabrikeret, for de ville finde fejlene, men lad os nu bare sige at den kom på handelen, så skulle der kun gå en dags tid før den blev hevet væk igen..
folk vil fandme ikke give penge for lort.. undtagen lige når det kommer fra microsoft!
det er sgu forbrugernes egen skyld
du har fuldstændig ret, jeg fatter heller ikke hvorfor folk ikke bliver sure over alle de problemer der er med windows, specielt med alle de andre, og bedre systemer der findes..
for også at benytte et eksempel med en bil, hvis der var så mange fejl på en bil som på windows, ville modellen slet ikke blive fabrikeret, for de ville finde fejlene, men lad os nu bare sige at den kom på handelen, så skulle der kun gå en dags tid før den blev hevet væk igen..
folk vil fandme ikke give penge for lort.. undtagen lige når det kommer fra microsoft!
det er sgu forbrugernes egen skyld
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund