mboost-dp1
SPI
Ja det er jo trist. Jeg kan fortælle at fejlen har været der i 20 måneder, og det var det såkaldte "seed" der blev fjernet. Der blev taget noget information fra en uninitialized buffer til at seede med, men det så lidt "tilfældigt/forkert" ud for ham der analyserede koden med Valgrind, og så fjernede han seedet.
Mere specifikt så fortæller historien faktisk intet om, om Valgrind specifikt udpegede det sted hvor fejlen opstod. Valgrind fandt noget et lignende sted, og da udvikleren havde rettet i det kode fandt han så dette her lignende kode i random-number generatoren, og så generaliserede udvikleren Valgrinds tidligere output, og fjernede altså også den kode der tog data fra den uninitialized buffer.
Mere specifikt så fortæller historien faktisk intet om, om Valgrind specifikt udpegede det sted hvor fejlen opstod. Valgrind fandt noget et lignende sted, og da udvikleren havde rettet i det kode fandt han så dette her lignende kode i random-number generatoren, og så generaliserede udvikleren Valgrinds tidligere output, og fjernede altså også den kode der tog data fra den uninitialized buffer.
<MS vs Linux>
bla bla bla bla bla
(nu har jeg gjort det for jer alle sammen, så lad være, please?)
</MS vs Linux>
spørgsmålet er så om det er fordi koden ikke var dokumenteret således at en person uden kryptografisk viden kunne forstå det, eller om personen i dette tilfælde ikke valgte og læse lidt om hvad det var han redigerede i...
og man kan vel også sige at man ikke skal stole på et program der finder fejl, hvis man ikke selv er skarp nok til at vide hvad de fejl går ud på..
bla bla bla bla bla
(nu har jeg gjort det for jer alle sammen, så lad være, please?)
</MS vs Linux>
spørgsmålet er så om det er fordi koden ikke var dokumenteret således at en person uden kryptografisk viden kunne forstå det, eller om personen i dette tilfælde ikke valgte og læse lidt om hvad det var han redigerede i...
og man kan vel også sige at man ikke skal stole på et program der finder fejl, hvis man ikke selv er skarp nok til at vide hvad de fejl går ud på..
Man taler tit om alle fordelene ved Open Source software, og der er da også mange fordele. Men når man snakker Open Source er det, som det er sket i dette tilfælde, desværre ikke muligt at undgå at totale tumper piller ved koden.
Alt er altså ikke rosenrødt når man snakker Open Source. Kan være alle de fan boys, der himler op om hvor godt Open Source er hver gang der er en MS nyhed kan falde lidt til jorden igen :)
Alt er altså ikke rosenrødt når man snakker Open Source. Kan være alle de fan boys, der himler op om hvor godt Open Source er hver gang der er en MS nyhed kan falde lidt til jorden igen :)
Nu er det meget sjældent at "totale tumper" overhovedet får lov til at publisere deres kode til en udviklergruppe, og efter deres patch er blevet godkendt gennemgår den derefter endnu en række kvalitetstjek og tests før man overhovedet tænker på at implementere den i release.
Selvfølgelig er intet perfekt, og dette tilfælde er da også meget uheldigt.
Selvfølgelig er intet perfekt, og dette tilfælde er da også meget uheldigt.
Som en skrev på V2 forum. Hvorfor har denne "tumpe" ikke eskaleret sin patch til OpenSSL? Der ville de nok have fortalt ham at han skulle holde nallerne væk, hvorefter denne fejl ikke ville være opstået!
Som jeg ser det er dette en fejl der er opstået fordi der i processen er begået flere på hinanden følgende fejl!
PS: Håber dælme han har givet kvajebajere!!!
Som jeg ser det er dette en fejl der er opstået fordi der i processen er begået flere på hinanden følgende fejl!
PS: Håber dælme han har givet kvajebajere!!!
Hehe, totale tumper var måske et lidt stærkt ord at bruge, men hvis man som udvikler i første omgang har fået adgang til at submitte noget kode må man vel forvente at personen har rimeligt styr på det.
Hvis, som #1 skriver, at det er fordi han har syntes at den stump kode han har fjernet har set "tilfældig" ud. Ja så egner han sig nok ikke til at arbejde med kryptografi og udvikling af algoritmer der genererer tilfældige tegnkombinationer.
Nu kender jeg ikke den pågældene udvikler så det er selvfølgelig ikke personligt ment. Men mange herinde punker tit closed-source udviklere for at producere dårlig kode fordi andre ikke har mulighed for at gennemse denne. Men det har vi nu beviset for, i den grad, også kan ske for open-source udviklere. For det her er jo ikke bare en lille fejl, den er jo katastrofal i visse sammenhænge. Måske det kunne sætte tingene lidt i perspektiv??
Hvis, som #1 skriver, at det er fordi han har syntes at den stump kode han har fjernet har set "tilfældig" ud. Ja så egner han sig nok ikke til at arbejde med kryptografi og udvikling af algoritmer der genererer tilfældige tegnkombinationer.
Nu kender jeg ikke den pågældene udvikler så det er selvfølgelig ikke personligt ment. Men mange herinde punker tit closed-source udviklere for at producere dårlig kode fordi andre ikke har mulighed for at gennemse denne. Men det har vi nu beviset for, i den grad, også kan ske for open-source udviklere. For det her er jo ikke bare en lille fejl, den er jo katastrofal i visse sammenhænge. Måske det kunne sætte tingene lidt i perspektiv??
ikke har været så sikker, som det har været tiltænkt.
øhhhh - er det bare mig eller er overskriften ikke en anelse misvisende?
burden den ikke have været
"krypterings algoritme i Debian svagere end man regnede med"
Det er jo ikke selve styresystem der er kompromiteret, men nogle programmer der køres på debian systemt
Det er også interessant at der er gået 20 måneder før fejlen bliver opdaget, så den er nok ikke blevet udnyttet så meget igen.
Som en sagde engang angående fejl - de fleste beror på fejl 40 - og sådan vil det altid være.
Men mange herinde punker tit closed-source udviklere for at producere dårlig kode fordi andre ikke har mulighed for at gennemse denne. Men det har vi nu beviset for, i den grad, også kan ske for open-source udviklere.
Jeg har aldrig hørt nogle sige at opensource udviklere er bedre end closed source udviklere, men at opensource programmer er bedre end closed source er vi vist nogle stykker der mener.
Hvis der var begået en Mega brøler af denne karat i et MS produkt ville ingen højst sandsynligt have hørt om det. der ville være kommet en sikkerhedspatch fra MS uden beskrivelse af hvad der var sket eller hvorfor.
Debian folkene melder rent flag, finder fejlkilden, lærer af deres fejl. MS er tavse!
Jeg tror på åben software - og det gælder også angående fejl 40 og andre uheldige ting. Hver eneste virus, orm og trojaner er et udtryk for at MS har MANGE huller og manglen på samme til linux taler vist sit eget MEGET klare sprog.
Overskriften på denne artikel er misvisende, der er ikke en sikkerhedshul i Debian, men en mangelfuld kryptering i visse programmer der kører på Debian.
6 skrev:Som en skrev på V2 forum. Hvorfor har denne "tumpe" ikke eskaleret sin patch til OpenSSL? Der ville de nok have fortalt ham at han skulle holde nallerne væk, hvorefter denne fejl ikke ville være opstået!
Som jeg ser det er dette en fejl der er opstået fordi der i processen er begået flere på hinanden følgende fejl!
PS: Håber dælme han har givet kvajebajere!!!
Vedkommende havde vist spurgt på openssl-dev@, men det er åbenbart ikke der man skal kontakte udvilkerne...
#6 Hvis du så læste bare lige nogle få indlæg længere ned, så ser du dette svar på netop det du skriver:
http://marc.info/?l=openssl-dev&m=114651085826...
http://marc.info/?l=openssl-dev&m=114651085826...
Kurt Roeckx schrieb:(Skrevet af en af OpenSSL udviklerne)
> What I currently see as best option is to actually comment out
> those 2 lines of code. But I have no idea what effect this
> really has on the RNG. The only effect I see is that the pool
> might receive less entropy. But on the other hand, I'm not even
> sure how much entropy some unitialised data has.
>
Not much. If it helps with debugging, I'm in favor of removing them.
(However the last time I checked, valgrind reported thousands of bogus
error messages. Has that situation gotten better?)
#8
ikke for at være negativ eller påstå du tager fejl i noget men så vidt jeg har forstået det er der bl.a. så mange vira, orm, etc. i MS fordi det er det mest udbredte OS, der er flest der bliver ramt af det..
ikke for at være negativ eller påstå du tager fejl i noget men så vidt jeg har forstået det er der bl.a. så mange vira, orm, etc. i MS fordi det er det mest udbredte OS, der er flest der bliver ramt af det..
#13 og den anden er blevet bevist?
Der er da ingen tvivl om at når en person der vil lave en trojan eller anden bagdør, for at opsnappe brugernavn/kodeord til eks. netbanker, så kigger de da helt sikkert efter hvilket system flest bruger og måske især efter hvilket system hr. og fru. danmark bruger.
Og ikke efter det system som færrest bruger og som oftest benyttes af nogen der i forvejen ved lidt om hvordan man vælger et sikkert kodeord og ved at man ikke bare i flæng åbner en vedhæftning i en e-mail.
Det er helt håbløst at diskutere et systems sikkerhed på baggrund af open vs. closed source!
Tag i stedet og vurder systemet efter udbredelsen og brugermålgruppen.
Personligt har jeg ikke haft problemer med mine Microsoft produkter nogensinde. Og jeg benytter mig trods alt af deres styresystemer og uviklingsværktøjer 10-15 timer om dagen...
Der er da ingen tvivl om at når en person der vil lave en trojan eller anden bagdør, for at opsnappe brugernavn/kodeord til eks. netbanker, så kigger de da helt sikkert efter hvilket system flest bruger og måske især efter hvilket system hr. og fru. danmark bruger.
Og ikke efter det system som færrest bruger og som oftest benyttes af nogen der i forvejen ved lidt om hvordan man vælger et sikkert kodeord og ved at man ikke bare i flæng åbner en vedhæftning i en e-mail.
Det er helt håbløst at diskutere et systems sikkerhed på baggrund af open vs. closed source!
Tag i stedet og vurder systemet efter udbredelsen og brugermålgruppen.
Personligt har jeg ikke haft problemer med mine Microsoft produkter nogensinde. Og jeg benytter mig trods alt af deres styresystemer og uviklingsværktøjer 10-15 timer om dagen...
#11 Det lyder som om sikkerheden bare blev reduceret til debugging-formål (altså med vilje). Jeg vil gætte på at udvikleren vidste hvad han gjorde. Men at hans ændringer blev propageret er ærgeligt.
#0 Så hvad gør man som bruger/admin for at rette op på fejlen?
Er det nok at opdatere og lave nye nøgler med ssh-keygen?
PS: Og hvilke pakker er det? (min apt-get opdatere nu openssh-client og openssl)
#0 Så hvad gør man som bruger/admin for at rette op på fejlen?
Er det nok at opdatere og lave nye nøgler med ssh-keygen?
PS: Og hvilke pakker er det? (min apt-get opdatere nu openssh-client og openssl)
15 skrev:En sjov lille illustration af omstændighederne
http://img528.imageshack.us/img528/5404/tcv80ipepk...
Kilde: http://xkcd.com/221/
#12
Ja det er den MS folk tuder en ørene fulde med når man kommer med påstanden
Virus, orme og andet godt er exploits af dårlig kode. Da MS sidder med mange programmører og har MANGE penge til at få det til at lykkes, burde de også have testerer der kan tjekke tingene af.
Men desværre tror jeg deres kode er så dårlig og ustruktureret at der ikke er nogen der kan løse dette problem. Det viser sig ihvertfald hele tiden at der bliver fundet nye exploits i MS software
Prøv at søge på virus og linux - det er ikke fordi folk ikke har forsøgt på at lave dem og få dem til at virke. Jeg tror endda at MS også forsøger at Knække koden - (der er oihvertfald en held del anti MS folk der nyder at knække windows både ud fra ondskab og andre ud fra proof of concept.
Virus kommer af dårlig programmering - Og MS har et LANGT større ansvar så længe de kræver penge for lortet. (læg mærke til at MS frasiger sig ethvert ansvar for fejl i softwaren i deres EULA)
ikke for at være negativ eller påstå du tager fejl i noget men så vidt jeg har forstået det er der bl.a. så mange vira, orm, etc. i MS fordi det er det mest udbredte OS, der er flest der bliver ramt af det..
Ja det er den MS folk tuder en ørene fulde med når man kommer med påstanden
Virus, orme og andet godt er exploits af dårlig kode. Da MS sidder med mange programmører og har MANGE penge til at få det til at lykkes, burde de også have testerer der kan tjekke tingene af.
Men desværre tror jeg deres kode er så dårlig og ustruktureret at der ikke er nogen der kan løse dette problem. Det viser sig ihvertfald hele tiden at der bliver fundet nye exploits i MS software
Prøv at søge på virus og linux - det er ikke fordi folk ikke har forsøgt på at lave dem og få dem til at virke. Jeg tror endda at MS også forsøger at Knække koden - (der er oihvertfald en held del anti MS folk der nyder at knække windows både ud fra ondskab og andre ud fra proof of concept.
Virus kommer af dårlig programmering - Og MS har et LANGT større ansvar så længe de kræver penge for lortet. (læg mærke til at MS frasiger sig ethvert ansvar for fejl i softwaren i deres EULA)
Det virker lidt som en storm i et glas vand. Langt de fleste distroer vælger forhåbentlig at gå direkte til toppen af 'fødekæden' for at få de nyeste versioner når de skal have banket noget nyt sammen.
Vi er da enige så langt som i at udbredelse ikke er en undskyldning for den relativ store mængde 'bøllesoftware' der findes til windows.
Jeg mener dog ikke at virus og andet skidt kommer af dårlig programering. Det kan også komme af dårlig konfiguration og andre uheldigheder.
Og skal vi følge din logik er han kodetrolden her helt uden ansvar for den fejl han har begået fordi han ikke tager penge for det?
21 skrev:
Ja det er den MS folk tuder en ørene fulde med når man kommer med påstanden
Virus, orme og andet godt er exploits af dårlig kode. Da MS sidder med mange programmører og har MANGE penge til at få det til at lykkes, burde de også have testerer der kan tjekke tingene af.
Men desværre tror jeg deres kode er så dårlig og ustruktureret at der ikke er nogen der kan løse dette problem. Det viser sig ihvertfald hele tiden at der bliver fundet nye exploits i MS software
Prøv at søge på virus og linux - det er ikke fordi folk ikke har forsøgt på at lave dem og få dem til at virke. Jeg tror endda at MS også forsøger at Knække koden - (der er oihvertfald en held del anti MS folk der nyder at knække windows både ud fra ondskab og andre ud fra proof of concept.
Virus kommer af dårlig programmering - Og MS har et LANGT større ansvar så længe de kræver penge for lortet. (læg mærke til at MS frasiger sig ethvert ansvar for fejl i softwaren i deres EULA)
Vi er da enige så langt som i at udbredelse ikke er en undskyldning for den relativ store mængde 'bøllesoftware' der findes til windows.
Jeg mener dog ikke at virus og andet skidt kommer af dårlig programering. Det kan også komme af dårlig konfiguration og andre uheldigheder.
Og skal vi følge din logik er han kodetrolden her helt uden ansvar for den fejl han har begået fordi han ikke tager penge for det?
Det kan også komme af dårlig konfiguration og andre uheldigheder.
jeg synes det er godt du skriver ordet kan. Ja selvfølgelig kan det være tilfældet, men det meste er sjuske programmering og mangel på test fra MS's side.
Og skal vi følge din logik er han kodetrolden her helt uden ansvar for den fejl han har begået fordi han ikke tager penge for det?
Det jeg forsøger på at sige er at HVIS man tager penge for det og blæser sikkerheden så stort op som MS gør det, så har de et langt STØRRE ansvar.
OpenSource siger : betal ingenting og brug det på eget ansvar
MS siger : betal en masse - OG BRUG DET PÅ EGET ANSVAR.
MS har et LANGT større ansvar, så når de hyler oop på deres "get the facts" http://www.microsoft.com/windowsserver/facts/defau... side, så "glemmer" de meget belejligt en del facts der ikke taler i deres farvør.
Lidt spøjst #3 bliver ratet flamebait af så mange, manden har jo fuldstændigt ret. Okay tumper er måske lidt groft sagt.
Men denne sag understreger at open source IKKE garanterer koden er uendeligt meget bedre end Closed Source.
I rigtigt mange closed source firmaer har man code review's inden kode må blive checket ind som færdig. Dette kan sikre at sådanne ting her ville være blevet undgået.
Selvfølgelig bliver der nok også lavet codereview i open source verdenen, men i denne sag har det øjensynligt ikke virket.
Kommentarer i koden, kunne måske også havde undgået det, så der specifikt stod hvorfor noget kode så ud som det gjorde, og hvad årsagen til dette var.
Men denne sag understreger at open source IKKE garanterer koden er uendeligt meget bedre end Closed Source.
I rigtigt mange closed source firmaer har man code review's inden kode må blive checket ind som færdig. Dette kan sikre at sådanne ting her ville være blevet undgået.
Selvfølgelig bliver der nok også lavet codereview i open source verdenen, men i denne sag har det øjensynligt ikke virket.
Kommentarer i koden, kunne måske også havde undgået det, så der specifikt stod hvorfor noget kode så ud som det gjorde, og hvad årsagen til dette var.
Hvis der var begået en Mega brøler af denne karat i et MS produkt ville ingen højst sandsynligt have hørt om det. der ville være kommet en sikkerhedspatch fra MS uden beskrivelse af hvad der var sket eller hvorfor.
Debian folkene melder rent flag, finder fejlkilden, lærer af deres fejl. MS er tavse!
Okay, hvad er så bedst ?
Det er det da helt klart at være tavse.
Ved at det nu er nævnt i nærmest alle IT medier over hele jorden, er det direkte en opfordring til at udnytte dette sikkerhedshul.
Enhver hacker, får her foræret præcis viden om hvad hullet er, og hvad de specifikt skal lede efter af versioner for at udnytte dette.
Så er det bare at kode lidt, og vupti en scanner der traverserer internettet efter servere, der ikke er blevet patchet.
Hvorimod hvis det bare et 'Yet another patch', så skal de først bruge tid på at debugge patchen, finde ud af hvad der er lavet om på, hvorfor, hvordan det kunne udnyttes osv.
Hvad du åbenbart glemmer er at åbenthed er et tveægget sværd. Dermed ikke sagt at man opnår sikkerhed igennem lukkethed, men man opnår det heller ikke igennem åbenthed, hvilket denne bug med al tydelighed understreger.
Det er nu engang nemmere at finde og udnytte huller, når du ligefrem for serveret sourcekoden, det vil enhver kompetent software udvikler kunne fortælle dig. Det er dælme nemmere t finde og rette eller udnytte fejl, når man har koden, end hvis man selv skal reverse enginere den først osv.
#26 Til gengæld er der closed source firmaer der "slagger" på sikkerheden, NEMLIG fordi at det kun er dem der har kilden. Om Microsoft også gør det, kan vi jo ikke vide, med mindre vi arbejder der selv.
Der har OpenSource-udviklerne lidt mere pres på skuldrene, fordi de skal lave "pæn" og god kode, nemlig fordi den skal ud til offentligheden.
Der har OpenSource-udviklerne lidt mere pres på skuldrene, fordi de skal lave "pæn" og god kode, nemlig fordi den skal ud til offentligheden.
#27
Det er muligt man synes de har det, men denne sag viser jo tydeligt presset enten er ikke eksisterende, eller ikke er hårdt nok.
Jeg tror ikke du skal satse på at closed source firmaer 'slagger' på sikkerheden bare fordi de ikke vil forære deres kode væk til andre.
Men du er da velkommen til at gennemgå .net frameworket en del af det er open source. :-)
Der har OpenSource-udviklerne lidt mere pres på skuldrene, fordi de skal lave "pæn" og god kode, nemlig fordi den skal ud til offentligheden.
Det er muligt man synes de har det, men denne sag viser jo tydeligt presset enten er ikke eksisterende, eller ikke er hårdt nok.
Jeg tror ikke du skal satse på at closed source firmaer 'slagger' på sikkerheden bare fordi de ikke vil forære deres kode væk til andre.
Men du er da velkommen til at gennemgå .net frameworket en del af det er open source. :-)
#23
Ja det var en fejl fra min side der burde jo have stået at de ikke kun kommer fra fejl i koden men også fra fejlkonfigurationer. jeg savner dog noget du kan underbygge din påstand med?
Faktisk er den her fejl jo et resultat af netop det du har påstået MS praktiserer meget. Sjusk altså.
Og linux folkets getthe "facts' kampagner er bedre? Altså dem hvor vi gang på gang får tudet ørene fulde om at linux på det nærmeste er sikkerhedens silverbullet?
Jeg synes nu at det er et tegn på dobbelt morale at mene at MS burde have fundet den her fejl men det er helt i orden at den smutter igennem hos Debian på trods af at de slår sig op som værende ret sikre.
#26
At tro at folk med 'onde' hensigter ikke kender til de her ting selvom de ikke bliver meldt ud via den internationale IT presse er på grænsen til det naive. Det giver endvidere folk der har brugt det her stykke kode viden om at det nok er smart at tage sine forholdsregler.
jeg synes det er godt du skriver ordet kan. Ja selvfølgelig kan det være tilfældet, men det meste er sjuske programmering og mangel på test fra MS's side.
Ja det var en fejl fra min side der burde jo have stået at de ikke kun kommer fra fejl i koden men også fra fejlkonfigurationer. jeg savner dog noget du kan underbygge din påstand med?
Faktisk er den her fejl jo et resultat af netop det du har påstået MS praktiserer meget. Sjusk altså.
Det jeg forsøger på at sige er at HVIS man tager penge for det og blæser sikkerheden så stort op som MS gør det, så har de et langt STØRRE ansvar.
OpenSource siger : betal ingenting og brug det på eget ansvar
MS siger : betal en masse - OG BRUG DET PÅ EGET ANSVAR.
MS har et LANGT større ansvar, så når de hyler oop på deres "get the facts" www.microsoft.com side, så "glemmer" de meget belejligt en del facts der ikke taler i deres farvør.
Og linux folkets getthe "facts' kampagner er bedre? Altså dem hvor vi gang på gang får tudet ørene fulde om at linux på det nærmeste er sikkerhedens silverbullet?
Jeg synes nu at det er et tegn på dobbelt morale at mene at MS burde have fundet den her fejl men det er helt i orden at den smutter igennem hos Debian på trods af at de slår sig op som værende ret sikre.
#26
At tro at folk med 'onde' hensigter ikke kender til de her ting selvom de ikke bliver meldt ud via den internationale IT presse er på grænsen til det naive. Det giver endvidere folk der har brugt det her stykke kode viden om at det nok er smart at tage sine forholdsregler.
#29
Det har du sikkert ret i, men der er endnu flere der kender til det, når du udbasunerer det i verdenspressen, samtidigt med du forærer source koden væk.
Hvis noget er naivt at tro, så er det at tro open source kode giver meget bedre sikkerhed, det gør det ikke, det giver flere mennesker mulighed for at finde fejl, og så enten at fortælle de relevante mennesker om dette, eller udnytte det på det groveste. Som sagt et tveægget svær, hvilket er noget specielt de fanatiske open source folk bare ikke magter at forstå.
At tro at noget system er sikkert, er og bliver naivt, ligegyldigt hvad OS af de udbredte der er på !
At tro at folk med 'onde' hensigter ikke kender til de her ting selvom de ikke bliver meldt ud via den internationale IT presse er på grænsen til det naive
Det har du sikkert ret i, men der er endnu flere der kender til det, når du udbasunerer det i verdenspressen, samtidigt med du forærer source koden væk.
Hvis noget er naivt at tro, så er det at tro open source kode giver meget bedre sikkerhed, det gør det ikke, det giver flere mennesker mulighed for at finde fejl, og så enten at fortælle de relevante mennesker om dette, eller udnytte det på det groveste. Som sagt et tveægget svær, hvilket er noget specielt de fanatiske open source folk bare ikke magter at forstå.
At tro at noget system er sikkert, er og bliver naivt, ligegyldigt hvad OS af de udbredte der er på !
#30
At Microsoft ikke har frigivet deres kode har ikke afholdt folk fra at lave skadeligt kode til windows..?
Jeg mindes ikke at have udtalt mig om hvorvidt det ene var mere sikkert end det andet? Jeg tror ikke selv på hele ideen om at alt open source bliver set igennem og derfor er mere sikkert end alt andet.
Det har dog den fordel at man såfremt man har evnerne kan se koden igennem selv. Nu skal man selvfølgelig være ret dygtig for at kunne overskue større projekter. Men det er så nok heller ikke der hvor man behøver brueg sin energi.
Ganske enig. Jeg tager mine forholdsregler på alle mine maskiner uanset hvilket os jeg kører på dem. Meget kan man sige meget om folk der har arbejdet med sikkerhed men de har en tendens til at blive ret paranoide... ;)
Det har du sikkert ret i, men der er endnu flere der kender til det, når du udbasunerer det i verdenspressen, samtidigt med du forærer source koden væk.
At Microsoft ikke har frigivet deres kode har ikke afholdt folk fra at lave skadeligt kode til windows..?
Hvis noget er naivt at tro, så er det at tro open source kode giver meget bedre sikkerhed, det gør det ikke, det giver flere mennesker mulighed for at finde fejl, og så enten at fortælle de relevante mennesker om dette, eller udnytte det på det groveste. Som sagt et tveægget svær, hvilket er noget specielt de fanatiske open source folk bare ikke magter at forstå.
Jeg mindes ikke at have udtalt mig om hvorvidt det ene var mere sikkert end det andet? Jeg tror ikke selv på hele ideen om at alt open source bliver set igennem og derfor er mere sikkert end alt andet.
Det har dog den fordel at man såfremt man har evnerne kan se koden igennem selv. Nu skal man selvfølgelig være ret dygtig for at kunne overskue større projekter. Men det er så nok heller ikke der hvor man behøver brueg sin energi.
At tro at noget system er sikkert, er og bliver naivt, ligegyldigt hvad OS af de udbredte der er på !
Ganske enig. Jeg tager mine forholdsregler på alle mine maskiner uanset hvilket os jeg kører på dem. Meget kan man sige meget om folk der har arbejdet med sikkerhed men de har en tendens til at blive ret paranoide... ;)
#25 Disky
Det er ikke holdningen han bliver flaimebaitet på - det er nok snarer dette citat - Den nedenstående bemærkning i #3 er kun skrevet for at jorde
#26
hold da op hvor er vi uenige. Lidt sjovt - det er jo stort set forskellen på OpenSource og ClosedSource folk.
#28
Vi snakker om en kryptering der KAN brydes hvis man har de rette reskaber. Det er først for alvor kommet frem nu, og jeg har ikke hørt nogle historier om katastrofer pga dette - har ikke engang hørt en historie om en der har mistet information.
Da Sasser slog til for nogle år siden der brød talrige systemer ned.
Debian fejlen skyldes fejl 40 - de vil ALTID forekomme. Virus og exploits - ja det sprøjter bare ud og gør en windowscomputer meget sårbar uden at man installerer diverse ekstra programmer. det er sjovt nok ikke nødvendigt på en linux computer.
#30
Nej nok snarer modsat. Og når man så endelig har fået konstateret at der er noget der bryder sammen, så sender man en fejlrapport til MS og håber til at der er nogen der kan rette problemet.
Bare det faktum at en windowscomputer uden antivirus og diverse andet gejl ikke er sikker burde være nok til at overbevise alle om at MS-kode er fuld af huller (eller kald det uhensigtsmæssigheder).
Ved åben kode kan man lave ændringer "on the fly" med lukket kode er man bare lost.
Det er ikke holdningen han bliver flaimebaitet på - det er nok snarer dette citat - Den nedenstående bemærkning i #3 er kun skrevet for at jorde
Kan være alle de fan boys, der himler op om hvor godt Open Source er hver gang der er en MS nyhed kan falde lidt til jorden igen :)
#26
Det er det da helt klart at være tavse.
hold da op hvor er vi uenige. Lidt sjovt - det er jo stort set forskellen på OpenSource og ClosedSource folk.
#28
Det er muligt man synes de har det, men denne sag viser jo tydeligt presset enten er ikke eksisterende, eller ikke er hårdt nok.
Vi snakker om en kryptering der KAN brydes hvis man har de rette reskaber. Det er først for alvor kommet frem nu, og jeg har ikke hørt nogle historier om katastrofer pga dette - har ikke engang hørt en historie om en der har mistet information.
Da Sasser slog til for nogle år siden der brød talrige systemer ned.
Debian fejlen skyldes fejl 40 - de vil ALTID forekomme. Virus og exploits - ja det sprøjter bare ud og gør en windowscomputer meget sårbar uden at man installerer diverse ekstra programmer. det er sjovt nok ikke nødvendigt på en linux computer.
#30
At Microsoft ikke har frigivet deres kode har ikke afholdt folk fra at lave skadeligt kode til windows..?
Nej nok snarer modsat. Og når man så endelig har fået konstateret at der er noget der bryder sammen, så sender man en fejlrapport til MS og håber til at der er nogen der kan rette problemet.
Bare det faktum at en windowscomputer uden antivirus og diverse andet gejl ikke er sikker burde være nok til at overbevise alle om at MS-kode er fuld af huller (eller kald det uhensigtsmæssigheder).
Ved åben kode kan man lave ændringer "on the fly" med lukket kode er man bare lost.
25 skrev:Lidt spøjst #3 bliver ratet flamebait af så mange, manden har jo fuldstændigt ret. Okay tumper er måske lidt groft sagt.
"Kan være alle de fan boys, der himler op om hvor godt Open Source er hver gang der er en MS nyhed kan falde lidt til jorden igen :)"
Flamebait.
Men denne sag understreger at open source IKKE garanterer koden er uendeligt meget bedre end Closed Source.
Folk der tror der er garantier for kvalitet, har faaet et eller andet skruet forkert sammen i hovedet ;)
I rigtigt mange closed source firmaer har man code review's inden kode må blive checket ind som færdig. Dette kan sikre at sådanne ting her ville være blevet undgået.
Det kan forsoege at sikre det.
Code Reviews er ikke en garanti, det er stadig mennesker der sidder og kigger paa disse reviews, hvilket garanterer at der ikke er nogen garanti :)
Selvfølgelig bliver der nok også lavet codereview i open source verdenen, men i denne sag har det øjensynligt ikke virket.
Det du proever at sige, er altsaa at det er ligemeget om man har aaben eller lukket kode, ifht. OM fejl kan forekomme? Er det ikke logik for alle? :D
Pointen med Open Source er at uendeligt mange flere KAN kigge koden igennem og give deres bud paa fejl, etc.
Var det MS der havde lavet denne fejl, er der _INGEN_ garanti for at det ville vaere fixet eller overhovedet meldt ud til offentligheden.. - Omend det er sandsynligt at de ville rette det ASAP ;)
Kommentarer i koden, kunne måske også havde undgået det, så der specifikt stod hvorfor noget kode så ud som det gjorde, og hvad årsagen til dette var.
Tjoh, men det er saa den store ulempe ved Open Source imo.. Folk har deres egen stil, uanset hvad vi snakker om.
I programmering betyder kode-stilen utroligt meget for andres forstaaelse af programmet..
- Fx er jeg ret daarlig til at lave kommentarer i mit php, men jeg proever at lave alle funktioner og variabler saa simple som muligt..
Min kammerat spammer alle hans php dokumenter med dokumentation og forklaringer.. Saadan er vi forskellige :D
Closed Source vil typisk have en "standard" for den "stil" der skal bruges, hvilket kan vaere baade vaerre og bedre, men typisk vil jeg tro stilen er bedre.. Medmindre man bruger Hungarian Notations.. Men altsaa.. :D
#8
Der er tydeligvis ingen af "ha ha vi har hacket dig" typerne som har brugt det.
Men man kan jo ikke afvise at mere diskrete hacker typer har udnyttet det.
Den er vel helt korrekt.
Det er Debian folk der har lavet fejlen og den vedrører kun Debian of afledte distroer.
Koden oprindelig kommer fra OpenSSL teamet, men de skal vel ikke have skylden for hvad andre gør med deres kode.
Det er også interessant at der er gået 20 måneder før fejlen bliver opdaget, så den er nok ikke blevet udnyttet så meget igen.
Der er tydeligvis ingen af "ha ha vi har hacket dig" typerne som har brugt det.
Men man kan jo ikke afvise at mere diskrete hacker typer har udnyttet det.
Overskriften på denne artikel er misvisende, der er ikke en sikkerhedshul i Debian, men en mangelfuld kryptering i visse programmer der kører på Debian.
Den er vel helt korrekt.
Det er Debian folk der har lavet fejlen og den vedrører kun Debian of afledte distroer.
Koden oprindelig kommer fra OpenSSL teamet, men de skal vel ikke have skylden for hvad andre gør med deres kode.
#21
Næppe.
Der bliver også hele tiden fundet exploits i software fra SUN, IBM, Apache, Mozilla etc..
Fejl er tæt på uundgåelige.
Jeg kan ikke se noget belæg for at tror at den store udbredelse af malware til Windows skyldes mængden af fejl.
Der er set malware som benytter sig af en implementations fejl.
Men langt de fleste infektioner skyldes nogle design valg som man har lavet.
Prøv og overvej hvormange malware infektioner man ville undgå hvis man ikke bare kunne dobbeltklikke på et attachement og så kører det.
Man har prioriteret bruger venlighed over sikkerhed. Det er ikke dårlig programmering, men en forretnings beslutning.
Og set udfra deres bundlinie, så kan man argumentere for at det var en fornuftig beslutning.
De har så faktisk forsøgt at rette op på det de senere år. Men der bliver ofte saboteret. De laver UAC i Vista og brugerne slår det fra. De vil beskytte kernen ved kun at tillade signet code, men så klager antivirus firmaerne over at de ikke kan komme ind i kernen og beskytte kernen mod at andre kan komme ind.
Men desværre tror jeg deres kode er så dårlig og ustruktureret at der ikke er nogen der kan løse dette problem. Det viser sig ihvertfald hele tiden at der bliver fundet nye exploits i MS software
...
Virus kommer af dårlig programmering
Næppe.
Der bliver også hele tiden fundet exploits i software fra SUN, IBM, Apache, Mozilla etc..
Fejl er tæt på uundgåelige.
Jeg kan ikke se noget belæg for at tror at den store udbredelse af malware til Windows skyldes mængden af fejl.
Der er set malware som benytter sig af en implementations fejl.
Men langt de fleste infektioner skyldes nogle design valg som man har lavet.
Prøv og overvej hvormange malware infektioner man ville undgå hvis man ikke bare kunne dobbeltklikke på et attachement og så kører det.
Man har prioriteret bruger venlighed over sikkerhed. Det er ikke dårlig programmering, men en forretnings beslutning.
Og set udfra deres bundlinie, så kan man argumentere for at det var en fornuftig beslutning.
De har så faktisk forsøgt at rette op på det de senere år. Men der bliver ofte saboteret. De laver UAC i Vista og brugerne slår det fra. De vil beskytte kernen ved kun at tillade signet code, men så klager antivirus firmaerne over at de ikke kan komme ind i kernen og beskytte kernen mod at andre kan komme ind.
#26
Security through obscurity anses ellers af de fleste som et yderst dårligt værktøj til at opnå sikkerhed.
Blackhats plejer at vær egode til at finde den slags endda inden de får at vide at der er en fejl.
Det har jeg lidt svært ved at se.
Vi har 1 styk bug som er fundet fordi det var open source.
Det må da være et godt eksempel på at åbenhed virker.
Det er vel sådan set argumentet for open source.
Okay, hvad er så bedst ?
Det er det da helt klart at være tavse.
Ved at det nu er nævnt i nærmest alle IT medier over hele jorden, er det direkte en opfordring til at udnytte dette sikkerhedshul.
Security through obscurity anses ellers af de fleste som et yderst dårligt værktøj til at opnå sikkerhed.
Hvorimod hvis det bare et 'Yet another patch', så skal de først bruge tid på at debugge patchen, finde ud af hvad der er lavet om på, hvorfor, hvordan det kunne udnyttes osv.
Blackhats plejer at vær egode til at finde den slags endda inden de får at vide at der er en fejl.
Hvad du åbenbart glemmer er at åbenthed er et tveægget sværd. Dermed ikke sagt at man opnår sikkerhed igennem lukkethed, men man opnår det heller ikke igennem åbenthed, hvilket denne bug med al tydelighed understreger.
Det har jeg lidt svært ved at se.
Vi har 1 styk bug som er fundet fordi det var open source.
Det må da være et godt eksempel på at åbenhed virker.
Det er nu engang nemmere at finde og udnytte huller, når du ligefrem for serveret sourcekoden, det vil enhver kompetent software udvikler kunne fortælle dig. Det er dælme nemmere t finde og rette eller udnytte fejl, når man har koden, end hvis man selv skal reverse enginere den først osv.
Det er vel sådan set argumentet for open source.
#32
Jeg håber da du har styr på hvilken trafik der farer rundt på dit netværk. Ellers kan vi med næsten 50% sikkerhed sige tak for spam til dig. :)
Jeg synes det er morsomt du bringer sasser op. Det var vel forventet den skulle bringes op af en eller anden... Der er bare den lille hage ved den lille satan at den kom ~6 måneder efter at MS havde udgivet en patch der lukkede det hul. Men det er selvfølgelig ikke en fejl 40 men ren stupiditet når man ikke patcher. Og det gælder iøvrigt alle platforme.
Nu kommer man så faktisk langt med sund fornuft... Dvs ikke at køre med en admin bruger og ikke bare klikke løs på hvad som helst der lover porno. Selvom det er nok så fristende.
Jeg ville nu mene at det her stunt er et eksempel på hvorfor man skal sætte sig ordentlig ind i sagerne inden man bare begynder at rette fejl i andres kode. Også selvom man som den her gut sandsynligvis har en stor mængde godkendt gode bag sig.
#36
Og alligevel benytter vi os alle af det... Ganske skræmmende ikke?
Debian fejlen skyldes fejl 40 - de vil ALTID forekomme. Virus og exploits - ja det sprøjter bare ud og gør en windowscomputer meget sårbar uden at man installerer diverse ekstra programmer. det er sjovt nok ikke nødvendigt på en linux computer.
Jeg håber da du har styr på hvilken trafik der farer rundt på dit netværk. Ellers kan vi med næsten 50% sikkerhed sige tak for spam til dig. :)
Jeg synes det er morsomt du bringer sasser op. Det var vel forventet den skulle bringes op af en eller anden... Der er bare den lille hage ved den lille satan at den kom ~6 måneder efter at MS havde udgivet en patch der lukkede det hul. Men det er selvfølgelig ikke en fejl 40 men ren stupiditet når man ikke patcher. Og det gælder iøvrigt alle platforme.
Bare det faktum at en windowscomputer uden antivirus og diverse andet gejl ikke er sikker burde være nok til at overbevise alle om at MS-kode er fuld af huller (eller kald det uhensigtsmæssigheder).
Nu kommer man så faktisk langt med sund fornuft... Dvs ikke at køre med en admin bruger og ikke bare klikke løs på hvad som helst der lover porno. Selvom det er nok så fristende.
Ved åben kode kan man lave ændringer "on the fly" med lukket kode er man bare lost.
Jeg ville nu mene at det her stunt er et eksempel på hvorfor man skal sætte sig ordentlig ind i sagerne inden man bare begynder at rette fejl i andres kode. Også selvom man som den her gut sandsynligvis har en stor mængde godkendt gode bag sig.
#36
Security through obscurity anses ellers af de fleste som et yderst dårligt værktøj til at opnå sikkerhed.
Og alligevel benytter vi os alle af det... Ganske skræmmende ikke?
Jeg håber da du har styr på hvilken trafik der farer rundt på dit netværk. Ellers kan vi med næsten 50% sikkerhed sige tak for spam til dig. :)
Du kender godt det der store noget vi kalder internettet ikke. - Det er så integreret en de af computeren i dag.
IE er selve brugerfladen - ihvertfald frem til XP. og kan et program gå igennem sikkerheden på IE så er computeren kompromiteret.
Der vil ALDRIG komme et netværk hvor man har 100% styr på alt.
Hullerne er emails med vedhæftninger, usb nøgler, CD/DVD, downloads osv.
Jeg ville nu mene at det her stunt er et eksempel på hvorfor man skal sætte sig ordentlig ind i sagerne inden man bare begynder at rette fejl i andres kode. Også selvom man som den her gut sandsynligvis har en stor mængde godkendt gode bag sig.
Det er jo så det man ansætter en eksterne programmør eller firma til. Som MS bruger er man bare tvunget til at bruge Redmods programmører - og jeg tror ikke de er hverken bedre eller værre end alle andre programmører.
At de kunne sende VIsta afsted så fejlbehæftet det var er da et tydeligt tegn på at selv i den perfekte verden kan deadlines og bundliner få en til at tage dårlige beslutninger!
#38
Uden at kravle ned på dit efterhånden ret lave niveau kan jeg da fortælle dig at du ikke kan sammenligne dit eget private netværk med internettet... Eller du anser måske internettet for dit eget netværk? Det kan selvfølgelig også være din måde at fortælle os andre på at du ikke har styr på hvad der foregår på dit netværk.
Det er muligt du mener internettet er en del af din maskine men mine maskiner er ikke en del af internettet og det bliver de aldrig. Nogle af os har fundet ud af at man uanset valg af platform skal tænke sig om.
Der er så også den lille ting ved din påstand om at man ikke kan få 100% styr på sit netværk. Det er da vist en sandhed med modifikationer... Så længe man sørger for at brugerne kun har et sted at komme ud på dit netværk så er det så ikke umuligt at holde styr på hvad der sker.
Det at IE er en del af brugerfladen er kun et problem fordi brugerfladen kører med for mange rettigheder... Et problem de fleste linux brugere formentlig også er bekendt med. Ihvertfald hvis de har gjort sig selv den tjeneste at se på hvad der kører med hvilke rettigheder.
Flueknepperi eller ej så har det intet med et hul at gøre. Det er måden man får mulighed for at misbruge et evt hul. Med email som du bruger er det typisk det at MS har vænnet folk til at slamkode så det er nødvendigt med administrative rettigheder. Hvilket også er grunden til at det ikke sker så ofte i en virksomhed hvor der er folk der faktisk har forstand på det de laver at du ser den slags udnyttet.
Hvad får dig til at tro at et firma ikke kunne lave samme fejl som den her stakkel gjorde?
Det bliver så ikke nødvendigvis bedre af at det bliver open source. Behøver vi nævne ubuntu... det mest hypede produkt der efter sigende skulle indeholde fejl der er indrapporteret for mere end 2 år siden.
Du kender godt det der store noget vi kalder internettet ikke. - Det er så integreret en de af computeren i dag.
Uden at kravle ned på dit efterhånden ret lave niveau kan jeg da fortælle dig at du ikke kan sammenligne dit eget private netværk med internettet... Eller du anser måske internettet for dit eget netværk? Det kan selvfølgelig også være din måde at fortælle os andre på at du ikke har styr på hvad der foregår på dit netværk.
Det er muligt du mener internettet er en del af din maskine men mine maskiner er ikke en del af internettet og det bliver de aldrig. Nogle af os har fundet ud af at man uanset valg af platform skal tænke sig om.
Der vil ALDRIG komme et netværk hvor man har 100% styr på alt.
Der er så også den lille ting ved din påstand om at man ikke kan få 100% styr på sit netværk. Det er da vist en sandhed med modifikationer... Så længe man sørger for at brugerne kun har et sted at komme ud på dit netværk så er det så ikke umuligt at holde styr på hvad der sker.
IE er selve brugerfladen - ihvertfald frem til XP. og kan et program gå igennem sikkerheden på IE så er computeren kompromiteret.
Det at IE er en del af brugerfladen er kun et problem fordi brugerfladen kører med for mange rettigheder... Et problem de fleste linux brugere formentlig også er bekendt med. Ihvertfald hvis de har gjort sig selv den tjeneste at se på hvad der kører med hvilke rettigheder.
Hullerne er emails med vedhæftninger, usb nøgler, CD/DVD, downloads osv.
Flueknepperi eller ej så har det intet med et hul at gøre. Det er måden man får mulighed for at misbruge et evt hul. Med email som du bruger er det typisk det at MS har vænnet folk til at slamkode så det er nødvendigt med administrative rettigheder. Hvilket også er grunden til at det ikke sker så ofte i en virksomhed hvor der er folk der faktisk har forstand på det de laver at du ser den slags udnyttet.
Det er jo så det man ansætter en eksterne programmør eller firma til. Som MS bruger er man bare tvunget til at bruge Redmods programmører - og jeg tror ikke de er hverken bedre eller værre end alle andre programmører.
Hvad får dig til at tro at et firma ikke kunne lave samme fejl som den her stakkel gjorde?
At de kunne sende VIsta afsted så fejlbehæftet det var er da et tydeligt tegn på at selv i den perfekte verden kan deadlines og bundliner få en til at tage dårlige beslutninger!
Det bliver så ikke nødvendigvis bedre af at det bliver open source. Behøver vi nævne ubuntu... det mest hypede produkt der efter sigende skulle indeholde fejl der er indrapporteret for mere end 2 år siden.
PS staver ad helvede til i det nederste, men gider ikke rette det!
for lige at råbe til dig nede fra hullet.
Jeg har ikke arbejdet et sted, hvor det kun var det interne net der fungerede - det er altid hooket op på internettet.
At en maskine ikke kan kompromiteres på et netværk uden adgang til internettet er jeg da enig i, men kun så længe man kan styre det der bliver tilsluttet.
Hvis en maskine har en sårbarhed og der kommer pakker ind over netværk (om de så kommer som interne ip pakker, eller fra nettet af er underordnet) der udnytter denne er maksinen kompromiteret,
Jeg læste engang om nogle der satte en maskine op i et internt netværk, hvor der var adgang til internettet igennem. Di installerede W2k server på det og lod den stå. Efter 8 minutter var sasser tilstede på maskinen. og de havde ikke engang gjort noget.
Man er MEGET naiv hvis man tror at ens netværk er beskyttet pga en router og diverse firewalls. USB og andre transportmidler kan vippe ethvert system.
I en konkurrence brød de efter få timer ind på en mac. da sp1 til vista lige var kommet og hackerne ikke kendte sp1 tog det dem indtil næste dag at gøre det samme på den. Ubuntu maskinen blev ikke overtager indefor de 3 dage.
Der er nogle der hyper herinde over at vi påstår at OS software/programmører er mere sikkert end CS software/programmører, men det tror jeg ikke der er nogen der mener. Men udviklingsmodellen med åben software giver flere øjne og hjerner på samme problem - og det er en fodel.
Jeg syndes det er rejt sejt at man i OS sammenænge kan backtrace denne fejl til nøjagtig det tidspunkt det skete, hvem der lagde lorten - og hvor for det er sket. Jeg kan ikke mindes MS på noget tidspunkt har været lige så åbne.
Der er intet sikkerhedshul i Debian, men der er er en svagerekryptering end muligt i det program der styrer krypteringen på visse protokoller.
Reelt set kan der være sket lige så store fejl i MS's programmer og der kan være at der endnu er uopdagede fejl (det er som regel den slags virus benytter og da der kommer flere og flere virus på trods af opdateringer såååååå)
På debian rejser man sig op i forsamlingen slår på glasset, rømmer sig og fortæller hvad der er sket. Tavsheden sænker sig og et par programører haster ud til maskinerne for at rette fejlen. Jeg læste denne nyhed på news samtidig med at der kom fejlrettelser til ubuntu angående det samme.
Programmer er så komplekse at der på intet tidspunkt kommer totalt fejlfrie programmer - det skulle da lige være hello_world.
OS verdenen har besluttet at være åbne.
for lige at råbe til dig nede fra hullet.
Jeg har ikke arbejdet et sted, hvor det kun var det interne net der fungerede - det er altid hooket op på internettet.
At en maskine ikke kan kompromiteres på et netværk uden adgang til internettet er jeg da enig i, men kun så længe man kan styre det der bliver tilsluttet.
Hvis en maskine har en sårbarhed og der kommer pakker ind over netværk (om de så kommer som interne ip pakker, eller fra nettet af er underordnet) der udnytter denne er maksinen kompromiteret,
Jeg læste engang om nogle der satte en maskine op i et internt netværk, hvor der var adgang til internettet igennem. Di installerede W2k server på det og lod den stå. Efter 8 minutter var sasser tilstede på maskinen. og de havde ikke engang gjort noget.
Man er MEGET naiv hvis man tror at ens netværk er beskyttet pga en router og diverse firewalls. USB og andre transportmidler kan vippe ethvert system.
I en konkurrence brød de efter få timer ind på en mac. da sp1 til vista lige var kommet og hackerne ikke kendte sp1 tog det dem indtil næste dag at gøre det samme på den. Ubuntu maskinen blev ikke overtager indefor de 3 dage.
Der er nogle der hyper herinde over at vi påstår at OS software/programmører er mere sikkert end CS software/programmører, men det tror jeg ikke der er nogen der mener. Men udviklingsmodellen med åben software giver flere øjne og hjerner på samme problem - og det er en fodel.
Jeg syndes det er rejt sejt at man i OS sammenænge kan backtrace denne fejl til nøjagtig det tidspunkt det skete, hvem der lagde lorten - og hvor for det er sket. Jeg kan ikke mindes MS på noget tidspunkt har været lige så åbne.
Der er intet sikkerhedshul i Debian, men der er er en svagerekryptering end muligt i det program der styrer krypteringen på visse protokoller.
Reelt set kan der være sket lige så store fejl i MS's programmer og der kan være at der endnu er uopdagede fejl (det er som regel den slags virus benytter og da der kommer flere og flere virus på trods af opdateringer såååååå)
På debian rejser man sig op i forsamlingen slår på glasset, rømmer sig og fortæller hvad der er sket. Tavsheden sænker sig og et par programører haster ud til maskinerne for at rette fejlen. Jeg læste denne nyhed på news samtidig med at der kom fejlrettelser til ubuntu angående det samme.
Programmer er så komplekse at der på intet tidspunkt kommer totalt fejlfrie programmer - det skulle da lige være hello_world.
OS verdenen har besluttet at være åbne.
#40
Og den sammenkobling er ret hårdt styret. Og du har mulighed for at styre hvilke former for trafik du ønsker at lukke ind og ud. Endvidere har man efterhånden ret gode muligheder for at se hvilken trafik der kører igennem, både med lukket og åbent software.
Nu er IDS systemerne blevet ret gode i dag. Nogle kan endda køre uden man behøver spekulere på at opdatere en signatur database. Så man kan faktisk styre mere på sit netværk end du gerne vil give udtryk for.
Nu finder pakke jo ikke bare ind til hvilken som helst maskine på netværket af sig selv.
hvis man bare åbner for hvad som helst vil det gå galt uanset hvilken platform man vælger at sætte op. Man kan jo også læse undersøgelser der viser at unix maskiner bliver udsat for angreb inden for 5 minutter efter de er sat til internettet. Her er det typisk ssh brute force eller tilsvarende angreb der starter hele balladen. Og kommer de først igennem er den kære linux maskine prisgivet.
jeg vil vende den om og sige at man er megt naiv hvis man tror at man er sikker blot fordi man kører linux... Eller hvilken som helst anden platform for den sags skyld.
Nu var konkurrencen jo så før sp1 blev frigivet?
Det er vist ikke nogen hemmelighed at når der er en nyhed som spam eller orme eller andet skidt så starter linux folket med skif til linux og alt vil være bedre. Det sjove er dog at de har en tendens til at forsvinde når der bliver stillet kritiske spørgsmål til deres påstande. Jeg har i øvrigt ikke udtalt mig om hvorvidt den ene udviklingsmodel er mere sikker end den anden.
jeg ved ikke hvad du mener du ville få ud af at en eller anden gut hos MS bliver hængt ud?
Ikke bare visse protokoller men alle hvor ssl bliver brugt efter det sidste jeg har læst ihvertfald.
Hovsa de der uheldigheder findes sørme også i ubuntu..? Påstår du at de ikke kan udnyttes? Eller påstår du at de altid er hurtigere til at patche? Den her fejl overlevede kun i 20 måneder.
Jeg mener faktisk at have læst et sted at det var ubuntu der fandt frem til fejlen. Hvordan det så hænger sammen med ham sikkerhedsgutten skal jeg ikke lige kunne sige.
Det er der vist heller ikke nogen der påstår? Det er omtrendt lige så naivt som at tro at man er på den sikre side når man kører ubuntu som at tro på at den perfekte kode findes. Selv om den perfekte kode så skulle findes er der stadig chancen for at åbne op for noget skidt ved at lave en fejl konfiguration. eller bare at køre noget slam oven på en god kode.
Det behøver du så ikke fortælle mig... Jeg har kørt med open source fra før ubuntu kom til verden.
Jeg har ikke arbejdet et sted, hvor det kun var det interne net der fungerede - det er altid hooket op på internettet.
Og den sammenkobling er ret hårdt styret. Og du har mulighed for at styre hvilke former for trafik du ønsker at lukke ind og ud. Endvidere har man efterhånden ret gode muligheder for at se hvilken trafik der kører igennem, både med lukket og åbent software.
At en maskine ikke kan kompromiteres på et netværk uden adgang til internettet er jeg da enig i, men kun så længe man kan styre det der bliver tilsluttet.
Nu er IDS systemerne blevet ret gode i dag. Nogle kan endda køre uden man behøver spekulere på at opdatere en signatur database. Så man kan faktisk styre mere på sit netværk end du gerne vil give udtryk for.
Hvis en maskine har en sårbarhed og der kommer pakker ind over netværk (om de så kommer som interne ip pakker, eller fra nettet af er underordnet) der udnytter denne er maksinen kompromiteret,
Nu finder pakke jo ikke bare ind til hvilken som helst maskine på netværket af sig selv.
Jeg læste engang om nogle der satte en maskine op i et internt netværk, hvor der var adgang til internettet igennem. Di installerede W2k server på det og lod den stå. Efter 8 minutter var sasser tilstede på maskinen. og de havde ikke engang gjort noget.
hvis man bare åbner for hvad som helst vil det gå galt uanset hvilken platform man vælger at sætte op. Man kan jo også læse undersøgelser der viser at unix maskiner bliver udsat for angreb inden for 5 minutter efter de er sat til internettet. Her er det typisk ssh brute force eller tilsvarende angreb der starter hele balladen. Og kommer de først igennem er den kære linux maskine prisgivet.
Man er MEGET naiv hvis man tror at ens netværk er beskyttet pga en router og diverse firewalls. USB og andre transportmidler kan vippe ethvert system.
jeg vil vende den om og sige at man er megt naiv hvis man tror at man er sikker blot fordi man kører linux... Eller hvilken som helst anden platform for den sags skyld.
I en konkurrence brød de efter få timer ind på en mac. da sp1 til vista lige var kommet og hackerne ikke kendte sp1 tog det dem indtil næste dag at gøre det samme på den. Ubuntu maskinen blev ikke overtager indefor de 3 dage.
Nu var konkurrencen jo så før sp1 blev frigivet?
Der er nogle der hyper herinde over at vi påstår at OS software/programmører er mere sikkert end CS software/programmører, men det tror jeg ikke der er nogen der mener. Men udviklingsmodellen med åben software giver flere øjne og hjerner på samme problem - og det er en fodel.
Det er vist ikke nogen hemmelighed at når der er en nyhed som spam eller orme eller andet skidt så starter linux folket med skif til linux og alt vil være bedre. Det sjove er dog at de har en tendens til at forsvinde når der bliver stillet kritiske spørgsmål til deres påstande. Jeg har i øvrigt ikke udtalt mig om hvorvidt den ene udviklingsmodel er mere sikker end den anden.
Jeg syndes det er rejt sejt at man i OS sammenænge kan backtrace denne fejl til nøjagtig det tidspunkt det skete, hvem der lagde lorten - og hvor for det er sket. Jeg kan ikke mindes MS på noget tidspunkt har været lige så åbne.
jeg ved ikke hvad du mener du ville få ud af at en eller anden gut hos MS bliver hængt ud?
Der er intet sikkerhedshul i Debian, men der er er en svagerekryptering end muligt i det program der styrer krypteringen på visse protokoller.
Ikke bare visse protokoller men alle hvor ssl bliver brugt efter det sidste jeg har læst ihvertfald.
Reelt set kan der være sket lige så store fejl i MS's programmer og der kan være at der endnu er uopdagede fejl (det er som regel den slags virus benytter og da der kommer flere og flere virus på trods af opdateringer såååååå)
Hovsa de der uheldigheder findes sørme også i ubuntu..? Påstår du at de ikke kan udnyttes? Eller påstår du at de altid er hurtigere til at patche? Den her fejl overlevede kun i 20 måneder.
På debian rejser man sig op i forsamlingen slår på glasset, rømmer sig og fortæller hvad der er sket. Tavsheden sænker sig og et par programører haster ud til maskinerne for at rette fejlen. Jeg læste denne nyhed på news samtidig med at der kom fejlrettelser til ubuntu angående det samme.
Jeg mener faktisk at have læst et sted at det var ubuntu der fandt frem til fejlen. Hvordan det så hænger sammen med ham sikkerhedsgutten skal jeg ikke lige kunne sige.
Programmer er så komplekse at der på intet tidspunkt kommer totalt fejlfrie programmer - det skulle da lige være hello_world.
Det er der vist heller ikke nogen der påstår? Det er omtrendt lige så naivt som at tro at man er på den sikre side når man kører ubuntu som at tro på at den perfekte kode findes. Selv om den perfekte kode så skulle findes er der stadig chancen for at åbne op for noget skidt ved at lave en fejl konfiguration. eller bare at køre noget slam oven på en god kode.
OS verdenen har besluttet at være åbne.
Det behøver du så ikke fortælle mig... Jeg har kørt med open source fra før ubuntu kom til verden.
#41
generelt.
Jeg kan ikke forstå at din argumentation hele tiden kører på jamen er det ikke lige sådan med ubuntu.
Svaret er NEJ
Jeg skal ikke bruge et antivirus program på Ubuntu.
Jeg kan ved at surfe på nettet finde ud hvad en rettelse gør og hvorfor den bliver udsendt
Man kan ikke installere programmer på ubuntu udefra, med mindre man har selve adgangskoden til maskinen - det kan man i windows (MS har igennem eulaen sikret sig retten til det og virus udnytter de "døre" eller "huller " der er.
Jeg har aldrig brugt sll - og aner ikke hvad det skal bruges til.
Da der er mange seriøse/professionelle brugere af ssl og ingen har opdaget svagheden (det er ikke et hul), så kan man sige at nu er der blevet opdaget en hjerneblødning hos en programmør og fejlen er rettet
PS - jeg synes din tiltro til at kunne styre closed source er lettere naiv. Du vil ALDRIG have kontrollen - og derved magten - med det. Den sidder ejeren på. Den vil du kun kunne få ved at bruge opensource.
Jeg har på intet tidspunkt sagt at OpenSource software virker bedre, er bedre programmeret eller ikke indeholder fejl.
Jeg mener bare at OS er CS totalt overlegen, set ud fra et bruger perspektiv, administrator perspektiv og samfunds perspektiv.
I stedet for at betale licens penge så kan man bruge pengene på support, forbedringer og udstyr. ikke 0'er og 1'taller.
Mere service for de samme penge (og nej - det der TCO pis som ms hele tiden tuder op om er et subjektivt regnestykke)
PS.
Vista maskinen var installeret med sp1 som var fremkommet for kort tid siden. Hackerne valgte mac'en fordi den vidste de mest om. Det interessante er at det ikke tog dem mere en en dag at knække vista - på trods af den nye servicepack. Ubuntu maskinen formåede de ikke at knække ssl-krypteringens hul upåagtet.
generelt.
Jeg kan ikke forstå at din argumentation hele tiden kører på jamen er det ikke lige sådan med ubuntu.
Svaret er NEJ
Jeg skal ikke bruge et antivirus program på Ubuntu.
Jeg kan ved at surfe på nettet finde ud hvad en rettelse gør og hvorfor den bliver udsendt
Man kan ikke installere programmer på ubuntu udefra, med mindre man har selve adgangskoden til maskinen - det kan man i windows (MS har igennem eulaen sikret sig retten til det og virus udnytter de "døre" eller "huller " der er.
Jeg har aldrig brugt sll - og aner ikke hvad det skal bruges til.
Da der er mange seriøse/professionelle brugere af ssl og ingen har opdaget svagheden (det er ikke et hul), så kan man sige at nu er der blevet opdaget en hjerneblødning hos en programmør og fejlen er rettet
PS - jeg synes din tiltro til at kunne styre closed source er lettere naiv. Du vil ALDRIG have kontrollen - og derved magten - med det. Den sidder ejeren på. Den vil du kun kunne få ved at bruge opensource.
Jeg har på intet tidspunkt sagt at OpenSource software virker bedre, er bedre programmeret eller ikke indeholder fejl.
Jeg mener bare at OS er CS totalt overlegen, set ud fra et bruger perspektiv, administrator perspektiv og samfunds perspektiv.
I stedet for at betale licens penge så kan man bruge pengene på support, forbedringer og udstyr. ikke 0'er og 1'taller.
Mere service for de samme penge (og nej - det der TCO pis som ms hele tiden tuder op om er et subjektivt regnestykke)
PS.
Vista maskinen var installeret med sp1 som var fremkommet for kort tid siden. Hackerne valgte mac'en fordi den vidste de mest om. Det interessante er at det ikke tog dem mere en en dag at knække vista - på trods af den nye servicepack. Ubuntu maskinen formåede de ikke at knække ssl-krypteringens hul upåagtet.
#42
Nu nævner jeg blot ubuntu fordi du sagde det var det du brugte. Og fordi det var det sidste jeg kørte test på. Det har intet med ubuntu som sådan at gøre.
Mmmkey
Jeg vil lige tillade mig at citere dig selv fra lidt længere nede i dit eget indlæg dog med en lille ændring.
jeg synes din tiltro til at kunne styre open source er lettere naiv.
Og jeg er endda pro Open Source
Nu er et password ikke super svært at få fat på. Og den efterhånden typiske måde at inficere en windows maskine på nu om dage er altså at få brugeren til at gør noget dumt. Din tiltro til sudo er også en smule skræmmende. Lidt som din selvmodsigelse er det. Enten kan man installere software ude fra eller også kan man ikke.
Du synes ikke det på en måde gemmehuller din egen påstand om at jo flere øjne jo bedre? Eller kunne det tænkes at de bare går direkte til kilden når de skal bruge ssl..?
Nu har jeg på intet tidspunkt givet udtryk for at det var lettere at styre lukket software?
Jeg har aldrig hørt nogle sige at opensource udviklere er bedre end closed source udviklere, men at opensource programmer er bedre end closed source er vi vist nogle stykker der mener.
Det er selvfølgelig ren indbildning eller en misforståelse når jeg siger at du faktisk modsiger dig selv igen ikke?
Din og mig mening er så bare totalt ligegyldige så længe det ikke er muligt at få de mest brugte applikationer i virksomhederne til at køre uden problemer på en open source platform.
Nu ved jeg ikke om du har nogen erfaring med den support du får med et køb af windows eller andre Microsoft produkter kontra red hat?
Du burde måske lige bruge lidt tid på at sætte dig ind i tingene... så er det lidt lettere at tage dine påstande seriøst. TCO er ikke et subjektivt regnestykke. Det er ret brugt i erhvervslivet sammen med ROI så det er ikke engang kun noget Microsoft 'tuder' op om.
Er det faldet dig ind at ubuntu gik uramt forbi, fordi det ikke bliver brugt ret mange andre steder end i private hjem? Det er måske også værd at bemærke at den her ssl svaghed primært kan bruges til at forudse hvilken ssl nøgle der vil blive lavet og hvordan er det nu lige du mener det ville hjælpe dem med at bryde ind på en ubuntu boks?
Jeg kan ikke forstå at din argumentation hele tiden kører på jamen er det ikke lige sådan med ubuntu.
Nu nævner jeg blot ubuntu fordi du sagde det var det du brugte. Og fordi det var det sidste jeg kørte test på. Det har intet med ubuntu som sådan at gøre.
Svaret er NEJ
Mmmkey
Jeg skal ikke bruge et antivirus program på Ubuntu.
Jeg vil lige tillade mig at citere dig selv fra lidt længere nede i dit eget indlæg dog med en lille ændring.
jeg synes din tiltro til at kunne styre open source er lettere naiv.
Og jeg er endda pro Open Source
Man kan ikke installere programmer på ubuntu udefra, med mindre man har selve adgangskoden til maskinen - det kan man i windows (MS har igennem eulaen sikret sig retten til det og virus udnytter de "døre" eller "huller " der er.
Nu er et password ikke super svært at få fat på. Og den efterhånden typiske måde at inficere en windows maskine på nu om dage er altså at få brugeren til at gør noget dumt. Din tiltro til sudo er også en smule skræmmende. Lidt som din selvmodsigelse er det. Enten kan man installere software ude fra eller også kan man ikke.
Da der er mange seriøse/professionelle brugere af ssl og ingen har opdaget svagheden (det er ikke et hul), så kan man sige at nu er der blevet opdaget en hjerneblødning hos en programmør og fejlen er rettet
Du synes ikke det på en måde gemmehuller din egen påstand om at jo flere øjne jo bedre? Eller kunne det tænkes at de bare går direkte til kilden når de skal bruge ssl..?
PS - jeg synes din tiltro til at kunne styre closed source er lettere naiv. Du vil ALDRIG have kontrollen - og derved magten - med det. Den sidder ejeren på. Den vil du kun kunne få ved at bruge opensource.
Nu har jeg på intet tidspunkt givet udtryk for at det var lettere at styre lukket software?
Jeg har på intet tidspunkt sagt at OpenSource software virker bedre, er bedre programmeret eller ikke indeholder fejl.
Jeg har aldrig hørt nogle sige at opensource udviklere er bedre end closed source udviklere, men at opensource programmer er bedre end closed source er vi vist nogle stykker der mener.
Det er selvfølgelig ren indbildning eller en misforståelse når jeg siger at du faktisk modsiger dig selv igen ikke?
Jeg mener bare at OS er CS totalt overlegen, set ud fra et bruger perspektiv, administrator perspektiv og samfunds perspektiv.
Din og mig mening er så bare totalt ligegyldige så længe det ikke er muligt at få de mest brugte applikationer i virksomhederne til at køre uden problemer på en open source platform.
I stedet for at betale licens penge så kan man bruge pengene på support, forbedringer og udstyr. ikke 0'er og 1'taller.
Nu ved jeg ikke om du har nogen erfaring med den support du får med et køb af windows eller andre Microsoft produkter kontra red hat?
Mere service for de samme penge (og nej - det der TCO pis som ms hele tiden tuder op om er et subjektivt regnestykke)
Du burde måske lige bruge lidt tid på at sætte dig ind i tingene... så er det lidt lettere at tage dine påstande seriøst. TCO er ikke et subjektivt regnestykke. Det er ret brugt i erhvervslivet sammen med ROI så det er ikke engang kun noget Microsoft 'tuder' op om.
Vista maskinen var installeret med sp1 som var fremkommet for kort tid siden. Hackerne valgte mac'en fordi den vidste de mest om. Det interessante er at det ikke tog dem mere en en dag at knække vista - på trods af den nye servicepack. Ubuntu maskinen formåede de ikke at knække ssl-krypteringens hul upåagtet.
Er det faldet dig ind at ubuntu gik uramt forbi, fordi det ikke bliver brugt ret mange andre steder end i private hjem? Det er måske også værd at bemærke at den her ssl svaghed primært kan bruges til at forudse hvilken ssl nøgle der vil blive lavet og hvordan er det nu lige du mener det ville hjælpe dem med at bryde ind på en ubuntu boks?
#43
"West-side is teh best!" "No! East-side is teh best!" "NO! West-side is teh best!" "NOOO! EAST-SIDE IS TEH BEST!"
Kan i selv se hvorfor i koerer den for langt ud? :D
Opsumer jeres pointer, istedetfor at koere i samme ligegyldige spor..
Ubuntu sutter boller, get over it. :D
"West-side is teh best!" "No! East-side is teh best!" "NO! West-side is teh best!" "NOOO! EAST-SIDE IS TEH BEST!"
Kan i selv se hvorfor i koerer den for langt ud? :D
Opsumer jeres pointer, istedetfor at koere i samme ligegyldige spor..
Ubuntu sutter boller, get over it. :D
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund