mboost-dp1
VMware
VMware er et firma som laver mange produkter - herunder lavede de ESX - Ret dårlig formulering at kildekoden til et firma er blevet frigivet...
Der er tale om noget af koden til ESX 3.5 - Sidste version af ESX var 4.1 indtil den blev helt erstattet af ESXi.
Dermed er skadet ikke ret stor.
Der er tale om noget af koden til ESX 3.5 - Sidste version af ESX var 4.1 indtil den blev helt erstattet af ESXi.
Dermed er skadet ikke ret stor.
Jeg har lidt svært ved at se problemet her? Hvis de er bange for at pirater skal køre deres software, så er det vel nemmere for piraterne at downloade en cracket version end at kompilere den selv. Og hvis de er bange for sikkerhedshuller så må de da bare se at få rettet dem. De fleste servere i verden kører Linux hvor koden er frit tilgængelig og det gør dem da ikke mindre sikre.
"Security by obscurity is a no no". Det burde de da vide.
"Security by obscurity is a no no". Det burde de da vide.
ziftex (3) skrev:VMware er et firma som laver mange produkter - herunder lavede de ESX - Ret dårlig formulering at kildekoden til et firma er blevet frigivet...
Der er tale om noget af koden til ESX 3.5 - Sidste version af ESX var 4.1 indtil den blev helt erstattet af ESXi.
Dermed er skadet ikke ret stor.
Selvom ESX er opgraderet flere gange - betyder det ikke nødvendigvis at den komponent der har været ændret.
Jeg har selv tidligere arberjdet på et system hvor vi releasede klidekode der var 20 år gammelt i et helt nyt produkt.
svenskmand (4) skrev:Jeg har lidt svært ved at se problemet her? ...
Der er flere grunde. Men de to væsentligste er:
1. Adgang til teknologier. Nu kan andre se, hvordan VmWare implementerer deres teknologier og hvordan deres ting kører. Det vil givetvis blive kopieret i andre produkter.
2. Det er bare nemmere at læse kildekode end maskinkode. Dermed vil det være langt nemmere for hackere at finde fejl, når man sidder med ren, veldokumenteret og velkommenteret kildekode. En hacker vil selvfølgelig kunne gøre det samme med maskinkode, men hvis man prøver at af-maskinkode (Hvad er et godt ord for disassmbler?) et program, er der mange millioner linjer, der skal kigges igennem
lorenzen (5) skrev:
Selvom ESX er opgraderet flere gange - betyder det ikke nødvendigvis at den komponent der har været ændret.
Jeg har selv tidligere arberjdet på et system hvor vi releasede klidekode der var 20 år gammelt i et helt nyt produkt.
Hver gang der frigives et javaprogram indeholder det kode der er mange år gamle :)
Det store problem har er nok, som #6 også nævner, at der bliver frigivet en masse gode ideer. Det er godt for alle os andre, men dårligt for VMWares forretning ;)
#6+7 Ja det med at ideerne bliver frigivet er jo rigtig nok at det kan være skidt for deres forretning. Er bare synd at det er sådan en verden vi lever i :( Jeg håber da det snart bliver sådan at folk deler deres viden i håb om at den kan gøre mest mulig gavn for flest mulige mennesker :)
svenskmand (8) skrev:#6+7 Ja det med at ideerne bliver frigivet er jo rigtig nok at det kan være skidt for deres forretning. Er bare synd at det er sådan en verden vi lever i :( Jeg håber da det snart bliver sådan at folk deler deres viden i håb om at den kan gøre mest mulig gavn for flest mulige mennesker :)
Desværre gør god vilje det ikke alene. Jeg tror godt vi kan blive enige om at vi ikke lever på gode ideer alene. Der skal mad på bordet.
Når det så er sagt, kan vi gå ind i en idealistisk diskussion om hvordan det så skal gøres. Det behøver vi ikke her, men vi kan konstatere at den model der anvendes idag, lader det være en fordel at holde kortene tæt til sig.
Ja det er rigtig dårlig for deres forretning - men ikke kun fordi at andre kan se dem over skulderne. Der er jo tale om ældre kode hvor der er sket rigtig meget siden.
Det store problem ligger i tilliden.
VMware frigiver ikke koden til alle, men en af de firmaer som fik lov til at se ind i koden er netop herfra den blev stjålet.
Der er jo tale om et produkt som de fleste større firmaer benytter til at bygge deres systemer over en. Et produkt som oftest har adgang til mange interne netværks og datalager.
0 dages sårbarheder rammer derfor private og effenlige kunder i alle størrelser og vil kunne få konsekvenser men ikke tør drømme om.
#4 hvis vi snakker sikkerhed så synes jeg linux er et dårligt bud på hvordan det bør gøres. Det er der simpelthen for mange rooted maskiner til. Nok er selve linux kernel ret stærkt på sikkerhed men softwaren man fylder oven på er ikke altid lige god og oftest her man kan slippe ind.
Der vil jeg mene at *BSD er noget bedre eksempel.
Det store problem ligger i tilliden.
VMware frigiver ikke koden til alle, men en af de firmaer som fik lov til at se ind i koden er netop herfra den blev stjålet.
Der er jo tale om et produkt som de fleste større firmaer benytter til at bygge deres systemer over en. Et produkt som oftest har adgang til mange interne netværks og datalager.
0 dages sårbarheder rammer derfor private og effenlige kunder i alle størrelser og vil kunne få konsekvenser men ikke tør drømme om.
#4 hvis vi snakker sikkerhed så synes jeg linux er et dårligt bud på hvordan det bør gøres. Det er der simpelthen for mange rooted maskiner til. Nok er selve linux kernel ret stærkt på sikkerhed men softwaren man fylder oven på er ikke altid lige god og oftest her man kan slippe ind.
Der vil jeg mene at *BSD er noget bedre eksempel.
svenskmand (4) skrev:Jeg har lidt svært ved at se problemet her? Hvis de er bange for at pirater skal køre deres software, så er det vel nemmere for piraterne at downloade en cracket version end at kompilere den selv. Og hvis de er bange for sikkerhedshuller så må de da bare se at få rettet dem. De fleste servere i verden kører Linux hvor koden er frit tilgængelig og det gør dem da ikke mindre sikre.
"Security by obscurity is a no no". Det burde de da vide.
+ #10
Jeg snakkede på et tidspunkt med en gut fra systematic, der er en virksomhed, der f.eks. laver software til det danske millitær.
De bruger windows som platform til alle deres produkter, da jeg spurgte om det virkelig kunne være sandt, at sikkerheden var bedre her (linux er lettere at costumize => bedre sikkerhed (for ham der kender systemet)) sagde han: nææ, men vi skal have nogle at skyde skylden på.
ziftex (10) skrev:
#4 hvis vi snakker sikkerhed så synes jeg linux er et dårligt bud på hvordan det bør gøres. Det er der simpelthen for mange rooted maskiner til. Nok er selve linux kernel ret stærkt på sikkerhed men softwaren man fylder oven på er ikke altid lige god og oftest her man kan slippe ind.
Den mest udbredte webserver er dog alligevel Apache som er open source, og det mest udbredte server os er Linux, så åbenhed er ikke korreleret med sikkerhedshuller.
svenskmand (13) skrev:
Den mest udbredte webserver er dog alligevel Apache som er open source, og det mest udbredte server os er Linux, så åbenhed er ikke korreleret med sikkerhedshuller.
Hvis du spøger den gennemsnitlige IT-ansvarlige i en tilfældig virksomhed her i landet vil jeg mene du skulle være ualmindelig heldig for at ramme en der kan fortælle dig hvad der har været af ualmindelig aktivitet på netværket den sidste uge.
Blot fordi du siger at linux er det mest udbredte server os og at der angiveligt ikke skulle være sikkerhedsproblemer for for fleste servere betyder det desværre ikke at det er sandt.
#13
Antallet skyldes at hosting centre oftest er rigtig glade for Linux. Det kommer an på hvordan man måler mængen af webservers hvilken der er flest af.
Apache har en fornuftig styrke set i forhold til hvad den kan - men hvis vi holder os til emnet omkring ESX gælder det stadig at den har været ramt af langt mindre sårbarheder og det er uhyr vigtigt at det forbliver sådan.
#14
Må give dig ret men tror det skyldes at firmaer i Danmark oftest ikke er ret store og dermed ikke har folk afsat til disse opgaver.
Antallet skyldes at hosting centre oftest er rigtig glade for Linux. Det kommer an på hvordan man måler mængen af webservers hvilken der er flest af.
Apache har en fornuftig styrke set i forhold til hvad den kan - men hvis vi holder os til emnet omkring ESX gælder det stadig at den har været ramt af langt mindre sårbarheder og det er uhyr vigtigt at det forbliver sådan.
#14
Må give dig ret men tror det skyldes at firmaer i Danmark oftest ikke er ret store og dermed ikke har folk afsat til disse opgaver.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund