Microsoft - Na letošnji Microsoftovi NT Konferenci v Portorožu smo imeli možnost slišati marsikaj o novostih v Windows 7, o čemer smo že pisali. Zanimive pa so stranske posledice povečanega vlaganja v varnost, predvsem višanje tržnega deleža Internet Explorerja 8 in alternativnih brskalnikov, saj menda Microsoftovi operacijski sistemi niso več tako zelo mamljiva tarča za napadalce.
Tako po besedah Eda Gibsona, glavnega svetovalca za varnost v Microsoftu, zaznavajo bistveno povečanje števila napadov na računalnike, na katerih teče Mac OS X ali katera od distribucij Linuxa. Hkrati pa opazarjajo, da ostali ponudniki operacijskih sistemov nimajo rednih ciklov izdajanja popravkov, kot je Microsoftov drugi torek v mesecu, kar bistveno zmanjša učinkovitost varnostnih popravkov.
Bomo kot odgovor na to dobili Ubuntu Patch Monday?
Tako po besedah Eda Gibsona, glavnega svetovalca za varnost v Microsoftu, zaznavajo bistveno povečanje števila napadov na računalnike, na katerih teče Mac OS X ali katera od distribucij Linuxa.
Število _uspešnih_ napadov je pa nekaj popolnoma drugega.
Some nanoparticles are more equal than others
Good work: Any notion of sanity and critical thought is off-topic in this place
Pa kaj, če M$ izdaja popravke vsak torek? Distribucije Linuxa pa jih vsak dan. Kako naj bi bilo to manj varno?
Preprosto. Velikim uporabnikom bolj paše, da so popravki v paketih, saj morajo popravke še lokalno stestirati in jih pol "poslat" na vse kište. Po updatanju imajo še nekaj časa "mir", da lahko odpravijo morebitne težave, ki so nastale v povezavi s tem. In to se dela po ustaljenem urniku. Če bi to počel vsak dan, bi bila pač veliko večja zmešnjava. Ta del sicer nima neposredne veze s samo varnostjo, razen seveda to, da je potrebno v nasprotnem primeru neprestano biti pozoren, kdaj bo izšel nov kak nov popravek (kar se pa veliko ljudi hitro naveliča, ko dolgo časa ni nič omembe vrednega)
Pri malih uporabnikih je pa tako, da ročno updatajo ZELO zelo neredno (še na par mesecev ne, kaj šele vsak dan), zato je v Windows privzeto vklopljen Automatic Updates, ki popravke samodejno namesti, ko izidejo. Vsak dan bi bilo nepraktično, med drugim tudi zaradi popravkov, ki zahtevajo ponovni zagon računalnika. Nekaj minut downtime-a na mesec (pa še to velikokrat sredi noči) ali samo malo daljši shutdown postopek je za povprečneža čisto sprejemljiv (glede na to, kaj ima od tega).
M$ pa itak flika spredaj+zadaj in zato je ogrožen...
A ostali ne flikajo (oz. se posvečajo odpravljanju varnostnih pomanjkljivosti)?
NT konferenca se je itak spremenila v čisto marketinški dogodek, kjer ljudi pumpajo s takimi in podobnimi ugotovitvami. In nekateri celo plačajo, da gredo tole poslušat.
Pri malih uporabnikih je pa tako, da ročno updatajo ZELO zelo neredno (še na par mesecev ne, kaj šele vsak dan), zato je v Windows privzeto vklopljen Automatic Updates, ki popravke samodejno namesti, ko izidejo.
Ponavadi sta pri malih uporabnikih izvor CDja/DVDja z OSom in ključ vprašljiva ... in pri takšnih potem nekako ne deluje ta feature in so zaradi tega manj varni.
Sam sem zelo jezen, kadar moram ponovno zagnati računalnik zaradi posodobitve, pa tudi če je to samo 1x na mesec. (Ker moram vse zavihtke v browserju shraniti, zapreti vse dokumente in programe ...)
Čki, kje se linuxu slabo piše? Na desktopih? Sej je njegov delež zanemarljiv, al hoče M$ s tem povedat, da se počuti že ogroženega? Na mobilnih napravah? Razen če bomo res videli Windows 7 za arm procesorje, tu Windows nima vlko kaj iskat. Window CE je ****. Na serverjih? Tu sta si res Linux in Windows lepo razdelila delež, ampak varnost ma malo veze s tem. Če res hočeš varen sistem, maš kako BSD varianto al pa Solaris je baje tut varen ( tega v bistvu ne poznam, ne morem rečt ).
> Preprosto. Velikim uporabnikom bolj paše, da so popravki v paketih, saj morajo popravke še lokalno stestirati in jih pol "poslat" na vse kište. Po updatanju imajo še nekaj časa "mir", da lahko odpravijo morebitne težave, ki so nastale v povezavi s tem. In to se dela po ustaljenem urniku. Če bi to počel vsak dan, bi bila pač veliko večja zmešnjava.
tega pa nisem vedel, da na linuxu ne moreš počakat en mesec in tako posledično met linux patch tuesday-a.
(je pa tut res, da bi mogoče moral it na NT konferenco, da bi mi kak MS strokovnjak to povedal...)
Ja ni čudno, da so ugotovil, da se je povečalo število napadov na linuxe in mace. prej je bil en verus zdej sta pa dva, pa se je povečalo za 100% :D drugače pa lahko vidimo tudi pri primerjavi mac vs. windows, da samo blefirajo. Srečen sem od kar nisem več na windowsu. za nič na svetu ne dam moja 4 namija (=
Sam sem zelo jezen, kadar moram ponovno zagnati računalnik zaradi posodobitve, pa tudi če je to samo 1x na mesec. (Ker moram vse zavihtke v browserju shraniti, zapreti vse dokumente in programe ...)
A če bi moral enkrat na dan, bi pa bilo kul? Sicer si tisti, ki mislijo, da so bolj napredni, lahko recimo izklopijo teženje za restart ipd...
Na desktopih? Sej je njegov delež zanemarljiv, al hoče M$ s tem povedat, da se počuti že ogroženega?
A če je delež zanemarljiv, pol je pa OK, če je ta mali delež uporabnikov bolj ogrožen? Zanimiva teorija.
tega pa nisem vedel, da na linuxu ne moreš počakat en mesec in tako posledično met linux patch tuesday-a.
Seveda lahko, ampak lahko pa že takoj v sredo izide nov patch za kako hudo (novoodkrito) luknjo, ki jo nepridipravi z analizo patcha pričnejo takoj izkoriščati.
Ob tem kako, tudi na tem forumu, ki je zelo Linux orientiran, redno izhajajo novice o težkih kiksih v kao varnem Linuxu in o odpravljanu teh napak, ki je v najboljšem primeru slaba parodija, je ta izjava povsem na mestu.
Ampak MS ne cilja prav zelo na dektop, tam kaj več kot še nekaj % ne more dobiti, pa še to samo na račun jabolčnika, za promil resničnih Linux only uporabnikov, pa dol visi vsem ostalim.
Ampak W7 in derivati resno merijo na server področje in tam bodo pingvini še tanko piskali, če bodo še naprej spali na lovorikah lastne hvale in samoljubja.
Microsoft prakticira mesečni cikel izdajanja popravkov, Oracle trimesečni, Adobe namerava uvesti trimesečni cikel. Kwa? Patchi morajo itak biti izdani nemudoma. Rajtfakinnaw... Nato greš na Ubuntu Security Notices, narediš CTRF + F, napišeš "Regression" in kar ne moreš verjeti lastnim očem.
> Seveda lahko, ampak lahko pa že takoj v sredo izide nov patch za kako hudo (novoodkrito) luknjo, ki jo nepridipravi z analizo patcha pričnejo takoj izkoriščati.
aaa... microsoft se torej brezveze matra z izdajanjem patchev (al pa bi en patch na vsakih 666 mesecev bil popolnoma zadosti). če ne bi nič patchali, ne bi noben vedu, da so luknje obstojale...
eden od vodilnih MS-ja nekaj izjavi in je to se vedno non-news. Kaj je pa potem zate news?
1. Po slovensko je novica, ne news.
2. Od kdaj je položaj v nekem podjetju višje merilo kot sama vsebina? Sploh pa, šlo je za njegovo osebno mnenje, prepričan sem, da ga je tako tudi predstavil.
3. Komu na čast moram po novem jaz brskati za novicami????
Pri Linux distribucijah nima smisla čakat na patche, da bi jih analiziral, ker: 1. je vse open-source, se praviloma nič ne skriva 2. odkritje luknje ponavadi sovpada z javno objavo ranljivosti, zato da ni treba čakat na patch, da izveš za ranljivost in kako jo izkoristit. Pri M$ pa tisti, ki luknjo odkrije, za $$$ proda M$ informacije o le-tej in do izdaje patcha molči.
2. Od kdaj je položaj v nekem podjetju višje merilo kot sama vsebina? Sploh pa, šlo je za njegovo osebno mnenje, prepričan sem, da ga je tako tudi predstavil.
Ni bilo (samo) osebno mnenje ampak je to izjavil kot predstavnik podjetja. To stvar naredi vredno novice.
3. Komu na čast moram po novem jaz brskati za novicami????
Ni ti potrebno najti specificne novice, samo zanimalo me je kaj bi moral clovek izjavit, da bi se ti zdelo vredno objave.
in se:
2. odkritje luknje ponavadi sovpada z javno objavo ranljivosti, zato da ni treba čakat na patch, da izveš za ranljivost in kako jo izkoristit. Pri M$ pa tisti, ki luknjo odkrije, za $$$ proda M$ informacije o le-tej in do izdaje patcha molči.
NT konferenca se je itak spremenila v čisto marketinški dogodek, kjer ljudi pumpajo s takimi in podobnimi ugotovitvami. In nekateri celo plačajo, da gredo tole poslušat.
IMO so več ali manj vsi podobni dogodki preveč marketinško usmerjeni. Le zakaj...
Sam sem zelo jezen, kadar moram ponovno zagnati računalnik zaradi posodobitve, pa tudi če je to samo 1x na mesec. (Ker moram vse zavihtke v browserju shraniti, zapreti vse dokumente in programe ...)
FF in Opera imata privzeto Session_saver v primeru da browser zapreš/se nekaj sesuje...
Če mi microsoftov svetovalec na MS konferenci reče, da je Windows najbolj varen, mu seveda ne bom verjel. Isto je, če mi na MacWorldu rečejo, da je Mac najbolj varen.
Kaj pa bi naj ta svetovalec rekel? "Windows ni varen, migrirajte na drug OS?" (čeprav vem, da je dokaj varen)
Saj je že od nekdaj bila. Marektinška fešta kako so Microsoftovi produkti in tehnologije oh in ah. Nič takšnega. Če tega kdo ni videl tako, je bil pač malo zaslepljen.
Je pa to hkrati dobra priložnost, da se osebno ali pa v manjših Q & A srečanjih pogovarjaš tudi z nekaterimi osebami, ki v Microsoftu nekaj pomenijo. Na ta način pa pridobiš veliko informacij, ki so za podjetja, ki so močno vezana na Microsoft še kako pomembna. Seveda pa so to vzporedne stvari, ki so običajno rezervirane za pomembnejše stranke in parterje. Na programu se jih pač ne napiše...
Če pa koga moti, da se takšne stvari plačuje, pa ga nihče ne sili. Vse predstavljene javne vsebine so na voljo na spletu, od koder si jih lahko potegne in prebere, ko mu to ustreza.
