Microsoft - Čeprav je Microsoft celo leto opozarjal, da se 8. aprila letos nepreklicno izteče podpora Windows XP in da novih popravkov ne bo, je sedaj vendarle moral snesti besedo. Ranljivost, ki so jo odkrili v vseh verzijah Internet Explorerja od 6 do 11, je tako resna, da bi bilo neodgovorno pustiti uporabnike Windows XP nezaščitene, so sklenili v Redmondu.
Ranljivost je ta teden odkril FireEye, ko so opazili, da jo napadalci izkoriščajo proti IE9, IE10 in IE11. Kasneje se je izkazalo, da so ranljive še predhodne verzije IE. Microsoft je kmalu potrdil obstoj luknje in pripravil popravke.
Čeprav Window XP uradno ni več podprt, bo Microsoft vsaj še leto dni razvijal popravke tudi zanj, saj sta to naročili in plačali vsaj ameriška davkarija in nizozemski javni sektor, verjetno pa še kdo. Pohvalno pa je, da so se odločili, da bo ta popravek brezplačno na voljo kar vsem. Glede na to, da ima Windows XP po nekaterih statistikah še vedno vsaj četrtinski delež, je to edina odgovorna odločitev. K njej je gotovo pripomoglo tudi odkritje, da so hekerji začeli načrtno izkoriščati prav to ranljivost v Window XP. Microsoft, ki tu išče tanko linijo med odgovornim ravnanjem in dajanjem potuhe, sicer vztraja, da je bil to izredni dogodek in da Window XP ostaja nepodprt.
Verjetno je ta "vojska" osredotocena predvsem na Windows 7 in poznejse verzije, saj je Windows XP le izsel v casu ko so te zadeve bile precej manj pomembne (sicer je dobival dodatne varnostne mehanizme z service pack-i, vendar v manjsem obsegu kot novejse verzije).
čist tako za info, z super trooper najnovejšimi win8.1 se mi prvič od kar imam z winsi opravka (od win 98) zgodil, da je novejša različica imela problem, ki ga v starejši (win7 in XP) nisem imel in sicer, da ob problemu nisem mogel prisklicati Task managerja ostalo pa se je normalno odpiralo ... katastrofa
Stojansto: nisi še nikoli naletel na crap, ki ti onemogoči Task Manager od MSja? Jaz sem, potem itak uporabiš drug program. Process Explorer, recimo. Pa potem Autoruns, da pobrišeš svinjarijo, da se ti več ne zaganja, da lahko normalno vse pobrišeš. To sem videl že na mnogih Winsih od kolegov, večina napol računalniško pismenih.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Mene pa še vedno preseneča dejstvo, da je tako star in razširjen produkt, ki ga razvija vojska strokovnjakov, očitno še vedno poln lukenj....
Če bi bil programer in bi imel vsaj pol tako velik sistem bi ti to bilo jasno. Samo s takim komentarjem si pač dokazal, da si eden izmed tistih mnogih "računalničarjev", ki kaj drugega od GUI-ja in inštaliranja ne pridejo.
Če dobim luknjo v opensource zadevi se nimam kaj jezit, medtem ko če ima sistem, ki sem ga pošteno in tudi zelo drago plačal, po vseh teh letih še en kup lukenj imam vso pravico da se jezim .. še več, če ne bi šlo za programsko opremo, ki je po nekem čudnem ključu priviligirana bi mi pripadale vse pravice iz naslova zakona o varstvu potrošnikov in tudi kakšno povrnitev stroškov! Tako pa me ne čudi, da je bill gates med najbogatejšimi zemljani (če odštejemo monarhe in naftne šejke) ...
Ta članek je malo senzacionalističen, ker v bistvu ni šlo za popravek Windows XP ampak za popravek Internet Explorerja. IE je imel resno luknjo, ki so jo tudi resno izkoriščali, v vseh Windows sistemih in če že popravljajo je smiselno, da popravijo povsod. Če bi XP-je izpustili bi ostalo nepopravljenih kar četrtina Internet Explorerjev.
Če dobim luknjo v opensource zadevi se nimam kaj jezit, medtem ko če ima sistem, ki sem ga pošteno in tudi zelo drago plačal, po vseh teh letih še en kup lukenj imam vso pravico da se jezim .. še več, če ne bi šlo za programsko opremo, ki je po nekem čudnem ključu priviligirana bi mi pripadale vse pravice iz naslova zakona o varstvu potrošnikov in tudi kakšno povrnitev stroškov! Tako pa me ne čudi, da je bill gates med najbogatejšimi zemljani (če odštejemo monarhe in naftne šejke) ...
Bistvena razlika: Closed source ponavadi zelo malo folka ali pa nobeden ne ve za luknjo, dokler se jo ne najde ali javno objavi.
Open source ima javno luknjo leta in leta in kljub kopici "dobrih" programerjev je noben ne porpai in jo veliko folka izrablja...
Je razlika med tem, ali samo kak vlada (ali pa nihče) in cel planet lahko izkorišča luknjo in ti brska po disku.
Zanimivo, da sem jaz tele XPje v celoti izpustil, torej nikoli jih sploh nisem uporabljal. Za desktop OS sem imel do ene točke Windows 2000, naprej pa 2003 Server celo pot do Windows 7. To zato, ker sem že v tistih časih uporabljal nad 4 GB pomnilnika. Z 64 bit XP nisi imel kaj delati, ker zlepa nisi dobil gonilnikov. Server 2003 je pa kljub 32 bitnosti podpiral do 64 GB pomnilnika, gonilniki so pa vsi pasali od XPjev.
Ste otročji. Napake na XP-jih nihče ne najde, ker je nihče ne išče, ker nihče ne dela na tem projektu. Ko pride do exploita mogoče kdo dobi delovni nalog, da zadevo popravi in jo pač popravi. Na opensource projektih jih nihče ne najde, ker delajo druge zadeve...verjetno majo načrt kaj vse hočejo dodat in se pač dela na tem. Ko nekdo najde bug ga pač nekdo popravi. A zdej boste vi pametnjakoviči rekli, da ko greste delat modelčke letal oziroma modate svoj PC z nekimi lučkami(karkol že mislite, da je tko bolj zajebano kot spisat XP-je)...da se potem 20 let ukvarjate s temi istimi lučkami? Ker če bi se na vsakem projektu delalo v nedogled potem mi ne bi prišli do WC školjke, kaj šele avtomobila.
Jaja kaj imejte zaprto kodo, predali ste kontrolo, ter svobodo! Če želiš kej pozitivnega linuxu pridodat boš član, čene jamraj raje sam sebi noč in dan,..
Mene pa še vedno preseneča dejstvo, da je tako star in razširjen produkt, ki ga razvija vojska strokovnjakov, očitno še vedno poln lukenj....
Ko določen projekt zaključiš, preostanek življenja ne porabiš za to, da bi iskal morebitne ranljivosti v lastni kodi. Tudi če drugi pregledujejo tvojo kodo, ni nujno, da bodo našli napako. Največ napak se po navadi skriva v preverjenju določenih parametrov, ker pač programer pozabi kakšno stvar preveriti. Če pogledam lastno kodo, je večino kode le preverjanje parametrov. Največji problem teh bugov pa je, da so zelo neopazni (program dela normalno tudi, če imaš bug).
Mene pa še vedno preseneča dejstvo, da je tako star in razširjen produkt, ki ga razvija vojska strokovnjakov, očitno še vedno poln lukenj....
Ko določen projekt zaključiš, preostanek življenja ne porabiš za to, da bi iskal morebitne ranljivosti v lastni kodi. Tudi če drugi pregledujejo tvojo kodo, ni nujno, da bodo našli napako. Največ napak se po navadi skriva v preverjenju določenih parametrov, ker pač programer pozabi kakšno stvar preveriti. Če pogledam lastno kodo, je večino kode le preverjanje parametrov. Največji problem teh bugov pa je, da so zelo neopazni (program dela normalno tudi, če imaš bug).
Ce program dela, potem to ni več bug, ampak feature! :D
Jaja kaj imejte zaprto kodo, predali ste kontrolo, ter svobodo! Če želiš kej pozitivnega linuxu pridodat boš član, čene jamraj raje sam sebi noč in dan,..
Jo bomo mel. Jo mamo. Ker je odprta ni nič boljša. Dejstvo je, da Microsoft zaposljuje TOP programerje in verjemi, da bi mel rajši 10 vrstic njihove kode kot pa 100 vrstic kode freebie programerjev. Po drugi strani je vse odvisno od pogleda na svet. Če dobrega programerja veseli to, da kodo deli...naj jo piše. Če noče kode delit zato, da bo bla pol v 100ih projektih on pa od tega ne bo mel nič naj je pač ne daje ven. Je veliko bolj pomembno, da je motiviran in da je koda na koncu konkretno spisana. Neke komunajzerske fore, kjer je dobro samo tisto, kar je skupno(odprto) si pa lahko vtaknete v rit. Veljajo samo rezultati. Tudi norci s folijastimi kapicami, ki mislijo, da se v skompajlan program, ki izhaja iz opensource kode ne da vtaknit trojanca so lep dokaz, da nimajo pojma o pojmu, kaj šele o osnovah programiranja.
Dejstvo je, da Microsoft zaposljuje TOP programerje
link?
zaposlujes in imas 2 kandidata, enaga ki je programiral pri m$ y let (nobene kode ki bi jo lahko videl) in drugega programerja z x izkusnjami ki ima na githubu (ali kjerkoli) n kvalitetnih projektov (in sodelovanja pri drugih). Koga bos zaposlil?
Mi je zanimivo, da se strinjam z Looooka, ampak kaj hočemo :). Vsak software ima luknje. Kjer je opensource navadno v prednosti je agilnost pri krpanju lukenj (vsaj tistih, povezanih z varnostjo).
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Zakaj predpostavljate, da programerji za vsakim open source projektom niso nič plačani?
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
Kar je totalno nepomembna metrika, ker objava security advisorya nima nobene veze s samim exploitanjem luknje (e.g. Heartbleed so exploitali lani čeprav so ga našli to leto). Pomembno je čas v katerem je software dejansko ranljiv. Čas razvoja popravka je jasno tu poleg vključen, nikakor pa ni edini pomemben.
Narobe predpostavljaš. Točno vem kaj hočeš reči in se čisto strinjam. Kar jaz pravim je, da je pomembno tudi (oz. še bolj), kako hitro se luknja zaflika, ko je enkrat ranljivost javna. Ker vsak software je ranljiv, resnost providerja pa najlažje določiš na način, kako ranljivosti obravnava. Plus da se bodo, ko bo exploit enkrat javen, script kiddy-ji spravili nate.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Ni tako nepomembna, če ranljivost pride na dan, vendor je pa pol leta ne zakrpa.
Narobe - ti imaš (pogosto napačno) prepostavko, da je ranljivost "znana" samo po trenutku, ko se javno objavi. Kar nikakor ni res.
Pri close source je ranljivost lahko znana prej, vendar samo določenemu krogu ljudi, ki je ponavadi ne zlorabljajo za razne zle namene (razen mogoče kaka vlada, pa še tam ne bodo šli nekomu brisat podatkov dol z računalnika).
Pri open source pa je ranljivost znana VSEM od trenutka, ko je koda napisana. Ampak ker pač tako veliko folka kodo prebere in preveri se te ranljivosti očitno na polno zlorablja dokler ni en dost pogumen in to javno prizna. :) Vsak navaden uporabnik (vključno z vsemi slo-techovci) pač ne bere celotne source kode, ki jo poganja na svojem računalu. Ga še nisem srečal junaka...
>Pri open source pa je ranljivost znana VSEM od trenutka, ko je koda napisana.
No, tole je precej trapasta izjava (brez zamere). Če bi bila znana VSEM od trenutka, ko je napisana, verjetno ne bi čakali, da izvedo zanjo, predno jo zakrpajo.
Tudi pri odprti kodi rabiš dosti znanja in časa, da v kodi najdeš luknjo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Jaja kaj imejte zaprto kodo, predali ste kontrolo, ter svobodo! Če želiš kej pozitivnega linuxu pridodat boš član, čene jamraj raje sam sebi noč in dan,..
Jo bomo mel. Jo mamo. Ker je odprta ni nič boljša. Dejstvo je, da Microsoft zaposljuje TOP programerje in verjemi, da bi mel rajši 10 vrstic njihove kode kot pa 100 vrstic kode freebie programerjev. Po drugi strani je vse odvisno od pogleda na svet. Če dobrega programerja veseli to, da kodo deli...naj jo piše. Če noče kode delit zato, da bo bla pol v 100ih projektih on pa od tega ne bo mel nič naj je pač ne daje ven. Je veliko bolj pomembno, da je motiviran in da je koda na koncu konkretno spisana. Neke komunajzerske fore, kjer je dobro samo tisto, kar je skupno(odprto) si pa lahko vtaknete v rit. Veljajo samo rezultati. Tudi norci s folijastimi kapicami, ki mislijo, da se v skompajlan program, ki izhaja iz opensource kode ne da vtaknit trojanca so lep dokaz, da nimajo pojma o pojmu, kaj šele o osnovah programiranja.
Microsoft je izdal katastrofalno polomjen operacijski sistem, tako da po tem takem ne zaposluje top programerjev. Odprta koda je že v osnovi boljša, ker lahko kodo popraviš, če si želiš, ali pa modificiraš, dopolneš.
Ergo je v obeh primerih ranljivost znana samo določenem krogu ljudi.
Ne razumeš... pri open source je koda javna in ranljivost je znana vsem, samo nobenemu se ne da ukvarjati z njo oz. z iskanjem ranljivosti, ker so vsi tak "super duper" ali pa imajo svoje namene da je ne iščejo.
>Pri open source pa je ranljivost znana VSEM od trenutka, ko je koda napisana.
No, tole je precej trapasta izjava (brez zamere). Če bi bila znana VSEM od trenutka, ko je napisana, verjetno ne bi čakali, da izvedo zanjo, predno jo zakrpajo.
Tudi pri odprti kodi rabiš dosti znanja in časa, da v kodi najdeš luknjo.
Open source je javen in koda vsem na vpogled, torej je vsem na očeh od trenutka, ko je objavljena javno - torej uradno napisana. Zdej če pa je skupnost in programerji tolk sposobni da je "ne vidijo" pa nismo mi krivi. To samo dokazuje, da je opensource nič manj varen kot closed source, kvečjemu še manj!
Jaja kaj imejte zaprto kodo, predali ste kontrolo, ter svobodo! Če želiš kej pozitivnega linuxu pridodat boš član, čene jamraj raje sam sebi noč in dan,..
Jo bomo mel. Jo mamo. Ker je odprta ni nič boljša. Dejstvo je, da Microsoft zaposljuje TOP programerje in verjemi, da bi mel rajši 10 vrstic njihove kode kot pa 100 vrstic kode freebie programerjev. Po drugi strani je vse odvisno od pogleda na svet. Če dobrega programerja veseli to, da kodo deli...naj jo piše. Če noče kode delit zato, da bo bla pol v 100ih projektih on pa od tega ne bo mel nič naj je pač ne daje ven. Je veliko bolj pomembno, da je motiviran in da je koda na koncu konkretno spisana. Neke komunajzerske fore, kjer je dobro samo tisto, kar je skupno(odprto) si pa lahko vtaknete v rit. Veljajo samo rezultati. Tudi norci s folijastimi kapicami, ki mislijo, da se v skompajlan program, ki izhaja iz opensource kode ne da vtaknit trojanca so lep dokaz, da nimajo pojma o pojmu, kaj šele o osnovah programiranja.
Microsoft je izdal katastrofalno polomjen operacijski sistem, tako da po tem takem ne zaposluje top programerjev. Odprta koda je že v osnovi boljša, ker lahko kodo popraviš, če si želiš, ali pa modificiraš, dopolneš.
In kolikokrat si popravil varnostne lukne, ki s bila leta v kodi sam? Ah ja... nikoli... as always.
Open source doseže svoj namen, če prebereš celotno kodo preden jo prevedeš in preveriš na lastno pest da ni notri nobenih lukenj, ker drugače je isto kot closed source z vidika varnosti. In kot že rečeno, ga še nisem videl "gobezdača", ki bi sam prebral celotno kodo, ki jo poganja. Ker če bi se že našel tak junak, bi bilo skoraj vseeno če bi kodo kar sam napisal namesto da bi bral delo drugih...
Open source doseže svoj namen, če prebereš celotno kodo preden jo prevedeš in preveriš na lastno pest da ni notri nobenih lukenj, ker drugače je isto kot closed source z vidika varnosti. In kot že rečeno, ga še nisem videl "gobezdača", ki bi sam prebral celotno kodo, ki jo poganja. Ker če bi se že našel tak junak, bi bilo skoraj vseeno če bi kodo kar sam napisal namesto da bi bral delo drugih...
Traparija. Open source doseže svoj namen, ko imaš opcijo, da modificiraš kodo. Vse ostalo je irelevantno. Windows je closed source, pa je večina exploitov za njega. Tako da izjava, da je open source manj varen s stališča varnosti nekako ne drži vode.
Na varnost ti vplivajo (približno po tem vrstnem redu): - tvoja sposobnost, da opaziš nestandardno delovanje sistema, razumeš in pravilno skonfiguriraš sistem ter spremljaš objave resnih ranljivosti - kakovost kode/programa, ki ga uporabljaš - odzivnost skrbnika programa na reševanje problemov - razširjenost programa, ki ga uporabljaš - dostopnost do kode programa
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Butast je tisti, ki jo ne razume. Bom vseeno poskusil razložiti.
Moja in tudi tista trditev, katero sem komentiral, je poudarjala eno lastnost, ki nima veze z drugo lastnostjo, a se je "pretvarjala" da sta povezani.
Detaljno: - lastnost A: avto je slab / software je slab (ali dober) - lastnost B: možnost popravila avta/softvera
Torej nekaj, kar po definiciji učinkuje post-festum (popravki) naj bi določalo kvaliteto zadeve v izhodišču. Kar je nesmisel.
Avto in softver sta taka kot sta. S popravki pa lahko njihove lastnosti NAKNADNO spremenimo. Če se za to odločimo. (vemo, da 99,99% uporabnikov ne spreminja softvera, v bistvu jih več manipulira closed-source programe (razni kreki in patch-i) kot pa odprtokodne)
Open source doseže svoj namen, ko imaš opcijo, da modificiraš kodo. Vse ostalo je irelevantno. Windows je closed source, pa je večina exploitov za njega. Tako da izjava, da je open source manj varen s stališča varnosti nekako ne drži vode.
Večina exploitov je za večino sistemov. Kdo pa bo šel pisal exploit za AmigaOS, če pa ga uporablja tam 5 ljudi, od tega 3 brez internetne povezave?
Kje je open source razširjen, ima tudi ustrezno število exploitov. Primeri: Firefox, Apache, OpenSSL,...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Ergo je v obeh primerih ranljivost znana samo določenem krogu ljudi.
Ne razumeš... pri open source je koda javna in ranljivost je znana vsem, samo nobenemu se ne da ukvarjati z njo oz. z iskanjem ranljivosti, ker so vsi tak "super duper" ali pa imajo svoje namene da je ne iščejo.
>Pri open source pa je ranljivost znana VSEM od trenutka, ko je koda napisana.
No, tole je precej trapasta izjava (brez zamere). Če bi bila znana VSEM od trenutka, ko je napisana, verjetno ne bi čakali, da izvedo zanjo, predno jo zakrpajo.
Tudi pri odprti kodi rabiš dosti znanja in časa, da v kodi najdeš luknjo.
Open source je javen in koda vsem na vpogled, torej je vsem na očeh od trenutka, ko je objavljena javno - torej uradno napisana. Zdej če pa je skupnost in programerji tolk sposobni da je "ne vidijo" pa nismo mi krivi. To samo dokazuje, da je opensource nič manj varen kot closed source, kvečjemu še manj!
Jaja kaj imejte zaprto kodo, predali ste kontrolo, ter svobodo! Če želiš kej pozitivnega linuxu pridodat boš član, čene jamraj raje sam sebi noč in dan,..
Jo bomo mel. Jo mamo. Ker je odprta ni nič boljša. Dejstvo je, da Microsoft zaposljuje TOP programerje in verjemi, da bi mel rajši 10 vrstic njihove kode kot pa 100 vrstic kode freebie programerjev. Po drugi strani je vse odvisno od pogleda na svet. Če dobrega programerja veseli to, da kodo deli...naj jo piše. Če noče kode delit zato, da bo bla pol v 100ih projektih on pa od tega ne bo mel nič naj je pač ne daje ven. Je veliko bolj pomembno, da je motiviran in da je koda na koncu konkretno spisana. Neke komunajzerske fore, kjer je dobro samo tisto, kar je skupno(odprto) si pa lahko vtaknete v rit. Veljajo samo rezultati. Tudi norci s folijastimi kapicami, ki mislijo, da se v skompajlan program, ki izhaja iz opensource kode ne da vtaknit trojanca so lep dokaz, da nimajo pojma o pojmu, kaj šele o osnovah programiranja.
Microsoft je izdal katastrofalno polomjen operacijski sistem, tako da po tem takem ne zaposluje top programerjev. Odprta koda je že v osnovi boljša, ker lahko kodo popraviš, če si želiš, ali pa modificiraš, dopolneš.
In kolikokrat si popravil varnostne lukne, ki s bila leta v kodi sam? Ah ja... nikoli... as always.
Open source doseže svoj namen, če prebereš celotno kodo preden jo prevedeš in preveriš na lastno pest da ni notri nobenih lukenj, ker drugače je isto kot closed source z vidika varnosti. In kot že rečeno, ga še nisem videl "gobezdača", ki bi sam prebral celotno kodo, ki jo poganja. Ker če bi se že našel tak junak, bi bilo skoraj vseeno če bi kodo kar sam napisal namesto da bi bral delo drugih...
Ja napisat vse sam, je boljša taktika kot prebrat kodo drugih, zato ker iz kode drugih se nič nemoreš naučit, vse zgradit znova, ne se učit, na napakah ki so jih narediti drugi, ne objavit teh stvari da se lahko drugi učijo na njih zase vse držat, z takim razmišljanjem bi bili sedaj še v kameni dobi. Point razvoja je da ljudje gradijo na rešitvah drugi drugih. Da lahko gradiš, na stvareh moreš imet dostop do njih, in možnost manipulacije, ter deljenja.
>Moja in tudi tista trditev, katero sem komentiral, je poudarjala eno lastnost, ki nima veze z drugo lastnostjo, a se je "pretvarjala" da sta povezani.
Nič se ni pretvarjala, povezava je zrasla v tvoji glavi.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Vsi počakajo, da se popravki znajdejo v repozitorijih.