mboost-dp1
unknown
FULL DISCLOSURE!!!
Det er den filosofi som hele Open Source bunder i.
Den er beskrevet inden Linux og HURD og det er princippet i at når man finder en fejl rettes denne.
Fordelen ved Open Source er at alle har adgang til koden og dermed er FULL DISCLOSURE opnået. Ikke kun rapporterne!
Jeg har læst en bog skrevet af en hacker, som opfordrer firmaer til at hacke sig selv gennem mange gængse teknikker.. Han skriver bl.a. at problemet med MS er at hvis de får at vide at en fejl er tilstede i ex. IE vil de ikke erkende dette!!
Netop deri er styrken i Linux og Open Source + De åbner standarder!
Ingen kan vide sig sikker på at koden er virkelig sikker! Men de kan være sikre på at samtlige fejl gøres "public" og dermed er trusslen allerede egentlig overstået --for vedkommende som melder om svagheden / fejlen -har tit selv kommet med de kode ændringer som skal til!!!
Glem nu MS' idé med at de ved alting bedst selv!
Hvor ville forskningen i verden være hvis ikke forskere snakkede sammen om deres opdagelser!
Det er den filosofi som hele Open Source bunder i.
Den er beskrevet inden Linux og HURD og det er princippet i at når man finder en fejl rettes denne.
Fordelen ved Open Source er at alle har adgang til koden og dermed er FULL DISCLOSURE opnået. Ikke kun rapporterne!
Jeg har læst en bog skrevet af en hacker, som opfordrer firmaer til at hacke sig selv gennem mange gængse teknikker.. Han skriver bl.a. at problemet med MS er at hvis de får at vide at en fejl er tilstede i ex. IE vil de ikke erkende dette!!
Netop deri er styrken i Linux og Open Source + De åbner standarder!
Ingen kan vide sig sikker på at koden er virkelig sikker! Men de kan være sikre på at samtlige fejl gøres "public" og dermed er trusslen allerede egentlig overstået --for vedkommende som melder om svagheden / fejlen -har tit selv kommet med de kode ændringer som skal til!!!
Glem nu MS' idé med at de ved alting bedst selv!
Hvor ville forskningen i verden være hvis ikke forskere snakkede sammen om deres opdagelser!
Lige kort beskrivelse af mit system: dualboot m. win2000 / Gentoo
Bruger kun Firebird i windows, med mindre jeg skal bruge min Ibank. Forstår ikke hvorfor nogen(har glemt hvilken post det var :/ ) mener at Mozilla/Firebird vil være svært at bruge for den almindelige bruger i windows.
1. man skal finde deres hp.
2. hente en fil.
3. pakke indholdet af filen ud.
man skal ingengang starte en installer eller noget, hvor svært kan det være? Tjaaa der er tabs i mozilla men det kan vel ikke vælte nogens verden? Den ligner IE nok i interfaceded så der burde da ikke være de store problemer. Godt nok er det da ikke alle sider, som er kodet til alle browsere, men da man ikke lige kan fjerne IE, så kan man da bare åbne de specifikke sider i IE.
Bruger kun Firebird i windows, med mindre jeg skal bruge min Ibank. Forstår ikke hvorfor nogen(har glemt hvilken post det var :/ ) mener at Mozilla/Firebird vil være svært at bruge for den almindelige bruger i windows.
1. man skal finde deres hp.
2. hente en fil.
3. pakke indholdet af filen ud.
man skal ingengang starte en installer eller noget, hvor svært kan det være? Tjaaa der er tabs i mozilla men det kan vel ikke vælte nogens verden? Den ligner IE nok i interfaceded så der burde da ikke være de store problemer. Godt nok er det da ikke alle sider, som er kodet til alle browsere, men da man ikke lige kan fjerne IE, så kan man da bare åbne de specifikke sider i IE.
#50 annoia:
Med "vi" mener jeg os der ikke kan lide Microsoft, hvordan har du fået anden ide?
Jeg har efterhånden lagt mærke til at du stor fortaler for OS-miljøet (linux i særdeleshed), og derfor ville jeg lige være sikker.
Hvem har nogensinde sagt at den er objektiv? Den er ikke spor objektiv, men..etc.
Jeg synts i høj grad det er relevant om den er objektiv. Meget af den kritik der er i f.eks det første afsnit om "Bloat", virker til at være forfatterens personlige teorier, fortalt på en meget useriøs måde, og det fortsatte derned af. Hvis jeg skal kunne ta´ argumenter seriøst, skal de ihvertilfald ikke formidles på den måde.
Hvornår holder jeg ikke en sober tone? Bare fordi du ikke kommer længere end til overskriften? Det er præcis derfor jeg tvivlede på at han gad læse den, men nu fangede den jo så dig...
Jeg indrømmer da gerne at jeg dømte siden på overskriften, og derved faldt i din snedige fælde.
Jeg vurderede nemlig at der var stor sandsynlighed for at resten af sidens indhold lå på samme niveau som overskriften gav udtryk for, og at det ville være spild af min tid at læse videre. Det viste sig at jeg havde fuldstændig ret.
Angående den sobre tone, appelerer jeg såmænd bare til at man minimere de provokorende, og fuldstændig unødvendige, bemærkninger, når man laver indlæg.
Med "vi" mener jeg os der ikke kan lide Microsoft, hvordan har du fået anden ide?
Jeg har efterhånden lagt mærke til at du stor fortaler for OS-miljøet (linux i særdeleshed), og derfor ville jeg lige være sikker.
Hvem har nogensinde sagt at den er objektiv? Den er ikke spor objektiv, men..etc.
Jeg synts i høj grad det er relevant om den er objektiv. Meget af den kritik der er i f.eks det første afsnit om "Bloat", virker til at være forfatterens personlige teorier, fortalt på en meget useriøs måde, og det fortsatte derned af. Hvis jeg skal kunne ta´ argumenter seriøst, skal de ihvertilfald ikke formidles på den måde.
Hvornår holder jeg ikke en sober tone? Bare fordi du ikke kommer længere end til overskriften? Det er præcis derfor jeg tvivlede på at han gad læse den, men nu fangede den jo så dig...
Jeg indrømmer da gerne at jeg dømte siden på overskriften, og derved faldt i din snedige fælde.
Jeg vurderede nemlig at der var stor sandsynlighed for at resten af sidens indhold lå på samme niveau som overskriften gav udtryk for, og at det ville være spild af min tid at læse videre. Det viste sig at jeg havde fuldstændig ret.
Angående den sobre tone, appelerer jeg såmænd bare til at man minimere de provokorende, og fuldstændig unødvendige, bemærkninger, når man laver indlæg.
Kjellerup - Ok, for at spare dig for kedeligt irrelevant indhold, så læs:
Vaporware
Predatory Practices
Bundling of inferior products Lidt mere her...
Bugs, bugs, and more bugs (Ja, det er også røv irriterende!)
Insecurity
Closed "standards" (ganske forståeligt, men givet valget vælger jeg de åbne)
Mutilation of existing standards
Lack of innovation Igen lidt mere her.
Outright Deception
De småting er nok til at jeg ikke er specielt glad for Microsoft...
Vaporware
Predatory Practices
Bundling of inferior products Lidt mere her...
Bugs, bugs, and more bugs (Ja, det er også røv irriterende!)
Insecurity
Closed "standards" (ganske forståeligt, men givet valget vælger jeg de åbne)
Mutilation of existing standards
Lack of innovation Igen lidt mere her.
Outright Deception
De småting er nok til at jeg ikke er specielt glad for Microsoft...
#3 lean: Det er rigtigt, men hvor mange gør lige det? Hvor mange får overhovedet kendskab til disse bugs? Problemet er at langt størstedelen ikke gør det og derfor vil det sandsynligvis gøre større skade at release et exploit. I stedet skulle de vente til firmaet har lavet et bugfix og så annoncere det (kaldes vist responsible disclosure) derefter. Hvis firmaet (i dette tilfælde MS) efter en vis periode, ikke har lavet et bugfix, så kan man så offentliggøre det for at gøre andre opmærksomme på problemet og for at presse firmaet til at rette problemet.
#6 mikbund: Problemet med det er at du ikke selv har nogen som helst mulighed for at rette problemet da du ikke har kildekoden.
#8 Mr.Weasel: Som jeg skrev til lean - det hjælper ikke 99% af brugerne, da de ikke læser om disse bugs og ikke ændrer instillingerne i IE. Selvom de læste dem, så vil jeg gætte på at en stor del af dem stadigt ikke ville ændre browserens indstillinger. Dermed vil du primært gøre det lettere for "crackerne" at lave en orm der udnytter det. Målet må være at begrænse skaden.
#6 mikbund: Problemet med det er at du ikke selv har nogen som helst mulighed for at rette problemet da du ikke har kildekoden.
#8 Mr.Weasel: Som jeg skrev til lean - det hjælper ikke 99% af brugerne, da de ikke læser om disse bugs og ikke ændrer instillingerne i IE. Selvom de læste dem, så vil jeg gætte på at en stor del af dem stadigt ikke ville ændre browserens indstillinger. Dermed vil du primært gøre det lettere for "crackerne" at lave en orm der udnytter det. Målet må være at begrænse skaden.
#28 ahlforn:
jeg synes på en måde det er ret nobelt, at du ligefrem indrømmer, at du er en af de hersens "onde og dovne" web-kodere der ikke gider overholde den standard der sikrer at ALLE er tilfredse.
Jeg er derimod sikker på at de(n) funktionalitet du har implementeret vha. IE-specifikke features, sagtens kan implementeres med andre værktøjer som overholder standarden.
Jeg væmmes over din holdning...
jeg synes på en måde det er ret nobelt, at du ligefrem indrømmer, at du er en af de hersens "onde og dovne" web-kodere der ikke gider overholde den standard der sikrer at ALLE er tilfredse.
Jeg er derimod sikker på at de(n) funktionalitet du har implementeret vha. IE-specifikke features, sagtens kan implementeres med andre værktøjer som overholder standarden.
Jeg væmmes over din holdning...
#56 pointwood
Dine motiver er sympatiske.
Men hvordan beskytter jeg mig mod farer jeg ikke bliver informeret om.
'Responsible' disclosure redder os *måske* fra de mest uduelige kiddies.
Men generelt er det os brugere den politik går mest ud over.
Det eneste jeg modsætte mig er når man udover at advare og beskrive problemmet, også levere hel eller delvist funktionel samplekode til at demonstrere hvordan man exploiter bug'en.
Noget vi desværre ser ind i mellem.
MS Blaster / Lovesan ormen er et godt eksempel på en kiddie der forvolder enorm skade, fordi en eller anden idiot leverede exploit kode med til sin advisory.
Dine motiver er sympatiske.
Men hvordan beskytter jeg mig mod farer jeg ikke bliver informeret om.
'Responsible' disclosure redder os *måske* fra de mest uduelige kiddies.
Men generelt er det os brugere den politik går mest ud over.
Det eneste jeg modsætte mig er når man udover at advare og beskrive problemmet, også levere hel eller delvist funktionel samplekode til at demonstrere hvordan man exploiter bug'en.
Noget vi desværre ser ind i mellem.
MS Blaster / Lovesan ormen er et godt eksempel på en kiddie der forvolder enorm skade, fordi en eller anden idiot leverede exploit kode med til sin advisory.
#56: Det er rigtigt, men hvor mange gør lige det? Hvor mange får overhovedet kendskab til disse bugs?
En helvedes masse sysadmins ?
Hvorfor skal de kompetente slagtes på bekostning af de inkompetente - som i 99% af alle tilfælde ville være fuldstændigt clear med noget så simpelt som en ZoneAlarm ???
(ikke særlig IE-specifikt - mere generelt set)
Fatter ikke at firmaer skal have lov til at gå og gemme på deres huller >:(
sKIDROw - Right on.
En helvedes masse sysadmins ?
Hvorfor skal de kompetente slagtes på bekostning af de inkompetente - som i 99% af alle tilfælde ville være fuldstændigt clear med noget så simpelt som en ZoneAlarm ???
(ikke særlig IE-specifikt - mere generelt set)
Fatter ikke at firmaer skal have lov til at gå og gemme på deres huller >:(
sKIDROw - Right on.
#56
Så pga af 99% af brugerne ikke kan passe på sig selv, skal de ikke have mulighed for det?
Når Microsoft releaser et patch, kommer de også med vital information der gør det meget nemmere at udnytte hullet.
Så hvis størstedelen af brugerne ikke opdaterer, skal man ifølge din teori slet ikke udgive patchen???
Jeg mindes en Code Red orm, som blev udgivet laang tid efter at der var et fix til hullet... Det lærte en hel del folk at opdatere deres computer.
Desuden er det rart at kunne afprøve sit produkt, når man har lavet det.
Hvis jeg f. eks skriver en hjemmeside, er det rart at kunne se den i en browser og se at den er som jeg forestiller mig.
Når jeg skriver et program er det rart kunne køre det og se at det virker som jeg forventede.
Og når jeg patcher et hul, vil jeg have et værktøj til at se om det virkelig også er patchet.
Så pga af 99% af brugerne ikke kan passe på sig selv, skal de ikke have mulighed for det?
Når Microsoft releaser et patch, kommer de også med vital information der gør det meget nemmere at udnytte hullet.
Så hvis størstedelen af brugerne ikke opdaterer, skal man ifølge din teori slet ikke udgive patchen???
Jeg mindes en Code Red orm, som blev udgivet laang tid efter at der var et fix til hullet... Det lærte en hel del folk at opdatere deres computer.
Desuden er det rart at kunne afprøve sit produkt, når man har lavet det.
Hvis jeg f. eks skriver en hjemmeside, er det rart at kunne se den i en browser og se at den er som jeg forestiller mig.
Når jeg skriver et program er det rart kunne køre det og se at det virker som jeg forventede.
Og når jeg patcher et hul, vil jeg have et værktøj til at se om det virkelig også er patchet.
#58:
Men hvordan beskytter jeg mig mod farer jeg ikke bliver informeret om. 'Responsible' disclosure redder os *måske* fra de mest uduelige kiddies.
Hmmm...jeg mener ikke der er den store risiko ved at vente med en offentliggørelse et par måneder.
Dermed mener jeg heller ikke man "slagter" de kompetente på bekostning af de inkompetente som west påstår i #59.
59: Fatter ikke at firmaer skal have lov til at gå og gemme på deres huller >:(
Den forstår jeg ikke helt?
#60: Nu drejer du vist bevist mine udsagn. Det jeg skrev var at langt de fleste ikke ville ændre i browserens indstillinger. Ofte fordi de ændringer der er nødvendige, vil lukke af for alt for meget funktionalitet som de er vandt til at have i deres browser. Du har ret i at et af de største problemer mht. sikkerhed, er at folk ikke holder deres PC'ere opdaterede. Det har simpelthen været for besværligt - det hjælper windowsupdate gevaldigt på.
Microsoft gør en masse for at gøre deres systemer mere sikre - Windows 2003 Server skulle være langt mere sikker end deres tidligere versioner bl.a. fordi IIS m.m. ikke installeres som standard og fordi de generelt som standard har lukket af for næsten alt. Det skulle de selvfølgeligt have gjort for længe siden, men bedre sent end aldrig...
Men hvordan beskytter jeg mig mod farer jeg ikke bliver informeret om. 'Responsible' disclosure redder os *måske* fra de mest uduelige kiddies.
Hmmm...jeg mener ikke der er den store risiko ved at vente med en offentliggørelse et par måneder.
Dermed mener jeg heller ikke man "slagter" de kompetente på bekostning af de inkompetente som west påstår i #59.
59: Fatter ikke at firmaer skal have lov til at gå og gemme på deres huller >:(
Den forstår jeg ikke helt?
#60: Nu drejer du vist bevist mine udsagn. Det jeg skrev var at langt de fleste ikke ville ændre i browserens indstillinger. Ofte fordi de ændringer der er nødvendige, vil lukke af for alt for meget funktionalitet som de er vandt til at have i deres browser. Du har ret i at et af de største problemer mht. sikkerhed, er at folk ikke holder deres PC'ere opdaterede. Det har simpelthen været for besværligt - det hjælper windowsupdate gevaldigt på.
Microsoft gør en masse for at gøre deres systemer mere sikre - Windows 2003 Server skulle være langt mere sikker end deres tidligere versioner bl.a. fordi IIS m.m. ikke installeres som standard og fordi de generelt som standard har lukket af for næsten alt. Det skulle de selvfølgeligt have gjort for længe siden, men bedre sent end aldrig...
Man kan evt. skifte til et andet program der har den funktionalitet man plejer at bruge, men som ikke er usikkert?
#60
'Ændre i browseren indstillinger'
Du kan godt beskytte dig mod denne bug på andre måder. F. eks kan du skifte browser.
Så brugeren kan bare have installeret et program, som sørger for at din computer aldrig har huller, ved at skifte til alternative programmer når der er et problem (eller at brugeren får en popupmeddelelse om at programmet de bruger er usikkert, og kommer med et alternativ.).
At folk ikke har købt sådan support, skal da ikke gå ud over folk som passer lidt bedre på sig selv (og er computeranalfabeter), som har købt denne service.
Ved at skjule huller bliver denne service _umulig_. Denne service burde være standard i alle operativsystemer, lige så vel som autoupdate af patches.
'Ændre i browseren indstillinger'
Du kan godt beskytte dig mod denne bug på andre måder. F. eks kan du skifte browser.
Så brugeren kan bare have installeret et program, som sørger for at din computer aldrig har huller, ved at skifte til alternative programmer når der er et problem (eller at brugeren får en popupmeddelelse om at programmet de bruger er usikkert, og kommer med et alternativ.).
At folk ikke har købt sådan support, skal da ikke gå ud over folk som passer lidt bedre på sig selv (og er computeranalfabeter), som har købt denne service.
Ved at skjule huller bliver denne service _umulig_. Denne service burde være standard i alle operativsystemer, lige så vel som autoupdate af patches.
#28
"Men som webprogrammør må jeg sige at når man bestemmer sig til hvordan man vil programmere en webside, må man gøre det ud fra den brugergruppe man sigter mod. Jeg er lige blevet færdig med en ny hjemmeside til min CS klan. Da den absolutte størstedel af CS spillere bruger IE, og mine statistikker fra den gamle side, siger at 99,8% af de besøgende var IE brugere, og den resterende 0,2% var delt imellem 5-6 forskellige andre browsere, gad jeg da ikke sidde og bruge en masse tid på at programmere siden strengt efter W3 standard, for slet ikke at tale om alle de CSS og HTML features jeg måtte undvære fordi de ikke er understøttet af alle browsere."
Tænk hvis det var sådan overalt.. Der er kun 0,1% handicappede i Danmark, ingen grund til at tage højde for dem...
Det ville godt nok være træls for dem :)
"Men som webprogrammør må jeg sige at når man bestemmer sig til hvordan man vil programmere en webside, må man gøre det ud fra den brugergruppe man sigter mod. Jeg er lige blevet færdig med en ny hjemmeside til min CS klan. Da den absolutte størstedel af CS spillere bruger IE, og mine statistikker fra den gamle side, siger at 99,8% af de besøgende var IE brugere, og den resterende 0,2% var delt imellem 5-6 forskellige andre browsere, gad jeg da ikke sidde og bruge en masse tid på at programmere siden strengt efter W3 standard, for slet ikke at tale om alle de CSS og HTML features jeg måtte undvære fordi de ikke er understøttet af alle browsere."
Tænk hvis det var sådan overalt.. Der er kun 0,1% handicappede i Danmark, ingen grund til at tage højde for dem...
Det ville godt nok være træls for dem :)
#64: Så simpelt er det jo ikke og det ved du forhåbentligt også.
Problemet er jo lige netop at det ikke kun går ud over dem der ikke har beskyttet sig ordenligt. Det er suboptimering.
Der er mange der ikke benytter autoupdate, især firmaer. De tester først opdateringerne (med god grund) før de installerer dem.
Problemet er jo lige netop at det ikke kun går ud over dem der ikke har beskyttet sig ordenligt. Det er suboptimering.
Der er mange der ikke benytter autoupdate, især firmaer. De tester først opdateringerne (med god grund) før de installerer dem.
#28:
Jeg fatter ikke at nogen gider kode specifikt til IE.. for det første kan man gøre nøjagtig det samme, selv om man følger standarderne, for det andet er det sikkert også lettere....
Faktisk er det IE der mangler nogle features vedrørende CSS 1.0 (som en anden også postede et eksempel på). MS påstår sjovt nok selv at de understøtter det, men det gør de ikke, og det er ret irriterende, da det er muligt at lave nogle fede ting med CSS, uden brug af diverse javascript.
Se evt. denne side: complexspiral
Den bliver vist gangske glimrende i Mozilla/Opera etc., men ser lidt sjov ud i IE, på trods af at den kun bruger standarder som MS påstår IE lever op til.
For at opnå samme effekt i IE som i Mozilla/Opera skal man bruge et flere hundrede linjer langt javascript... ikke særlig effektivt, og meget mere besværligt...
Jeg fatter ikke at nogen gider kode specifikt til IE.. for det første kan man gøre nøjagtig det samme, selv om man følger standarderne, for det andet er det sikkert også lettere....
Faktisk er det IE der mangler nogle features vedrørende CSS 1.0 (som en anden også postede et eksempel på). MS påstår sjovt nok selv at de understøtter det, men det gør de ikke, og det er ret irriterende, da det er muligt at lave nogle fede ting med CSS, uden brug af diverse javascript.
Se evt. denne side: complexspiral
Den bliver vist gangske glimrende i Mozilla/Opera etc., men ser lidt sjov ud i IE, på trods af at den kun bruger standarder som MS påstår IE lever op til.
For at opnå samme effekt i IE som i Mozilla/Opera skal man bruge et flere hundrede linjer langt javascript... ikke særlig effektivt, og meget mere besværligt...
En anden lille side, som IE kløjs i er Hjemmesiden for "Unununium Operating Engine". Jeg har ikke lige set så meget på, hvad den egentlig *gør*, men hjemmesiden fejler i hvert fald hårt med IE.
#62 pointwood
["Men hvordan beskytter jeg mig mod farer jeg ikke bliver informeret om. 'Responsible' disclosure redder os *måske* fra de mest uduelige kiddies."
Hmmm...jeg mener ikke der er den store risiko ved at vente med en offentliggørelse et par måneder.
Dermed mener jeg heller ikke man "slagter" de kompetente på bekostning af de inkompetente som west påstår i #59.]
Det er et skråplan at ofre åbenheden.
Dels skåner det ikke de teknisk handicappede bruger, men hæmmer os andre voldsomt ved at holde os hen i uvished.
For selvom VI ikke kender sårbarhederne, betyder det ikke nødvendigvis at crackerne ikke gør det.
Og derfor er det alfa og omega at vi andre har de bedste kort på hånden til at sikre vores systemer.
["Men hvordan beskytter jeg mig mod farer jeg ikke bliver informeret om. 'Responsible' disclosure redder os *måske* fra de mest uduelige kiddies."
Hmmm...jeg mener ikke der er den store risiko ved at vente med en offentliggørelse et par måneder.
Dermed mener jeg heller ikke man "slagter" de kompetente på bekostning af de inkompetente som west påstår i #59.]
Det er et skråplan at ofre åbenheden.
Dels skåner det ikke de teknisk handicappede bruger, men hæmmer os andre voldsomt ved at holde os hen i uvished.
For selvom VI ikke kender sårbarhederne, betyder det ikke nødvendigvis at crackerne ikke gør det.
Og derfor er det alfa og omega at vi andre har de bedste kort på hånden til at sikre vores systemer.
#70: Hvis crackerne ikke også finder den sårbarhed i perioden (et par måneder) fra den blev opdaget til en patch er lavet, så beskytter man da lige netop brugerne. Efter hvad jeg ved så bliver langt de fleste orme osv. først lavet (af scriptkiddies) efter at sårbarhederne er offentligtgjort. Det er også sådan det fungerer i open source verdenen - de offentliggører generelt heller ikke sårbarheden før de har en patch klar. Det er selvfølgeligt en vurdering fra sag til sag, men generelt mener jeg det er en fornuftig procedure.
Det store problem er så at få folk til at opdatere deres maskiner. Jeg tror næste version af Windows som standard vil have windowsupdate til at checke for opdateringer automatisk og det vil forhåbentligt hjælpe gevaldigt.
Det optimale er selvfølgeligt at lave software der ikke indeholder sårbarheder, men det vil nok aldrig lykkedes.
Det store problem er så at få folk til at opdatere deres maskiner. Jeg tror næste version af Windows som standard vil have windowsupdate til at checke for opdateringer automatisk og det vil forhåbentligt hjælpe gevaldigt.
Det optimale er selvfølgeligt at lave software der ikke indeholder sårbarheder, men det vil nok aldrig lykkedes.
#71 "de offentliggører generelt heller ikke sårbarheden før de har en patch klar."
Det passer jo ikke. Diverse ssh-huller er blevet offentliggjort så snart de blev opdaget, mozilla-hullet med at man kunne køre arbitrær kode med javascript i mails blev offentliggjort med det samme, så folk kunne slå det fra osv. Der er adskillige eksempler, men tak for FUD.
Det passer jo ikke. Diverse ssh-huller er blevet offentliggjort så snart de blev opdaget, mozilla-hullet med at man kunne køre arbitrær kode med javascript i mails blev offentliggjort med det samme, så folk kunne slå det fra osv. Der er adskillige eksempler, men tak for FUD.
hmm fatter ikke privat personer går heldt i koma over et hul i IE.
Der er ikke en eneste craker der gidder at spilde sin tid på din homebanking og du har heller ikke noge spendene filer aligevell de kan bruge til noget.
Men firmaer skal nok sikre sig med det hurtigst muligt for der er noget at komme efter.
Weee arbejde igen til mig atter en gang skal jeg patche det f¤#king IE... *suk*
Der er ikke en eneste craker der gidder at spilde sin tid på din homebanking og du har heller ikke noge spendene filer aligevell de kan bruge til noget.
Men firmaer skal nok sikre sig med det hurtigst muligt for der er noget at komme efter.
Weee arbejde igen til mig atter en gang skal jeg patche det f¤#king IE... *suk*
#71 pointwood
[Hvis crackerne ikke også finder den sårbarhed i perioden (et par måneder) fra den blev opdaget til en patch er lavet, så beskytter man da lige netop brugerne.]
Fejl.
Kiddies angriber først efter de får løsningen serveret på et sølvfad.
Hvor crackere generelt er væsentligt hurtigere og bedre informeret.
Netop derfor bør vi andre også være det.
[Efter hvad jeg ved så bliver langt de fleste orme osv. først lavet (af scriptkiddies) efter at sårbarhederne er offentligtgjort.]
Sådan er det ind i mellem ja.
Men vi kan ikke rigtigt sikre vores systemer, før vi bliver ordentligt informeret.
Derfor er det en uansvarlig gambling fra softwarehuse og sikkerhedsguru'ers side.
Har personligt tabt respekten for CERT, da jeg fandt ud af deres politik.
[Det er også sådan det fungerer i open source verdenen - de offentliggører generelt heller ikke sårbarheden før de har en patch klar. Det er selvfølgeligt en vurdering fra sag til sag, men generelt mener jeg det er en fornuftig procedure.]
Det er muligt at der muligvis kan opstå tilfælde hvor det kunne være en god idé.
Men så snakker vi meget kortvarigt.
Få timer højest.
[Det store problem er så at få folk til at opdatere deres maskiner. Jeg tror næste version af Windows som standard vil have windowsupdate til at checke for opdateringer automatisk og det vil forhåbentligt hjælpe gevaldigt.]
Det skal inføres overalt.
Daglig check for og opdatering at softwaren.
[Det optimale er selvfølgeligt at lave software der ikke indeholder sårbarheder, men det vil nok aldrig lykkedes.]
Mennesker fejler.
Specielt i størrere projekter.
Software (properitær og fri) og andra steder.
Det bedste vi kan gøre er at teste grundigere, man der vil altid kunne slippe ting igennem.
[Hvis crackerne ikke også finder den sårbarhed i perioden (et par måneder) fra den blev opdaget til en patch er lavet, så beskytter man da lige netop brugerne.]
Fejl.
Kiddies angriber først efter de får løsningen serveret på et sølvfad.
Hvor crackere generelt er væsentligt hurtigere og bedre informeret.
Netop derfor bør vi andre også være det.
[Efter hvad jeg ved så bliver langt de fleste orme osv. først lavet (af scriptkiddies) efter at sårbarhederne er offentligtgjort.]
Sådan er det ind i mellem ja.
Men vi kan ikke rigtigt sikre vores systemer, før vi bliver ordentligt informeret.
Derfor er det en uansvarlig gambling fra softwarehuse og sikkerhedsguru'ers side.
Har personligt tabt respekten for CERT, da jeg fandt ud af deres politik.
[Det er også sådan det fungerer i open source verdenen - de offentliggører generelt heller ikke sårbarheden før de har en patch klar. Det er selvfølgeligt en vurdering fra sag til sag, men generelt mener jeg det er en fornuftig procedure.]
Det er muligt at der muligvis kan opstå tilfælde hvor det kunne være en god idé.
Men så snakker vi meget kortvarigt.
Få timer højest.
[Det store problem er så at få folk til at opdatere deres maskiner. Jeg tror næste version af Windows som standard vil have windowsupdate til at checke for opdateringer automatisk og det vil forhåbentligt hjælpe gevaldigt.]
Det skal inføres overalt.
Daglig check for og opdatering at softwaren.
[Det optimale er selvfølgeligt at lave software der ikke indeholder sårbarheder, men det vil nok aldrig lykkedes.]
Mennesker fejler.
Specielt i størrere projekter.
Software (properitær og fri) og andra steder.
Det bedste vi kan gøre er at teste grundigere, man der vil altid kunne slippe ting igennem.
#73, du sover vist lidt i timen?
Mange af de huler bliver udnytte af "script kiddies", der bare skal lave noget balade.
Men de lidt større fisk på nettet (hi, hi, fisk på nettet). Er ude efter så mange maskiner som muligt, for at kunne lave et andgreb på mere spændende maskiner.
Hvis din maskine bliver brugt til at angribe andre maskiner, er du jo med din sløset omgang med sikkerhed medskyldig.
I de helt store angreb, hvor nettet tvings i knæ, og din maskine er en af dem der har været med i angrebet, er du med din sløset omgang med sikkerhed medskyldig i at hele nettet bliver langsomere.
Mange af de huler bliver udnytte af "script kiddies", der bare skal lave noget balade.
Men de lidt større fisk på nettet (hi, hi, fisk på nettet). Er ude efter så mange maskiner som muligt, for at kunne lave et andgreb på mere spændende maskiner.
Hvis din maskine bliver brugt til at angribe andre maskiner, er du jo med din sløset omgang med sikkerhed medskyldig.
I de helt store angreb, hvor nettet tvings i knæ, og din maskine er en af dem der har været med i angrebet, er du med din sløset omgang med sikkerhed medskyldig i at hele nettet bliver langsomere.
#72: At kalde mit foregående indlæg for FUD er lamt IMHO. Jeg formulerede mig nok ikke specielt godt (jeg skyder skylden på manglende kaffe :D ), men jeg sagde *ikke* at det var sådan altid. Open source verdenen er ikke enig om hvad der er bedst, nogen går ind for full disclosure andre gør ikke.
#72 & #74: Som jeg også har skrevet tidligere, så er det altid en vurderingssag hvilken metode der er bedst. Et interessant tilfælde var en sårbarhed i OpenSSH - måden den blev håndteret på er ret interessant og viser lige netop at det ikke er så simpelt som blot at sige "full disclosure" er altid det rigtige: http://lwn.net/Articles/3989/
Det jeg har forsøgt at sige hele tiden er at det er med at minimere "Window of Exposure". Vi kan diskuttere til evighed om hvad der ville have været det bedste i dette tilfælde. Det kommer an på om der er en cracker der kender til sårbarheden eller ej. Mht. "Window of Exposure", så har Bruce Schneier skrevet en meget god artikel om det: http://www.schneier.com/crypto-gram-0009.html#1
#72 & #74: Som jeg også har skrevet tidligere, så er det altid en vurderingssag hvilken metode der er bedst. Et interessant tilfælde var en sårbarhed i OpenSSH - måden den blev håndteret på er ret interessant og viser lige netop at det ikke er så simpelt som blot at sige "full disclosure" er altid det rigtige: http://lwn.net/Articles/3989/
Det jeg har forsøgt at sige hele tiden er at det er med at minimere "Window of Exposure". Vi kan diskuttere til evighed om hvad der ville have været det bedste i dette tilfælde. Det kommer an på om der er en cracker der kender til sårbarheden eller ej. Mht. "Window of Exposure", så har Bruce Schneier skrevet en meget god artikel om det: http://www.schneier.com/crypto-gram-0009.html#1
#28 Vel grunden til at Redmond laver de numre er at de tilsyneladende er klar over at hvis de ikke kan kontrollere kontexten kan de ikke sælge deres produkter.
Du mener at 99.8% af de besøgende browsere identificerer sig om MSIE for Win 5.5+ ikke at de er MSIE for Win 5.5+
Du mener at 99.8% af de besøgende browsere identificerer sig om MSIE for Win 5.5+ ikke at de er MSIE for Win 5.5+
Nu er jeg dælme træt af at blive informeret om ca. hver måned at nu er der endnu et sikkerhedshul i internet explorer. Så der er hermed skiftet til Mozilla.
Håber så på at det er mere sikkert :-)
Håber så på at det er mere sikkert :-)
#76 - #71 "Det er også sådan det fungerer i open source verdenen - de offentliggører generelt heller ikke sårbarheden før de har en patch klar."
Her siger du direkte at OSS-verden generelt kører den samme stil som Microsoft mf. der hedder security through obscurity, hvilket er noget en meget stor del af disse udviklere afskyr, og derfor ikke bruger (da det ikke virker). Jo, det er FUD.
Her siger du direkte at OSS-verden generelt kører den samme stil som Microsoft mf. der hedder security through obscurity, hvilket er noget en meget stor del af disse udviklere afskyr, og derfor ikke bruger (da det ikke virker). Jo, det er FUD.
Argh! Nu er det da dig der spreder "FUD" om mig!
Nej, jeg skrev *ikke* at de generelt benyttede security through obscurity. I hvert fald ikke som jeg forstår "security through obscurity". Hvis de benyttede det, så ville de aldrig fortælle om sårbarhederne.
Der er stor forskel mellem og holde information om en sårbarhed skjult indtil man har en patch og aldrig fortælle om en sårbarhed!
Jeg går selvfølgeligt ikke ind for security through obscurity - hvis jeg gjorde, så ville jeg ikke være fan of open source software...
Der findes ikke nogen "silver bullet". Den bedste måde at offentligøre information om en sårbarhed afhænger af flere ting. Hvor kritisk er sårbarheden? Hvor bruges softwaren? Hvor meget afhænger af softwaren?
Nej, jeg skrev *ikke* at de generelt benyttede security through obscurity. I hvert fald ikke som jeg forstår "security through obscurity". Hvis de benyttede det, så ville de aldrig fortælle om sårbarhederne.
Der er stor forskel mellem og holde information om en sårbarhed skjult indtil man har en patch og aldrig fortælle om en sårbarhed!
Jeg går selvfølgeligt ikke ind for security through obscurity - hvis jeg gjorde, så ville jeg ikke være fan of open source software...
Der findes ikke nogen "silver bullet". Den bedste måde at offentligøre information om en sårbarhed afhænger af flere ting. Hvor kritisk er sårbarheden? Hvor bruges softwaren? Hvor meget afhænger af softwaren?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund