Új hozzászólás Aktív témák
-
proci985
MODERÁTOR
chrome a chromiumra epul ami egy open source projekt es elegge kozel allnak.
a chrome = chromium + pdf + megvalami aprosag, utobbi ketto closed source. chromium egyebkent letoltheto magaban is, picit eltero a logo meg keresgelni kell a nem chrome varianst az oldalukon, de a ket projekt nagyon ossze van fonodva.
-
Dare2Live
félisten
"Nem mellesleg igazán nem értem, hogy hogyan jön az opensource világába a Win7, IEx és a Chrome, mert sokminden elmondható róluk, de hogy az opensource-tól jó messze vannak, az biztos."
Oda sehogy. Ellenben ezek is érintettek adott szituban teljesen mindegy, hogy XPt és IE6ot használ vagy chromen/firefoxot.
-
sh4d0w
félisten
válasz
Dare2Live
#32
üzenetére
Nenm, de az IE6 miatt van még mindig benne a szerverekben az elavult SSL 3.0 támogatása, különben már rég kiebrudalták volna az engedélyezett protokollok közül. Nem mellesleg igazán nem értem, hogy hogyan jön az opensource világába a Win7, IEx és a Chrome, mert sokminden elmondható róluk, de hogy az opensource-tól jó messze vannak, az biztos.
-
Dare2Live
félisten
Már ebből sem jön ki.
poodle uugy érinti a zárt forráskodú világot is ahogy heartbleed is."amiket egyébként írni szoktál"
sztem vkivel keversz. Nem is emlékszem mikor írtam utoljára ilyen témában, idén biztos nem és nem is nagyon érdekel. De ha van pár linked szivesen elolvasom miket írtam a témában.Két gyanudból kettő kuka...?
.....
kb leírtam mi keltette fel a figyelmem. Hiába volt minden hibátlan nem számított. Egy kitartó ATPvel, power user (security officer) megkörnyékezésével bementek. Nem kellett se OS/aplikáció hiba, se poodle, se heartbleed....
és akkor mi van ahol 100ad annyit nem adnak a securityra és 99%ez mert vezetés nem érti minek? Volt is erről egy van benne vmi cikk hwswn. [link] -
bambano
titán
válasz
Dare2Live
#34
üzenetére
azért vagy elfogult, mert volt az idén kettő (na jó, legyen három) bug, akkor itt mindjárt opensource világvége van meg "évek óta alapvető" meg hasonlók, miközben előtte gyakorlatilag nem volt egy ilyen kaliberű bug sem a linux 23 éve alatt.
oké, hogy ez a két bug komoly probléma, de ettől még nem "évek óta" meg nem durva alapvető hibák.
a shellshock is annyira "durva alapvető" probléma, hogy csak egy csomó egyéb más feltétel teljesülése esetén lehet vele valami részeredményt elérni.olyan cégekhez mennek be? kik? a pizzafutár? és ezeknél a cégeknél mit használnak? és hányszor mennek be szakképzetlen user hülyesége miatt?
miközben meg aki értően olvassa, amit írsz, és hajlandó emlékezni is, az tudja, hogy durván elfogult vagy a másik irányba, ahol nem az a helyzet, mint itt, hogy 20 év után találtak két bugot, hanem nagyjából minden héten van egy-két ilyen kategóriás bug, és tojnak rá, hogy mindet javítsák, miközben egy kalap pénzt fizettél a termékért.
ha nem nézzük az árakat, meg a bekerülési költséget, akkor lényegesen kevesebb baj van az opensource-szal, mint a zárttal. Ha az árakat is meg a tco-t is nézzük, akkor a másik csapat nagyon durván sehol sincs. amikor nekem kellett volna ms access, akkor az az office, ami ezt tartalmazta volna, kishíjján kétszáz rugó lett volna, és az van a zacsin, hogy semmi felelősséget nem vállalunk érte. Ugyanez debianéknál nulla forint és ekvivalens felelősség.
-
-
Dare2Live
félisten
Nekem a durva, hogy évek óta folyamatosan jönnek a durva alapvető hibák. Nincs vége. Itt a bash sebezhetőség. Aztán a poodle. Aztán...
Mindkettő keményen érinti a leglegnek tartott enterprise szegmenset mégis évek óta velünk voltak és ahogy látom még a ma napon is csillió helyen megy a kapcsolodás SSLel.és még ha a fentiek nem is lennének hibátlan lenne a kód, a jogosultságok, a minden.... is elgé egy power user és kuka az egész biztonság.
-
proci985
MODERÁTOR
a peer review a legolcsobb es egyben leggyengebb minosegellenorzesi technika. kritikus rendszereknel nem veletlenul coverage criteria van (jellemzoen MC/DC, mas terminologia szerint ACC), es nem eleg, hogy par ember atnezi. extremebb esetekben fontosabb reszeket formalisan vagy model checkerrel is bizonyitani lehet.
gyakorlatban test driven development megoldas lehet, de jellemzoen a "teszteljuk a programot" kijelentes jelenteseben hatalmas szoras lehet. ugyanugy utobbi evekben maga a "mennyi coverage eleg" kerdeskor is erdekesebb lett, avagy bizonyos reszei a rendszernek fontosabbak lehetnek. mindent tesztelni pedig lehetetlen.
-
sh4d0w
félisten
De, a ShellShock bizony bug. Még ha az elsőre talált probléma nem is az, mert mondjuk valamilyen könnyebbséget jelentő feature-ként jelent meg, addig a Tavis Ormandy és a többiek által találtak valóban bugok a bash parserben.
-
bambano
titán
senki nem mondta, hogy mindenbe belenéznek és minden hibát megtalálnak és kijavítanak.
de jogod és lehetőséged van rá, ezt mondták.ez a shellshock "bug" (nem is bug, de mindegy) semmit nem csorbított a nyílt forráskód biztonságáról alkotott hírnéven.
(#19) woland_y2k: "van lehetoseg belenezni a kodba.": súlyos tévedés. itt van lehetőséged belenézni *EGY* kódba, csak abban nem lehetsz biztos, hogy a telepítő cd-den is az van.
-
#21
sh4d0w
félisten
beleszólok
#16
sh4d0w
félisten
válasz
beleszólok
#16
üzenetére
-
#19
Воланд
titán
Meteorhead
#7
Воланд
titán
válasz
Meteorhead
#7
üzenetére
-
#15
ViZion
félisten
beleszólok
#14
ViZion
félisten
válasz
beleszólok
#14
üzenetére
Anno újságnál, ahol dolgoztam, ott a PC boltos, mint szaktanácsadó egy izmos gépet javasolt a titkárnőnek, h az legyen a server is.
Mondom neeem, izmos gép a tördelőnek, régi vas a titkárnőnek, okos NAS meg a "servernek". Végül így lett, nem értették eleinte, de később, mikor már minden gépről sokadszor volt vírusírtás, etc, de a NAS még hibátlanul üzemelt, akkor kezdték érteni és díjazni, h átalakítottam kicsit a rendszert.Sajnos ez van, h a helyi PC boltban megkérdezik és amit ott mondanak, az a tuti. Sok KKV-nél erre futja csak. Persze nagy cégeknél, saját infóssal gondolom jobb a helyzet, legalábbis szeretném ezt hinni.
-
#14
beleszólok
senior tag
E.Kaufmann
#8
beleszólok
senior tag
válasz
E.Kaufmann
#8
üzenetére
Router alatt a céleszközt értem, mert (remélem) az viszonylag ritka, hogy egy pc alapú routert multifunkcionális eszközként használjanak.
-
anulu
félisten
+1. abszolút. az üzemeltetés a lelkét kimelózhatja, ha a CEO vagy valamelyik vezetőnek van egy idiótasága, ami miatt vagy jobb esetben csak whitelistelni kell url-t, rosszabb esetben alá kell vágni az egész confignak.
igen, az r=1 dolgozó a leggyengébb pont, emiatt is inkább őket célozzák az utóbbi időben leginkább, aki vmi infot meg akar szerezni. persze a direkt támadások sem múltak el, de ritkábbak szvsz.
-
ViZion
félisten
Jah, meg bruteforce-olni napokig, mikor a jólfizetett szakmunkás, vagy egy kirúgott dolgozó 2 rövidért kiad mindent...
![;]](//cdn.rios.hu/dl/s/v1.gif)
rosszabb esetben el kell jutni gizikéig, hogy munkahelyen nyissa meg a selfi.exe-t... nálunk is a sok titkos doksi, meg server, őr, meg kamera... de a legtöbb fájlt, kopipésztelhetném külső vinyóra... -
#11
hcl
titán
Meteorhead
#7
válasz
Meteorhead
#7
üzenetére
+1. És @ViZion is. Ezért keltek ki ott magukból sokan.
Mondjuk ezt legalább tudod előre...@E.Kaufmann : Biztos lehet, de feltörhetetlen védelem sincs. Elég nehéz bruteforce kitalálni egy cgi script nevét, főleg ha pl. mittoménmi.sh -nak hívják
Illetve mi van, ha nincs ilyen az adott site-on? -
#10
ViZion
félisten
Meteorhead
#7
ViZion
félisten
válasz
Meteorhead
#7
üzenetére
Lehetőség? KÖTELEZŐ backdoor-t rakni. Legyakták a Truecryptet is, mert a fejlesztő szerint nem fain, használják a win/os X beépített szolgáltatását...
Szal. az utolsó dolog, amitől félni kell szerintem az ilyen meglelt sebezhetőségek. Ott van előtte a rengeteg beépített backdoor, ott vannak a dolgozók, etc... Amíg úgy hoznak ide gépet, h mindenbe be van jelentkezve, látom a cég könyvelését, mindent... sokkal egyszerűbb az emberek felől megszerezni az adatokat, mint átmenni X gépen, hogy egy lehetséges sebezhetőséget találjon valaki.
-
#8
E.Kaufmann
veterán
beleszólok
#6
E.Kaufmann
veterán
válasz
beleszólok
#6
üzenetére
Hát, kis céges PC alapú "routerek"? Amúgy pl erősebb eszközökön, pl egy NAS vagy egy-két 3rd party fw-ben előferdűlhet.
-
#7
Meteorhead
aktív tag
anulu
#4
Meteorhead
aktív tag
Én azt gondolom, hogy körülbelül ugyanekkora a lehetősége annak, hogy vállalati szoftverekben (amikbe ugye nem lehet belenézni) szándékosan írnak back-doorokat, amik végső soron ugyanekkora biztonsági rést jelentenek, csak egy bizonyos cég javára.
A Windows 10 adatgyűjtési módszerét vadul ekézték ezen a fórumon is, hogy biztosan bennemarad a végső verzióban is, ha már egyszer impementálták, és örülhetünk ha tényleg csak azokat az infókat gyűjtik, amiket mondanak. Mielőtt elkezdenének anyázni rám, én nem vagyok ennyire paranoiás, és én is szeretnék különbséget tenni a spybotok és a telemetria között, azonban a tény, hogy nincs belelátásunk a kódba hasonló bizalmi/jóhiszeműségi kérdést vet fel a vállalati szereplőkkel szemben, mint ahogy az is, hogy eddig senki nem használta ki a ShellShockot és lapított vele.
-
#6
beleszólok
senior tag
beleszólok
senior tag
Mondana valaki pár példát routerekre, amelyeken van bash, pláne alapértelmezett shellként?
-
-
anulu
félisten
a teljes "mítosz" valóban nem omlott össze, viszont meglátásom szerint erősen megkérdőjeleződött az, hogy előny-e ha bele lehet nézni. a lehetőség hosszú évek óta bárki előtt ott volt, hogy megnézze, auditálja a kódot, csináljon vele amit akar. csak senki nem tette meg. a kérdésem az, hogy mindenki hót biztos abban, hogy mielőtt nyilvános lett ez a hiba, már évekre visszamenőleg senki nem használta ki? a kódba ugyanis bárki belenézhet. és nem mindenki tanulási / fejlesztési céllal teszi.
tudom, sokan nem értenek majd egyet a fenti kijelentésemmel. nem flame indítási céllal tettem, pusztán annyi, h nekem ez a véleményem.
-
#3
hcl
titán
E.Kaufmann
#2
válasz
E.Kaufmann
#2
üzenetére
Igaz, de azt is előbb tudni kell, hogy van ott olyan script. Mondjuk a cgi-bin dolgokat eddig sem ajánlotta senki... Azt régóta lehet tudni, hogy aggályosak biztonságilag.
-
Nekem elsőnek az jutott eszembe, hogy egy belső hálón levő sebezhető géphez előbb el kell jutni. Tehát betör valaki a routeremre, és át kell mennie a gép tűzfalán is, hogy shellhez jusson. A routerre bejutáskor még fogalma sincs, hogy lesz-e mögötte valami, amin van sebezhető bash.
Illetve gyorsan megnéztem a routert, elérhető rajta shell felület, msh. Az viszont nem bash...Különben szép cikk, a végén meg jót vigyorogtam
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
- HP Spectre x360 Érintős Hajtogatós Laptop Tab 16" -60% i7-1360P 32/2TB Intel Arc A370M 4GB UHD OLED
- Szép! Lenovo Thinkpad T14s G2 Üzleti "Golyóálló" Laptop 14" -60% i5-1135G7 4Mag 16GB /512GB FHD IPS
- Samsung Q80T 55" QLED - 4K 120Hz VRR / FreeSync / HDMI 2.1
- ÚJ HP ENVY 17 Nagyképernyős "Kis Gamer" Laptop -45% 17,3" Brutál i7-13700H 16/1TB Iris Xe FHD IPS
- Legion Go 8APU1
- Honor Magic6 Lite 256GB, Kártyafüggetlen, 1 Év Garanciával
- Bomba ár! Lenovo ThinkPad P43s - i7-8G I 8GB I 256GB SSD I Nvidia I 14" FHD I Cam I W10 I Garancia!
- LG 48GQ900-B - 48" OLED - 4K 3840x2160 - 138Hz & 0.1ms - G-Sync - FreeSync - HDMI 2.1
- LG 48C4 - 48" OLED evo - 4K 144Hz - 0.1ms - NVIDIA G-Sync - FreeSync - HDMI 2.1 - A9 Gen7 CPU
- Telefon felvásárlás!! Samsung Galaxy A12/Samsung Galaxy A22/Samsung Galaxy A32/Samsung Galaxy A52
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest