Microsoft предъявлен иск по поводу небезопасности ее софта dl // 03.10.03 04:20
В иске утверждается, что программное обеспечение, выпускаемое корпорацией, уязвимо к вирусам, способным вызвать масштабные касадные сбои в глобальных компьютерных сетях, что выпускаемые бюллетени с предупреждениями слишком сложны для понимания рядовым обывателем и скорее служат подсказкой хакерам.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/10/06.html]
Кроме того, в иске упоминается некорректная конкуренция и наружения двух калифорнийских законов, защищающих права потребителей, один из которых был принят в этом году и направлен на защиту личной информации, хранящейся в компьютерных базах данных.
Их есть, за что наказывать, но в данном случае это применимо к любой широко распространенной ОС03.10.03 13:31 Автор: ross Статус: Незарегистрированный пользователь
особенно - "что выпускаемые бюллетени с предупреждениями слишком сложны для понимания рядовым обывателем и скорее служат подсказкой хакерам."
интересно, где этого нет?
Суть не в "небезопасности", а в недобросовестной рекламе05.10.03 07:02 Автор: Zef <Alloo Zef> Статус: Elderman
Иск составлен не верно, вот в чем беда. Проблема-то в том, что систему с интегрированным ГУИ недопустимо позиционировать, как "безопасную серверную платформу".
Это почему? GUI-то причём?06.10.03 14:26 Автор: HandleX <Александр М.> Статус: The Elderman
А при том, что он является самым сложным компонентом системы и, как следствие содержит наибольшее количество ошибок и при этом ни каких, собственно "серверных" ф-ций не выполняет и требуется только изредка, в процессе конфигурирования и мониторинга. И то, сервак вообще не должен конфигуриться с консоли (кроме первоначальной инсталляции). Он должен управляться телнетом с админской машины, вот на ней и должны стоять все графические "прибамбасы" для удобства конфиг. и мониторинга (как это сделано, например, у Новелла), а сервак этим загружать нефиг.
Какие задачи выполняет сервак? Хранение, передача и обработка информации! Причем, не важно, какой. Вся кодировка - декодировка, ввод и представление этой инфы - задача клиента, а не сервера.
Нельзя сложностью подсистемы аргументировать её незащищённость.07.10.03 07:38 Автор: HandleX <Александр М.> Статус: The Elderman
> А при том, что он является самым сложным компонентом > системы и, как следствие содержит наибольшее количество > ошибок и при этом ни каких, собственно "серверных" ф-ций не > выполняет и требуется только изредка, в процессе > конфигурирования и мониторинга. Subj + не так много дырок нашли, которые юзают GUI. Последняя — с использованием WM_TIMER ;-) А вспомните, сколько их было в Апаче или в IIS, я их привёл как пример сложных подсистем.
А вообще, из всех программ в NT'ях мне больше всего нравится ntloader :)
> И то, сервак вообще не > должен конфигуриться с консоли (кроме первоначальной > инсталляции). Он должен управляться телнетом с админской > машины, вот на ней и должны стоять все графические > "прибамбасы" для удобства конфиг. и мониторинга (как это > сделано, например, у Новелла), а сервак этим загружать > нефиг. Ну, если мы решили поидеализировать, то на conin и conout свет тоже не сошёлся. И новелл пошёл по неверной дорожке, поскольку для конфигурирования-администрирования нужен протокол взаимодействия с объектами, типа CORBA, а не консольный ввод-вывод ;-)
Короче, неправы и те, которые вешают всё на GUI, и те, которые на консоль ;-) Да и старое доброе понятие консоли с её устаревшим интерфейсом коммандной строки уже слишком старое, чтобы быть панацеей.
> Какие задачи выполняет сервак? Хранение, передача и > обработка информации! Причем, не важно, какой. Вся > кодировка - декодировка, ввод и представление этой инфы - > задача клиента, а не сервера. Согласен. Но с безопасностью здесь мало связи.
> > А при том, что он является самым сложным компонентом > > системы и, как следствие содержит наибольшее > >количество > > ошибок и при этом ни каких, собственно "серверных" >> ф-ций не
> > выполняет и требуется только изредка, в процессе > > конфигурирования и мониторинга. > Subj + не так много дырок нашли, которые юзают GUI. > Последняя — с использованием WM_TIMER ;-) А вспомните, > сколько их было в Апаче или в IIS, я их привёл как пример > сложных подсистем.
Если ГУИ и не содержит ошибок, то необходимостью написания больших объемов кода для работы в графической среде провоцирует их появление в других прогах.
> > И то, сервак вообще не > > должен конфигуриться с консоли (кроме первоначальной > > инсталляции). Он должен управляться телнетом с > >админской > > машины, вот на ней и должны стоять все графические > > "прибамбасы" для удобства конфиг. и мониторинга (как > >это > > сделано, например, у Новелла), а сервак этим загружать > > нефиг. > Ну, если мы решили поидеализировать, то на conin и conout > свет тоже не сошёлся. И новелл пошёл по неверной дорожке, > поскольку для конфигурирования-администрирования нужен > протокол взаимодействия с объектами, типа CORBA, а не > консольный ввод-вывод ;-) > Короче, неправы и те, которые вешают всё на GUI, и те, > которые на консоль ;-) Да и старое доброе понятие консоли с > её устаревшим интерфейсом коммандной строки уже слишком > старое, чтобы быть панацеей.
Командная строка хороша тем, что позволяет работать откуда угодно, "без ничего" и исключтиь влияние ошибок в клиентской части и взаимодействии с протоколом.
> > Какие задачи выполняет сервак? Хранение, передача и > > обработка информации! Причем, не важно, какой. Вся > > кодировка - декодировка, ввод и представление этой > инфы - > > задача клиента, а не сервера. > Согласен. Но с безопасностью здесь мало связи.
Чем больше кода, тем больше вероятность ошибки - раз.
Чем больше лишних сервисов, тем меньше ресурсов для выполнения задач безопасности. - Два.
Чем больше избыточных сервисов, тем больше мишеней для атаки. - Три.
«Сложность» и «развитость» разные вещи…07.10.03 10:32 Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 07.10.03 10:59 Количество правок: 1
> Если ГУИ и не содержит ошибок, то необходимостью написания > больших объемов кода для работы в графической среде > провоцирует их появление в других прогах. А, флейм мы тут с тобой разводим ;-) Сколько раз был в прогах неконтролируемый буфер под параметры командной строки или в CGI-прогах, там похожий механизм взаимодействия. Криворукость программистов не лечится интерфейсными механизмами, будь они простые или сложные.
> Командная строка хороша тем, что позволяет работать откуда > угодно, "без ничего" Ну да. Telnet-клиента я везде найду, а вот через Сеть мне им работать страшно — чистый ASCII по TCP, что радует любого снифующего чела ;-) Итак, задача усложняется — подавай ssh или работай через VPN... Из интернет-кафе ;-) А вот M$ взяло и встроило шифрование в RDP по умолчанию. И мало ли, что этот протокол взаимодействия с удалённым рабочим столом никто, кроме M$, не поддерживает. Кому-то же надо начинать ;-)
> и исключтиь влияние ошибок в > клиентской части и взаимодействии с протоколом. Ну я выше писал про криворукость.
> Чем больше кода, тем больше вероятность ошибки - раз. > Чем больше лишних сервисов, тем меньше ресурсов для > выполнения задач безопасности. - Два. > Чем больше избыточных сервисов, тем больше мишеней для > атаки. - Три. Да не спорю я. Вот амёбы мало болеют. И размножаются быстро и просто — делением ;-) Ну и что людям делать с их СПИДом, раком и проч — назад, к амёбам?
Или после того, как нашли дыру в системном вызове OS linux, линуксоиды начинают вопить про то, что давайте, мол, снесём ту или иную подсистему ядра, в которой нашли дыру? Выпустят патч, кто-то из гуру может даже в исходники глянет и получит моральное удовлетворение — вот он родимый, здесь баг скрывался.
В M$ всё не так, конечно же. С патчем могут тянуть долго. Бабла просят. Исходников нет. Но вот зато GUI, который больше хорош, чем плох, ставят на все свои OS по умолчанию. Однако, в *NIX'ах тоже консоль «по умолчанию». Но сколько лет никсам-то! Тогда это был писк технологии, посколько до этого компьютеры работали вообще в старт-стоповом режиме. Заставить компьютер крутить цикл с ожиданием пользовательского ввода было революцией, сравнимой с изобретением колеса ;-)
Дык может, это всё-таки просто прогресс? Subj.
«Развитость» серваку не нужна, ему нужна эффективность. И правда - флейм.07.10.03 12:19 Автор: Zef <Alloo Zef> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
