Vlákno názorů k článku Postřehy z bezpečnosti: lehce napadnutelné IoT zařízení od GA - Tak já nevím, ale já CHCI mít možnost...
-
GA (neregistrovaný)
Tak já nevím, ale já CHCI mít možnost si vybrat, jestli aktualizaci chci, nebo nechci...
Je spousta "bezpečnostních" aktualizací, které dokonale zmrší "funkci", protože někdo rozhodl, že se jedná "spíše" o díru, než o "funkci".. A po instalaci kritická aplikace v čudu :-/
V tomhle případě odinstaluji balík všech 10 a zcela neúmyslně ponechám 9 dalších otevřených k útoku. Super, ne? :-O
-
Problém je v tom, že pak se to mnohem hůř testuje, což:
* Zvyšuje čas na vytvoření záplaty.
* Zvyšuje riziko, že nějaká chyba proklouzne a budeme potřebovat nějakou aktualizaci zrušit.Mimochodem, ani Linuxové distribuce obvykle neumožňují nainstalovat jen jeden patch (pokud nekompiluju ručně) – obvykle musím aktualizovat celý balík.
-
Ondra Satai NekolaZlatý podporovatelCoz je dobre nebo spatne v zavislosti na okolnostech. Pokud se trebas snazis o immutable infrastrukturu, tak je to spis pritez.
-
To sice ano, ale nevím jak jsou vytížení standardní linuxoví admini, ale já, který to dělám po nocích, jen proto aby trochu fungovala firemní infrastruktura a přes den dělám jinou práci, nevím jestli bych byl schopen zkoumat každý balíček a změny, nejlépe ve zdrojáku, jeslti jsou nebo nejsou legitimní...
-
Celkem souhlasím, toto kontrolovat je prakticky nereálné, pokud nemáme obrovské prostředky. Navíc to zdržuje záplatování, což s sebou může nést větší bezpečnostní rizika než malicious update. V případě Windows je to ještě beznadějnější, tam se ke zdrojáků člověk tak snadno ani nedostane.
Ale možná tu šlo spíše o testování, zda update něco nerozbíjí. Tady je fakt, že to dává poněkud menší možnosti adminům, ale zase větší možnosti Microsoftu to pořádně otestovat a rychleji připravit záplaty – není potřeba přemýšlet, jestli záplata X bude fungovat i bez záplaty Y apod.
-
j (neregistrovaný)
Apropos, pro jistyho blabola (a pak jeste dalsiho zvanila, ktere se dusoval ze M$ ani nikdo jinej nikdy nechce po uzivateli aby neco spoustel jako administrator) kterej se tu jiste vyskytne a bude tvrdit jak to neni pravda ...
Jinak ta rada je k hovnu hned nekolikrat ... predne chtit po uzivateli aby cokoli spoustel as admin muze leda chorej mozek, druhak to stejne nic neresi, protoze to nefunguje. Netyka se to ani zdaleka jen M$ opic, plati to pro vsechny newidli aplikace - tzn trebas notepad nebo ie soubor ulozi.
M$ pry "na zaplate pracuje" ...
-
j (neregistrovaný)
Aspon trochu normalni admin si pocka tyden, nebo dva ... a projde web, jestli nekde nevylez nejaky pruser s nejakym balikem. Taky prevazne vi, ktery veci sou a kery nejsou kriticky, takze u tech nekritickych to pochopitelne neresi az tak moc, jako u tech, kde vazne potrebuje aby to jelo. Tam kde potrebuje aby to jelo si minimalne precte changelog, aby vedel, jestli to muze nebo asi nemuze ovlivnit tu funcionalitu, kterou pouziva. 100% to samo nevi a vedet nemuze ani tvurce sam.
Pricemz kdyz se mu neco nahodou pri ty aktualizaci podela, tak se trivialne primitivne vrati k puvodni verzi.
Ostatne, staci se podivat na widle a jejich uzasny aktualizace, po kterych (trebas prave po ty posledni) lidem nejde ... vubec nic ulozit ... coz se aspon trochu normalne adminovanymu systemu s aspon castecne pricenym systemem aktualizaci nemuze stat (pripadne aspon existuje cesta, jak to vyresit bez reinstalace celyho systemu).
-
Takže po heartbleedu jste čekal týden a nechal po tu dobu vystavené privátní klíče a další?
Jasný, že nemusí být ideální nainstalovat na server ArchLinux a všechno updatovat automaticky. Ale třeba cron-apt nebo unattended-updates na security updates mi přijde jako rozumná cesta. Bez týdenního čekání.
-
j (neregistrovaný)
Neprekvapive bezpecnost cehokoli nikdy nevisi na jediny deravy aplikaci ... takze mi vazne tyden nebo i mesic zily netrha. Navic ta chyba tam byla kolik ze let?
Zato se chlebodarci vskutku nachnou, kdyz se neco patchne, a jim prestane neco fungovat. To vzdy doslova rici nadsenim. Co na tom ze to nefunguje, zejo, hlavne ze sme v bezpeci ... s kridelky ...
To se trebas takhle opatchoval sam firefox ... a dotycny uzivatel se nemoh prihlasit do dochazkoveho systemu ... ono totiz znicehoz nic to https prej uz nebylo dost bezpecny https ... na prihlaseni po LAN ... a tu 5 let starou krabici + bordel kolem za stovky kKc ... tu prej maji vyhodit ... a poridit si novou ...
Zato se slo zcela bezpecne prihlasit pres http ...
A kvuli tomu zcela automatizovanemu bezpeci potom maji lidi nainstalovany 4 verze javy, 8verzi prohlizecu, .... aby mohli pouzivat to, co pouzivat chteji a musi.
-
Ondra Satai NekolaZlatý podporovatel
Ona neprekvapive bezpecnost zavisi na nejslabsim clanku.
Mas ty neopatchovane firefoxy alespon s MACem? -
„Navic ta chyba tam byla kolik ze let?“
Jenže těch několik let o ní nikdo nevěděl (a neměli jsme moc možnost s ní něco dělat), zatímco ten týden je známá veřejně.
A i kdyby ji předtím někdo znal, tak je rozdíl mezi 0day známým malému okruhu lidí a 0day známým všem. V prvním případě je řeč o targeted attack s rozpočtem třeba v řádu stovek tisíc USD, ve druhém případě snadno podlehneme necílenému útoku nebo cílenému útoku s malým rozpočtem.
Firefox se sám opatchoval – kdyby ne, tak by HTTPS bylo brzy úplně stejně (ne)bezpečné jako HTTP. A jako bonus bude mít prohlížeč spoustu známých zranitelností RCE.
Problém totiž není v tom, že se opatchoval Firefox, ale v tom, že se neopatchovala ta krabice. Pak mimochodem může mít mnohem víc zranitelností než jen zastaralé HTTPS.
A pokud to jinak nejde, hodil bych před tu krabici aspoň reverzní proxy a HTTPS zařídil tudy. Zdaleka se tím neřeší vše, ale aspoň něco.
ČLÁNKY DO MAILU