Názory k článku PrintNightmare, zranitelnost tiskových služeb Windows, 20 let BitTorrentu

Pamatuju si, že v době, kdy se chystalo vydání Windows Serveru 2003 (tehdy ještě pod názvem Windows .Net Server), lidi z Microsoftu na každé prezentaci zmiňovali "secure by design", "secure by default" a "secure in deployment". V té době také vyšla v MS Pressu kniha s názvem Writing secure code a zdálo se, že to MS s vnitřní bezpečností svých produktů začíná myslet vážně. Bohužel nové verze se v tomto směru designových změn prakticky nedočkaly a spousta služeb, která zpracovávala data přijatá ze sítě, dál běžela (a dodnes běží) s plnými právy (NT AUTHORITY\SYSTEM), ačkoli to nebylo všude nezbytné, ale prostě se nejspíš nikomu nechtělo ladit jemná práva (least privilege) nebo rozdělovat kód do více procesů, které budou mít různá oprávnění (privilege separation) a následně ještě řešit zpětnou kompatibilitu. Tiskový subsystém si v tomto ohledu nese dědictví od první verze NT. Posilování odolnosti proti útokům se smrsklo jen na mitigační mechanismy (DEP-XPSP1, ASLR-Vista, anti RoP-EMET/W10, překlad s /GS, HVCI/CG/DG-W10), ale na redesign a rewrite stávajících děravých komponent běžících s plnými právy nedošlo.

V březnu jsme řešili 0-day v Exchange, teď tu máme PrintNightmare, co vyplave dalšího?

Dá se měřit i použitelnost desktopového prostředí ? Vzal bych třeba stejný počet uživatelů Windows a stejný Linux desktopu, třeba několik miliard, a jednoduchou anketou zjistil jak jsou spokojeni. Z výsledků by se dalo usoudit, jak na tom který desktop je. Otázkou je, kde vzít miliardu uživatelů linux desktopu...

To nedává smysl, každý napíše, že je spokojenější s tím, co používá - proč by jinak nepřešel? Maximálně pokud musí používat nějaký SW dostupný jen pro jeden OS, ale dneska je virtualizace včetně např. GPU passthrough tak pokročilá, že ani to není důvod.

Proč by nepřešel? Ne každý uživatel daného systému je jeho dobrovolným uživatelem.

Tak jako letity "unixak" nechapu, proc se chcete ptat, nestaci je proste spocitat ?

A ze takovych statistik na webu je.

Za mne mam na stolni workstation linux s xrdp, na ntb windows, a obcas pouziju i powershell, neni-li zbyti. Poustet hry v emulaci, diky, tolik zbytecneho casu zas nemam. Servery debian, v cloudu docker, on-premise vmware (na nem docker v debianu). Pokud se na nejaky task objevi neco noveho, klidne to zmenim.

Neb "vseliko nuceni toliko pro hovado dobre jest", jak uz jsem ve svych 50-ti + letech pochopil ...

Mám to dost podobně. Pochopení přichází s věkem, stejně tak jako odchází potřeba být hysterickým zastáncem jednoho systému...