WEB форумы на jedi
[Форум] [Помощь] [Поиск] [Выйти]
Добро пожаловать, [info]User

WEB форумы на jedi [ПОИСК] [Архив до 03.2006]

Тема Security Report К предыдущему сообщению На следующее сообщение Обсуждение и поиск СОФТа

Отправил Patrol в 18:28 19.08.2005[Ответить]
Возможно, кто-то снова будет рассказывать байки о бессовестных журналюгах, возможно - нет, однако компания Security Innovation, которую обвинять в предвзятости смысла нет никако, выпустила очередной отчет.
Мне прислали почтой, потому выложил у себя:
http://perignator.com/db_role_security.pdf

Показательно.


Отправил CAHbKA в 22:57 19.08.2005[Ответить]
Спасибо, что пригласил. Сам то я склонен на форуме откровенную чухню пропускать мимо ушей, нехай себе живет (найдёт своего покупателя, ведь на базаре, как известно два дурака и каждый сам себе злобный буратино), особенно если ложь мелкая, явно видимая и не поганящая мировоззрение.

тебе прислали почтой? ;-)
а все, кто желал читали это месяц назад http://www.microsoft.com/windowsserversystem/facts/analyses/sirolecomparison.mspx , отстаёшь. но это фигня, теория явления важнее.

показываю на пальцах, как дилетант дилетанту:

Запад, как известно, практикует вид несвободы, который мы в обиходе называем оболваниванием. В сущности это простое внушение заказанных (за деньги, куда же без них) мыслей всему обществу. попросту если - люди начинают неосознанно воспринимать чужие, внушенные мысли, как свои собственные. один из приёмов такого внушения - экспертное мнение, основанное на (сюрприз!:) внушении, что научное знание беспристрастно (точнее - вне этики).
Западный человек не в состоянии задать себе вопрос, откуда берутся эксперты и что они едят. Думаю, для них будет откровением узнать, что эксперты - люди на зарплате у своих хозяев и получают деньги за нужные выводы. а за ненужные очень быстро лишаются работы, или, реже, бывают неуслышены. С 1991 года с нами творят тоже самое, и мы оказываемся подвержены ;) но пока еще можем задавать такие и подобные вопросы. Пример из нашей жизни - академик товарищ Сахаров выступает как эксперт-обществовед. гипноз от "академика" величайший, но он атомщик, в лучшем случае специалист по атомам (хотя кое-кто утверждает, что атомная программа Союза была цельнотянута с американской). совсем близкий пример - твоя бабушка-эксперт доказывает что половина сидела, а вторая охраняла, приводя в пример случай с ГБ. сторонний наблюдатель ;), даже поверхностно ориентирующийся в истории, скажет "тема бабушки-эксперта не раскрыта" и при этом задаст вопрос о месте и времени. потому, что село могло быть селом переселённых чеченов или крымских татар или вообще в бандеровщине и время могло быть с 1944 и далее до 50-какого-то-там - и настроения и условия там и тогда были другие. и вывод будет совершенно другим.
Всё это в совсем доходчивом варианте можно видеть в телевизоре в вариациях "стоматолаги (etc) мира рекомендуют".
итог1 - это вольное переложение теорий буржуазных теоретиков к тому, что с экспертами надо быть весьма осторожным, а не развешивать уши, потому что так, сходу, трудно назвать процент честных среди них.

Вот и ты выше приводишь пример с Security Innovation Inc. Заказчика я показал, тоже выше. Но пришлось потратить и время, чтобы сложить вульнаребилитизы оракла - лгут господа. они есть, где-то примерно 3 (в одной я сомневаюсь). Оракл, конечно же, есть за что критиковать, но он практически действительно unbreakable. linux - совсем банальное знание - файрвол при установке включается галочками - "влк. доступ к WWW", "вкл. доступ к SSHd" и еще там одна-две. что это значит пояснить надо? Менее банальное знание - версии. 0-ая у Оракла (традиционно не используются в продакшине;) и SP3 у MSSQL. еще менее банальное знание - патчи. патчи RHEL действительно, примерно в то время, год назад, шокировали шириной потока, но сейчас пересмотрев их, можно легко понять, что к линуксу, как серверу БД, отношения они практически не имеют, сиречь - не влияют. это в противовес неоднократным сетованиям "экспертов" на невыключающиеся части уиндоуз (а это все те десятки патчей с темой "дырка генетическая, даёт ремотный контроль"), которые вроде бы и к БД отношения не имеют, но всю систему в целом компрометируют (и не выключить, а в линуксе, как хост-ОС для БД, ничего лишнего не нужно))
итог2 - в этом всём (почти) может лично убедиться каждый, и, поразительно, не найдётся ни одной причины усомниться.

и последнее (оно же итог3), люди говорят: http://lwn.net/Articles/131788/
BZ Research survey of 6,344 software development managers shows Linux superior to Windows for operating system and application-level security attacks
и им, что показательно, не платили, и против этого не попрёшь, что тоже весьма показательно.


Отправил Patrol в 00:04 21.08.2005[Ответить]
Возможно, отстаю - за секьюрити и прочими дырами я не слежу - меня в основном .NET интересует... Не прислали бы - и не прочел бы..
А то, что оно есть на сайте MS действительно не удивительно.

Пока мне не понятно только одно - как это ты так определяешь, платили ли за материал, нет ли?
Сдается мне, у тебя только один критерий: если тебе не нравится, твоей идеологии не соответствует - значит, это все лажа.

А что касается уязвимостей Оракла - тот факт, что ты в чем-то сомневаешься, говорит лишь о том, что ты в этом сомневаешься. А компания, которая свой хлеб на секьюрити делает и уважаема в своей области все же заслуживает доверия.
Кроме того, простой поиск в гугле дает нехилый список vulnerabilities оракла, их описания, рассказы о патчах и методах устранения.
Так что ты либо соврал на счет цифры "три", либо просто эти vulnerabilities таковыми отчего-то не считаешь. Последний вариант мало что меняет, как ты понимаешь.

Кстати, сейчас являюсь слушателем авторизованного Oracle курса по Java, потому имел возможность пообщаться с близким к нему человеком.. В частности о том, кто и за что платит. Так вот он сказал, что чуть ли не основным моментом, по которому народ вынужден покупать техподдержку является, как ты уже, наверное, догадался, именно возможность скачивать патчи :) Коих выходит достаточно много, скачать их бесплатно нельзя, а ставить в целях безопасности необходимо..

{твоя бабушка-эксперт доказывает что половина сидела, а вторая охраняла}
Моя бабушка не эксперт, я это подчеркнул, и просто рассказал историю. О том, что такова была политика государства, спорить не будет никто. На вопрос же о ситуациях с поездками за границу свободного и сбросившего узы народа, кстати, ответа не получил.
А село называется "Минское", это костромская область, центр России, можно сказать ;) Это не секрет и "любой интересующийся" мог получить ответ.
А с бабушкой-экспертом тут легче тебя сравнить ;) Ведь вроде и не проводил ты никаких исследований, и данных не имеешь, и про цифру "три" чего-то напутал, а все равно утверждаешь что все суть чушь :)

{Заказчика я показал, тоже выше.}
А как ты узнал, что заказчик вообще есть?

{и им, что показательно, не платили}
Опять же, откуда сведения, кому платили, а кому нет?


Отправил CAHbKA в 00:47 23.08.2005[Ответить]
за секьюрити и прочими дырами я не слежу
так может тебе и оставаться популяризатором .net для начинающих? а то сплошная пародия на анекдот про японцев - "вот дети у вас хорошие".
Не прислали бы - и не прочел бы
мда. ну а если бы прислали противоположного содержания статью, и тогда бы здравый смысл выключился?

нехилый список
читаю твои выступления и возникают серьёзные сомнения в том, что ты программист. скажи прямо, ты хотя бы видел название того .pdf, что предложил к обсуждению? знаешь, эти всегдашние твои разговоры о чем угодно, кроме темы, утомляют изрядно.

я вот взял и пересчитал патчи за период, относящиеся к секьюрити, пересмотрел и патчи redhat в приложении к секьюрити же и ораклу, припомнил рабочие впечатления...  а вынужден выслушивать какой-то детский лепет. впечатление, что ты в рамках собственной темы органически не можешь выступать. кто и за что платит - оракл так продаётся, и иначе не продаётся. патчи оракла ставить НЕ необходимо, это ты как обычно перевираешь, от незнания, а уж именно в целях безопасности их вообще штучно.

предложение: знаешь, "дети у вас хорошие", оставайся может программистом, а?

итог: надумаешь говорить серьёзно - будет разговор. с моей же стороны на твои "маркетинговые" сообщения в дальнейшем будут только короткие комментарии по сути.
__
The results were not unexpected. Even by Microsoft's subjective and flawed standards, fully 38% of the most recent patches address flaws that Microsoft ranks as Critical. Only 10% of Red Hat's patches and alerts address flaws of Critical severity. These results are easily demonstrated to be generous to Microsoft and arguably harsh with Red Hat, since the above results are based on Microsoft's ratings rather than our more stringent application of the security metrics. If we were to apply our own metrics, it would increase the number of Critical flaws in Windows Server 2003 to 50%.

We queried the United States Computer Emergency Readiness Team (CERT) database, and the CERT data confirms our conclusions by a more dramatic margin. When we queried the database to present results in order of severity from most critical to least critical, 39 of the first 40 entries in the CERT database for Windows are rated above the CERT threshold for a severe alert. Only three of the first 40 entries were above the threshold when we queried the database about Red Hat. When we queried the CERT database about Linux, only 6 of the first 40 entries were above the threshold.
и т.д. и т.п., и т.д. и т.п., ... ,...


Отправил Patrol в 12:35 23.08.2005[Ответить]
{так может тебе и оставаться популяризатором .net для начинающих?}
Я им не являюсь.

{ну а если бы прислали противоположного содержания статью, и тогда бы здравый смысл выключился?}
Не понял смысла фразы. Думаю, если было бы обратное содержание - изменилась бы только твоя реакция, не больше.

{а вынужден выслушивать какой-то детский лепет.}
Что за чушь?

{патчи оракла ставить НЕ необходимо}
Естественно, никто тебя заставить не может. А вот с треском лопнувшую кампанию об анбрейкбл все помнят.

{возникают серьёзные сомнения в том, что ты программист}
Да запросто, можешь хоть дворником меня считать :)

{оставайся может программистом, а?}
С этим советом, либо же без него, я буду делать то, что мне интересно. Не понимаю, как это относится к теме и для чего ты даешь подобные советы..

{надумаешь говорить серьёзно - будет разговор}
Пока я вижу только возгласы "куплено! буржуины делают черный пиар!" и т.д. с твоей стороны без аргументов и материалов, без других цифр (кроме "а вот у тебя вот нет опыта, а я вот помню три").

{с моей же стороны на твои "маркетинговые" сообщения в дальнейшем будут только короткие комментарии по сути.}
Мои сообщения не маркетинговые, я просто показываю то, что мне самому кажется интересным. Мне абсолютно без разницы какую реакцию это вызывает у фанатов мира юникса и т.д..
Впрочем, надеюсь, комментарии и будут "по сути", то есть - с альтернативными цифрами и подтверждениями возгласов "проплатили!". Ну, чтобы действительно "по сути" было.


Отправил TAPAKAH в 21:22 23.08.2005[Ответить]
Великолепный диалог :-) Любо-дорого смотреть!


Отправил Пaшкa в 22:31 23.08.2005[Ответить]
К вопросу умер ли костромской форум ;-)

Практически один Patrol пока что выдает здесь какую-то интересную информация (для меня). Всё остальное - выблевки на почве нац. розни, детского идиотизма (Наши и иже с ними), и сообщения Азвера, в которых слов на несколько порядков больше чем смысла. Ну и конечно непробиваемость Саньки с его единственно правильным мнением.


Отправил CAHbKA в 23:25 23.08.2005[Ответить]
Практически один Patrol пока что выдает здесь какую-то интересную информация (для меня).

да и не только для тебя.
однако два последних случая явно из другой оперы.

Ну и конечно
ну канешна. и вопрос - где же мнение Пaшки по теме? и почему объективное мнение специализированных служб и сообщества называешь моим? я ведь его только разделяю


Отправил Пaшкa в 11:09 24.08.2005[Ответить]
> объективное мнение специализированных служб

Это каких, к примеру?


Отправил CAHbKA в 13:05 24.08.2005[Ответить]
а разве теперь есть разница? :-) в общем-то вопрос превращен из специального в вопрос здравого смысла (sec in lin_vs_win), а в такой постановке ответ даже без приведения фактов очевиден. специальную же часть я кратно (но точно ;) осветил, результат во-он, выше. да и ссылки приводил и цитирую обильно.


Отправил TAPAKAH в 17:32 25.08.2005[Ответить]
Приятно видеть, что есть люди, для которых очевиден ответ на вопрос "что безопаснее Windows или Linux".

Жаль, что ответ на вопрос на вечный вопрос о Жизни, Вселенной и Всем-всем, уже найден.


Отправил CAHbKA в 19:13 25.08.2005[Ответить]
а что, разве есть сомнения? ;-)
тут ведь диалог перешел на обыденный уровень, CC вспоминать некому, разве что, ради хохмы, будет доказано, что выключенный уиндоуз безопасней. ну и вообще, никаких неожиданностей ждать не приходится. ну а сама "постановка ответа", да, веселоватая. но сугубо в тон постановке вопроса.


Отправил CAHbKA в 23:13 23.08.2005[Ответить]
Я им не являюсь.
и "за секьюрити и прочими дырами" не следишь? :)
это большая загадка - кто же может отрицать действительное положение вещей, да еще там, где всё проверяется легко?

Не понял смысла фразы
да уж понять конечно очень тяжело - "показательно" отрицание реальности, включается только "Словом" от микрософт.

Естественно, никто тебя заставить не может. А вот с треском лопнувшую
мы тут уже устали смеяться, ведь опять пальцем в небо. почему-то уже совсем не удивляет. ты вообще представляешь о чем речь то?

Мои сообщения не маркетинговые
маркетинговые, маркетинговые. реальность то другая.

__
Given the 497-rollover quirk, it is difficult to compare Linux uptimes vs. Windows uptimes from publicly available Netcraft data. Two data points are statistically insignificant, but they are somewhat telling, given that one of them concerns the Microsoft website. As of September 2004, the average uptime of the Windows web servers that run Microsoft's own web site (www.microsoft.com) is roughly 59 days. The maximum uptime for Windows Server 2003 at the same site is 111 days, and the minimum is 5 days. Compare this to www.linux.com (a sample site that runs on Linux), which has had both an average and maximum uptime of 348 days. Since the average uptime is exactly equal to the maximum uptime, either these servers reached 497 days of uptime and reset to zero 348 days ago, or these servers were first put on-line or rebooted 348 days ago.


Отправил GoodMaker в 10:22 24.08.2005[Ответить]
не много дополню общую картину :)
http://www.theregister.co.uk/2004/10/22/linux_v_windows_security/
и ссылки для ленивых :)
http://www.theregister.co.uk/2004/10/22/security_report_windows_vs_linux.pdf
http://www.theregister.co.uk/security/security_report_windows_vs_linux/ - html вариант

и еще не много...
http://news.com.com/Security+research+suggests+Linux+has+fewer+flaws/2100-1002_3-5489804.html
The conclusion is the result of a four-year research project conducted by code-analysis company Coverity, which plans to release its report on Tuesday. The project found 985 bugs in the 5.7 million lines of code that make up the latest version of the Linux core operating system, or kernel. A typical commercial program of similar size usually has more than 5,000 flaws or defects, according to data from Carnegie Mellon University.

In March 28, 2003, Microsoft decreed that it will not issue a Windows NT4 bug fix for a security problem that effects Windows 2000, XP and NT4. They would prefer customers to move off of NT4, thus making Microsoft more money. It is their ball, their bat and their field. This is not true with an open source operating system such as Linux. No one can decree that a bug will not be fixed in a specific version of Linux.