- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Azé vicces, hogy még guest accountot használva is System jogokhoz lehet jutni.
-------------------------
Trust is a weakness...
- A hozzászóláshoz be kell jelentkezni
Mielőtt nyilvánosságra hozta, hogy mit talált, nem jelezte ezt a Microsoftnak javítást kérve?
Mert ha jelezte, akkor csak a javítás után kellene nyilvánosságra hozni, hogy ne lehessen ezt kihasználni. Vagy akkor ha a Microsoft elzárkózik a javítástól.
Vagy álomvilágban élek?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
- A hozzászóláshoz be kell jelentkezni
Miután a MS-nál ez napi gyakorlat, hogy akár évekig púpozva sz@rnak a hibajelentésekre, így nem csodálom, hogy nem náluk smúzol valaki hanem rögtön cumira teszi a "világ eszét"...
- A hozzászóláshoz be kell jelentkezni
szvsz minden rendszerben van javitatlan 0day sebezhetoseg, sot akar sokaig javitatlan is marad annak ellenere, hogy az jelezve van, ez igaz lehet akar nem MS rendszerekre is.
nem vagyok MS dolgozo, sot a partjukat sem fogom, de ezt en csak marketingnek latom tisztan, alkalom van rarugni az MS-re es a Google ezt gond nelkul meg is teszi, amugy pedig a Google utobbi idoben tanusitott magatartasa bicskanyitogatobb mint az MS-e, de ez is csak sajat velemeny.
--
FBK
- A hozzászóláshoz be kell jelentkezni
Az az igazság, hogy a gugli rohamosan ugrik felfelé a legocsmányabb cégek ranglistáján, nálam már alig páran előzik meg. Egyre több ilyen szemét húzása van.
- A hozzászóláshoz be kell jelentkezni
komoly tempót diktálnak, az egyszer biztos :S
--
Vége a dalnak, háború lesz...
- A hozzászóláshoz be kell jelentkezni
Tisztelve a véleményed: nem lehetne olvasni egy kicsit? A Google hozzáállása: ha talál exploitálható rést szól, 60 nap van javítani. Közben figyel hogy próbálják e kihasználni az adott hibát exploittal, ha igen, akkor a következő 7 napra rövidíti az időt amíg elvárja hogy javítsák vagy workaround lehetőségről tájékoztassák a telepített verziók gazdáit.
Szerintem, ez egy pénzért árult (és támogatott) szoftvernél alapkövetelmény. Nem is teljesíthetetlen egyetlen határidő vagy eljárás sem _látatlanban_ általánosságban. Persze lehet olyan hogy mégsem. Korrektül meg is lehet ezt beszélni. A Google azt állítja hogy az MS ehhez elég agresszívan áll hozzá.
Van egy rendszered, amelyen van egy exploitálható hiba, de a gyártó annak ellenére nem szól neked 10 napig, hogy tudja hogy a hiba létezik és épp elég sokan kihasználják. Azt a lehetőséget, hogy a szoftvert használhasd pénzért vetted, ha akarsz sem tudsz belenyúlni, esetleg még támogatásod is van rá. Mennyit árnyal ezen esetleg, hogy ez az internet kliensek által 90%-ban használt operációs rendszer, ezzel az egész hálózatot boríthatóvá teszi?
Akkor most ezzel kapcsolatban hogy változik a véleményed?
- A hozzászóláshoz be kell jelentkezni
nem lehetne olvasni egy kicsit?
ezt a kérdést mondjuk magadra vonatkozóan is feltehetnéd
- A hozzászóláshoz be kell jelentkezni
Feltenném, sőt nálam nem gond a "tévedtem" jelző kijelentése sem, mint az egyes "tévedhetetlen" fórumtársaimnál. Persze ehhez nem lebegtetni kellene, hogy hülyeséget írtam, hanem mondjuk ideírni..
- A hozzászóláshoz be kell jelentkezni
+1 Hunger-nek
Te most eloadtal egy szep meset, epp csak az nem fedi a valosagot.
1. a Google nemreg csokkentette a 60 napot 7(!) napra, ami arra se eleg, hogy a QA-n rendesen atfusson barmi.
2. ezen tul sikerult pont az ala a cikk ala kommentelned ezeket, ahol le van irva feketen-feheren, hogy a Google alkalmazott nem vart SEMENNYIT (mondvan, hogy neki "nincs kedve" lejatszania a szokasos szukseges koroket), hanem egybol full disclosure-t csinalt.
Akkor ezek utan elarulnad, hogy megis mirol beszelsz?
- A hozzászóláshoz be kell jelentkezni
1, olvastad mit írtam? úgy látszik nem.
2, én egy hozzászólásra reagáltam. A cikkben említett kolléga a google irányelveit leszarva cselekedett, de itt a cég lett lehúzva és nem az alkalmazott.
hivatkozásul: google disclosure timeline
- A hozzászóláshoz be kell jelentkezni
"itt a cég lett lehúzva és nem az alkalmazott"
Es? Az alkalmazott kepviseli a ceget. Ez mindenhol igy van, nem csak a szegeny arva szuzmaria Google-nel. Mivel ugye a "ceg" mint olyan nem onmagaban letezo entitas, hanem az alkalmazottaibol all. Ha egy ceg faszszopo alkalmazottakbol all, akkor a ceg is faszszopo. Foleg ha a faszszopo elemek az egvilagon semmilyen szankcioban nem reszesulnek az ilyen kilengeseik utan.
Total mellekes, de az altalad linkelt cikk pedig ismet csak azt tamasztja ala, hogy hulyesegeket beszelsz, mivel szo sincs tobbe 60 naprol, mindenkepp kiteszik 7 nap utan a 0day-t. De amugy se olyan baromi nehez belatni, hogy nyolcadannyi ido alatt megcsinalni ugyanazt a munkat mindenkepp kibaszas. 10 napig nem valaszol az MS a Google-nek? Es? Akkor mi van? Kerte toluk barki is, hogy code audit-ot vegezzenek mas zart rendszerein (most igy eszembe jutott ez a gyongyszem is)? Tovabbmegyek, erre szerinted az az esszeru megoldas, hogy kitesszuk az exploit-ot, hadd basszak szet a felhasznalok gepeit?
De ugy altalanossagban is, aruld mar el, hogy kinek es miert tesz jot a Google azzal, hogy hamarabb teszi ki a 0day-eket? Mert hogy az MS nem jar jol vele, az biztos. Az exploit-olt user-ek meg kevesbe. Na, akkor ki jar jol vele, na ki? Bingo, a Google, aki kibaszhat a vetelytarssal, es esetleg bonuszkent verheti a mellet, hogy bezzeg az o rendszere milyen uberbiztonsagos. Ami egyebkent kurvara nem fedne a valosagot, mivel jelenleg is nagyjabol 6x annyi sechole van a Chrome-ban, mint a Windows-ban (ezzel megnyerve az elokelo elso helyet). Meg ugye ott a store, ami tele van malware-rel. Ugyhogy a Google inkabb a sajat fosaban turkaljon, ne masokkal basszon ki szantszandekkal, mikozben eloadja, hogy ok a cybersecurity megmentoi. Aztan meg itt rankszabaditjak willy-t, aki elmagyarazza nekunk a szopatasrol is, hogy hat igazabol ez tok jo arc dolog a Google-tol. Hat rohog a vakbelem.
- A hozzászóláshoz be kell jelentkezni
Még várjuk Hunger véleményét taviso közlésével (etikus / nem etikus), a Secunia-val és úgy általánosságban ezzel a Windows 0day-jel kapcsolatban.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
én a legutóbbi linux 0day kapcsán vártam, hogy kirakod hírként, de annál érdekes mód nem voltál ennyire buzgó... ;)
- A hozzászóláshoz be kell jelentkezni
Csak azt rakom ki, ami érdekel. A Linux nem érdekel. Ennyit kell tudnod.
--
treyai @ faló
- A hozzászóláshoz be kell jelentkezni
Szóval nem lesz Hunger vélemény :(
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szerelmi háromszögetek a hup olvasók szappanoperája. :)
- A hozzászóláshoz be kell jelentkezni
10 év után ráadásul kb. annyira érdekes is mint egy szappanopera. Már csak ritkán csípek bele a témába. Akkor is csak az unikális klikkek kedvéért (vagy mi a rákért).
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
""itt a cég lett lehúzva és nem az alkalmazott"
Es? Az alkalmazott kepviseli a ceget. Ez
mindenhol igy van, nem csak a szegeny arva
szuzmaria Google-nel."
- nem lehet az adott közösség teljes koruen felelős azért, csak mert az egyik tagja egy baromarcú. A hup-ot se célszerű csak az alapján megítélni hogy milyen alakok irogatnak ide.
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
Csak érdeklődnék, hogy ezt a hozzászólást mint XY cég alkalmazottja, vagy mint magánember írtad?
- A hozzászóláshoz be kell jelentkezni
"nagyjabol 6x annyi sechole van a Chrome-ban, mint a Windows-ban (ezzel megnyerve az elokelo elso helyet)"
Ez annyira hihetetlen volt számomra hogy utánanéztem (főleg, hogy a Google fizet a beküldött bugokért-> nyilván komoly összegeket fektet bele hogy biztonságos legyen). És lám: A nagyrészét a Google jelenti be. (Nyilván a Microsoft is becsületesen beküldi az általa javított hibákat Oh wait) A google-chrome minden verziójára külön van számolva a sebezhetőség, és úgy van feltüntetve, hogy nem javított (pedig benne van hogy upgradelj magasabb verzióra ott javítva van) Persze az összesítőben minden ilyen "bug" össze van adva. Ennyi erővel az összes eddigi IE bugot is összeadhatnánk, mert ha nem upgradelsz- nem töltöd le a javítócsomagokat, akkor rossz marad.
Ez szerintem egy az egyben hitelrontás.
- A hozzászóláshoz be kell jelentkezni
Szerintem meg egy az egyben telibeszarom az ala nem tamasztott nyavogasaid, foleg igy 2 het magassagaban.
- A hozzászóláshoz be kell jelentkezni
nem baj, valaki legalább vette a fáradságot, hogy ezt a hazugságodat is levadássza...
- A hozzászóláshoz be kell jelentkezni
Gyengebbek kedveert nem tortent semmi ilyesmi, csak idebufogott par sort mindenfele bizonyitek nelkul.
- A hozzászóláshoz be kell jelentkezni
Csak a teljesség igénye nélkül:
http://secunia.com/advisories/51825/
Egyeztesd össze nekem kérlek a
Solution Status: Unpatched
sort a
Solution:
Upgrade to version 24.0.1312.52.
sorral. Csak a figyelmedbe ajánlanám, hogy a Google chrome automatikusan update-el legalábbis windows-on (amiről a felmérés szólt ugyebár).
Akkor ez hogy is van?
Ja még egy link amiben az Apple ekézi a Secunia-t.
- A hozzászóláshoz be kell jelentkezni
Mit szeretnel mondani? Hogy a Chrome-ot patch-elik? Es? Kit erdekel? Persze, hogy patch-elik. Ha allandoan jonnek a patch-ek, akkor az szamodra azt mondja, hogy mostantol nincs tele sechole-lal? Akkor kesobb mert lesznek megint patch-ek es advisory-k?
Elkepzelesem sincs, hogy az auto-update hogy jon ide, mivel az semmit nem fog javitani az epp aktualis kod minosegen, ami lathatolag allando jelleggel szar. Nem, nem csak a Chrome-ban, mindenhol. Meg kell huzni a vonalat kenyelem es biztonsag kozott, es a user-eket jellemzoen nem a biztonsag szokta meghatni, ez van. Meg ugye a fejlesztoknek sincs ideje formalis modszerekkel igazolni a kod helyesseget, mert akkor meg mindig terminalbol (melykonzol rofl) bongeszgetnenk. Emelle jo ideje minden bongeszo auto-update-el Windows-on by default, szoval ez vegkepp nem mond semmit.
Az Apple-t security teren becitalni pedig tobb mint rohejes.
- A hozzászóláshoz be kell jelentkezni
Lassan írom, hogy értsd! :)
1 vannak bugok: mindenhol vannak pl az IE-ben is csak valahogy ha ő fű alatt javítja az OK (nincs benne az adatbázisban), de ha a Google bejelenti, hogy volt egy hibája de kijavította - felhívnám a figyelmet, hogy nem a secunia fantasztikus kódelemzője találta a hibát - akkor az fúj, a kódminősége szar. Akkor most hogy is van ez? Én ennek pont az ellenkezőjét érzem: minden programban van hiba, de a Google-nél meg is találják őket. Az IE-nél meg nem tudom hogy megtalálják-e vagy sem.
2 kijavítják a bugot, de az adatbázisban unpached-nek van jelölve, holott ha elindítod a böngészőt automatikusan frissül a legújabb verzióra (v.ö. te mint felhasználó kurvára nem látod hogy ez még a 23-as vagy már a 24-es verzió nem úgy mint az IE10/IE11-nél). Ezért egy ici-picit úgy érzem az IE-nek lejt a pálya, mert az IE11-nél úgy van jelölve hogy abban a verzióban ez már javítva van -> nem is számít bele a csili-vili statisztikákba. Ez a statisztika hamisítása.
3 Elolvastad hogy mit írtak? Szerintem is f*s az Apple security téren, de esetleg a Window/Linux-szal kéne összehasonlítani, nem a cisco/HP-vel és nem csak a hibák száma számít hanem esetleg a súlyossága is. Felhozott érveikben - szerintem - igazuk volt. Esetleg nem utolsók, hanem utolsó előttiek lettek volna.
- A hozzászóláshoz be kell jelentkezni
MESTER, leborulok érveid súlya előtt.:)
- A hozzászóláshoz be kell jelentkezni
Mondta az okoska, akinek az egvilagon semmit nem sikerult alatamasztani a bufijebol.
- A hozzászóláshoz be kell jelentkezni
Ettől még visszavehetnél arcocskádból egy picikét. Mégsem az oviban vagy. Kérlek hagy a személyeskedést plz.
- A hozzászóláshoz be kell jelentkezni
Ha nem tunt volna fel, nem en kezdtem.
- A hozzászóláshoz be kell jelentkezni
Bocs, de a személyeskedést te kezdted.
- A hozzászóláshoz be kell jelentkezni
2, én egy hozzászólásra reagáltam. A cikkben említett kolléga a google irányelveit leszarva cselekedett, de itt a cég lett lehúzva és nem az alkalmazott.
Es ha mondjuk Microsoft v. Apple alkalmazottrol lett volna szo ? :-)
---
pontscho / fresh!mindworkz
- A hozzászóláshoz be kell jelentkezni
Adott esetben kicserélhetnéd bármi másra a Google cégnevet. Az alkalmazott nem úgy járt el ahogy a cége elvárja. Majd kiderül hogy áll ehhez a cége. Egy másik történet a cég hogy áll ezekhez a kérdésekhez. Itt a vita másról szól, de úgy látom hogy a számomra egyértelmű " ... Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation. ... " szöveget úgy látszik máshogyan is lehet értelmezni.
- A hozzászóláshoz be kell jelentkezni
igazan kozzetehetned az eleted egyes reszleteit, kivancsi vagyok konkretan milyen ember az olyan akinek minden egyes megszolalasa seggszagu
- A hozzászóláshoz be kell jelentkezni
ha az érvek elfogynak, jön a személyeskedés
- A hozzászóláshoz be kell jelentkezni
eszem agaban sem volt ervelni, willy sraccal szemben teljesen felesleges is lenne, leven megrogzott hazudozokent olyanokat is tud fapofaval allitani, hogy "Az IMF nem a vesztunket akarja:-)"
- A hozzászóláshoz be kell jelentkezni
(...) olyanokat is tud fapofaval allitani, hogy "Az IMF nem a vesztunket akarja:-)"
Nohát, ez a willy! Még a végén az is kiderül róla, hogy szerinte a Föld gömbölyû, és hogy a Nap körül kering...!
- A hozzászóláshoz be kell jelentkezni
well, a föld nem gömbölyű, hanem geoid alakú...
- A hozzászóláshoz be kell jelentkezni
You don't say?
--
♙♘♗♖♕♔
- A hozzászóláshoz be kell jelentkezni
És nem a Nap körül kering, hanem egy, a Nappal közös tömegközéppont körül.
- A hozzászóláshoz be kell jelentkezni
nem.
- A hozzászóláshoz be kell jelentkezni
Akkor tévedtem.
- A hozzászóláshoz be kell jelentkezni
60 nap van javítani
nem igaz.
Közben figyel hogy próbálják e kihasználni az adott hibát exploittal
a gyerek nekem 2 évesen különb meséket néz.
_látatlanban_ általánosságban
mintha nem is írtad volna, ez csak tipp, nem is tartozik ide. emiatt kár kiemelnem nekem is.
Korrektül meg is lehet ezt beszélni.
jah, mind a csodacég, mind a MS erről híres: tök "korrektek"! a két korrekt cég pedig mégiscsak megbeszél mindent ahogy kell :DD
A Google azt állítja hogy az MS ehhez elég agresszívan áll hozzá.
nincsen jelentősége, még akkor sem ha ez így igaz, ahogyan írtad.
van egy exploitálható hiba" -> "és épp elég sokan kihasználják
ilyen információkat én is szeretnék. egy valós számot írhatnál. egy publikált zeroday exploit esetén a publikálás előtti incidensek számát te tényleg meg tudod mondani?
Azt a lehetőséget, hogy a szoftvert használhasd pénzért vetted, ha akarsz sem tudsz belenyúlni, esetleg még támogatásod is van rá
neked mi az anyanyelved? tényleg nem baszlatásból kérdezem, de volt már aki fordítóval írt ide "vincsit füstöltetve" és szemmel látható a hasonlóság. lehet utólag javítottad a mondandód, felületesen. szóval mit akartál mondani?
--
Vége a dalnak, háború lesz...
- A hozzászóláshoz be kell jelentkezni
"60 nap van javítani"
nem igaz.
De igaz. Idemásolom a fenti link lényegét neked:
"Our standing recommendation is that companies should fix critical vulnerabilities within 60 days -- or, if a fix is not possible, they should notify the public about the risk and offer workarounds. We encourage researchers to publish their findings if reported issues will take longer to patch. Based on our experience, however, we believe that more urgent action -- within 7 days -- is appropriate for critical vulnerabilities under active exploitation."
Tehát alapban 60 nap, de aktívan kihasznált kritikus hibáknál ez 7 napra csökken.
"Seven days is an aggressive timeline and may be too short for some vendors to update their products, but it should be enough time to publish advice about possible mitigations, such as temporarily disabling a service, restricting access, or contacting the vendor for more information. As a result, after 7 days have elapsed without a patch or advisory, we will support researchers making details available so that users can take steps to protect themselves."
Tehát még itt se 7 napon belüli javításról van szó, hanem arról, hogy 7 napon belül egy biztonsági figyelmeztetést kiadjanak arról, hogy aktívan támadják a terméküket, és adjanak tanácsot a vásárlóiknak arról, hogy hogyan tudják minimalizálni a kockázatot.
- A hozzászóláshoz be kell jelentkezni
összefoglalom a hozzászólásodat:
fud, személyeskedés.
Vége a dalnak, háború lesz...
- A hozzászóláshoz be kell jelentkezni