Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 124
Так, я не понял, пароли чего, хранили в открытом виде что-ли?
Надеюсь, что просто перестраховываются.
Вряд ли. Однако скомпрометированный хеш пароля тоже может быть использован злоумышленником.
А что мешает, например, встроить в HTTP-сервер свой троян, который будет записывать приходящие от клиентов пароли?
Ну если там использовался md5 то можно найти по бд коллизий хешей, если с солью + пару преобразований, то на числодробилке (aka cuda) подобрать.
+ При такой утечке, секьюрность подобранного пароля автоматически падает
+ При такой утечке, секьюрность подобранного пароля автоматически падает
Дело не в безопасности, а в популярности. Видимо критическая масса была накоплена.
Майкрософт в Отаке? :)
В работе, Я часто руководствуюсь принципом «это бизнес». Очевидно, что тут также просто бизнес. Но нельзя же так… Нелюди.
пора переходить на IIS? :)
не спроста в последнее время онпенсорс атакауют, кто-то чего-то боится.
Взломали очередной сервер. Таких взломов тысячи. До этого взламывали сервера Сони, сайты супермаркетов и т.п. Причём здесь опенсорс?
тысячи, и это обычный взлом… но опять же сейчас начнутся холивары, я так считаю что именно того и добивались.
Мне кажется, вообще возросло число резонансных взломов.
Опенсорс тут конечно не при чем, но вы лукавите когда сравниваете этот взлом и взломы Сони. У Сони — дыра на дыре и криворукие разрабы, которые клали на безопасность с высокой колокольни. А тут как бы сайт специалистов по безопасности в том числе
атакуют то, что просто атаковать. Пора сделать выводы и задуматься о безопасности всерьез. Уверен, что при должном подходе все получится, главное наконец перестать «верить», что все безопасно, и пригласить лучших экспертов по безопасности для предотвращения подобных ситуаций в будущем
Интересно, кому выгодно взламывать linux.com и kernel.org?! На такое дело нужна хорошая финансовая поддержка. Школьники на такое не способны.
Это вполне мог бы сделать один человек, нашедший на досуге уязвимость.
Вряд ли. Два сайта. Оба посвящены линуксу. «Это жжжжжж… не спроста»
Как вариант, нашедший одного из администраторов, использующего везде одинаковые пароли.
К слову, в той же английской Википедии больше полутора тысяч администраторов и каждый из них может организовать вставку js-кода для пересылки паролей на сервер злоумышленника. А перехват паролей разработчиков может привести к утечке данных 15 миллионов записей. Вот и спрашивается, а нужна ли тут финансовая поддержка для взлома?
К слову, в той же английской Википедии больше полутора тысяч администраторов и каждый из них может организовать вставку js-кода для пересылки паролей на сервер злоумышленника. А перехват паролей разработчиков может привести к утечке данных 15 миллионов записей. Вот и спрашивается, а нужна ли тут финансовая поддержка для взлома?
> Это вполне мог бы сделать один человек, прочитавший на досуге Слово о полку Игореве.
fixed
fixed
Не для всех же linux.com и kernel.org являются святынями, которые нельзя трогать)). Нашли уязвимость, сломали…
Вот, ироды!
миф о защищенности линукса есть, вот доказали обратное.Похакали целую инфраструктуру и внезапно сразу пооткрывались куча дыр и проблем.
О защищенности линукса — не миф. А то, что корявый софт где-то оказался, который видимо и был скомпрометирован — это совсем другая песня.
ага и админы тупые сидят там значит, а если линуксом пользуются тупые админы, а разрабатывают тупые програмеры. Следовательно ни те ни другие даже понятия про безопасность не имеют и поэтому линукс стремительно теряет свои позиции в плане защищенности
Одно из Ваших сообщений: «всеравно Linux лучше»...? Получается, вы сейчас сами себе противоречите.
Я не думаю, что там сидят тупые админы. Иначе давно бы ничего не работало, либо давно бы всё было взломано.
Я не думаю, что там сидят тупые админы. Иначе давно бы ничего не работало, либо давно бы всё было взломано.
ничего нету вечного и защищенного, времена меняются
Да это и так понятно, просто тогда ваш комментарий: habrahabr.ru/blogs/linux/128211/#comment_4236525 ни о чем не говорит. Разве кто-то считает, что Линукс идеален и его невозможно взломать? Нет. Но при всем этом он все еще остается более защищенным, чем некоторые другие ОС.
только сказочный долбоеб может делать выводы плана «Решето», не зная что это за атака, как и когда
Первое сентябля было 10 дней назад. Хватит тролить! Иди уроки делай.
Вот так и падает престиж серьёзных компаний из-за криворукости админов. Или их некомпетентности. Очередной сигнал тому, что на web-разработке и админах не стоит экономить.
Взламывается все. Будь то Linux, Windows или что-то еще.
Вспоминаю времена когда каждый мало-мальски разбирающийся в компьютерах школьник «хакал» компы Win XP (и прошлые версии NT) из-за жесткой уязвимости в DCOM, получал shell и мог делать с компьютером жертвы что угодно: пароли от диалапа потаскать, поубивать системные файлы, поиграться с винампом. И знаете, эта дырка была на миллионах компах, в том числе и серверах. А вы тут панику из-за одного взлома поднимаете.
Вспоминаю времена когда каждый мало-мальски разбирающийся в компьютерах школьник «хакал» компы Win XP (и прошлые версии NT) из-за жесткой уязвимости в DCOM, получал shell и мог делать с компьютером жертвы что угодно: пароли от диалапа потаскать, поубивать системные файлы, поиграться с винампом. И знаете, эта дырка была на миллионах компах, в том числе и серверах. А вы тут панику из-за одного взлома поднимаете.
Вот, удачный комент.ничего нету вечного, все меняется вот и все.
Не меняется! Программисты всегда будут допускать ошибки, а хакеры всегда будут их искать. Это замкнутый круг. Windows Update постоянно выкачивает обновления безопасности, апдейтеры Linux — тоже, а это значит что до этих обновлений ваш компьютер был уязвим.
И еще момент. Программист, получающий деньги за тот код который он пишет, делает ровно столько же ошибок, сколько и программист пишущий в свое удовольствие.
И еще момент. Программист, получающий деньги за тот код который он пишет, делает ровно столько же ошибок, сколько и программист пишущий в свое удовольствие.
Меняется! Например, вот что Microsoft докладывает:
Так неудивительно. Такой большой перерыв выпуске новых ОС после XP. Ничего нового не выпускалось. Вот и падает раскрытие :) (при условии, что я правильно понял заголовок графика)
Угу ни Windows 7 ни Windows Vista не выпускались.
Может пораскинете мозгами и поймете что в привычной Windows XP легче искать уязвимости?
Может пораскинете мозгами и поймете что в привычной Windows XP легче искать уязвимости?
Чуть меньше панибратства.
Надежность программ — в терминологии моего профессора — «информационных систем» — со временем повышается, в случае устранения найденных дефектов (в отличии от механических устройств, у которых механический износ уменьшает надежность). И кривая раскрытия дефектов для ИС асимптотически стремится к нулю.
Таким образом, пораскинув мозгами, можем придти к выводу, что если длительное время не добавлять новые фичи, а только обкатывать старые, то линия на графике раскрытия ко времени будет уменьшаться с известными отклонениями от асимптоты.
Надежность программ — в терминологии моего профессора — «информационных систем» — со временем повышается, в случае устранения найденных дефектов (в отличии от механических устройств, у которых механический износ уменьшает надежность). И кривая раскрытия дефектов для ИС асимптотически стремится к нулю.
Таким образом, пораскинув мозгами, можем придти к выводу, что если длительное время не добавлять новые фичи, а только обкатывать старые, то линия на графике раскрытия ко времени будет уменьшаться с известными отклонениями от асимптоты.
Теория и практика разные вещи. В теории можно сделать несколько миллиардов прогонов мутаций данных, выполнить фьюзинг и найти подавляющее большинство ошибок связанных с неправильной обработков. В реальности никто так не делает ибо ресурсов требуется огромное количество. Обычно ограничиваются 500000 прогонов фьюзера.
А тем временем ОС становится популярнее и появляется смысл ее исследовать и находить уязвимости. Так что спад врядли будет заметным.
А тем временем ОС становится популярнее и появляется смысл ее исследовать и находить уязвимости. Так что спад врядли будет заметным.
Абсолютно согласен. Но попробуйте представить, а что дальше.
Дальше идут те же итерации по сути, только выполняются они не тестерами, а пользователями, обратившими внимание на популярную ОС. Они исследуют ОС и раскрывают дефекты (не все и не сразу, но раскрывают). Естественно, со временем продукт подвергается такому стихийному рефакторингу, благодаря дефектам, найденным пользователями. И общее количество дефектов уменьшается. А вместе с ним уменьшается и количество раскрытых дефектов на единицу времени.
Дальше идут те же итерации по сути, только выполняются они не тестерами, а пользователями, обратившими внимание на популярную ОС. Они исследуют ОС и раскрывают дефекты (не все и не сразу, но раскрывают). Естественно, со временем продукт подвергается такому стихийному рефакторингу, благодаря дефектам, найденным пользователями. И общее количество дефектов уменьшается. А вместе с ним уменьшается и количество раскрытых дефектов на единицу времени.
Опять msblast? Почитайте что-ли, КАКУЮ ИМЕННО DCOM уязвимость там использовали и когда она была запатчена.
миф о защищенности линукса
Сайт-то здесь при чём, если речь о защищённости Операционной Системы?
Сайт-то здесь при чём, если речь о защищённости Операционной Системы?
внезапно сразу пооткрывались куча дыр и проблем
Это какая такая куча дыр и проблем пооткрывалась? До сих пор нет даже информации, как именно взломали kernel.org.
Я почему-то склонен думать, что дело не в уязвимости в системе, а в спертом закрытом ключе SSH с нестойким/отсутствующим паролем. За эту версию говорит хотя бы тот факт, что взломаны два идейно «близких» сервера — вполне возможно, что некто использовал один и тот же ключ для аутентификации на обоих.
Вы пропустили все события. Машина одного из разработчиков kernel.org была затроянена.
кстати, hpa — сотрудник Intel. Поди ещё разберись, откуда у него взялся троян…
Еще скажите что он на Windows работает и вопрос можно будет закрывать c типовым выводом что опять во всем виноваты MS. :)
Не понял, а чего вы сюда-то лезете со своим виндовсом? С какого перепугу тут всплыл мокросовт? Вроде ничего не предвещало.
Юмор однако.
И заодно ранняя профилактика осеннего обострения конспирологий и маний мирового заговора. А то уже началось. :)
> не спроста в последнее время онпенсорс атакауют, кто-то чего-то боится.
> Два сайта. Оба посвящены линуксу. «Это жжжжжж… не спроста»
И заодно ранняя профилактика осеннего обострения конспирологий и маний мирового заговора. А то уже началось. :)
> не спроста в последнее время онпенсорс атакауют, кто-то чего-то боится.
> Два сайта. Оба посвящены линуксу. «Это жжжжжж… не спроста»
да Вы слепой!
Видимо, подобрали чей-то пароль/логин, у кого была учетная запись на одном из серверов, а потом локальным эксплойтом повысили привилегии — вроде, как таких эксплойтов множество в андерграунде ходит (судя хотя бы по известным сейчас старым уязвимостям).
И тут как бы случайно совпав на следующий день появится пресс-релиз о выходе Google Server OS :)
На самом деле хочется, чтобы не оказались под ударом сами зеркала с исходниками и пакетами или еще что действительно важное. Кстати, если мне не изменяет память, ровно 10 лет назад в Америке снесли башни всемирного торгового центра?
Видимо все уже забыли про взлом корпоративной сети Redhat и сервера проекта Debian. Это жжжж не с проста.
Так же забылось два взлома apache.org за три года.
А вы вообще лучше помалкивали бы :)
habrahabr.ru/blogs/infosecurity/127498/#comment_4212077
habrahabr.ru/blogs/infosecurity/127498/#comment_4212077
А ваше мнение никто не спрашивал.
Или опять будете рассказывать с фанатским блеском что очередной взлом не считается? :)
Я говорил что взломы опенсорса будут нарастать. А вы таки упирались что не будут. Вот вам и результат.
Лучше бы шли работу над ошибками в опенсорсном коде делать вместо того, чтобы никому не нужные ценные указания раздавать.
А может на досуге изучите SDL от Microsoft и узнаете как безопасный код писать чтобы вот таких постыдных инцидентов как с kernel.org, apache.org, linux.com, linuxfoundation.com и redhat.com не происходило?
Сказать по теме взлома что то умное вам слабо, но очень хочется?
Или опять будете рассказывать с фанатским блеском что очередной взлом не считается? :)
Я говорил что взломы опенсорса будут нарастать. А вы таки упирались что не будут. Вот вам и результат.
Лучше бы шли работу над ошибками в опенсорсном коде делать вместо того, чтобы никому не нужные ценные указания раздавать.
А может на досуге изучите SDL от Microsoft и узнаете как безопасный код писать чтобы вот таких постыдных инцидентов как с kernel.org, apache.org, linux.com, linuxfoundation.com и redhat.com не происходило?
Сказать по теме взлома что то умное вам слабо, но очень хочется?
> А ваше мнение никто не спрашивал.
> вместо того, чтобы никому не нужные ценные указания раздавать
Судя по плюсам и минусам (тем более судя по плюсам и минусам по ссылке) указания нужные, и вполне к месту.
> Я говорил что взломы опенсорса будут нарастать. А вы таки упирались что не будут. Вот вам и результат.
Где, вы говорите, я упирался? Со ссылочкой, пожалуйста.
> Microsoft
> безопасный код
Деление на ноль.
> постыдных инцидентов как с kernel.org, apache.org, linux.com, linuxfoundation.com и redhat.com
Тоньше нужно, тоньше!
> Сказать по теме взлома что то умное вам слабо, но очень хочется?
У сотрудников Microsoft опыт по этой части гораздо больше, да? habrahabr.ru/blogs/infosecurity/127498/#comment_4212077
> вместо того, чтобы никому не нужные ценные указания раздавать
Судя по плюсам и минусам (тем более судя по плюсам и минусам по ссылке) указания нужные, и вполне к месту.
> Я говорил что взломы опенсорса будут нарастать. А вы таки упирались что не будут. Вот вам и результат.
Где, вы говорите, я упирался? Со ссылочкой, пожалуйста.
> Microsoft
> безопасный код
Деление на ноль.
> постыдных инцидентов как с kernel.org, apache.org, linux.com, linuxfoundation.com и redhat.com
Тоньше нужно, тоньше!
> Сказать по теме взлома что то умное вам слабо, но очень хочется?
У сотрудников Microsoft опыт по этой части гораздо больше, да? habrahabr.ru/blogs/infosecurity/127498/#comment_4212077
> > Microsoft
> > безопасный код
> Деление на ноль.
Почему? На каких фактах основывается ваше мнение о небезопасном коде, пишущемся в MS?
> > безопасный код
> Деление на ноль.
Почему? На каких фактах основывается ваше мнение о небезопасном коде, пишущемся в MS?
Давайте посмотрим что у нас там со скоростью исправления уязвимостей, и сколько уязвимостей открыто:
secunia.com/advisories/product/27467/ — шесть уязвимостей, высокий уровень.
secunia.com/advisories/product/18255/ — шесть уязвимостей, высокий уровень.
secunia.com/advisories/product/30524/ — одна, не критично.
secunia.com/advisories/product/32688/ — одна, не критично.
secunia.com/advisories/product/34258/ — ноль.
secunia.com/advisories/product/32986/ — ноль.
secunia.com/advisories/product/32988/ — ноль.
Конкурс! Не переходя по ссылкам угадайте, какие две ссылки относятся к продуктам Microsoft? Это было просто, правда?
secunia.com/advisories/product/27467/ — шесть уязвимостей, высокий уровень.
secunia.com/advisories/product/18255/ — шесть уязвимостей, высокий уровень.
secunia.com/advisories/product/30524/ — одна, не критично.
secunia.com/advisories/product/32688/ — одна, не критично.
secunia.com/advisories/product/34258/ — ноль.
secunia.com/advisories/product/32986/ — ноль.
secunia.com/advisories/product/32988/ — ноль.
Конкурс! Не переходя по ссылкам угадайте, какие две ссылки относятся к продуктам Microsoft? Это было просто, правда?
Ну это ведь не значит, что там, гед уязвимостей не нашли, их нет ) учитывайте, всё же, насколько больший интерес (например, коммерческий) представляют уязвимости в Windows, чем уязвимости в Ubuntu )
> Ну это ведь не значит, что там, гед уязвимостей не нашли, их нет
Даже когда уязвимости известны, Microsoft адски слоупочит в их исправлении — это факт.
> учитывайте, всё же, насколько больший интерес (например, коммерческий) представляют уязвимости в Windows, чем уязвимости в Ubuntu )
Мы сейчас про сервера или про десктопы говорим?
Даже когда уязвимости известны, Microsoft адски слоупочит в их исправлении — это факт.
> учитывайте, всё же, насколько больший интерес (например, коммерческий) представляют уязвимости в Windows, чем уязвимости в Ubuntu )
Мы сейчас про сервера или про десктопы говорим?
Ну по первой ссылке мы попадаем на Windows 7 — это десктоп, а уязвимости частично пересекаются для Windows 7 и Windows Server 2008, так что часть уязвимостей по-любому находится благодаря поискам в десктопных версиях осей.
Ещё раз:
> Даже когда уязвимости известны, Microsoft адски слоупочит в их исправлении — это факт.
> Даже когда уязвимости известны, Microsoft адски слоупочит в их исправлении — это факт.
А вот тут Forester сделал расчеты и утверждает что MS выпускает патчи быстрее чем коммерческие вендоры Linux.
Patching Windows compared to Linux
Forrester, which is based in Cambridge, Mass., found that Microsoft did the best job of releasing patches quickly and making a thorough effort at patching all vulnerabilities. However, the margin was slim, and leading Linux distributions like SuSE, Red Hat and Debian obtained 97% and 99% numbers against Microsoft's 100% (the company patched all public vulnerabilities during the period of examination). Forrester was quick to point
searchenterprisedesktop.techtarget.com/tip/Patching-Windows-compared-to-Linux
Так что вы с мифами завязывайте. :)
Patching Windows compared to Linux
Forrester, which is based in Cambridge, Mass., found that Microsoft did the best job of releasing patches quickly and making a thorough effort at patching all vulnerabilities. However, the margin was slim, and leading Linux distributions like SuSE, Red Hat and Debian obtained 97% and 99% numbers against Microsoft's 100% (the company patched all public vulnerabilities during the period of examination). Forrester was quick to point
searchenterprisedesktop.techtarget.com/tip/Patching-Windows-compared-to-Linux
Так что вы с мифами завязывайте. :)
А вы не отвлекайтесь по мелочам, у вас вон ещё сколько интересных тем для беседы:
habrahabr.ru/blogs/infosecurity/127498/#comment_4221523
habrahabr.ru/blogs/infosecurity/127498/#comment_4222525
habrahabr.ru/blogs/infosecurity/127498/#comment_4239008
habrahabr.ru/blogs/infosecurity/127498/#comment_4239054
habrahabr.ru/blogs/infosecurity/127498/#comment_4221523
habrahabr.ru/blogs/infosecurity/127498/#comment_4222525
habrahabr.ru/blogs/infosecurity/127498/#comment_4239008
habrahabr.ru/blogs/infosecurity/127498/#comment_4239054
>searchenterprisedesktop.techtarget.com/tip/Patching-Windows-compared-to-Linux
Скроллим до самого конца страницы и видим восхитительную надпись
Пользуясь случаем, хочу передать привет «специалисту по информационной безопасности», последние несколько лет пребывавшему в анабиозе. Я теперь понимаю, откуда у вас взялась «актуальная» статистика (от 2006-го года) о 50%-ной доле IIS среди компаний из Fortune 1000 %)
Добро пожаловать в 2011-й год, когда RHEL6 не имеет незакрытых уязвимостей, а Windows Server 2008 содержит удалённые «Highly critical» уязвимости, не закрытые на протяжении вот уже почти 11 месяцев.
Я понимаю, что будущее оказалось не таким, каким вы себе его представляли там, в 2005-2006-м годах, но уж какое есть, не обессудьте.
Скроллим до самого конца страницы и видим восхитительную надпись
This was first published in August 2005
Пользуясь случаем, хочу передать привет «специалисту по информационной безопасности», последние несколько лет пребывавшему в анабиозе. Я теперь понимаю, откуда у вас взялась «актуальная» статистика (от 2006-го года) о 50%-ной доле IIS среди компаний из Fortune 1000 %)
Добро пожаловать в 2011-й год, когда RHEL6 не имеет незакрытых уязвимостей, а Windows Server 2008 содержит удалённые «Highly critical» уязвимости, не закрытые на протяжении вот уже почти 11 месяцев.
Я понимаю, что будущее оказалось не таким, каким вы себе его представляли там, в 2005-2006-м годах, но уж какое есть, не обессудьте.
А для конечного пользователя это разве важно? Для него главное, что на данный момент в системе, которой он пользуется, отсутствуют непропатченные уязвимости. А это значит, что этой системой пользоваться безопасней.
Давайте я подведу краткую статистику для нашего гостя из прошлого:
Debian GNU/Linux 6.0 — ни одной незакрытой уязвимости.
SUSE Linux Enterprise Server (SLES) 11 — ни одной незакрытой уязвимости.
Red Hat Enterprise Linux Server 6 — ни одной незакрытой уязвимости.
Ой, а чего мы всё серверные да серверные дистры смотрим? Давайте десктопные возьмём. Причём не только энтерпрайзные, но и «домашние»:
Red Hat Enterprise Linux Desktop 6 — ни одной незакрытой уязвимости.
openSUSE 11.4 — ни одной незакрытой уязвимости.
Fedora 14 — ни одной незакрытой уязвимости.
Ubuntu Linux 10.10 — одна незакрытая уязвимость (локальное повышение прав).
Ну и завершающим аккордом, разумеется, системы от Microsoft, у которых «нужно поучиться, как писать безопасный код»:
Microsoft Windows 7 — 5 незакрытых уязвимостей
Microsoft Windows Server 2008 — 4 незакрытые уязвимости.
У обеих имеются удалённые уязвимости уровня «Highly critical», не закрытые вот уже скоро 11 месяцев как.
Исходя из этого мы имеем запротоколированное признание «специалиста по информационной безопасности» из Microsoft, что перечисленные выше Linux-системы лучше, чем перечисленные выше Windows-системы:
P.S.: сам я не согласен с методикой сравнения тупо по количеству уязвимостей (без учёта критичности), но товарищ специалист сам предложил именно этот критерий, так что даже в его собственной системе отсчёта Linux-системы оказались лучше, чем Windows-системы.
Debian GNU/Linux 6.0 — ни одной незакрытой уязвимости.
SUSE Linux Enterprise Server (SLES) 11 — ни одной незакрытой уязвимости.
Red Hat Enterprise Linux Server 6 — ни одной незакрытой уязвимости.
Ой, а чего мы всё серверные да серверные дистры смотрим? Давайте десктопные возьмём. Причём не только энтерпрайзные, но и «домашние»:
Red Hat Enterprise Linux Desktop 6 — ни одной незакрытой уязвимости.
openSUSE 11.4 — ни одной незакрытой уязвимости.
Fedora 14 — ни одной незакрытой уязвимости.
Ubuntu Linux 10.10 — одна незакрытая уязвимость (локальное повышение прав).
Ну и завершающим аккордом, разумеется, системы от Microsoft, у которых «нужно поучиться, как писать безопасный код»:
Microsoft Windows 7 — 5 незакрытых уязвимостей
Microsoft Windows Server 2008 — 4 незакрытые уязвимости.
У обеих имеются удалённые уязвимости уровня «Highly critical», не закрытые вот уже скоро 11 месяцев как.
Исходя из этого мы имеем запротоколированное признание «специалиста по информационной безопасности» из Microsoft, что перечисленные выше Linux-системы лучше, чем перечисленные выше Windows-системы:
Вы подумайте об энтерпрайз админе, у него есть и другие дела кроме как патчить системы и тестировать изменения.(источник)
Отсюда следует постулат что система с меньшим набором уязвимостей лучше.
P.S.: сам я не согласен с методикой сравнения тупо по количеству уязвимостей (без учёта критичности), но товарищ специалист сам предложил именно этот критерий, так что даже в его собственной системе отсчёта Linux-системы оказались лучше, чем Windows-системы.
Вам известны подробности этого взлома и остальных? Виноват ли в этом именно OpenSource, а не безалаберность админов? А то интересно у вас получается: взломали сайт, имеющий отношение к OpenSource продукту, и вы тут же делаете выводы о безопасности OpenSource в целом.
>А то интересно у вас получается: взломали сайт, имеющий отношение к OpenSource продукту, и вы тут же делаете выводы о безопасности OpenSource в целом.
У него много чего «интересно получается». Краткий перечень (со ссылками) можно найти тут.
У него много чего «интересно получается». Краткий перечень (со ссылками) можно найти тут.
Заподозрить администраторов linux.com, kernel.org, apache.org, Redhat и прочих светочей опенсорса в безолаберности у меня рука не подымется. Иначе придется сделать смелый вывод что остальные админы из этой популяции еще более безолаберны и бесполезны.
Если уж этих поломали то крикливой толпе их последователей вообще расчитывать не на что.
Если уж этих поломали то крикливой толпе их последователей вообще расчитывать не на что.
>А ваше мнение никто не спрашивал.
Если уж на то пошло, то ваше мнение тоже никто не спрашивал, но вас это почему-то не останавливает %)
Если уж на то пошло, то ваше мнение тоже никто не спрашивал, но вас это почему-то не останавливает %)
>А может на досуге изучите SDL от Microsoft и узнаете как безопасный код писать...
Пусть в Microsoft сначала сами свой SDL изучат, а то мы видим, какой безопасный код пишут в Microsoft. Пара удаленных уязвимостей, не закрытых вот уже скоро год как — отличная иллюстрация!
«Или опять будете рассказывать с фанатским блеском», что это, мол, не считается, потому что "низкая эксплоитабельность"? То-то глупые дяди с secunia.com присвоили одной из них статус «Highly critical»…
Вы, кстати, так и не предоставили хоть каких-то обоснований тому, что взломы kernel.org, linux.com и прочих произошли именно эксплуатацией уязвимости, а не соц. инженерией.
Пусть в Microsoft сначала сами свой SDL изучат, а то мы видим, какой безопасный код пишут в Microsoft. Пара удаленных уязвимостей, не закрытых вот уже скоро год как — отличная иллюстрация!
«Или опять будете рассказывать с фанатским блеском», что это, мол, не считается, потому что "низкая эксплоитабельность"? То-то глупые дяди с secunia.com присвоили одной из них статус «Highly critical»…
Вы, кстати, так и не предоставили хоть каких-то обоснований тому, что взломы kernel.org, linux.com и прочих произошли именно эксплуатацией уязвимости, а не соц. инженерией.
Какой ужас, Microsoft ведь тоже взламывали! news.cnet.com/2100-1001-247716.html Что вы на это скажите?
взломать можно все что угодно. нужен только мотив. ради интереса — не интересно…
Ну учитывая, что с китайских серверов постоянно стучатся во все открытые ssh с перебором паролей (даже на моем домашнем серваке в блоклисте более 1000 таких ip на данный момент) то неудивительно, что иногда куда то они да проникают:)
Странно что никто не упомянул, что сайт на Joomla был сделан community.joomla.org/blogs/community/1132-linuxcom.html
А отсюда видимо вывод, что о таких ресурсах и об английском языке еще мало комментирующих людей имеют представление :) Ученье-свет, что еще сказать…
О, вот тут я могу с чистой совестью сказать
РЕШЕТО эта ваша джумла
РЕШЕТО эта ваша джумла
Ну, хоть не на битриксе )
А запускать Joomla, php, apache и прочий софт получающий данные снаружи разве не нужно было от пользователя nobody?
Или теперь во всем будет виновата Joomla?
Или теперь во всем будет виновата Joomla?
Предлагаю переместить в блог «Информационная безопасность».
Извиняюсь за занудство но
Адресса электронной почты
бросается в глаза
Адресса электронной почты
бросается в глаза
Ходят слухи, что кто-то собирает базу ip-адресов посетителей хабра.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Взломан linux.com