Comments 9
Статья реально по сути проблемы. Индустрия катится в бездну. Корпорации узурпируют право выпускать продукты, потому что у одиночек нет никаких средств разработать что-либо вменяемое. Эпоха романтизма и свободного интернета подходит к концу. А мы плавно переползаем в пост-модернизм, когда обертка превалирует над содержанием… Но ничего нормального сделать уже будет невозможно — для этого нужна энергия, а где ее взять, когда бабло побеждает зло?
Информация в статье немного запутана.
Я уже писал по этой теме:
habr.com/ru/post/443528
В чём автор ошибается:
Да, 15 месяцев назад Elastic ОТКРЫЛА исходники security pack, но за него всё равно надо было платить, потому что исходники были открыты под коммерческой лицензией.
Кстати, откуда вы знаете, что Elastic «Не неся никаких существенных расходов»?
Ещё Elastic написала, что теперь security pack бесплатен, но не написали, что меняется ЛИЦЕНЗИЯ. Похоже лицензия так и остаётся коммерческой. А может и нет, про лицензию не очень понятно.
Я уже писал по этой теме:
habr.com/ru/post/443528
В чём автор ошибается:
решето под названием security-функции, которые она же вывела в open source еще в феврале 2018 года, то есть около 15 месяцев назад. Не неся никаких существенных расходов по поддержке этих функций, компания исправно брала за них деньги с gold и premium-подписчиков из клиентского enterprise-сегмента.
Да, 15 месяцев назад Elastic ОТКРЫЛА исходники security pack, но за него всё равно надо было платить, потому что исходники были открыты под коммерческой лицензией.
Кстати, откуда вы знаете, что Elastic «Не неся никаких существенных расходов»?
Ещё Elastic написала, что теперь security pack бесплатен, но не написали, что меняется ЛИЦЕНЗИЯ. Похоже лицензия так и остаётся коммерческой. А может и нет, про лицензию не очень понятно.
Непонятно.
1. Ну допустим, в эластике не было секьюрити. Ну так её и в каком-нибудь fastcgi тоже не делают. Просто не выставляйте порт во внешний мир и всё, какие проблемы?
2. Что мешало бесплатно пользоваться секьюрити между тем как её выложили в опенсурс и сегодняшним днём? Лицензия, насколько я понял при беглом гуглинге, апачевская. UPD: Говорят, лицензия на секьюрити коммерческая. Тогда этот вопрос снимается.
3. Ну можно же было прикрутить свою секьюрити, если очень уж хочется выставить эластик наружу? Хоть бы HTTPS с Basic-аутентификацией.
1. Ну допустим, в эластике не было секьюрити. Ну так её и в каком-нибудь fastcgi тоже не делают. Просто не выставляйте порт во внешний мир и всё, какие проблемы?
2. Что мешало бесплатно пользоваться секьюрити между тем как её выложили в опенсурс и сегодняшним днём? Лицензия, насколько я понял при беглом гуглинге, апачевская. UPD: Говорят, лицензия на секьюрити коммерческая. Тогда этот вопрос снимается.
3. Ну можно же было прикрутить свою секьюрити, если очень уж хочется выставить эластик наружу? Хоть бы HTTPS с Basic-аутентификацией.
Обычно когда кто-то хочет заработать денег, он наверное старается избегать попадания своего продукта в новости с заголовками «300 млн. аккаунтов было украдено там-то и там-то».
Он конечно может попытаться применить некоторую логику и предлагать доводы схожие с теми, что вы указали. Но люди то запомнят, что это эластик похекали. И он весь сам себе решето. А не какой-то отдельный сервак каких-то конкретных админов.
А если ещё и случаев подобных больше одного (сильно больше), возможно, стоит всё же каких-то красных флажков нарасставлять и, например, хотя бы в основных системах пакеты собирать так, чтобы сервис не висел на 0.0.0.0. А ещё лучше авторизацию по умолчанию сделать. Вроде, не так сложно, зато насколько спокойнее жилось бы PR-отделу?
Он конечно может попытаться применить некоторую логику и предлагать доводы схожие с теми, что вы указали. Но люди то запомнят, что это эластик похекали. И он весь сам себе решето. А не какой-то отдельный сервак каких-то конкретных админов.
А если ещё и случаев подобных больше одного (сильно больше), возможно, стоит всё же каких-то красных флажков нарасставлять и, например, хотя бы в основных системах пакеты собирать так, чтобы сервис не висел на 0.0.0.0. А ещё лучше авторизацию по умолчанию сделать. Вроде, не так сложно, зато насколько спокойнее жилось бы PR-отделу?
Возможно. Хотя вспомнить, например, историю про папки .svn которые тысячами лежали на сайтах в открытом доступе — всем прекрасно было понятно что svn тут совершенно не виноват. Так и с эластиком. По дефолту он слушает 127.0.0.1. Если его настроили торчать голой жопой во внешнюю сеть — ну так какие к нему вопросы? Можно и руту пустой пароль задать и дать доступ к ssh извне — вы же не станете утверждать что в этом виноват злодейский sshd?
svn и sshd не очень корректные примеры в том контексте, что за каждым из них нет никакого централизованного «держателя акций», предлагающего дополнительные фишки для безопасности за отдельно оплачиваемую подписку. Там чистейшая свобода — эз из и никто никому ничего не должен. А тут уже возникают мысли «может они специально так наговнокодили, чтобы больше бабла выбивать из клиентов?»
Т.е. с точки зрения обычного рассудительного технаря вы, конечно, говорите правильные вещи. Но на арене борьбы бабла со злом начинают возникать вопросы политического характера. В которых приходится участвовать не только глубоко техническим людям, но и менеджменту очень разной удалённости от консоли — финансовые вопросы обычно решают именно они. И тут встречается желание найти крайнего и… возможность его легко найти! В отличие от ссхд:)
Т.е. с точки зрения обычного рассудительного технаря вы, конечно, говорите правильные вещи. Но на арене борьбы бабла со злом начинают возникать вопросы политического характера. В которых приходится участвовать не только глубоко техническим людям, но и менеджменту очень разной удалённости от консоли — финансовые вопросы обычно решают именно они. И тут встречается желание найти крайнего и… возможность его легко найти! В отличие от ссхд:)
UFO just landed and posted this here
3. Ну можно же было прикрутить свою секьюрити, если очень уж хочется выставить эластик наружу? Хоть бы HTTPS с Basic-аутентификацией.
это не RBAC, а сисурити по принципу «либо все, либо ничего».
Все нормальные поцики желают fine-graned доступ к эластик-кластеру, но при этом не хотят (внезапно!) ничего платить за него.
Компания задолбалась читать про очередные утечки данных в ассоциации со своим продуктом и решила что брать деньги за пароль и TLS в 2019 уже как-то слишком и репутационный риск перевешивает и исправилась. Не понял сути наезда.
Они не швырнули x-pack в opensource они его поддерживали, насколько я понимаю. часть требований на Гитхабе закрыта со словами "добавили во внутренний трекер"
Sign up to leave a comment.
Elastic сделала бесплатными проблемные security-функции, ранее выведенные в open source