Portál AbcLinuxu, 14. května 2025 01:48
Mám otázku, která se týká perspektivity distribuce Slackware. Vím, že už to zde bylo několikrát řešeno, ale já bych se chtěl na celou záležitost podívat z jiného úhlu.
V měsíčníku CHIP (nevím jak jinde) se neustále dočítám, že bezpečný systém je aktualizovaný. Operační systémy neustále hodnotí podle rychlosti vydání opravy, podle počtu bezpečnostních mezer za měsíc atd. Já používám Slackware 10.2, Firefox 1.5.0.2 a nepotřebuji nic nového. Vše funguje, tak jak má. Neprovádím žádné aktualizace ani žádné jiné myšlenky, které mi CHIP nutí.
Je můj systém skutečně taková bezpečnostní hrozba? Není to náhodou jen nějaké lobby CHIPU? A pokud ne, tak má smysl pracovat v distribuci, která nemá žádný pořádný balíčkovací systém, který by mi zaručil pohodlné aktualizace SW? Přeci nebudu stále kompilovat nové verze. Zajímalo by mě, co si o tom myslíte.
8.4.2007 23:35
Michal Wirth | skóre: 26
Existuje možnost, že CHIP pracuje na nečí objednávku a jistě za nemalý honorář. Ze všech těch jejich testů vychází vždy dobře SUSE a Microsoft. Ale to je jedno. Mě spíše zajímá, zda je reálné riziko takové, jaké je prezentováno. Zda nedělají z komára velblouda. Z vaší odpovědi jsem pochopil, že ne. Není tedy čas na změnu distribuce (přestože jsem spokojen)? Zdá se, že myšlenka Slackware je překonána.
Co se týče těch záplat. Ani omylem se nemohou rovnat kvalitě, rychlosti, pohodlnosti (aj. aspektům) záplat u Archu, Ubuntu ad.
Existuje možnost, že CHIP pracuje na nečí objednávku a jistě za nemalý honorář.
Honorář bych ani neřekl. Ale nemalou část příjmů takového časopisu samozřejmě tvoří reklama. Takže významný zadavatel reklamy samozřejmě může očekávat určitou míru vstřícnosti. Jak velkou, to samozřejmě závisí na solidnosti média a významnosti onoho zadavatele.
Mě spíše zajímá, zda je reálné riziko takové, jaké je prezentováno.
Pokud nějaký report říká, že v programu XY je bezpečnostní chyba, která umožňuje spuštění podvrženého kódu (a to se bohužel stává), pak celkem nemám důvod tomu nevěřit. Na druhou stranu přiznávám, že co se týká bezpečnostních chyb, asi bych spoléhal spíš na jiné zdroje než Chip.
Zdá se, že myšlenka Slackware je překonána. … Co se týče těch záplat. Ani omylem se nemohou rovnat kvalitě, rychlosti, pohodlnosti (aj. aspektům) záplat u Archu, Ubuntu ad.
To asi ne. Na druhou stranu, pokud si někdo zvolí Slackware, bude k tomu asi mít jiné důvody.
9.4.2007 00:09
Ondrej | skóre: 20
| blog: darkblair_server
| Praha
9.4.2007 10:42
Michal Wirth | skóre: 26
9.4.2007 12:09
Fuky | skóre: 52
| blog: 4u
Je dobré pro nový dotaz založit novou diskuzi a více popsat problém a to co jste pro jeho vyřešení udělal.
9.4.2007 12:39
stativ | skóre: 54
| blog: SlaNé roury
10.4.2007 08:49
Michal Wirth | skóre: 26
považuji to za celkem nezdvořilé - pokládat vaše dotazy do cizích vláken, prosím založte si své, děkuji
co se týče vašeho problému: Po instalaci mi nejdou přehrávat .mp3 soubory..., někdy skutečně stačí hledat
Já bych zase nečekal, že někdo napíše něco takového jako vy ve 14:10 a bude to myslet vážně. Je to asi tak stejně hloupé (a pokud to radíte druhým, tak i nebezpečné), jako byste napsal:
Nechávám auto odemčené už 10 let a nikdy mi ho neukradli. Takže zamykání auta je NESMYSL!!! Řidiči jsou zásadně proti tomu.
Provadeni updatu jako metoda podporujici zajisteni bezpocnosti je ovsem praxi prokazana jako nedostatecna - velka vetsina lidi to nedela.
Mohl byste objasnit logickou úvahu, která vás vedla k této větě? Není mi jasné, jak z toho, že většina lidí neupdatuje (je-li tomu tak), vyplývá, že updatování je k zajištění bezpečnosti nedostatečné. V nejlepším případě mi z toho trčí, že si pletete podmínku nutnou a postačující…
Co se týká firewallu: vysvětlete nám, prosím, jak vás firewall ochrání před (třeba) buffer overflow v knihovně libjpeg, který umožní šikovně zkonstruovaným obrázkem spustit podvržený kód. A také nám, prosím, vysvětlete, jak coby inženýr tento typ problému vyřešíte bez nutnosti buď provádět updaty (aspoň bezpečnostní) nebo počítač zcela izolovat od jakékoli výměny dat s okolím.
10.4.2007 16:05
stativ | skóre: 54
| blog: SlaNé roury
protoze treba ta verze programu je opatchovana, ale nechapu, proc proste neni novaCasto byva opatchovana drive nez vyjde nova verze programu. Mimochodem princip nepousteni novych verzi je pokud vim v debianu stable odjakziva.
jak zajistite, aby uzivatel nezadal na internetu cislo sve platebni karty, kdyz uz je tak hloupy, ze naleti na ten podvrzeny obrazek?Podvržený obrázek může být klidně něčí avatar tady na abclinuxu, reklama, prostě jakýkoliv obrázek, který se zobrazí. Navíc pokud někdo zadá číslo své platební karty na Internetu, je to jeho blbost. Pokud si dotyčný sedne k počítači, kde útočník díky zastaralosti dotyčné knihovny spustil sniffer a to číslo prostě odposlechne, je to chyba správce toho počítače (což může, ale nemusí být jedna a tatáž osoba)
kolega nahore se ptal, jestli podstupuje nejake nebezpeci, kdyz nedela updaty a pouziva system, ktery tyto updaty nejak excelentne nepodporuje. Moje odpoved zni, nebezpecne to neni.
A moje odpověď zní: ano, podstupuje. Příklady konkrétních bezpečnostních děr a jejich zneužití jsou dostatečně známé (vám možná ne, nám ostatním ano). Možná jsem měl svým způsobem štěstí, ale jeden (zatím jediný, ťuk ťuk) průnik na server se mi kdysi přihodil hned pár dnů po jeho nainstalování. Byl způsoben… okamžik napětí… zneužitým buffer overflow v IMAP démonovi. Proč mluvím o štěstí? Protože možná právě jsem nepodlehl představě, že když se mi (zatím) nic nestalo, nic nehrozí.
Jiný příklad: když jsem si dával svůj současný server na hosting, první pokus o útok jsem v logu zaznamenal necelých 20 minut po naběhnutí systému. To bylo v létě 2002, dnes by to nejspíš bylo ještě rychlejší.
Naopak, se ptam, kdo kontroluje ty updaty, aby nebylo podvrzeno neco, co infikuje masu systemu?
Zcela překvapivě producent distribuce, stejně jako u obsahu médií. Co se týká podvržení třetí stranou (po cestě nebo někým, kdo má kontrolu nad mirrorem), ve slušné společnosti bývá zvykem, že updaty jsou podepsané.
Resumé: Pokud se inženýři chovají tak, jak vy to propagujete, doufám, že nikdy nebudu závislý na funkčnosti serveru spravovaného inženýrem. Naštěstí ale ze zkušenosti vím, že to tak není. Možná ani vy to nemyslíte vážně a jen tak provokujete.
Ale u normalne nastaveneho hesla to neslo rozlustit ani pred 10 lety.To je pravda, ale kolik lidi ma normalni tj. bezpecne heslo? To muzes vysvetlovat komu chces, ale kancelarska krysa si zvoli vetsinou neco jako Franta12.
To, ze se o bezpecnost u firem nikdo nestara ale neznamena, ze je to proto, ze by nebylo potreba. Bud to jejich spravci neumi, nebo jsou lini, nebo... Pak to dopada, jak to dopada. Tahle diskuse mi prijde stejne bezpredmetna, jako diskuse o tom, jestli delat zalohy ci nikoliv. Taky jsem je nikdy nedelal a rikal si, ze je to k nicemu. Dokud jsem neprisel o diplomku, kterou jsem psal rok...
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
9.4.2007 09:05