 Hozzászólások  A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
grobs: jol beszelsz. Azert az a 9 ms program eleg nagy kaliberu. Pl.: directX. Mindenesetre jo vizsgalodast kivanok az ms-nek a crackereknek meg jo munkat :)
|
Az MS hivatalos allaspontja jelenleg az, hogy felhasznaltak a zlib -et es jelenleg vizsgaljak, hogy kihasznalhato e a hiba. 9 MS programrol van szo, a listajuk fent van a gzip lapjan a tobbi majdnem 600 program kozott (adobe programot is erintett pl). Az index.hu -n tegnap jelent meg a cikk. A supergamez -t az MS szponzoralja ugyhogy itt nem fog megjelenni ameddig a patch meg nem jelenik hozza.
A unix -os programokat mar frissitettek mindenhol. Az MS programokat meg majd egyszer talan.
A problema elsosorban az, hogy az MS programokba statikusan linkeltek, mig unix -on ez viszonylag ritka. Igy unix -okon elegendo volt szinte mindenhol a zlib -et lecserelni, hogy az osszes program rendben legyen, mig win -en a programokat egyenkent kellene frissiteni. Igy valoszinu csak ott fogjak javitani ahol tenyleg kritikus a hiba ... de ott is csak akkor ha jol megvizsgaltak a kerdest es kis presztizsveszteseggel beadhato.
|
Amugy az ms reszerol varhatsz a hivatalos allaspontra. Max akkor ismerik el, ha mar nagy balhe van. Addig a szokasos rizsa meg, amit mar ugyis mindenki ismer.
|
A program, ami a zlib keresi, hogy mely programok hasznalnak zlib-et, nem a hibauzenetekre alapoz. Talan olvass egy kicsit.
Egyebkent ha tizenvalahany hibauzenet megegyezik, akkor csak matematikai eselye van annak, hogy nem hasznalja, de mondom, nem erre lalapoz a zlib kereso.
|
ezt ugye vehetjük hivatalos álláspontnak is ugye?
Belefáradtam... :((((
|
A directx es az ie is hasznal zlib -et.
|
nem akarom az egész cikket iderakni, ha beszélsz angolul olvasd el: igenis stringeket kerestek benne és pár (!! nem mind) hibaüzenet megegyezett a zlib-ben szereplőkket és erre alapozzák a feltevésüket. Egy szóval sem említettem, hogy gpl-es lenne a zlib. Épp ellenkezőjét mondtam, miszerint csak azért kerülhetett bele - már ha belekerült - mert nem gpl-es, különben nyilvánosságra kellene hozniuk az ő forrásukat.
Nem azt nem cáfolta hogy belekerült-e a zlib forrása, hanem, hogy belekerült-e bármilyen open source-os dolog a forrásba. ezt sosem tagadták előző üzimben írtam, hogy miért és hogyan kerülhet bele OS-os anyag.
|
A zlib nem gpl-es.
Nem a hibauzenetekre alapozzak a feltevesuket.
Nagyon nem alakithattak at a kodokat a programozok, ha meg a hibauzeneteket is valtozatlanul benne hagytak.
Tudtommal nem cafolta az ms hogy felhasznalta a zlib forraskodjat, pedig megtette volna, ha nem lenne benn.
|
Én is elolvastam. Hát elsőre elég meredek, hogy arra alapozzák a FELTÉTELEZÉSÜKET, hogy egy pár hibaüzenet megegyezik... Hát most erre mit is mondjak...
A végén írja, hogy az ms kijelentette, hogy a programozóiknak egyetlen dolgot tiltottak meg, mégpedig a GPL licenszelésű kódok beillesztését, mert akkor nyilvánosságra kéne hozzáka forrást. Szóval én speciel nem hiszem, hogy felhasználtak open source-os kódot, de ha mégis azt se úgy kell elképzelni, hogy Billy azt mondja nosza emeljük át ezt a pár dolgot OpenS.-ből, mert marha jó, hanem, hogy ki van adva a programozóknak a meló és néhány fogja magát leszed egy pár open sourceos dolgot átalakítja és megspórol egy pár napot. És persze mint látjuk belerak(hat) hatalmas biztonsági rést a programjába... Nagyon gáz.
Ami meg igazán röhejes: "zlib creator Gailly wishes the giant gave credit" !!!! Ez totál hülye!!!! Mihez akar elismerérst?!?!?!? Hogy nem tud programozni?? Utána meg panaszkodik, hogy az újjabb verzióiban nem adja ki freeware-ként a kódját... Hát abban biztos lehet, hogy nagy ívben el fogják kerülni minden "munkáját"... És jobban tenné, ha mindenki követné a ms példáját.
Na kb. ez az open sourse... :(((((  |
En olvastam. Persze az ms spokesman mar nyomatta is a kodositest, ahelyett, hogy a javitast villantanak. Az ms-nek mar nemcsak a sajat hibaival kell megkuzdenie, hanem az open source kodok hibaival is :)
|
AI es a tobbi MS fannak:
Olvastatok a news.com-on, hogy jopar ms program hasznalja a zlib-et (es meg sok mas lenezett opensource kodot is), ilyen aprosagok mint pl.: directX, internet explorer, office stb. Linuxhoz elobb kint volt a javitas mint ahogy ez a cikk megjelent volna. Windowshoz mikor jon? Elobb meg vegig kell halgatni billi okositasat, hogy "ez igazabol nem is bug", aztan meg "okay bug, de nem kritikus", aztan nehany honap mulva majd jon a 150 megas service pack :)
|
az nt4 a 95 nt-s "párja". (lásd gui).
A feburári cumulative patch óta legalább 6-ot kiadtak már, szerintem próbáld újra ha felraktál mindent. javaslom a hfnetchk-et mert a windowsupdate-en gyakran késve jelennek meg a patchek, pedig már rég elérhetők.
Hát ennyi erővel nézhetjük azt is hogy mennyi nem javított hiba van a 95-ben hátmég a 3.1-ben. Vagy mintha 6-8 ével ezelőtti linux-okról beszélgetnénk, hogy milyen szar... (mondjuk ott más a helyzet egy kicsit, mert "egyszerűbb" a kernel frissítése mint az ms vonalon)
Hát a nyílt (ráadásul ingyenes!) rendszerek egyelőre nem váltották be a hozzájuk fűzött reményeket, emlékezzünk csak vissza amikor a 2000-es évet a linux évének akarták tartani, "hiszen még ingyen is van, kizárt hogy ne térne át mindenki rá a drága és bugos windows-okról".
És mégegy hátrányt említenék még a nyílt rendszereknél a biztonság szermpontjából, mégpedig, hogy egy felfedezett biztonsági rés után nagyságrendekkel egyszerűbb az exploitot létrehozni hozzá, hiszen ott a teljes forrás, pontosan tudod mit mivel fogsz felülríni és mikor fog odakerülni a vezérlés pl. Míg ugyanilyen helyzet esetén egy zárt forrású rendszerben neki lehet álni a reverse-engireening-nek ami elég kemény dolog és még mindig szerencse is kell hozzá, hogy összejöjjön (és sokkal nagyobb tudás, gyakorlat, energiabefektetés). |
Win2K-tól fölfele valóban nem nyitják ki, alatta viszont igen, pl. az NT4 is. Adminként nem megy, de ezek szerint nem olvastad el alaposan a forrásba írt kommentjeimet, meg a második lapot. Írd át a scriptet, és próbáld ki úgy. Én most nem tudok vele sok időt rászánni, de azért megnézheted...
Nálam a "11 February 2002 Cumulative Patch for Internet Explorer" van fenn. XP-n meg szerintem biztosan nem fog menni, mert ott valószínűleg szigorúbbak a biztonsági beállítások.
Egyébként mindegy, hogy hány gépen nem megy, amíg van olyan, amin működik, továbbá próbáld ki önállóan azt a részt is, ami file-t olvas. Szerintem már az is elég gond.
Igazából én utálok belemenni ilyen linux vs win vitákba, mert mindkettő alapvetően "játék" oprendszer, nem a komoly kategóriába való, de azt a véleményemet fenntartom, hogy az M$ nem ad ki mindenre javítást, és ez nem csak biztonsági hibákra vonatkozik.
Ez pedig egyszerűen a modellről szól, amit használnak. Szerintem ez zárt modell sose lehet annyira biztonságos, mint egy nyílt. |
emlékezetem szerint a 95 az utolsó (és egyben az első is ugye amelyik) DUN kapcsolatnál alapból bekapcsolta a client for ms networkingket -> netbios nyitva. Szerintem már a 98 sem teszi ezt meg az 2k-tól fölfele meg egészen biztosan nem. Egyébként xp-t használok és direkt megnézem Administrator-ként bejelentkezve is és úgy sem ment. Éppezért én attól félek neked mégsincs (ill. fent van, hiszen említetted, hogy a saját configod-on se megy csak másén) fent neked minden patch azért müxik nálam meg nem... Csak hát INNEN INDULTUNK...
|
Szerveroldali programozás alatt azt értem, hogy be kellene konnektálni a NetBIOS portra, ahonnan le lehet olvasni a usernevedet, alapból ugyanis egy csomó winen ez ki van nyitva...
Ezután belegenerálhanám a html-ben a script tag-be, hogy hol keresse a cache-t NT alapú Winen.
Nem tudom, mit használsz, de leírtam, hogy az exe hogyan kerül a gépedre. Írtam azt is, hogy lehet, hogy sok helyen nem működik, és pl. a saját beállításaimmal nekem se megy, továbbá pl. az exe helyett lehet com-ot is pakolni, sőt tehetném egy IMG-be is, és akkor valószínűleg nem kérdezné meg. DE: van nagyon sok Windows, ahol ez működik, pl. nekem is, és ez vele a bibi, eljöhetsz, megnézheted...
Szerintem IE biztonsági kérdés, hogy amikor egy tag-ben forrásként egy exe-t vagy egy com-ot adsz meg, esetleg egy vbs-t, írhattam volna azt is, akkor azt beteszi-e a cache-be vagy sem. Nálam az IE6 beteszi. A trójaiknak pont egy kritikus pontja az, hogy hogyan kerülnek a kliensre, és azt akartam ezzel megmutatni, hogy az IE-vel, egy nagyon egyszerű trükkel ezt megteheted. |
hát nekem nem müxik... Már mindjárt az első oldalon megkérdezi, hogy hova mentse az exe filet... :)))
innentől pedig már... a trójai lovak kategóriájáról beszélhetünk ami fényévekre van az ie biztonsági kérdéseitől. ("elenganica"!!!)
A szerver oldali programozásban nem tudom mit érthetsz, de sok közen nem lehet a problémánkhoz. A szerver oldali szkriptek, com objektumok stb. a szerver oldalon futnak semmilyen közük nincsen a kliens oldalhozm, általában a dolguk elvégeztével a végeredményt adják át pl. sima html-ben a kliensnek.
|
Csinaltam neked egy ilyet, most meg csak Win98-on fut, en a legutolso patch-ekkel megkuldott IE6-tal probaltam, es nagyon szepen mukodott, default beallitasokkal, tehat Medium security-vel. Lehet, hogy nalad nem fog, foleg ha nem Win98-on nezed, ha igy alakul, emilezzuk meg ne legyunk itt tul off-ok.
Meg ha nem is megy, akkor is olvasd el a reszletes leirast, illetve nezegesd at a forrast, mindent felraktam.
Hogy elegans legyen a dolog, ez nem egy cmd-t, hanem egy olyan exe-t fog lefuttatni, ami a szerveren van fenn, es neked nem is kell letoltened :)
Be kell valljam, hogy nem csak par perc volt. Kb. 3 ora alatt csinaltam meg, Win98-ra. Win2K-ra valoszinuleg szerveroldali programozgatnom is kene meg, de sajna sok melom van, kesobb esetleg az is belefer... Remelem, ennyi egyelore eleg ahhoz, hogy elhidd, hogy ez igy nem van jol... Szerinted a kliens gepen barmilyen exe futtatasa a Low kategoriaba esik? Szerintem nem...
A bad request meg konfiguracios es nem biztonsagi hiba, legyunk korrektek.
es vegul a link:
http://cyberspace.mht.bme.hu/~marczi/ |
légysz csinálj olyan oldalt, de csak azért mert nem lehet... :)) A cmd.exe-nek - letve semmilyen más programnak se - nem lehet paramétert átadni... A dolog inkább kellemetlen (lehet) mint veszélyes. Továbbra is fentartom az előző állításom, hogy senkit nem törtek meg késve kiadott patch miatt. És ezzel sem fognak ugyanis a "gyakorlatban" semmire nem jó. Kivéncsi vagyok milyenre minősíti a security lista, gyakorlatilag biztos vagyok benne, hogy Low-ra.
Ms gép: első nekifutásra menj el a root-jába. bad request. sebaj. hisz linux. :) (az uptime-ját is érdemes megnézni) Futass egy port scannert is rá.
Már a nevéből is látszik ez egy teszt szerver. És igen bizony a ms-nél SZÁZÁVAL vannak linux gépek, unix-ok, novell-ek de NEM mert használják őket, hanem mert dollár milliókat költenek, hogy a ms szerverek együtt tudjanak működni ezekkel. Meg lehet nézni a 2k severt is, hogy mennyi szolgáltatást nyújt ezekhez a más rendszerekhez. Hát még migráláshoz :)) ezközöket hiszen neki abban van az igazi pénz akárhogy is nézzük. |
A különbség csupán annzi, hogy win alá vannak használható programok is, a linux meg CSAK szervernek jó.
modik szégyene|meglátszik hogy szeretsz bünteto pontokat adni ezt bátyámis megmondta mikor neki adtál
na ved le szépen büntetopontot|hola vip pénzem ... erol nem volt szó hogy ezért fizettek
|
Al: azért érdemes ezt is mondjuk megnézni...
http://uptime.netcraft.com/up/graph/?host=a142.ms.a.microsoft.com
Ez az M$ gepe, es linux fut rajta. Meg IE6-ot is leszedhetsz rola:
http://a142.ms.a.microsoft.com/f/142/1611/2h/download.microsoft.com/download/IE60/fnlrtw/ie6/W98NT42KMe/EN-US/ie6setup.exe
Raadasul elolvashatnad, amit par hozzaszolassal lejjebb irtam. Le lehet vele torolni a file-jaidat. Csinaljak neked par perc alatt egy ilyen weboldalt? Csak megnyitod IE-ben, es mar torolve vannak a cuccaid...
Itt nem a patch-elesrol van szo. Ha valaki bazi biztonsagos dolgot akar, tegyen fel ra VMS-t, egyforman bugos a linux is es windows is, egyik se komoly, minositett oprendszer. A lenyeg szerintem ott van (es ez pusztan hozzaallas kerdese), hogy mig linuxhoz szinte rogton megjelennek a javitasok (minden esetben), addig ez az M$-re nem igaz, es ez a pelda a home.austin.rr.com-on eleg jol mutatja ezt. (a legutolso patch van fenn a gepemen a windowsupdate-rol, IE6-tal, es ezt az oldalt mar februar ota tudom nezegetni) |
A szomszéd megcrack-elte anyámat, mert apám nem patch-elte elegendő rendszerességgel!
|
"egy winfos-os gépet bármikor átjárnak"
Ha-ha-ha ezt remélem magad gondolod komolyan. Hirtelen példának csak a microsoft.com-ot hoznám fel. A nap 24 órájában egyszerre több százan próbálják feltörni évek óta...
Amiről te beszélsz az a default install. Illetve még az se. Rakj ki nyugodtan a hálóra egy 2k szervert alapból patch nélkül és egy linux-ot szintén patch nélkül és úgy felnyomják mindkettőt 1 óra múlva, hogy csak nézel...
Rendesen bekonfigurálva, komoly biztonsági renddel egyiket se fogják tudni. (természetes épp elméjű energia befektettéssel, hiszen semmi sem feltörhetelen)
Johann: légyszves a történelem során EGYETLEN olyan törést mondjál amikor a ms későn adta ki a patch-t azaz feltörtek bárkit is mert nem volt meg a patch! A büdös életben nem volt ilyen... Ha lett volna akkor pontosan a ms.com lett volna az első áldozat... Egyébként ennek más oka is van, ugyanis a "fantasztikus" hackerek 99,999999%-a semmi mást nem tudnak mint a biztonsági oldalak által publikált - az adott cég ill. független biztonsági szakemberek - által felfedezett biztonsági réseket kihasználni. De mégis akkora az arcuk, hogy elhányom magam tőlük. Akik igazán tudnak és büszkék lehetnek magukra azok mindig is a túloldalon álltak... |
Highwayman: "Egy dolog tény: A windows nagyon sok tekintetben alulmarad biztonsági téren."
Ez a linuxbuzik altal eloszeretettel terjesztett mitosz. Ha osszehasonlitod a biztonsagi hibak statisztikait pont forditva van a dolog. Persze a sajto is mindig a Win hibak korul liheg amikor meg a linux hibas akkor nagy a kussolas. Csodalkoztam is, hogy errol a problemarol speciel van cikk.
|
http://home.austin.rr.com/wiredgoddess/thepull/funRun.html
hm??? január óta lehet róla tudni... azóta sincs rá javítás. a php hibára 4 óra alatt volt...
|
Egy dolog tény: A windows nagyon sok tekintetben alulmarad biztonsági téren.
Az is tény, hogy az alkalmazások nagy része jelenleg winfos alatt müxik, így az ember keze részben kötött, ha más nem, akkor két partíció aztán hagy szóljon. Ha ismertek hackert, akkor azt is tudjátok, hogy egy winfos-os gépet bármikor átjárnak, míg a linux-nál töprenghetnek egy kicsit... na erről ennyit.
|
erdekes... en 2-t kattintok es mar frissiti is a windowst a gep...
Ez az a hely, ahonnan rákattanhatsz a Flém-re!
|
Ez így is van, mi frissítünk!!!
Ti pedig, ha hasonló biztonsági gondotok lesz, várjatok 1-2-3... hónapot a service pack-ra, ami 200MB lesz 1-2, AVI-t lejátszik intro-ként, és csak akkor tudod feltenni, ha elötte kitöltesz 1 kérdöívet, beírod a regisztrációs kódodat stb... :)
|
Ez igy van, linfos rajongók frissitsetek!
|
Az, hogy itt mikor irtak ki az egy dolog... attol ezt mar reges regen ki-, es felhasznalhatta szamos emberke...
Egybknt nagyon cool az auto update dolog linuxokba, ms-nel is probalkoznak hasonloval, mar az sem rosz imho.
|
ezt a pici puha sok-sok éve már megcsinálta, windows update, hfnetchk, critcal update notification és még sorhatnám...
Egyébként röhejes, ahogy a sok linux-os elbagatelizálja a biztonsági hibáit a kedvenc rendszerüknek és hogy felfújják az egészet már rendszerben, de komolyan...
A lényeg most is az mint minden biztonsági hibánál akármilyen rendszerről is legyen szó, hogy lesz sok-sok ezer gép amire nem telepítik amikből király áldozatok lesznek... És azok is a linux "jóhírét öregítik" majd. De én nem bánom egyáltalán, mert nagyon sok lámer hamis biztonság érzetben van, mert azt hiszi, ha linux-ot használ akkor biztonságban lesz, pedig egy nagy büdöset lesz. Majd ha odafigyel a biztonsági ajánlásokra és naponta kétszer patchel, ahogy ms vagy bármilyen más rendszeren is. És ebben bizony a média a hibás.
|
kár lenne a zlibet a linuxszal azosítani. tulajdonképpen az összes játék használja kevés kivétellel. nagy csomó kereskedelmi alkalmazás is. a probléma azokkal a programokkal van, amik statikusan linkelnek a hozzá. a többit egyszerű javítani. :) meg különben is, ez csak egy kis adalék a hax0r csodatarisznyához. :)
|
hali mindenkinek, csodalkoztam is ma, hogy a szokasos apt-get update;apt-get dselect-upgrade miert frissitette a zlibet :))
most mar tudom, azaz hamarabb frissult a rendszerem mint ahogy a hibarol tudtam volna!
ezt a picipuha mikor fogja megvalositani? :))))))))))
valasz: soha ....
|
Nyilvan hazugsag mocskos m$ propaganda.Es ha megis akkor szabotazs !!
Biztos hogy bili geci nehany milliardert felberelt,vagy valamilyen modon kenyszeritett egy programozot,hogy szandekosan hibat okozon.
Rohadt szemet m$ dogoljenek meg.
|
Mar javitva van. Siman frissics rendszert es kesz.
Amugy nem olyan veszes mint itt laccik. Mer pl. ki az a barom, aki X - et kiengedi netre ? :)
|
Azért azt jó lenne tudni, hogy mikori a javítás. Én most éppen az 1.1.3 build 19-et tettem fel, remélem ebben már javítva van. Lusta vagyok doksit olvasni :)
|
Na kezdődhet a linux gyalázása. Én meg frissíhetek zlib csomagot :(((((
|
|
Nyomtatás
Elküldés e-mailben
A Creative újra belép a grafikus piacra
Óriások csatája: A SUN pert indított a Microsoft ellen
Újból kapható Japánban az Xbox
