abene Skrevet 18. april 2007 Skrevet 18. april 2007 Microsoft får kritikk for å avsløre for mye om sikkerhetshull før kritiske sikkerhetsoppdateringer slippes. Les mer
Anders Jensen Skrevet 18. april 2007 Skrevet 18. april 2007 Sikkerhet og åpenhet passer dårlig sammen på kort sikt og bra på lang sikt. Vanskelig avveining antar jeg, men her er det vel lite å tjene på å legge ut info for tidlig.
efikkan Skrevet 18. april 2007 Skrevet 18. april 2007 Microsoft bør være forsiktige med informasjonen de legger ut ja, så lenge de ikke slipper ut all informasjon. (som åpen kildekode) Det er nok en vanskelig balansegang å tilfredstille kundene samtidig som hackere ikke "må få en for lett jobb".
Zethyr Skrevet 18. april 2007 Skrevet 18. april 2007 I prinsippet bør kritiske oppdateringer være klart innen 24-48 timer, og når først en oppdatering er sluppet kan alle hackere rimelig greit finne ut hva det dreide seg om uansett, så man kan like grei slippe informasjonen da. Denne balansegangen blir kun et problem hvis man er treg med oppdateringene.
Peter Skrevet 18. april 2007 Skrevet 18. april 2007 I prinsippet bør kritiske oppdateringer være klart innen 24-48 timer, og når først en oppdatering er sluppet kan alle hackere rimelig greit finne ut hva det dreide seg om uansett, så man kan like grei slippe informasjonen da. Denne balansegangen blir kun et problem hvis man er treg med oppdateringene. 8413707[/snapback] Jeg undres om du noen gang har jobbet på et større prosjekt og drevet feilsøk og feilretting. Det er ikke alltid like enkelt verken å finne kilden til feilen, eller rette den. Etter dette skal den også testes for å prøve å finne regresjonsfeil.
Zethyr Skrevet 18. april 2007 Skrevet 18. april 2007 48 timer er ganske lenge, særlig når man har mange folk til rådighet. Er en feil kritisk, bør denne prioriteres. Men merk også at jeg skriver "I prinsippet.." for å vise at dette kan være vanskelig i praksis om man er uheldig.
Theo343 Skrevet 18. april 2007 Skrevet 18. april 2007 (endret) 48 timer er ganske lenge, særlig når man har mange folk til rådighet. Er en feil kritisk, bør denne prioriteres. Men merk også at jeg skriver "I prinsippet.." for å vise at dette kan være vanskelig i praksis om man er uheldig. 8413915[/snapback] Hvis du ikke har noenting å gjøre på de 1500 forskjellige systemene du driver med så er 48 timer mye ja. Endret 18. april 2007 av Theo343
Zethyr Skrevet 18. april 2007 Skrevet 18. april 2007 Jeg regner med at en såpass stor bedrift som Microsoft kan avse noen mann ekstra til å fikse kritiske sikkerhetshull, hvis de innser at det trengs ?
Theo343 Skrevet 18. april 2007 Skrevet 18. april 2007 Ah, ja nei jeg trodde du mente at bedrifter burde klare å patche sine servere innen 48 timer etter patch er sluppet. Microsoft som leverandør, hmm tja.. er 48 timer galt egentlig? Men de burde vente med infoen til patchen er sluppet.
Zethyr Skrevet 18. april 2007 Skrevet 18. april 2007 Det er det jeg prøver å komme frem til. Patchen må ut så fort som mulig (overtidsarbeidspotensiale) og først da bør infoen slippes (generally speaking).
Nonsens Skrevet 18. april 2007 Skrevet 18. april 2007 (endret) Et annet element i denne saker er jo ofte at folk som avslører sikkerhetshull er så pr-kåte og vil ha kred for å ha vært 'flinke' at de omtrent sprer sine funn for hele verden i det sekund de melder det til Microsoft. At man bruker 48 timer på å lappe et hull synes jeg er helt akseptabelt. Det foregår vel også testing før patchen slippes; tenk for en skandale å slippe en patch som totalt ødelegger for f.eks. 1 av 1000 brukere som sitter på en eller annen sær hard/softwarekombinasjon. At folk som liker å kødde med andre utnytter info om sikkerhetshull er jo rimelig opplagt - ref. Sasser/Blaster (som begge riktignok var ferdig patchet en måned før virusene dukket opp, men det hjelper jo lite så lenge mange folk gir blaffen i oppdateringer). Endret 18. april 2007 av Nonsens
Theo343 Skrevet 18. april 2007 Skrevet 18. april 2007 (endret) Jeg tror ikke Microsoft tester sære software kombinasjoner for små patcher de gir ut. Derimot testet de store software løsninger for store patcher. Eks. sa de at W2k3 SP2 var testet med Oracle 9i men ikke 10g osv. Endret 18. april 2007 av Theo343
Zethyr Skrevet 18. april 2007 Skrevet 18. april 2007 Er man en redelig white-hat og man finner et sikkerhetshull gir man dem hvertfall 4-7 dager før informasjonen distributeres. Det er teit å skape masse unødig stress og press, grunnen til at man setter en frist er gjerne at man vil få bedriften til å prioritere å lappe sammen en patch, samt at man vil ikke måtte vente for lenge i frykt for å ikke få den statusen det innebærer å ha avdekket hullet.
A!1 Skrevet 18. april 2007 Skrevet 18. april 2007 For det første er det vanligvis ikke Microsoft selv som annonserer sikkerhetshullene. Det skjer i diverse cracker-forum. Microsoft selv har tradisjonelt ikke gjort noen stor innsats for å finne sikkerhetshull. De har satset på Security by obscurity. Utfordringen til Microsoft er å holde følge med disse offentliggjøringene og slippe oppdateringer raskest mulig. De som virkelig utnytter sikkerhetshull i en kriminell virksomhet har uansett ikke noen interesse av å offentlig-gjøre sikkerhetshullene de baserer seg på. Derfor er det alle de ukjente sikkerhetshullene brukerne burde være mest bekymret for.
Peter Skrevet 19. april 2007 Skrevet 19. april 2007 Microsoft selv har tradisjonelt ikke gjort noen stor innsats for å finne sikkerhetshull. De har satset på Security by obscurity. 8418040[/snapback] Kilde? Det er vanskelig å tro at MS kan være så tette i toppen, selv om de har et skap fullt av skjeletter. Security by obscurity trodde jeg det bare var nybegynnere som drev med.
Theo343 Skrevet 19. april 2007 Skrevet 19. april 2007 (endret) For det første er det vanligvis ikke Microsoft selv som annonserer sikkerhetshullene. Det skjer i diverse cracker-forum. Microsoft selv har tradisjonelt ikke gjort noen stor innsats for å finne sikkerhetshull. De har satset på Security by obscurity. Utfordringen til Microsoft er å holde følge med disse offentliggjøringene og slippe oppdateringer raskest mulig. De som virkelig utnytter sikkerhetshull i en kriminell virksomhet har uansett ikke noen interesse av å offentlig-gjøre sikkerhetshullene de baserer seg på. Derfor er det alle de ukjente sikkerhetshullene brukerne burde være mest bekymret for. 8418040[/snapback] Vel du sier egentlig ikke noe nytt her, alle vet dette. Men du viser et oppstykket bilde. Andre annerkjente sikkerhetsforum finner ofte feil, men de melder de først til Microsoft, deretter i sine forum. De aller fleste sikkerhetshull avdekkes her og ikke av kriminelle direkte. Microsoft selv retter feil de selv finner og feil de får meldinger om. Mystisk? Endret 19. april 2007 av Theo343
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå