- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Именно по этому подробности проблемы я уведомил только узкому кругу людей.
Но ведь можно было же написать хотябы "устранены мелкие баги". Уже многие бы обновляли. Но при взломе я вместо того чтобы клиенту смотреть исп я несколько часов ищу другие путы проникновения, а за это время хакер творит все что душе угодно. Клиенту (около 1000 доменов или даже более) это стоило около двух суток даунтайма, из-за всех последующих проблем. Спасибо "верной" политике исп.
Это не грамотная политика, а извращенная. Тайное всегда становится явным! Но уведомленный - значит защищенный. А нас кинули че... ...
В таком случае стоило бы хотя бы информировать партнёров компании, а не сидеть и отмалчиваться, как они обычно поступают!
Информирование партнёров с точки зрения распространения информации об уязвимости фактически равносильно информированию конечных клиентов, так как каждый партнёр захочет проинформировать своих клиентов.
Тогда получится совсем странная ситуация -- клиенты, которые заказывают дорогие лицензии с поддержкой напрямую окажутся в худшей ситуации чем клиенты, которые заказывают дешёвые лицензии без поддержки у партнёров.
Дырку рано или поздно всеравно нашли бы. Но сейчас каждый прочтет тему и обновит пока не поздно. А без этой темы такие взломы появлялись бы еще года полтора и не будут знать как.
Но ведь можно было же написать хотябы "устранены мелкие баги". Уже многие бы обновляли. Но при взломе я вместо того чтобы клиенту смотреть исп я несколько часов ищу другие путы проникновения, а за это время хакер творит все что душе угодно. Клиенту (около 1000 доменов или даже более) это стоило около двух суток даунтайма, из-за всех последующих проблем. Спасибо "верной" политике исп.
Это не грамотная политика, а извращенная. Тайное всегда становится явным! Но уведомленный - значит защищенный. А нас кинули че... ...
Не смешите: если бы было написано "устранены мелкие баги", то все бы как всегда обсудили то, что обновления всё ломают, и никто бы не обновился.
В целом, не думаю, что было бы проще, если бы клиента вломали не через известную и исправленную уявзмимость, а через какую-нибудь 0day. Даже при обсуждении взломов с libkeyutils.so.1.9 было меньше негатива, хотя тогда все советы сводились к "мы не знаем, откуда взлом, лучше закройте ssh в firewall".
Информирование партнёров с точки зрения распространения информации об уязвимости фактически равносильно информированию конечных клиентов, так как каждый партнёр захочет проинформировать своих клиентов.
Тогда получится совсем странная ситуация -- клиенты, которые заказывают дорогие лицензии с поддержкой напрямую окажутся в худшей ситуации чем клиенты, которые заказывают дешёвые лицензии без поддержки у партнёров.
Ну можно было предупредить партнёров о том, чтобы не информировали клиентов и при этом сказать как временно закрыть уязвимость!
Последнее время ISPsystem даже не реагирует на баги, о которых им сообщаешь, прося заплатить 20 евро за проверку баги, когда соглашаешься, они только после этого начинают проверять и при этом сами за то, что бага подтвердилась ни как не компенсируют потраченное время, т.е. по их политике, их время должно быть оплачено, чтобы они подтвердили багу в своих продуктах, а время клиента или партнёра для них ни чего не стоит!!! Поэтому последнее время уже забили на сообщения о багах в их продуктах и ждём пока кто нибудь другой о них сообщит.
Ну можно было предупредить партнёров о том, чтобы не информировали клиентов и при этом сказать как временно закрыть уязвимость!
И думаете это бы сработало?
Последнее время ISPsystem даже не реагирует на баги, о которых им сообщаешь, прося заплатить 20 евро за проверку баги, когда соглашаешься, они только после этого начинают проверять и при этом сами за то, что бага подтвердилась ни как не компенсируют потраченное время, т.е. по их политике, их время должно быть оплачено, чтобы они подтвердили багу в своих продуктах, а время клиента или партнёра для них ни чего не стоит!!! Поэтому последнее время уже забили на сообщения о багах в их продуктах и ждём пока кто нибудь другой о них сообщит.
У меня почему-то полностью противоположное видение ситуации: появилась общедоступная багзилла, в которую кто угодно может отправить описание бага, и оно будет рассмотрено сразу разработчиками/тестировщиками. Да вот только за всё время существование этой багзиллы в ней завели только 26 тикетов.
И думаете это бы сработало?
Если бы за это ввели штрафные санкции, то да!
У меня почему-то полностью противоположное видение ситуации: появилась общедоступная багзилла, в которую кто угодно может отправить описание бага, и оно будет рассмотрено сразу разработчиками/тестировщиками. Да вот только за всё время существование этой багзиллы в ней завели только 26 тикетов.
Она появилась совсем недавно и о ней даже официально не объявили.
Точка зрения разработчиков абсолютно понятна и правильна -- если уязвимость не была опубликована и осталась известна лишь узкому кругу людей, то для клиентов будет безопаснее, если к ней не будет привлечено дополнительное внимание
-но лишь в том случае, когда они бы исправили ошибки и по тихому форсировали бы обновление клиентов
вот как предлагают - через партнеров
но никакого форсирования обновления не было
если вы хотите ispmanager подмахивать, прикрывайтесь полотенцем, что ли
***
Да, и особенно доставляет предложение "мониторить здесь раздел т.к. тут есть представитель"
ага
Если бы за это ввели штрафные санкции, то да!
Штрафы за то, что партнер сообщает клиентам об уязвимости? Это был бы величайший бред и полное крахоборство. Они бы так явно не сделали, так как это дет. сад.
Если бы за это ввели штрафные санкции, то да!
Как определить, к кому применять санкции, если сообщение было бы выложено на каком-нибудь античате или www.ispmanager-fatal-bugs.cn?
И как поступать с прямыми клиентами?
Она появилась совсем недавно и о ней даже официально не объявили.
На форуме вроде было написано. На сайте да, наверно стоило сделать новость.
Вроде как автообновление в панели есть и по умолчанию включено.
---------- Добавлено 13.07.2013 в 23:19 ----------
Да, и особенно доставляет предложение "мониторить здесь раздел т.к. тут есть представитель"
ага
Вы переоцениваете СЕ :) Мониторить надо раздел форума ispsystem, на который я дал ссылку.