- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вроде как автообновление в панели есть и по умолчанию включено.
-ну в таком случае нет смысла замалчивать баг, только подождать день-два, а кто отключил автообновление - сам виноват
кстати, обновления их бывают глючными, есть смысл отключать
Борис, высказывание про автообновление противоречит высказыванию, что они замалчивают баг - и правильно делают
-ну в таком случае нет смысла замалчивать баг, только подождать день-два, а кто отключил автообновление - сам виноват
кстати, обновления их бывают глючными, есть смысл отключать
Борис, высказывание про автообновление противоречит высказыванию, что они замалчивают баг - и правильно делают
Почему? Как раз смысл есть: те, у кого обновление включено, молча получат обновление и не будут иметь проблем, те, у кого его нет, не будут иметь проблем из-за огласки бага.
"они замалчивают баг - и правильно делают" -- это слишком сильное высказывание, моё было слабее: "их позиция понятна и правильна".
не будут иметь проблем из-за огласки бага.
Раз о баге известно (кто-то нашел же его), то это уже опасно. Нашел один человек, найдет и другой. Потому раз обновление готово, то самое время сообщить о баге, дабы клиенты обезопасили себя и обновились (не у всех же автоматически обновляется - у меньшей части по моему мнению). Ведь будет хуже, когда их повзламывают, а потом окажется, что сами испы-то знали о проблеме, но умолчали.
Boris A Dolgov, я Вас понимаю, как крупного реселлера их ПО и защиту их компании, но и Вы постарайтесь понять других, что их последняя политика перетекает в тупое зарабатывание денег и сводит все старания на нет!
Мы используем их ПО, только из-за того, что нет нормальной альтернативы (которой они пользуются), т.е. в их ПО используется не собственные сборки стороннего ПО, а можно всё поставить из любого репозитория и подключить к их продуктам.
Раз о баге известно (кто-то нашел же его), то это уже опасно. Нашел один человек, найдет и другой.
Это уже очень спорный вопрос.
Достаточно давно читал обсуждение, как нужно исправлять лично найденную проблему с переполнением буфера или другими критическими ошибками в open source-проектах. Есть два варианта:
Моё личное мнение говорит, что с точки зрения безопасности редко обновляющихся пользователей намного предпочтительнее первый вариант. Оно так же распространяется на продукты с закрытым кодом с соответствующими поправками.
Пожалуйста, не нужно считать мои сообщения попыткой защитить ISPsystem -- это моё личное мнение, касающееся разработки любых продуктов в целом.
Я прекрасно понимаю Вас как партнёра. Мне тоже было неприятно получить эту информацию не от ISPsystem. Но, поверьте, Вам и Вашим клиентам будет намного лучше, если бОльшая часть багов будет молча исправляться и выкатываться клиентам, а не описываться в рассылке по всему интернету.
Не смешите: если бы было написано "устранены мелкие баги", то все бы как всегда обсудили то, что обновления всё ломают, и никто бы не обновился.
В целом, не думаю, что было бы проще, если бы клиента вломали не через известную и исправленную уявзмимость, а через какую-нибудь 0day. Даже при обсуждении взломов с libkeyutils.so.1.9 было меньше негатива, хотя тогда все советы сводились к "мы не знаем, откуда взлом, лучше закройте ssh в firewall".
Я бы обновился, обновил бы панели администрируемых серверов и сообщил бы остальным как совет. Да, конечно про мало у моих клиентов, но будь это уязвимость в лайт версии то несколько сотен серверов было бы в безопасности. Конечно в мировом масштабе это мелочь, а другой стороны не так уж мало. И думаю у многих так. Так что смешно как раз то что вы говорите, защищая компанию. ТАК НЕ ДЕЛАЕТСЯ! Так отношения между компаниями/людьми не строятся!
---------- Добавлено 13.07.2013 в 23:28 ----------
Почему? Как раз смысл есть: те, у кого обновление включено, молча получат обновление и не будут иметь проблем, те, у кого его нет, не будут иметь проблем из-за огласки бага.
Ага, не будут иметь проблем с дырой но будут РЕГУЛЯРНО иметь проблемы со всем остальным. Ни один умный администратор не оставляет включенным обновы, так как всем хорошо известно чем это может закончится.
Тем самым вы предлагаете избавится от большого но одного бага и создать миллионы мелких, причем почти у каждого клиента. И увеличить нагрузку на поддержку раза в два. Ради чего?
Идиотизм. Вы сервер хоть раз администрировали сервер с этой панелью долгое время? Видели что получается иногда при включенных обновах?
Моё личное мнение говорит, что с точки зрения безопасности редко обновляющихся пользователей намного предпочтительнее первый вариант. Оно так же распространяется на продукты с закрытым кодом с соответствующими поправками.
Если уязвимость нашел разработчик, это правильно, лишняя огласка только навредит. Если её нашел кто-то посторонний, молчание иначе чем "оставлением в опасности" расценить нельзя. Вы это понимаете, поэтому сделали рассылку.
Раз о баге известно (кто-то нашел же его), то это уже опасно. Нашел один человек, найдет и другой. Потому раз обновление готово, то самое время сообщить о баге, дабы клиенты обезопасили себя и обновились (не у всех же автоматически обновляется - у меньшей части по моему мнению). Ведь будет хуже, когда их повзламывают, а потом окажется, что сами испы-то знали о проблеме, но умолчали.
Верно!
Борис, т.е. я должен был умолчать об этом и молча смотреть как взламывают остальных? Не знаю как кто, но я после такого администратором себя назвать не смог бы. Так как по закону это я соучастник преступления. Как мне после этого клиентам в глаза смотреть то? Да и знакомым также.
Неужели вы действительно считаете что быть соучастником преступления мудрее, чем предупредить всех кого смогу?
В ихнем списке изменений в 4.4.8 написано:
Исправлен ряд ошибок безопасности.
Думаю, многим (и лично мне, не знавшему до вчерашнего дня о проблеме и не спешившему обновляться) было бы неплохо что-то подобное прочитать про последнее обновление и поспешить обновиться, а не ждать, когда поломают.
Полагаю, что те, кто отключил автообновление - чаще читают список изменений и следят за выходом новых версий.
Если они публикуют на форуме в скрытом виде информацию по безопасности (хоть и не указан продукт), то это может стать таким же поводом для тщательного поиска уязвимости плохими персонажами, как и запись в changelog'е.
Проблемы автообновления я не хочу сейчас обсуждать. Очевидно, что политика "сетапить клиентам текущую версию и оставлять её такой навсегда" неверная.
Клиентам на администрировании мы периодически обновляем руками в рамках stablе-версии, фатальных проблем последнее время было ну совсем мало.
Если уязвимость нашел разработчик, это правильно, лишняя огласка только навредит. Если её нашел кто-то посторонний, молчание иначе чем "оставлением в опасности" расценить нельзя. Вы это понимаете, поэтому сделали рассылку.
Вроде бы наше отношение к публикации конкретно этой уязвимости уже было показано той самой рассылкой из начала топика и обсуждать тут тоже нечего. Я пытаюсь отреагировать на сообщения вида "все разработчики всего софта всегда рассылают все сообщения о всех багах, а испсистем никогда ничего и никому" и показать, что молчание о багах тоже имеет смысл.
Сторонние сообщения об ошибках тоже бывают разные: это может быть "я знаю, что можно сломать таким образом" и "меня взломали таким вот образом". В первом случае нужно смотреть на степень доверия к репортёру, и если есть уверенность, что копия репорта не ушла на хакерские форумы (а вероятность этого достаточно велика, так как хакеру смысла репортить уязвимость в ISP нет), то молчать. Во втором случае нужно думать, был ли это разовый взлом или использование опубликованной уязвимости и, в любом случае, уже предпринимать какие-либо действия.
В первую очередь Вы должны были бы сообщить разработчику и не предпринимать никаких действий, пока не выйдет фикс.
Например, можно вспомнить недавнюю DoS атаку, связанную с cronrun: из благих побуждений был описан рецепт лечения баги до обновления (через удаление cronrun), но из-за слишком подробной информации уязвимость была легко вычислима и используема на необновлённых серверах. Из-за привлечения дополнительного внимания проблемы указались у на порядок большего количества людей, чем могли бы.
Если бы Вы описали фикс для текущей проблемы, то она тоже была бы легко вычислима и принесла бы намного больше проблем.
И тут привлекать сложные моральные принципы называния себя администратором или соучастником преступления становится немного сложнее: будет ли администратор, опубликовавший подробности уязвимости до фикса настоящим администратором, так как предупредил кого-то о том, как закрыть проблему, или он будет соучастником, так как дал хакеру необходимую для взлома информацию?
После фикса ситуация меняется, так как исправление звучит как "обновиться до последней версии", и тут я уже согласен с аргументом про форум/changelog из предыдущего сообщения от Postfix.