Οι Web browsers του Mozzila είναι πιθανώς πιο ευάλωτοι σε επιθέσεις, από ότι ο Internet Explorer της Microsoft, σύμφωνα με μια τελευταία μελέτη της Symantec.

Η μελέτη έγινε γνωστή την Δευτέρα που πέρασε, και επίσης υποστηρίζει ότι οι hackers εξακολουθούν να κάνουν περισσότερες επιθέσεις τον Internet Explorer.

Κατά γενική πεποίθηση οι web browsers του Mozzila Foundation, όπως ο FireFox, είναι ασφαλέστεροι από τον Internet Explorer, ο οποίος είχε πολλά κενά ασφαλείας κατά το παρελθόν. Ο Mitchell Baker, πρόεδρος του Mozzila Foundation, είχε δηλώσει νωρίτερα αυτό το χρόνο ότι οι web browsers είναι από την δημιουργία τους πιο ασφαλείς από τον Internet Explorer. Ο ίδιος προέβλεψε ότι οι browsers του Mozzila δεν θα αντιμετωπίσουν τα ίδια προβλήματα ασφαλείας, καθώς το ποσοστό των χρηστών που τους χρησιμοποιούν θα αυξάνεται.

Το Internet Security Volume Threat Report VIII της Symantec για τους πρώτους 6 μήνες του χρόνου πιθανώς να διαψεύδει αυτή τη δήλωση...

Διαβάστε περισσότερα: Symantec: Mozilla browsers more vulnerable than IE

 

George J.

---

George J. Capnias: Χειροπρακτικός Υπολογιστών, Ύψιστος Γκουράρχης της Κουμπουτερολογίας w: capnias.org, t: @gcapnias, l: gr.linkedin.com/in/gcapnias

Μία ερώτηση. Η έρευνα αυτή αλλά και κάποιες άλλες που γίνονται κατά καιρούς αναφέρονται στα κρούσματα που έχουν καταγραφεί ή κάποιοι κάθησαν έβαλαν τα διάφορά προγράμματα μπροστά τους και άρχισαν να τα δοκιμάζουν.

Εδώ και καιρό στην δουλειά μου υπάρχει μία διαμάχη. Τα στρατόπεδα είναι 2. Υπέρ και κατά της Microsoft. Αυτό που δεν μπορώ να καταλάβω είναι το εξής. Πως είναι δυνατό σε μία open source εφαρμογή στην οποία έχει πρόσβαση ο κάθε ένας να θεωρείται πιο ασφαλής από τον ΙΕ που δημιουργείται από μία εταιρία η οποία δεν δίνει τον πηγαίο της κώδικα. Πως είναι δυνατό το Linux (άσχετο με το θέμα, απλά το αναφέρω) να θεωρείται ασφαλέστερο από τα Windows. Δεν μπορώ να το καταλάβω αυτό. Μία απορία εκφράζω με αφορμή το συγκεκριμένο που για εμένα είναι λογικό να συμβαίνει αυτό. Δηλαδή τα προϊόντα της Microsoft να είναι πιο ασφαλή από τα άλλα.

ακριβώς επειδή είναι ελεύθερος ο κώδικας είναι πιο γρήγορος ο εντοπισμός κενών ασφαλείας και η επιδιόρθωσή τους. οπότε το ερώτημα είναι ποιος θα βρει πρώτος την τρύπα: ο καλός και θα την κλείσει; ή ο κακός και θα μπει;

Υποψιάζομαι οτι η Symantec τα παίρνει χοντρά απο την MS για να λέει κάτι τέτοιο.. Και θα σας πω και που το στηρίζω.. 2 πράγματα μαζί για ασφάλεια για την MS.. Απο την μία και καλά (για μένα) τα παράπονα στην EU για την "υπερβολική" ασφάλεια τον Vista και τον κίνδυνο της μείωσης της βιωσιμότητας των προιόντων ασφαλείας της Symantec (μήπως ήτανε καθαρά διαφημιστικό trick και τα βρήκανε 2 μέρες αργότερα?(λεω εγώ τώρα)) και απο την άλλη ότι ο IE έχει λιγότερες τρύπες απο τον Mozilla άλλα παίρνει παραπάνω χρόνο να διορθωθεί.. Και αναρωτιέμαι εγώ τώρα, μήπως είναι όλα στημένα?Τα σχόλια σας..

---

Παναγιώτης Κεφαλίδης

"Για να επιτύχεις, θα πρέπει το πάθος σου για την επιτυχία να είναι μεγαλύτερο απο τον φόβο σου για την αποτυχία"

Οι απαντήσεις παρέχονται για συγκεκριμένες ερωτήσεις και χωρίς καμιά εγγύηση. Παρακαλώ διαβάστε τους όρους χρήσης.

Φίλε infoCenter

Το πρώτο πράγμα είναι αυτό που είπε ο agmarios, επειδή στον ανοιχτό κώδικα είναι πιο εύκολο να εντοπιστούν κάποια προβλήματα, είναι και πιο εύκολο να εντοπιστούν.

Από εκεί και πέρα το Linux είναι ασφαλέστερο για πολλούς λόγους

α) Έχει ένα σύστημα αρχείων με άδειες το οποίο είναι πάρα πολύ δύσκολο να προσβληθεί από ιούς.

β) off-the box έχει πολύ ικανό firewall που ενεργοποιείται από την εγκατάσταση και κλείνει όλα τα ports. Τα Windows δεν έχουν κάτι τέτοιο και δυστυχώς την είχα πατήσει πριν 10 μήνες μετά από ένα φρέσκο installation.

γ) Όπως έχει αποδειχτεί εκ του αποτελέσματος, η Redhat και η Novell είναι πολύ πιο γρήγορες από τη Microsoft στο να βγάζουν patches και να προλαμβάνουν 0-day vulnerability threats.

δ) Ο IE και το Outlook έχουν ντροπιάσει ανεπανόρθωτα τη Microsoft.

ε) Στο Linux όπως και σε όλα τα Unix, δουλεύεις ως ένας χρήστης και όχι ως ο χρήστης root. Ο χρήστης root στο Unix/Linux είναι ο αντίστοιχος με τον χρήστη administrator των windows. Στα Windows αντίθετα σχεδόν όλοι οι χρήστες λειτουργουν με δυνατότητες administrator.

ζ) Το Linux έχει μηχανισμούς Mandator Access Control. Αυτό σημαίνει ότι μπορούν να υλοποιηθούν εξελιγμένες πολιτικές ελέγχου και ασφάλειας στο σύστημα. ΠΧ ας πουμε ότι τρέχει ένας Linux server και υπάρχει κάποια πολύ σοβαρή αδυναμία στον Apache. Ο μηχανισμός MAC έχει ορίσει αυστηρά σε ποια directories έχει δικαίωμα να μπει ο Apache. Μπορεί να μπει μόνο πχ στο public_html κάποιου χρήστη και όχι να κάνει directory listing. Υπάρχουν 2 μηχανισμοί. Η Redhat χρησιμοποιεί το SELinux το οποίο ανέπτυξε το λατρεμμένο μας NSA. Ναι καλά διάβασες. Το NSA έγραψε κώδικα και τον δώρισε ανοικτό στο Linux. H Novell επειδή είχε παράπονα από τη δυσχρηστία και την επίδοση του SELinux, αγόρασε μια εταιρεία την Immunix και ενσωμάτωσε το προιόν της, το AppArmor στο SUSE.

Η ύπαρξη MAC ανεβάζει το Linux στην κατηγορία B του "orange book" (http://en.wikipedia.org/wiki/TCSEC).

Οι μηχανισμοί αυτοί είναι off-the-box.

---

Powered by openSuSE 11 64-bit Edition

Όπως είπε ο agmarios υπάρχει ο κακός και ο καλός. Οπότε αν θέλω να κάνω κάτι κακό το κάνω πιο δύσκολα στον IE. Άρα από αυτήν την άποψη είναι ασφαλέστερος. Από την άλλη αναρωτηθήκατε ποτέ πόσα Bugs έχουν βρει στον Mozilla οι καλοί και τα έχουν φτιάξει;

Από την άλλη Unix/Linux με Windows πολύ απλά για εμένα δεν συγκρίνονται. Μπορείς να θες να συγκρίνεις με Windows Servers προϊόντα και όχι με Workstation με Server όπως είναι Windows / Linux.

Όσο για τον firewall είναι άδικο αυτό που λες. Η Microsoft με τα Windows έδωσε μεγάλη ώθηση στην πληροφορική και πρέπει να σκεφτεί ένα μεγάλο φάσμα χρηστών στα προϊόντα της. Τον αρχάριο, τον μέσο και τον πολύ καλό χρήστη. Φαντάζεσαι ένα παιδί 10 χρονών που να θέλει να παίξει ένα δθκτυακό παιχνίδι να ψάχνει να ανοίγει πόρτες; Ενώ όση ασχολούνται με το Linux γνωρίζουν ότι πρέπει να διαβάσουν. Οπότε αυτό με τον firewall δεν το θεωρώ σωστό.

Η Redhat και η Novell είναι πιο γρήγορες γιατί από πίσω έχουν μία ολόκληρη κοινότητα να βγάζει updates. Οπότε έρχομαι στο πρώτο θέμα μεταξύ καλού και κακού προγραμματιστή.

Νομίζω δεν χρειάζεται να συνεχίσω άλλο...

"Ο ίδιος προέβλεψε ότι οι browsers του Mozzila δεν θα αντιμετωπίσουν τα ίδια προβλήματα ασφαλείας, καθώς το ποσοστό των χρηστών που τους χρησιμοποιούν θα αυξάνεται."

Μα ακριβώς το αντίθετο θα συμβεί! Το αντίθετο συμβαίνει πάντα. Γιατί δεν ασχολείται ο κόσμος με το linux όπως ασχολείται με τα windows? Γιατί, όταν έχεις μερίδιο στην αγορά πάνω από 95%, με τι θα ασχοληθείς κατά κανόνα; Με το 5 ή το 95;



Μετ' αυτού, υπάρχει η αντιπαράθεση των 2 θεωριών, όπου η μία θέλει την πολιτική της Microsoft να είναι ασφαλέστερη (γιατί μειώνονται οι πιθανότητες κάποιος να μάθει για μια "τρύπα" μέχρις ώτου αυτή διορθωθεί), και η λογική του open source (πάλι κατά κανόνα), σύμφωνα με την οποία, η γνωστοποίηση ενός προβλήματος στην κοινότητα, θα οδηγήσει σε πιο άμεση εύρεση λύσης, λόγω του ότι το πρόβλημα παρουσιάζεται πλέον σε πολύ μεγαλύτερο αριθμό χρηστών.

---

Μην αφήνετε τα media να σας "ταΐζουν"!

thrylos wrote:

ζ) Το Linux έχει μηχανισμούς Mandator Access Control. Αυτό σημαίνει ότι μπορούν να υλοποιηθούν εξελιγμένες πολιτικές ελέγχου και ασφάλειας στο σύστημα. ΠΧ ας πουμε ότι τρέχει ένας Linux server και υπάρχει κάποια πολύ σοβαρή αδυναμία στον Apache. Ο μηχανισμός MAC έχει ορίσει αυστηρά σε ποια directories έχει δικαίωμα να μπει ο Apache. Μπορεί να μπει μόνο πχ στο public_html κάποιου χρήστη και όχι να κάνει directory listing. Υπάρχουν 2 μηχανισμοί. Η Redhat χρησιμοποιεί το SELinux το οποίο ανέπτυξε το λατρεμμένο μας NSA. Ναι καλά διάβασες. Το NSA έγραψε κώδικα και τον δώρισε ανοικτό στο Linux. H Novell επειδή είχε παράπονα από τη δυσχρηστία και την επίδοση του SELinux, αγόρασε μια εταιρεία την Immunix και ενσωμάτωσε το προιόν της, το AppArmor στο SUSE. Η ύπαρξη MAC ανεβάζει το Linux στην κατηγορία B του "orange book" (http://en.wikipedia.org/wiki/TCSEC). Οι μηχανισμοί αυτοί είναι off-the-box.

Νομίζω ότι για άλλη μια φορά το πάθος σου, σε οδήγησε να βγάλεις λάθος συμπεράσματα. Το SELinux έχει αναπτυχθεί από την NSA, που δεν έχει το support/υποστήριξη του, αλλά το project που υπάρχει τώρα, μπορεί να έχει τις ρίζες του στο αρχικό NSA project, αλλά δεν είναι. (βλ. SELinix Background).

Από την άλλη μεριά, το ίδιο το Fedora project στο FAQ του για το SELinux (βλ. Deploying SELinux) αναφέρει, ότι ο σκοπός του project αυτή την στιγμή, είναι να θωρακίσει απομονωμένους internet servers που έχουν κρίσιμα δεδομένα, και κάποια στιγμή στο μέλλον θα γίνει ένα general purpose υποσύστημα για καθημερινή χρήση. Δεν νομίζω ότι αυτό καλύπτει κάποιον για να το χρησιμοποιήσει...

Από την άλλη μεριά το AppArmor, συμπεριλαμβάνεται στην Enterprise Έκδοση του Novell Suse Linux 10, που δεν είναι δωρεάν, ούτε δε και ο κώδικάς του ανοιχτός. Μπορεί η Novell να ισχυρίζεται ότι είναι πολλά, αλλά δεν μπορεί να το βάλει κάποιος να δουλέψει αν δεν επενδύσει σε αυτό χρήματα. Από την στιγμή που μπαίνουν τα χρήματα στην μέση, πάντα κάποιος θα επιμείνει στην επενδυσή του είτε είναι καλή είτε είναι κακή, και πάντα μια εταιρεία που παράγει ένα προιόν θα το υποστηρίξει.

Αν η ανησυχία αυτή την στιγμή είναι να βγάλεις ένα απομονωμένο server στο internet και να τον θωρακίσεις, αυτό μπορεί να γίνει και με άλλους τρόπους, περισσότερο δουλεμένους και με εξακριβωμένα αποτελέσματα, όπως τα DMZ δίκτυα και το publishing του web server μέσα από proxies...

 

George J.

---

George J. Capnias: Χειροπρακτικός Υπολογιστών, Ύψιστος Γκουράρχης της Κουμπουτερολογίας w: capnias.org, t: @gcapnias, l: gr.linkedin.com/in/gcapnias

Γιώργο έχω OpenSUSE 10.1, την έκδοση που κατεβάζεις δωρεάν και έχω το AppArmor.

Επίσης έψαξα και βρήκα τους ΚΩΔΙΚΕΣ του AppArmor σε ένα repository (http://download.opensuse.org/distribution/SL-10.1/inst-source/suse/src/). Εκεί υπάρχουν 8 πακέτα κώδικα για το AppArmor + ένα πακέτο για ένα άρθρωμα του Apache.

Όσο για το τί πληρώνεις στην Enterprise edition, πληρώνεις μόνο κάποιες υπηρεσίες support. Δε πληρώνεις άδειες χρηστών. Είτε 5 χρήστες έχει το σύστημα είτε 5000 δε παίζει ρόλο. Ακόμα στο κουτί έχει τον Apache και το Postfix. Δε πληρώνεις χωριστά για IIS και Exchange.

---

Powered by openSuSE 11 64-bit Edition

Ούτε τον IIS τον πληρώνεις ξεχωριστά..

---

Παναγιώτης Κεφαλίδης

"Για να επιτύχεις, θα πρέπει το πάθος σου για την επιτυχία να είναι μεγαλύτερο απο τον φόβο σου για την αποτυχία"

Οι απαντήσεις παρέχονται για συγκεκριμένες ερωτήσεις και χωρίς καμιά εγγύηση. Παρακαλώ διαβάστε τους όρους χρήσης.

thrylos wrote:

Γιώργο έχω OpenSUSE 10.1, την έκδοση που κατεβάζεις δωρεάν και έχω το AppArmor. Επίσης έψαξα και βρήκα τους ΚΩΔΙΚΕΣ του AppArmor σε ένα repository (http://download.opensuse.org/distribution/SL-10.1/inst-source/suse/src/). Εκεί υπάρχουν 8 πακέτα κώδικα για το AppArmor + ένα πακέτο για ένα άρθρωμα του Apache.

Πρέπει να πω ότι μου πήρε αρκετή ώρα να διαβάσω για το AppArmor μιας και δεν το είχα κάνει στο παρελθόν. Πρέπει να ομολογήσω ότι αρκετά διαφωτιστικά ήταν τα άρθρα που παραθέτονται στο WiKi του openSuSe στο topic του AppArmor. Βλέποντας ιδιαίτερα το "AppArmor vs. SELinux - Security experts from Red Hat and Novell square off on which security system is best [PDF, 163 kB]" από το Linux magazine κατάλαβα αυτό που έλεγαν γιατί το SELinux δεν είναι το project που ξεκίνησε η NSA αλλά κάτι καινούργιο. H δυσκολία που είχε στο administration το αρχικό project, ανάγκασε την ομάδα ανάπτυξης του open source project να κάνει πολλούς συμβιβασμούς, κόβοντας ουσιαστικά αυτά που ο κυβερνητικός οργανισμός θεωρούσε σημαντικά για την απόλυτη ασφάλεια των συστημάτων και προσπάθησε να φέρει το SELinux πιο κοντά στο AppArmor.

Ωστόσο, για να γυρίσω στο AppArmor, και να πω ότι με δύο λόγια πρόκειται για ένα εργαλείο που προσφέρει ένα έξτρα securty layer για τις εφαρμογές. Με την χρήση profiles μπορεί να εξασφαλίσει την ασφάλεια στις εφαρμογές που τρέχουν στο λειτουργικό Linux.

Πρέπει να πω ότι μάλλον απογοητεύτηκα. Έχοντας γνώση ότι το .NET Framework Configuration Wizard μπορεί να κάνει το ίδιο πράγμα σε επίπεδο enterprise, μηχανήματος και χρήστη, να το συγκρίνω με κάτι που είναι για μία εφαρμογή και για ένα server, το βλέπω πολύ μικρό.

thrylos wrote:

Όσο για το τί πληρώνεις στην Enterprise edition, πληρώνεις μόνο κάποιες υπηρεσίες support. Δε πληρώνεις άδειες χρηστών. Είτε 5 χρήστες έχει το σύστημα είτε 5000 δε παίζει ρόλο. Ακόμα στο κουτί έχει τον Apache και το Postfix. Δε πληρώνεις χωριστά για IIS και Exchange.

Συμφωνώ προς το τι πληρώνεις για το κάθε λειτουργικό, αλλά πρέπει να παραδεχτείς ότι δεν έχεις τις ίδιες απαιτήσεις από το λειτουργικό όταν το τρέχεις για 5 χρήστες και για 5000 χρήστες - πιθανώς εδώ μιλάμε για διαφορετική τιμολόγηση στο support σε σχέση με τον αριθμό των χρηστών.

Να συμφωνήσω με τον Παναγιώτη ότι τον IIS δεν τον πληρώνεις χώρια. Να τονίσω ότι IIS δεν είναι το ίδιο με τον Apache - πιθανώς να συγκρίνεται με τον συνδυασμό Apache/Tomcat και κάτι ακόμα για το Transaction Distribution, μιας και ο IIS είναι πιο κοντά σε αυτό που στις UNIX αρχιτεκτονικές είναι το Application Server, παρά στο απλός Web Server που είναι ο Apache.

Όσο για τον Exchange δεν νομίζω ότι θέλεις να τον συγκρίνεις με το qmail - το SMTP service των windows θα ήθελες να συγκρίνεις με το qmail, που και αυτό είναι δωρεάν και έρχεται με κάθε λειτουργικό Windows Server από την έκδοση NT4 και μετά...

Νομίζω, όμως ότι έχουμε ξεφύγει από το αρχικό θέμα του thread, αλλά και από το γενικότερο θέμα του forum, μιας στο forum αναφερόμαστε για προγραμματισμό και όχι για system administration.

Θα παρακαλούσα το θέμα να παραμείνει εδώ...

 

George J.

---

George J. Capnias: Χειροπρακτικός Υπολογιστών, Ύψιστος Γκουράρχης της Κουμπουτερολογίας w: capnias.org, t: @gcapnias, l: gr.linkedin.com/in/gcapnias