[HWSW]

Drámává fajult a Google és a Microsoft eltérõ hozzáállása a számítógépes biztonsághoz. A keresõóriás mérnökei folyamatosan keresik a különbözõ termékekben a biztonsági réseket, ha találnak, 90 napot adnak a kijavítására. A Windows egy hibáját a Microsoft nem javította határidõre, nyilvános a rés és az azt kihasználni képes példakód is.
https://www.hwsw.hu/hirek/53379/google-microsoft-biztonsag-serulekenyseg-project-zero-jogosultsagkiterjesztes.html

[Mehenion]

milyen jogon hozta ezt nyilvánosságra a gugli??

[galffy]

@Mehenion: Gondolom a "tudás hatalom" alapján.

[egymajom]

@Mehenion: Azon a jogon hogy a Microsoft legalább megemeli a hátsó felét és javítja.

[Tassadar]

@HEKK_ELEK: Itthon?

Pl. ez:

"423. § (1) Aki
a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit túllépve vagy azt megsértve bent marad,
b) az információs rendszer mûködését jogosulatlanul vagy jogosultsága kereteit megsértve akadályozza, vagy
c) információs rendszerben lévõ adatot jogosulatlanul vagy jogosultsága kereteit megsértve megváltoztat, töröl vagy hozzáférhetetlenné tesz,
vétség miatt két évig terjedõ szabadságvesztéssel büntetendõ."

[Gabbesz]

@Tassadar: Belép? Nem. Mûködését akadályozza? Nem? Adatot megváltoztat? nem.
Menj, és keress egy másik paragrafust!

[quentit]

Jogos a lépés a Google részérõl!

[floatr]

@Mehenion: a google jogát kérdõjelezed meg, hogy valamit nyilvánosságra hozzon, miközben a MS részérõl meg jogos és elfogadható, hogy nem reagál a hibajegyekre?

Ha nekem egy ennyire kritikus rendszerem lenne, én lábat is csókolnék annak, aki ingyen auditálja helyettem, és segít a hibák felkutatásában, és hónapokat hajlandó várni hogy egyáltalán érdemben reagálnék rá, mielõtt a saját hasznára fordítaná. Megtehették volna azt is, amit a múltkor a pwn2own-on az egyik résztvevõ, hogy eladja annak, aki megfizetni.

[Mehenion]

@floatr: ühümm, és mivel nincs patch viszont kihasználásra van példa kód, majd a gugli fogja a kihasznált hibák miatt az esetleges kártérítést is megfizetni?

[delphijos]

Hát, a magam részéről nem mondanám feltétlenül túl etikusnak a nyilvánosságra hozást - még ha jó szándék is vezérli - de törvénytelennek semmiképp. Bár azt elismerem hogy nekem se jut eszembe jobb módszer a hibajavítások felgyorsításának "kikényszerítésére".

[delphijos]

Idézet: Mehenion - Dátum: 2015. 01. 05. 16:17

@floatr: ühümm, és mivel nincs patch viszont kihasználásra van példa kód, majd a gugli fogja a kihasznált hibák miatt az esetleges kártérítést is megfizetni?

Szoftverhibákért nem lehet kártérítési igény benyújtani. Esetleg speciális külön szerződéseknél. Ha lerohad a Windows egy bug miatt, és elveszik a hidegfúziót megvalósító terved, akkor így jártál....

[Tassadar]

@delphijos: "nekem se jut eszembe jobb módszer a hibajavítások felgyorsításának "kikényszerítésére"."

Ez nem önbíráskodás véletlenül?

[strogg]

Elõre szóltak az m$-nek 90(!!!) nappal. Az m$ b--ta megcsinálni így az (ráadásul ismert google gyakorlat szerint) nyilvánosságra hozták. M$-nél nagyon jól tudták, hogy X nap múlva a google kiadja a hibát és a példa kódot.
Itt senkit nem ért váratlan meglepetés, ,mármint sem a google sem az m$ nem lepõdhetett meg, mert ismert módszerrõl van szó és 3 hónappal elõre jelezték, hogy ez lesz. Max te lepõdtél meg, mert most elõször olvasol errõl.

[dikki]

volt már hasonló eset kevesebb, mint egy éve, akkor 30 nap volt az ultimátum iirc, mindenki sírt. most 90, és még mindig sírnak. talán a dosból már szabadna sebezhetõséget felfedni.

[fgyuri]

@Tassadar:
MS pénzt elkéri a szoftverért.
Semmilyen Felelõsséget nem vállal a hibákért.
Más teljesen ingyen keresi a hibákat benne, és jelenti is neki.
Ezek után szarik rá. Ez pont nem egy piszlicsáré, nem lesz kék az ms paint ha a zöldre klikkelek hiba.

Az nem önbíráskodás, hogy megtehetné (volt rá 3 hónapja), hogy befoltozza több (10?) millió készülék súlyos biztonsági hibáját, de nem teszi, mert õ most nem akarja. Pedig az õ feladata, elvállalta elõre x évre a hibajavítást, és kapott érte pénzt (, nem 0 idõt kapott rá guglitól).

Jogilag nem érvényesíthetõ a javítási igény egy átlagpógárnak. Gúgli most tesz valamit, ami ez ellen hathat, és igen, melyik a rosszabb, hogy szimplán kihasználják a legrátermettebb rosszfiúk évekig sok pénzt lopnak össze vele, vagy sokan kihasználják a nyilvánosságra hozatal után, és pár hónap múlva kijavítják, mert már nagyon égõ nekik. Vagy pár antivírus szoftver lát benne fantáziát, és MS helyett megvéd.

Egyébként elõre szóltak hogy 3 hónapjuk van(ez nem mentesít a nyilvánosságrahozatal karmája alól), ennyi idõ alatt mennyit haladtak a hiba javításával? 2 sor hiányzik, vagy bele se kezdtek? Kértek segítséget? Mondták azt, hogy kéne még egy hónap és meglesz?

[bviktor]

@HEKK_ELEK: nem torvenyekrol van szo, hanem arrol, hogy seggfej modon viselkednek. Te meg autista modon

[bviktor]

@fgyuri: de, ez kurvara onbiraskodas, ugyanis jelenleg Windows-on pl. a Chrome az egyik legsebezhetobb szoftver (igen, tulszarnyalja az IE-t vagy a Windows-t magat is). A Google elobb talan a sajat fosat takaritsa el, es ne massal basszon ki szantszandekkal. Ja hogy te elhitted, hogy a Google mindezt erted teszi? Bitch please.

Annyira hulye meg nem lehetsz, hogy a Microsoft-nak ez az egy szem Google altal jelentett bugja az egyetlen dolog, amivel foglalkoznia kell. Nem errol van szo, hanem egyszeruen nem kerult ra sor. A Chrome-ban is vannak EVEK ota foltozatlan hibak, es akkor mi van? A Google most konkretan ugy viselkedik, mint a figyelemhianyos kisgyerek, aki mar uvolt, hogy anyuka vegre ra is figyeljen. Szanalmas.

[Raynes]

Idézet: fgyuri - Dátum: 2015. 01. 05. 16:05

@Tassadar:
MS pénzt elkéri a szoftverért.
Semmilyen Felelõsséget nem vállal a hibákért.
Más teljesen ingyen keresi a hibákat benne, és jelenti is neki.
Ezek után szarik rá. Ez pont nem egy piszlicsáré, nem lesz kék az ms paint ha a zöldre klikkelek hiba.

Így van. Sokan kábítják magukat az MS- és Windows-fanboyok közül, hogy ellentétben a Linuxszal, az MS-termékekre micsoda szö phórt van. Közben meg az sem ér lóf45zt sem, és semmilyen hibáért és kárért nem vállal felelősséget az MS.

Sokan félreértik a hírt: nem az a lényeg, hogy a Google nyilvánosságra hozta, hanem hogy az MS-nak 90 nap rendelkezésére állt, hogy javítsa, és basztak javítani, de még csak közleményt sem bocsátottak ki a 90. napon, hogy az érintett hibát hogyan lehet addig kikerülni, mit kell letiltani. Basztak az egészre, ennyit a Májkrémszaft nagy felelősségéről és fizetős supportjáról. Még csak a javító szándék sem volt meg bennük, nem hogy a javítás. Mert pl. Linuxnál is ott volt most az SSL és bash hibája, de azt olyan gyorsan javították a kiderüléstől számítva, hogy nyekkenni nem volt ideje, még aznap közzétették a megoldásokat, másnapra már volt egyes disztrókhoz frissítés. Külön ciki, hogy ráadásul a legújabb Windowsban van a hiba, amit pont a legjobban el akarnak adni, amit a legnagyobb gőzzel kéne támogatniuk. Jó kis önreklám, nem mondom.

Idézet: bviktor - Dátum: 2015. 01. 05. 16:10

Annyira hulye meg nem lehetsz, hogy a Microsoft-nak ez az egy szem Google altal jelentett bugja az egyetlen dolog, amivel foglalkoznia kell.

Biztosan van más hiba is, amiken dolgozniuk kell, de 90 nap alatt egyrészt akkor is lépniük kellett volna valamit, másrészt a MS profitorientált, ha egyszer fizetős szoftverért cserébe vállalta a hibák befoltozását meghatározott időre, akkor járjon el ennek megfelelően. Ráadásul nem is olyan kicsi cég, hogy Gipsz Jakab programozó szabadságon van, Gaz Géza programozó meg épp az Office hibáit javítja, és a takarítónőt meg nem tudják ráállítani az ügyre. Ha ingyenes karitatív tevékenységet végezne a MS, akkor még mentség lenne, hogy nem tud száz felé szakadni, és ingyen nem lehetnek az embernek elvárásai.

@HEKK-ELEK: b4zzd már meg a TOR-odat, állandóan telefloodolod a kommentfelületet. Váltsd rendes böngészőre

Szerkesztette: Raynes 2015. 01. 05. 16:24 -kor

[Tassadar]

@fgyuri: Neked vannak információid róla, hogy a Microsoft-nál egy hiba vizsgálata, javítása, a javítás auditálása és tesztelése mennyi idõt vesz igénybe, átlagosan?
Vagy, hogy milyen kommunikáció folyt a Microsoft a Google között?

[Jahno]

Idézet: fgyuri - Dátum: 2015. 01. 05. 16:05

ennyi idõ alatt mennyit haladtak a hiba javításával? 2 sor hiányzik, vagy bele se kezdtek? Kértek segítséget? Mondták azt, hogy kéne még egy hónap és meglesz?

És ebből melyikre tudunk válaszolni? Gyanítom ha kérdeznek, akkor azt mondod, hogy köcsög, mert bele sem kezdtek. Egyébként meg?