Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 5.11.2002

Useita haavoittuvuuksia Mozilla-selaimessa

Avoimeen lähdekoodiin perustuvasta Mozilla-selaimesta ja sen oheisohjelmistoista on löytynyt kuusi haavoittuvuutta. Haavoittuuvuksia voidaan pitää erittäin vakavina, sillä pahimmillaan hyökkääjät voivat toteuttaa kohdetietojärjestelmään palvelunestohyökkäyksen tai asentaa tietojärjestelmään haluamiaan XPI-selain-plugineja.

CERT-FI on julkaissut haavoittuvuuksista suomenkielisen tiedotteen, jossa kerrotaan lisätietoja haavoittuvuuksista. Nyt löytyneet tietoturva-aukot on korjattu Mozilla 1.0.1 ja 1.1 -selaimissa. Myös Mozillaan perustuva Netscape 7.0 ja uudemmat versiot sisältävät tarvittavat korjaukset.

Lue juttu oma, 5.11.2002 00:42. Lähde: CERT-FI

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 46 uutta / 46 )
pistettä.
Näytä vain kommentit joilla on vähintään
Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 01:14:36		 Pisteet: 0
Eli bugit "löydetään" ja niistä tiedotetaan yleisesti sen jälkeen kun fiksit on saatavilla. Ja nämä kyseiset bugithan oli korjattu jo Mozillan 1.1 versiossa mikä on ollut saatavilla elokuun 26. päivästä lähtien. (Sekä 1.1:n että 1.0.1:n yhteydessähän muutenkin mainostettiin, että versiot sisältävät useita tietoturvapäivityksiä).
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 07:16:19		 Pisteet: 0
Eli bugit "löydetään" ja niistä tiedotetaan yleisesti sen jälkeen kun fiksit on saatavilla. Ja nämä kyseiset bugithan oli korjattu jo Mozillan 1.1
-Pari viikkoa sitten tiedotettiin isolla äänellä bugeista joita oli löydetty IE5 ja IE55 versioista. Kaikki "löydetyt" bugit oli jo korjattu ajat sitten IE5.01SP1, IE55 SP2 ja IE6 SP1 versioissa. Ei se kuitenkaan riittänyt syyksi anti-MS ihmisille.

Mutta nyt asia on tietysti täysin eri, koska kyseessä on Open Source softa, niitähän ei saa arvostella, hyvä luoja sentään! Niissä ei voi olla mitään vikaa! Ei voi, koska ne eivät ole MS:n tekemiä, ne ovat open sorsaa, joten ne ovat aivan jumalaisia!! Todella puolueetonta, eikö...
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 09:20:33		 Pisteet: 0
Eli bugit "löydetään" ja niistä tiedotetaan yleisesti sen jälkeen kun fiksit on saatavilla. Ja nämä kyseiset bugithan oli korjattu jo Mozillan 1.1
-Pari viikkoa sitten tiedotettiin isolla äänellä bugeista joita oli löydetty IE5 ja IE55 versioista. Kaikki "löydetyt" bugit oli jo korjattu ajat sitten IE5.01SP1, IE55 SP2 ja IE6 SP1 versioissa. Ei se kuitenkaan riittänyt syyksi anti-MS ihmisille.
Mutta nyt asia on tietysti täysin eri, koska kyseessä on Open Source softa, niitähän ei saa arvostella, hyvä luoja sentään! Niissä ei voi olla mitään vikaa! Ei voi, koska ne eivät ole MS:n tekemiä, ne ovat open sorsaa, joten ne ovat aivan jumalaisia!! Todella puolueetonta, eikö...
Ero niillä on se, että IE:n haavoittuva versio löytyy huomattavasti useammalta henkilöltä ja se, että useampi Mozillan omistajista osaa hakea päivityksen, kuin IE:n omistajista. Tämä tosin on pelkkä arvaus, joka perustuu siihen, että Mozillan lataajat todennäköisesti ovat taitavampia tietokoneen käyttäjiä, kuin se tietokoneista mitään ymmärtävä IE-massa, joka ei välttämättä edes tiedä että tietokoneelle voidaan murtautua muutenkin kuin ikkunasta sisään kiipeämällä.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 09:53:29		 Pisteet: 0
Ero niillä on se, että IE:n haavoittuva versio löytyy huomattavasti useammalta henkilöltä ja se, että useampi Mozillan omistajista osaa hakea päivityksen, kuin IE:n omistajista.
Tätä minäkin olisin valmis veikkaamaan. Itseasiassa usealla tutullakin tuntuisi olevan järkyttävän vanha selain. "Se toimii, ei korjata sitä."

Eroa kuvaa mielestäni hyvin Mozillan saitilta löytyvä viesti: "Congratulations! You've downloaded a Mozilla build. This means that you've volunteered to become part of the Mozilla testing community. "
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 11:28:54		 Pisteet: +1
Tätä minäkin olisin valmis veikkaamaan. Itseasiassa usealla tutullakin tuntuisi olevan järkyttävän vanha selain. "Se toimii, ei korjata sitä."
MS on lähinnä deadlinejen ja julkaisupäivien pitävyydestä tarkka, myyntisuuntautunut ohjelmistotalo. Julkaisupäivistähän ei saa lipsua, sillä siinä menee kaikki uskottavuus. Saman toimintamallin nimeen vannoo myös esimerkiksi Nokia, jonka puhelimet ovat pahimmillaan olleet sutta ja sekundaa.

Vaikka IE olisikin jossain määrin "ilmaisen lisäohjelman" asemassa, kuluttajat mieltävät sen käyttöjärjestelmään kuuluvaksi härpäkkeeksi. Kaikenlisäksi selainta markkinoidaan uusilla featureilla ja pyritään "myymään". Mozillan taas toisaalta annetaan vieläkin ymmärtää olevan ns. vaiheessa.

Kaupalliselta olisi mielestäni oikeus odottaa jotain tasoa.
Bling Re: Näinhän sen pitääkin mennä?
Bling, 5.11.2002 09:41:47		 Pisteet: 0
Ero niillä on se, että IE:n haavoittuva versio löytyy huomattavasti useammalta henkilöltä ja se, että useampi Mozillan omistajista osaa hakea päivityksen, kuin IE:n omistajista. Tämä tosin on pelkkä arvaus, joka perustuu siihen, että Mozillan lataajat todennäköisesti ovat taitavampia tietokoneen käyttäjiä, kuin se tietokoneista mitään ymmärtävä IE-massa, joka ei välttämättä edes tiedä että tietokoneelle voidaan murtautua muutenkin kuin ikkunasta sisään kiipeämällä.
Olisi kyl ihan mielenkiintoista nähdä jotain tilastotietoa (esim iltalehden sivuilta) siitä, kuinka suuri osa porukasta surffailee vanhalla selaimella. Voisin kuvitella, että vanhoja ie:tä löytyy suhteessakin enemmän mitä esim vanhoja mozillaa...

sektorin tilastoja on varmaan aika turha selailla, koska kuvittelisin sektorin lukioiden olevan keskivertosurffaajaa tietoisempi näistä turvapäivityksistä.

Tietenkin modemikäyttäjä ei välttämättä näe järkeväksi imuttaa 25megasta ie:n päivitys pakettia, eikä edes 11 megasta uutta mozillaa. ehkä Operan jaavaton versiokin on siinä kipurajoilla.
IE is like the language of south park. It should not be used by anyone but still it is used by the great majority
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 6.11.2002 00:11:51		 Pisteet: 0
Olisi kyl ihan mielenkiintoista nähdä jotain tilastotietoa (esim iltalehden sivuilta) siitä, kuinka suuri osa porukasta surffailee vanhalla selaimella. Voisin kuvitella, että vanhoja ie:tä löytyy suhteessakin enemmän mitä esim vanhoja mozillaa...
No kelpaisikos Googlen tilastot? <a href=http://www.google.com/press/zeitgeist.html"&g... zeitgeist</a>

MR
pimeys Re: Näinhän sen pitääkin mennä?
pimeys, 5.11.2002 18:20:20		 Pisteet: 0
Olisi kyl ihan mielenkiintoista nähdä jotain tilastotietoa (esim iltalehden sivuilta) siitä, kuinka suuri osa porukasta surffailee vanhalla selaimella. Voisin kuvitella, että vanhoja ie:tä löytyy suhteessakin enemmän mitä esim vanhoja mozillaa...
Ymmärrän hyvin, että joku haluaa käyttää Internet Explorerista vanhempaa versiota. IE 6.0 ei esimerkiksi osaa näyttää kaikkia sivuja (varsinkin css2:sta käyttäviä, kuitenkin valideja) niin nätisti, kuin versio 5.5. Kuitenkin versiota 5.5 (Windows) on vaarallista käyttää sen sisältämien tietoturva-aukkojen määrän takia, joita siis on enemmän kuin uusimmassa versiossa.

Jos joutuisin käyttämään Windowsia ja Internet Exploreria, tutustuisin tarkasti 5.5:n bugeihin, ja yrittäisin parhaani mukaan välttää käyttämästä tai kytkemästä päälle vaarallisia toimintoja.
"Kirjoita verellä: ja sinä saat kokea, että veri on henkeä." -- F.N.
reg Re: Näinhän sen pitääkin mennä?
reg, 7.11.2002 09:17:27		 Pisteet: 0
Sanoisin tähän väliin, että Windows 95een ei saa IE6sta. 5.5 on viimeinen siinä toimiva selain, mikä lienee jo hyvä syy vaihtaa niille koneille, jossa se vielä pyörii (oppilaitokset jne).
Pisterajan alittavia kommentteja piilossa.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 10:04:10		 Pisteet: 0
Eli bugit "löydetään" ja niistä tiedotetaan yleisesti sen jälkeen kun fiksit on saatavilla. Ja nämä kyseiset bugithan oli korjattu jo Mozillan 1.1
-Pari viikkoa sitten tiedotettiin isolla äänellä bugeista joita oli löydetty IE5 ja IE55 versioista. Kaikki "löydetyt" bugit oli jo korjattu ajat sitten IE5.01SP1, IE55 SP2 ja IE6 SP1 versioissa. Ei se kuitenkaan riittänyt syyksi anti-MS ihmisille.
Mutta nyt asia on tietysti täysin eri, koska kyseessä on Open Source softa, niitähän ei saa arvostella, hyvä luoja sentään! Niissä ei voi olla mitään vikaa! Ei voi, koska ne eivät ole MS:n tekemiä, ne ovat open sorsaa, joten ne ovat aivan jumalaisia!! Todella puolueetonta, eikö...
Mikäs sinun napaasi nyt kaivaa? Olet ilmeisesti sama tyyppi, joka silloin "pari viikkoa sitten" mätkätti suureen ääneen siitä, miten open source -puolelta ei vastaavaa edes uutisoida. Nyt sitten vastaava uutinen tulee, ja open source -puolelta, ja taas on valittamista. Mikä mättää? Ota pää pois perseestä ja hanki itsellesi elämä.
-Normaali OS vastaus. Eikös tässä ollut pointti juuri se kuinka nopeasti OS miehet syöksyvät puolustelemaan bugista tuotetta, mutta samat perusteet eivät riitä kaupallisten valmistajien puolella. Kaupallisella puolella kun fixit pitää testata, toisin kuin OS puolella sutaistaan vain nopeasti jotain kasaan, ja toivotaan että se a) korjaa bugin, ja b) ei riko jotain muuta sovellusta siinä sivussa.

Mutta onhan se jo nähty nykyisessä anti-MS maailmassa, että kun OS softasta löytyy bugi, se ei oikeastaan olekkaan bugi, ja sehän korjataan. Mutta jos kaupallisella puolella tehdään sama, sehän olikin yhtäkkiä maailmat pysäyttävä bugi, ja korjauksesta huolimatta kaupallisen puolen koodarit ovat anti-kristuksia jne jne.

Hyvä esimerkki, tutkimalla esim Mandraken sivustoa voi havaita että viimeisen 10 päivän aikana sinne on tullut korjauksia 10 kappaletta. Mutta siitä ei tosin sovi ääneen puhua.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 10:34:52		 Pisteet: 0
Eli bugit "löydetään" ja niistä tiedotetaan yleisesti sen jälkeen kun fiksit on saatavilla. Ja nämä kyseiset bugithan oli korjattu jo Mozillan 1.1
-Pari viikkoa sitten tiedotettiin isolla äänellä bugeista joita oli löydetty IE5 ja IE55 versioista. Kaikki "löydetyt" bugit oli jo korjattu ajat sitten...
Mutta nyt asia on tietysti täysin eri, koska ...Todella puolueetonta, eikö...
Mikäs sinun napaasi nyt kaivaa? ...
-Normaali OS vastaus. Eikös tässä ollut pointti juuri se kuinka nopeasti OS miehet syöksyvät puolustelemaan bugista tuotetta, mutta samat perusteet eivät riitä kaupallisten valmistajien puolella.
Ahh, nyt valkeni. Ensin nimittäin vastasin kommenttiisi kun ajattelin että kritisoit uutista, mutta kritisoitkin sitä ekaa kommentoijaa. Siinä valossa sun kommentti olikin jo paljon fiksumpi :)

Mutta onhan se jo nähty nykyisessä anti-MS maailmassa, että kun OS softasta löytyy bugi, se ei oikeastaan olekkaan bugi, ja sehän korjataan. Mutta jos kaupallisella puolella tehdään sama, sehän olikin yhtäkkiä maailmat pysäyttävä bugi, ja korjauksesta huolimatta kaupallisen puolen koodarit ovat anti-kristuksia jne jne.
Tästä tahtoisin sanoa, että mielestäni se, onko bugi "maailmat pysäyttävä" johtuu asioista tyyliin
- haittaako bugi ohjelman normaalikäyttöä
- voiko bugia hyödyntää tietoturvaa heikentävästi
- kuka bugin löytää, eli ohjelman tekijä / viruksen tekijä
- ...

Hyvä esimerkki, tutkimalla esim Mandraken sivustoa voi havaita että viimeisen 10 päivän aikana sinne on tullut korjauksia 10 kappaletta. Mutta siitä ei tosin sovi ääneen puhua.
Sopisi toki, jos siitä joku haluaisi uutisen tehdä, mutta niin kauan kun korjaukset eivät koske jotain "maailmat pysäyttävää bugia", ne eivät ylitä uutiskynnystä. Sektori ei myöskään toimita uutisia itse vaan suomentaa/referoi eri tahojen uutisia/lehdistötiedotteita/whatever joten Sektorin toimitukselle tuosta lienee turha valittaa.
kettu Re: Näinhän sen pitääkin mennä?
kettu, 5.11.2002 09:19:10		 Pisteet: +1
-Pari viikkoa sitten tiedotettiin isolla äänellä bugeista joita oli löydetty IE5 ja IE55 versioista. Kaikki "löydetyt" bugit oli jo korjattu ajat sitten IE5.01SP1, IE55 SP2 ja IE6 SP1 versioissa.
Tarkoittanet varmaankin tällä pari "viikkoa sitten tiedotteella" artikkelia http://sektori.com/uutiset/3905/ie%3Asta , jossa kerrotaan yhdeksästä bugista, ja niistä seitsemään oli korjaus IE6 SP1:ssä. Ainakaan sektorissa julkaistun artikkelin mukaan korjauksia ei ollut 5.5 ja 5.0 selaimille ja 6.0:llekaan ei ollut kaikkia korjauksia.

Mutta nyt asia on tietysti täysin eri, koska kyseessä on Open Source softa, niitähän ei saa arvostella, hyvä luoja sentään!
Toki saa ja pitää arvostella, siksihän OpenSource-maailmassa niin nopeasti bugit korjataankin ja samaa menetelmää voitaisiin käyttää myös ClosedSource puolella.

Tämä uutinen olisi kyllä pitänyt julkaista viimeistään silloin kun 1.0.1 ja 1.1 tulivat ulos ja korjasivat nämä bugit.
Re: Näinhän sen pitääkin mennä?
pitr_, 5.11.2002 09:27:45		 Pisteet: +1
Ehkä pointti tällä kertaa on, että Cert-FI julkaisi tuon tiedotteen. Kyseessähän on kohtuullisen uusi (?) instanssi suomalaisessa IT-kentässä, joten identiteetin hakeminen on suotavaa.

Ja niin on myös identifioituminen tietoturva-aware - tasoiseksi laitokseksi.

Voin lyödä vetoa, että 4/5 yritysjohtajista kokee jokaisen ilmoitetun bugin uudeksi ja ihmeelliseksi ja on kiitollinen taholle, joka sen julkaisi. Oli se sitten ajankohtainen julkaisu tai ei.
heko Re: Näinhän sen pitääkin mennä?
heko, 5.11.2002 17:08:20		 Pisteet: 0
Ehkä pointti tällä kertaa on, että Cert-FI julkaisi tuon tiedotteen. Kyseessähän on kohtuullisen uusi (?) instanssi suomalaisessa IT-kentässä, joten identiteetin hakeminen on suotavaa. Ja niin on myös identifioituminen tietoturva-aware - tasoiseksi laitokseksi.
Certin maailmanlaajuisen organisaation maine on kyllä takkuillut vuosikaudet. Nykyään se on hieman jo parantunut.

Cert-FI perustettiin tammikuussa: http://www.ficora.fi/suomi/ajankoht/certfi.htm>

Voin lyödä vetoa, että 4/5 yritysjohtajista kokee jokaisen ilmoitetun bugin uudeksi ja ihmeelliseksi ja on kiitollinen taholle, joka sen julkaisi. Oli se sitten ajankohtainen julkaisu tai ei.
Korjaisin: jokaisen _huomaamansa_ ilmoitetun bugin.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Vellu Re: Näinhän sen pitääkin mennä?
Vellu, 5.11.2002 10:29:48		 Pisteet: 0
Eli bugit "löydetään" ja niistä tiedotetaan yleisesti sen jälkeen kun fiksit on saatavilla. Ja nämä kyseiset bugithan oli korjattu jo Mozillan 1.1
-Pari viikkoa sitten tiedotettiin isolla äänellä bugeista joita oli löydetty IE5 ja IE55 versioista. Kaikki "löydetyt" bugit oli jo korjattu ajat sitten IE5.01SP1, IE55 SP2 ja IE6 SP1 versioissa. Ei se kuitenkaan riittänyt syyksi anti-MS ihmisille.
Mutta nyt asia on tietysti täysin eri, koska kyseessä on Open Source softa, niitähän ei saa arvostella, hyvä luoja sentään! Niissä ei voi olla mitään vikaa! Ei voi, koska ne eivät ole MS:n tekemiä, ne ovat open sorsaa, joten ne ovat aivan jumalaisia!! Todella puolueetonta, eikö...
Kummankaan teidän mielessänne ei varmaankaan käynyt, että kenties kaikki eivät seuraa millään tasolla päivitysten julkaisuja ja päivitä selainta ja muita softia aina uusimpiin. Todella moni surffaa edelleen jopa Netscape nelosella.
-vellu
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 10:42:00		 Pisteet: 0
Kummankaan teidän mielessänne ei varmaankaan käynyt, että kenties kaikki eivät seuraa millään tasolla päivitysten julkaisuja ja päivitä selainta ja muita softia aina uusimpiin. Todella moni surffaa edelleen jopa Netscape nelosella.
-Sekä W2K SP3 että XP SP1 tuovat mukanaan mahdollisuuden käyttää AutoUpdatea, joka tarvittaessa joka hakee päivitykset automaattisesti tai ilmoittaa käyttäjälle että päivityksiä on saatavilla, jonka jälkeen yhdellä hiiren painalluksella saa kaikki tarvittavat päivitykset. Todella helppoa, ja toimii hyvin. Tietysti osalla porukasta on käytössä vielä vanhempia käyttiksiä (W9X, NT), mutta näissäkin "Windows Update" toimii hyvin helposti.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 11:01:32		 Pisteet: 0
Kummankaan teidän mielessänne ei varmaankaan käynyt, että kenties kaikki eivät seuraa millään tasolla päivitysten julkaisuja ja päivitä selainta ja muita softia aina uusimpiin. Todella moni surffaa edelleen jopa Netscape nelosella.
-Sekä W2K SP3 että XP SP1 tuovat mukanaan mahdollisuuden käyttää AutoUpdatea, joka tarvittaessa joka hakee päivitykset automaattisesti ...
Auto-update/Windows update ei mun tietääkseni päivitä automaattisesti Netscapea? vai päivittääkö?
Nuo Auto-update härveli jutskat saa aika usein virheellisen turvallisuuden tunteen. Pekka Peruskäyttäjä ajattelee, että kun painaa auto-update nappia, niin kaikki softat koneessa muuttuu aukottomiksi. hah.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 14:29:45		 Pisteet: 0
-Sekä W2K SP3 että XP SP1 tuovat mukanaan mahdollisuuden käyttää AutoUpdatea, joka tarvittaessa joka hakee päivitykset automaattisesti ...
Auto-update/Windows update ei mun tietääkseni päivitä automaattisesti Netscapea? vai päivittääkö?
Nuo Auto-update härveli jutskat saa aika usein virheellisen turvallisuuden tunteen. Pekka Peruskäyttäjä ajattelee, että kun painaa auto-update nappia, niin kaikki softat koneessa muuttuu aukottomiksi. hah.
-Ei kai MS:n tehtävä ole korjata muiden valmistajien bugisia softia? Tässä olikin varmaan pointti se että sekä Winkkarin (että IE:n) päivittäminen on hyvin helppoa, paljon helpompaa kuin Mozillan (tai Netscapen). Jos joku ei osaa käyttää AutoUpdatea / Windows Updatea, ei pitäisi käyttää konetta ollenkaan, koska silloin ei luultavasti osaa myöskään hengittää, ja onkin itse asiassa kuollut... :)
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 15:00:46		 Pisteet: +1
-Ei kai MS:n tehtävä ole korjata muiden valmistajien bugisia softia? Tässä olikin varmaan pointti se että sekä Winkkarin (että IE:n) päivittäminen on hyvin helppoa, paljon helpompaa kuin Mozillan (tai Netscapen). Jos joku ei osaa käyttää AutoUpdatea / Windows Updatea, ei pitäisi käyttää konetta ollenkaan, koska silloin ei luultavasti osaa myöskään hengittää, ja onkin itse asiassa kuollut... :)
Kuinka monen koneessa on Autoupdate ilman, että sitä on siihen tarvinnut asentaa? Päivittäminen saattaa olla helppoa, mikäli autoupdate on asennettu, mutta useimmissa Windows käyttöjärjestelmissä sitä ei ole. Ja edelleen nämä useimmat käyttöjärjestelmät ovat haavoittuvaisia. Ja edelleen, tämä houkuttelee joitain ihmisiä tekemään sovelluksia, millä he voivat näitä aukkoja joko omaksi hyödykseen tai ihan vain muiden kiusaksi hyödyntää.

Mozillan päivittäminen on yhtä helppoa kuin Mozillan lataaminen ja asentaminen, ellei helpompaakin. Haetaan vain uusi paketti ja asennetaan se vanhan päälle. Joten todennäköisesti jos on osannut hakea Mozillan, osaa sen myös päivittää.

Entäs IE:n kanssa, jos on käyttöjärjestelmä missä ei ole autoupdatea? Taitaa mennä sormi suuhun useimmilta peruskäyttäjiltä.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 6.11.2002 12:12:14		 Pisteet: 0
Kuinka monen koneessa on Autoupdate ilman, että sitä on siihen tarvinnut asentaa?
-AutoUpdaten saa W2K:n SP3 ja XP:n SP1:n mukana. Ja ihminen joka haluaa koneensa olevan turvallinen nuo varmasti asentaa. Muuten kai koko puhe tietoturvasta on yleensäkin aika hölmöä, eli "en halua asentaa Service Packia, mutta haluan kyllä turvallisen selaimen". Eikös se ole sama kuin lukita autosta vain osa ovista, kun kaikkien lukitseminen on niin raskasta.

Päivittäminen saattaa olla helppoa, mikäli autoupdate on asennettu, mutta useimmissa Windows käyttöjärjestelmissä sitä ei ole.

-Kuten yllä sanoin, löytyy W2K / XP alustoille. NT:stä löytyy WindowsUpdate, joka vaatii käyttäjältä yhden hiiren napin painalluksen enemmän, joten ei luulisi senkään olevan ylivoimaista.

Entäs IE:n kanssa, jos on käyttöjärjestelmä missä ei ole autoupdatea? Taitaa mennä sormi suuhun useimmilta peruskäyttäjiltä.
-Eipä mene. Siitä vain IE käyntiin, ja TOOLS valikosta "Windows Update". Ei luulisi olevan ylivoimaista.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 11.11.2002 14:28:20		 Pisteet: 0
-Eipä mene. Siitä vain IE käyntiin, ja TOOLS valikosta "Windows Update". Ei luulisi olevan ylivoimaista.
Ensimmäistä kertaa kuulin/huomasin että tuota reittiä pääsee windows updateen. Eli jos MINÄ en ole sitä huomannut, oletan kyllä automaattisesti, että peruskäyttäjiltäkin se jää huomaamatta.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 11.11.2002 15:55:32		 Pisteet: 0
-Eipä mene. Siitä vain IE käyntiin, ja TOOLS valikosta "Windows Update". Ei luulisi olevan ylivoimaista.
Ensimmäistä kertaa kuulin/huomasin että tuota reittiä pääsee windows updateen. Eli jos MINÄ en ole sitä huomannut, oletan kyllä automaattisesti, että peruskäyttäjiltäkin se jää huomaamatta.
Päivittelin yhtä palvelinta windowsupdatella ja lopputulos oli se, että windowsupdate ei päivityksen
jälkeen enää toiminut. Myöhemmin tein saman toisella koneella. Päivityksen jälkeen kone toimi.
Joko 1. koneessa oli jotain vikaa tai sitten windowsupdatessa oli jotain, joka rikkoi systeemin, mutta se oli myöhemmin korjattu.
Itse en luota automaattisiin päivityssysteemeihin. Hyvänä esimerkkinä oli muinoinen f-securen päivitys, joka jumiutti koneet.

En minäkään ole tuota windowsupdatea tools/työkaluissa huomannut. Toisaalta yritysmaailmassa hallitussa systeemissä ei käyttäjät saa edes tehdä omatoimisesti päivityksiä, vaan päivitykset pitää hoitaa keskitetysti työasemiin ja asennusjärjestelmiin.
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 12:04:55		 Pisteet: 0
Kummankaan teidän mielessänne ei varmaankaan käynyt, että kenties kaikki eivät seuraa millään tasolla päivitysten julkaisuja ja päivitä selainta ja muita softia aina uusimpiin. Todella moni surffaa edelleen jopa Netscape nelosella.
Ne kaverit tuskin löytävät CERT-FI:n tai Sektorin tiedotteitakaan... :)
heko Re: Näinhän sen pitääkin mennä?
heko, 5.11.2002 16:55:45		 Pisteet: +1
Kummankaan teidän mielessänne ei varmaankaan käynyt, että kenties kaikki eivät seuraa millään tasolla päivitysten julkaisuja ja päivitä selainta ja muita softia aina uusimpiin. Todella moni surffaa edelleen jopa Netscape nelosella.
Ne kaverit tuskin löytävät CERT-FI:n tai Sektorin tiedotteitakaan... :)
Väärin.

Vanhoja Netscapeja löytyy mm.pankeista, tai yrityksistä, jotka eivät muuten halua käyttää IE:tä, eivät maksaa Operasta, eivätkä ole vielä ehtineet päivittää uudempaan Mozillaankaan.

NS4 on 4.7:stä alkaen kuitenkin juuri ja juuri _tyydyttävä_ perussurffailuun. Joskus päivityksen vaiva vaikuttaa oikeasti turhalta, jos ei saa vastvaa hyötyä vastineeksi. Tai sitten se on muuten vaan priorisoitu kiireellisempien hommien alapuolelle.

Se, että siinä on tietoturva-aukkoja, joita kukaan ei edes vaivaudu korjaamaan, on yhdentekevää sen rinnalla, ettei kukaan viitsi kehittää 'sploitteja selaimelle, jonka markkinaosuus on niin mitätön. Entisestään hankaloittaa sploittaajan työtä se, että usein niissä ympäristöissä, jossa selainta käytetään, siitä on vielä Java/Javascript kytketty pois päältä.
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Re: Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 13:52:55		 Pisteet: 0
Todella moni surffaa edelleen jopa Netscape nelosella.
Toisaalta tuo ja IE4 alkaa olla eräässä mielessä aika "turvallinen". Lähinnä koska nykyiset virukset eivät toimi kyseisissä selaimissa. Ne kun ei tue näitä uusia hyper-reikä ominaisuuksia. Toisaalta niissä on ne vanhat tietoturva reiät jäljellä.
Näinhän sen pitääkin mennä?
Anonyymi kommentoija, 5.11.2002 10:56:25		 Pisteet: +1
Minun mielestäni moni tietoturvaa koskeva asia saa aivan liian suuren julkisuuden. Tässä taas yksi, jonka uutisointi on taas pahasti jäljessä aikaansa. Näyttäisi siltä, että kaikki IE:tä kannattavat uutispalvelut lyövät vanhalla jutulla mozillaa ja saavatkin sen näyttämään turvattomalta selaimelta(ei sitä koskaan tiedä, kun ei itse ole sorsia lukenut). Täälä asia uutisoitiin mielestäni kohtuudella. Otsikko olisi tietysti voinut kuvata vähän paremmin, mistä versiosta on kyse.

Lukekaapas IT-Viikon uutinen asiasta. tässä muutama lainaus: "Kauan kehitelty selain paljastui turvattomaksi" ja "Mozilla-selaimesta on löytynyt reikiä kuin haavista". Eikö tuo ole aika naurettavaa, kun reijät on tukittu jo monta kuukautta sitten. Aivan kuin asia olisi aivan uusi juttu.

No pääsiväthän uutisoijat näpäyttämään Mozillaakin. Tämä vain kertoo sen, ettei ohjelmien turvallisuuteen voi luottaa 100%. Pitäisi kuitenkin puhua suhteesta kummassa selaimessa on viimeaikoina löytynyt enemmän tietoturva-aukkoja.

Asiassa pitää myös ottaa huomioon se, että IE on kaupallinen tuote. Sehän on Windowsin osa, jota ei voi irroittaa. Mielestäni kaupallisen tuotteen täytyy olla mahdollisimman turvallinen. Puhutaan kuitenkin ohjelmasta jonka tietoturva koskee suurta osaa yrityksistä.

Se miksi IE 5.5 versiosta löytyvät turva-aukot ovat tärkeitä, johtuu siitä, ettei kaikki halua asentaa IE6 versiota. Valitettavasti sekin kai täytyy tehdä, jos haluaa Windowsin pysymään turvallisena. IE on niin tiukasti osa Windowsia, ettei sitä voi jättää päivittämättä, vaikka en tarvitse selain osaa.
Mozillan turvallisuus vs. IE:n turvallisuus
Anonyymi kommentoija, 5.11.2002 12:59:57		 Pisteet: 0
Se miksi IE 5.5 versiosta löytyvät turva-aukot ovat tärkeitä, johtuu siitä, ettei kaikki halua asentaa IE6 versiota. Valitettavasti sekin kai täytyy tehdä, jos haluaa Windowsin pysymään turvallisena. IE on niin tiukasti osa Windowsia, ettei sitä voi jättää päivittämättä, vaikka en tarvitse selain osaa.
Itselläni on IE 5.0. Olen päivitellyt siihen tulleita tietoturvapäivityksiä, mutta uudempaa versiota en ole viitsinyt hakea, koska selain on mielestäni toiminut riittävän hyvin, ja samalla minua on pelottanut uudempien versioiden tuomat ongelmat. Ja koska kyseessä on M$ selain, niin sitä ei välttämättä saa edes uninstalloitua, paitsi asentamalla koko Windowsin uusiksi.

No nyt käytän Mozillaa IE:n sijasta. En tiedä onko se turvallisempi kuin IE, mutta tiedän, että sen tietoturva-aukkoja hyödyntäviä scripti-pellejä on varmasti vähemmän kuin IE:n aukkoja hyödyntäviä, joten olo on huomattavasti turvallisempi.
Opera
Anonyymi kommentoija, 5.11.2002 13:39:21		 Pisteet: 0
Osaisiko kukaan kertoa mitä tietoturva-aukkoja operasta on löytynyt ?

Mielestäni en ainakaan kyseisen selaimen kohdalla vastaavaa uutisointia ole nähnyt. Johtuuko sitten siitä, että kysessä on marginaaliselain ?
Re: Opera
Anonyymi kommentoija, 5.11.2002 15:25:25		 Pisteet: 0
Osaisiko kukaan kertoa mitä tietoturva-aukkoja operasta on löytynyt ? Mielestäni en ainakaan kyseisen selaimen kohdalla vastaavaa uutisointia ole nähnyt. Johtuuko sitten siitä, että kysessä on marginaaliselain ?
Itse käytän vain ja ainoastaan operaa, ja kyllä siinä on muutama reikä ollut, mutta ne on pääsääntöisesti korjarru erittäin nopeasti, operan versionumerointi on myös erittäin johdon mukainen. Eli jos otat uusimman version (6.05) on siinä kaikki fixit valmiina. Eikä tarvitse sen kummemmin katsella eri buildeja, kuten mikkiksellä.
Operan kehittäjät ovat ymmärtäneet sen perus asian että ihminen tekee aina tietyn määrän bugeja / kirjoitettu koodirivi. Joten helpoin tapa vältää bugeja on tehdä mahdollisiman pieniä oghjelmia. Ja sitähän opera nimen omaan on. Pieni on kaunista.
Minua ei todellakaan kiinosta se että jokin saitti ei välttämättä toimi koska käytän operaa, mutta minun ei ole tarvinnut siitä huolimatta kärsiä elämäni laadusta tippaakaan. Tulen toimeen ilman niitä saitteja, mielestäni se on enemmän saittien omistajien murhe jos en operallani voi niitä käyttää.
Re: Opera
Anonyymi kommentoija, 6.11.2002 12:06:11		 Pisteet: 0
Eli jos otat uusimman version (6.05) on siinä kaikki fixit valmiina. Eikä tarvitse sen kummemmin katsella eri buildeja, kuten mikkiksellä.

-Miten niin? Jos haet uusimman version (tällä hetkellä IE6 SP1) niin mitä siinä pitää katsella? Saman version saa asennettua niin W9X, NT, W2K kuin XP alustallekkin? Mikä siinä on ylivoimaisen vaikeaa?
Pineapple Re: Opera
Pineapple, 8.11.2002 01:03:31		 Pisteet: 0
Osaisiko kukaan kertoa mitä tietoturva-aukkoja operasta on löytynyt ? Mielestäni en ainakaan kyseisen selaimen kohdalla vastaavaa uutisointia ole nähnyt. Johtuuko sitten siitä, että kysessä on marginaaliselain ?
Muistelisin että linux-oopperassa oli jonkunaikaa sitten joku haavoittuvuus jossain fontin skaalauksessa tms että kun pisti CSSllä tosi ison koon fontille, se ylivuosi ja sitä kautta olisi pystynyt ajamaan koodiakin. Saattoi olla kyllä joku toinenkin selain.
Pineapple
kudzu Pata kattilaa soimaa..
kudzu, 5.11.2002 15:42:35		 Pisteet: 0
Kyllähän se niin on, että nyt kun virhe löytyy Open Source-tuotteesta, niin ongelmaa vähätellään "olihan se jo korjattu ajat sitten".

No niinhän se olikin. Mutta Mozillan kehittäjät mokasivat silti ja huolella. Ja kyllähän tämä saa huonoa valoa (pitkälti syystäkin) Mozillalle vaikka IE:n reiät ovat olleet (ja tulevat todnäk olemaan) samaa luokkaa, mutta niitä ei liiemmin korjailla.

Sen sijaat että syyllistytte itse FUDiin, myöntäkää tosiasiat ja valaiskaa niitä ihmisiä, jotka eivät niitä tiedä. Vaikka Mozillasta löytyisi heti toiset 6 uutta reikää, on se silti turvallisuudessaan vähintään samaa luokkaa kuin markkinoiden johtava selain, IE.
+++ATH0';%%&
Re: Pata kattilaa soimaa..
Anonyymi kommentoija, 5.11.2002 20:30:56		 Pisteet: 0
Kyllähän se niin on, että nyt kun virhe löytyy Open Source-tuotteesta, niin ongelmaa vähätellään "olihan se jo korjattu ajat sitten".
Ero on seuraava:

*IE:stä löytyy tietoturvabugi*

Bugin löytäjä: "Löysimme tämän bugin pari kuukautta sitten ja informoimme MS:ää. Olemme mielestämme antanut heille riittävästi aikaa (noin 2 kk) korjata bugi, joten julkaisemme sen tiedot nyt"

MS: "Hei hetkinen! Ette te voi julkaista tuota tietoa! Emme ole ehtineet paikkaamaan tuota reikää! Tuo on epäreilua!"

Bugi korjataan kuukauden parin kuukautta myöhemmin.

*Mozilla löytyy tietoturvabugi*

Bugin löytäjä: "Löysimme vanhasta Mozillasta muutaman bugin. Nämä on tosin yhtä lukuunottamatta korjattu jo aikoja sitten"

Kehittäjät: "Kiitos. Muistakaa tutkia uudempiakin Mozilloita"
Re: Pata kattilaa soimaa..
Anonyymi kommentoija, 6.11.2002 12:03:28		 Pisteet: 0
Kyllähän se niin on, että nyt kun virhe löytyy Open Source-tuotteesta, niin ongelmaa vähätellään "olihan se jo korjattu ajat sitten".
Ero on seuraava:
*IE:stä löytyy tietoturvabugi*
Bugin löytäjä: "Löysimme tämän bugin pari kuukautta sitten ja informoimme MS:ää. Olemme mielestämme antanut heille riittävästi aikaa (noin 2 kk) korjata bugi, joten julkaisemme sen tiedot nyt"
MS: "Hei hetkinen! Ette te voi julkaista tuota tietoa! Emme ole ehtineet paikkaamaan tuota reikää! Tuo on epäreilua!"
Bugi korjataan kuukauden parin kuukautta myöhemmin.
*Mozilla löytyy tietoturvabugi*
Bugin löytäjä: "Löysimme vanhasta Mozillasta muutaman bugin. Nämä on tosin yhtä lukuunottamatta korjattu jo aikoja sitten"
Kehittäjät: "Kiitos. Muistakaa tutkia uudempiakin Mozilloita"
-Oikeasti tässä ero on seuraava kun löytyy bugi:

MS: "Antakaa tarpeeksi aikaa jotta voimme testata että bugin korjaus ei aiheuta ongelmia SQL Serverissä, Exchangessa, W9X/NT/W2K/XP versioissa, 30 erivalmistajan virus-skannereissa, vanhoissa DOS ohjelmissa, 16-bittisissä Win3.1 ohjelmissa..."

Mozilla: "Ok, korjattu. Tosin emme testaneet sitä mitenkään, eli saattaa olla että siinä sivussa tuli 34 uutta bugia, ja ai niin, tämä ei sitten toimi kuin yhdessä tietyssä Linux versiossa, ja Windows versiossa ainoastaan ruotsin kielisessä 56bittisessä SP5 versiossa, ja ai niin, siinä sivussa muuten rikkoo ainakin OutLookin ja selaimen yhteistoiminnan, ja vaatii Norton FireWallin päivitystä ja...mutta ei se mitään, tämä tuli nopeasti, ja varmaan sitten jatkossa ehkä korjaamme nuo muutkin ongelmat. Jos korjaamme, tai sitten ei."
Re: Pata kattilaa soimaa..
Anonyymi kommentoija, 6.11.2002 13:30:51		 Pisteet: 0
-Oikeasti tässä ero on seuraava kun löytyy bugi: MS: "Antakaa tarpeeksi aikaa jotta voimme testata että bugin korjaus ei aiheuta ongelmia SQL Serverissä, Exchangessa, W9X/NT/W2K/XP versioissa, 30 erivalmistajan virus-skannereissa, vanhoissa DOS ohjelmissa, 16-bittisissä Win3.1 ohjelmissa..."
Sinulla on varmasti näyttää tuosta hyviä esimerkkejä? Vai etkö vain kykene tunnustamaan sitä tosiasiaa, että bugien korjauksessa MS istuu enimmäkseen peukaloidensa päällä?

Mozilla: "Ok, korjattu. Tosin emme testaneet sitä mitenkään, eli saattaa olla että siinä sivussa tuli 34 uutta bugia, ja ai niin, tämä ei sitten toimi kuin yhdessä tietyssä Linux versiossa, ja Windows versiossa ainoastaan ruotsin kielisessä 56bittisessä SP5 versiossa, ja ai niin, siinä sivussa muuten rikkoo ainakin OutLookin ja selaimen yhteistoiminnan, ja vaatii Norton FireWallin päivitystä ja...mutta ei se mitään, tämä tuli nopeasti, ja varmaan sitten jatkossa ehkä korjaamme nuo muutkin ongelmat. Jos korjaamme, tai sitten ei."
Ja sinulla on varmasti taas konkreettiset esimerkit todisteena tästä, eikö? Vai keksitkö "faktoja" omasta päästäsi?
Re: Pata kattilaa soimaa..
Anonyymi kommentoija, 6.11.2002 14:12:40		 Pisteet: 0
Henk.koht. on kokemuksia esim NetScapen päivityksistä, jotka johtivat loppujen lopuksi koko Winkkarin uudelleen asennukseen.

Kyllähän se varmasti näin on ettei OS puolella ole aikaa tai edes mahdollisuuksia testata ohjelmia tai korjauksia samalla tavalla kuin kaupallisella puolella. Ja koska kukaan ei periaatteessa OpenSOurce puolella ole vastuussa mistään / tukea ei saa "luotettavasta" lähteestä, ainakin yrityksissä näiden päivitysten ajo on paljon vaarallisempaa.

Vai uskaltaisiko joku lähteä ajamaan jotain Mozillan korjausta (jonka joku kaveri toisella puolella maailmaa väänsi 10 minuutissa) Linux / Windows koneeseen jossa pyörii vaikkapa Oracle tuotantokantaa 5000 käyttäjälle?

Ja eipä se kotikäyttäjääkään lohduta jos/kun joku patch aiheuttaa yhteensopivuus ongelmia jonkun toisen ohjelman kanssa. Jos käyttäjä on vielä täysin ummikko koneen sielunelämän kanssa (eli setup.exe:n ajaminen on jo suuri saavutus), ei se paljon lohduta että korjaus tuli nopeasti, jos se ei ole luotettava.

Kyllä mä ainakin henkilökohtaisesti mielummin odotan jonkun aikaa korjausta ja saan sitten toimivan luotettavan korjauksen, kuin 10 minuutin fixin jota ei olla testattu mitenkään muiden ohjelmien, käyttis päivitysten tai muiden hot-fixien kanssa.
Re: Pata kattilaa soimaa..
Anonyymi kommentoija, 6.11.2002 16:19:23		 Pisteet: 0
Henk.koht. on kokemuksia esim NetScapen päivityksistä, jotka johtivat loppujen lopuksi koko Winkkarin uudelleen asennukseen.
Mozilla ei ole Netscape. Ja jos et osaa päivittää selainta, suositan että jätät ne hommat sellaiselle joka osaa.

Kyllähän se varmasti näin on ettei OS puolella ole aikaa tai edes mahdollisuuksia testata ohjelmia tai korjauksia samalla tavalla kuin kaupallisella puolella. Ja koska kukaan ei periaatteessa OpenSOurce puolella ole vastuussa mistään / tukea ei saa "luotettavasta" lähteestä, ainakin yrityksissä näiden päivitysten ajo on paljon vaarallisempaa.
Ja kaupallisella puolella asiat on paremmin? Lue joskus huviksesi Windowsin EULA. MS kieltäytyy ottamasta vastuuta mistään tuotteissaan olevista virheistä. He eivät ota vastuuta epävakaudesta, bugeista, turvarei'istä, ei mistään. Olet omillasi. Open Sourcessa voit ainakin valittaa suoraan koodin kirjoittajalle tai korjata bugin itse jos siltä tuntuu.

Vai uskaltaisiko joku lähteä ajamaan jotain Mozillan korjausta (jonka joku kaveri toisella puolella maailmaa väänsi 10 minuutissa) Linux / Windows koneeseen jossa pyörii vaikkapa Oracle tuotantokantaa 5000 käyttäjälle?
Miksi tietokantaserverissä pitäisi olla webbiselain? Ja en tiedä teidän firmasta, mutta meidän firmassa kaikki päivitykset testataan etukäteen, ennenkuin ne asennetaan tuotantoympäristöön.

Ja eipä se kotikäyttäjääkään lohduta jos/kun joku patch aiheuttaa yhteensopivuus ongelmia jonkun toisen ohjelman kanssa. Jos käyttäjä on vielä täysin ummikko koneen sielunelämän kanssa (eli setup.exe:n ajaminen on jo suuri saavutus), ei se paljon lohduta että korjaus tuli nopeasti, jos se ei ole luotettava.
Mikä estää asentamasta uutta versiota kyseisestä softasta? En ole vielä koskaan törmännyt "yhteensopivuusongelmiin" siirtyessäni yhdestä Mozillan versiosta toiseen. Jos sinä onnistut tuhoamaan käyttöjärjestelmäsi selainta asentaessa, niin suositan sinua vaihtamaan alaa.

Kyllä mä ainakin henkilökohtaisesti mielummin odotan jonkun aikaa korjausta ja saan sitten toimivan luotettavan korjauksen, kuin 10 minuutin fixin jota ei olla testattu mitenkään muiden ohjelmien, käyttis päivitysten tai muiden hot-fixien kanssa.
Mikä ihmeen "10 minuutin fixi"? Mistä sinä tiedät kuinka kauan tuota fixiä on testattu? Ja onko sitten parempi että yritykselle annetaan kuukausitolkulla aikaa korja bugi, ja he eivät saa tuona aikana mitään aikaan (kuten usein on MS:n tapauksessa). Sitten kun reiästä tiedotetaan, kuluttajilla ei ole mahdollisuutta korjata bugia, kun MS ei ole vaivautunut sitä korjaamaan.

Suoraan sanottuna levität FUDia.
Pineapple Re: Pata kattilaa soimaa..
Pineapple, 8.11.2002 01:01:14		 Pisteet: 0
ue joskus huviksesi Windowsin EULA. MS kieltäytyy ottamasta vastuuta mistään tuotteissaan olevista virheistä. He eivät ota vastuuta epävakaudesta, bugeista, turvarei'istä, ei mistään. Olet omillasi.
Näytäppä minulle EULA jossa firma ottaa täyden vastuun kaikesta softansa tekemästä, myös bugien ja ohjelman toimintahäiriöiden aiheuttamista ongelmista. Veikkaisinpa että tuo 'emme vastaa mistään' on kyllä noin joka-ainuassa EULAssa, ei ainoastaan MSn.
Pineapple
Pineapple Re: Pata kattilaa soimaa..
Pineapple, 8.11.2002 00:58:40		 Pisteet: 0
Sinulla on varmasti näyttää tuosta hyviä esimerkkejä? Vai etkö vain kykene tunnustamaan sitä tosiasiaa, että bugien korjauksessa MS istuu enimmäkseen peukaloidensa päällä?
Ainakin noita security-updateja tuntuu tulevan noin puolentoista viikon välein Kannettavani uptime oli 46 päivää, kun sammutin sen matkan takia, palatessani oli viisi updatea odottamassa - samat updatet olin asentanut pöytäkoneeseeni viikon-parin väleillä. noista updateista muistaakseni 3 oli explorerin security-juttuja, viimeisin paikkasi jonkun buffer-overflow-haavoittuvuuden. Fixejä tulee siis ja jos toisin väität puhut potaskaa.
Pineapple
heko Re: Pata kattilaa soimaa..
heko, 5.11.2002 17:03:02		 Pisteet: +1
Kyllähän se niin on, että nyt kun virhe löytyy Open Source-tuotteesta, niin ongelmaa vähätellään "olihan se jo korjattu ajat sitten".
Varmasti jotkut vähättelevät, jotta pääsevät kisaamaan peniksenjatkeillaan. Ei se tarkoita, että koko open source -"yhteisö" -- mitä ikinä se sitten onkaan -- olisi yhtenä rintamana puolustamassa tuotoksiaan, tai että kaikkia tuotoksia pitäisi tämän perusteella tuomita.

No niinhän se olikin. Mutta Mozillan kehittäjät mokasivat silti ja huolella. Ja kyllähän tämä saa huonoa valoa (pitkälti syystäkin) Mozillalle vaikka IE:n reiät ovat olleet (ja tulevat todnäk olemaan) samaa luokkaa, mutta niitä ei liiemmin korjailla.
On IE:stä silti _enemmän_ löydetty reikiä, oli syynä huolellisempi etsintä tai mikä muu tahansa.



Se, että open source _automaattisesti_ tekisi softasta paremmin auditoidun, on silkkaa potaskaa. Jostain syystä ne tismalleen samat tyypit ne reiät sieltä aina sorsistakin löytävät. Mistähän mahtaisi johtua. Open source -softiin viime aikoina tungetut troijalaiset ovat mainio esimerkki siitä, mistä on kyse. Kukaan ei _lue_ niitä sorsia.

Sen sijaan open source tarjoaa _mahdollisuuden_ auditoida koodi paremmin, silloin kun niin _halutaan_ tehdä. Erityisesti kun on kyseessä esim. kryptausalgoritmit, on tärkeää, että voidaan _osoittaa_ algoritmin olevan luotettava. Tutkittavanahan nekin tosin ovat joka tapauksessa esim. lipastoissa, olivat sitten shared tai open sourcea...
--
Heikki http://www.heikkikorpela.fi heikki@heikkikorpela.fi
Maileja..
mxmattil, 5.11.2002 11:10:36		 Pisteet: +2
Lähetin tästä jo mailia cert-fi:llekin mutta en saanut vastausta sieltä joten pistänpä mailit sitten jakoon.

Lähetin aluksi cert-fi:lle mailin jossa kritisoin varoituksesta puuttuvaa tietoa että kyse oli kaksi versiota vanhasta versiosta sekä siitä että mitään korjaustiedostoja ei ole olemassa eikä edes niillä tarkoitettua mozillan uusinta versiota saa Securityfocuksesta. Tällaiset väärät ja puutteelliset tiedot saavat omasta mielestäni etenkin Pekka Peruskäyttäjän pään täysin sekaisin.

*clip*
Tervehdys, Kiitokset kommentistanne. Klikkaamalla haavoittuvuuksien jälkeen olevaa
linkkiä, lisätietoa haavoittuvuudesta saa osoitteesta, aukeaa suoraan sivu,
josta käy ilmi ne Mozillan versiot, jotka ovat alttiita ko.
haavoittuvuudelle. Tämän vuoksi emme ole erikseen tuota versiointia
maininneet.
*clip*

.. Josta seuraavaan vastaukseeni en enää saanut enää mitään vastausta. Tässä mailini jos jotain kiinnostaa..

*clip*
Hei,

Ymmärrän asian täysin mutta jos näin laajasti tiedotatte vanhojen
versioiden haavoittuvuuksista olisi hyvä mainita itse tiedotteessa että
kyseessä ovat tosiaan vanhat versiot. Mm. Digitodayssa
http://www.digitoday.fi) asia oli ykkösuutisena kun vierailin siellä ja
lähdin aivan turhaan etsimään päivityksiä verkosta. En varmasti ole
ainoa joka näin on tehnyt.

Koko tiedotteen järkevyyden voi hiukan kyseenalaistaa jos
tietoturvariskin vaarallisuuden ymmärtääkseen on luettava erillisiä
liitteitä kuudelta erikseen linkitetyltä sivulta. Tämän lisäksi kaikki
viittaamanne Securityfocuksen varoitukset on julkaistu viimeistään 9.
syyskuuta joten ne ovat nyt jo auttamattomasti vanhentuneita
(11. päivä syyskuuta julkaistiin mozillan senhetkinen uusin versio jossa
kaikki mainitut tietoturvaongelmat oli korjattu).
*clip*
http://www.dvd.to - DVD hakukone
Re: Maileja..
rugueux, 5.11.2002 13:54:21		 Pisteet: +1
Tällaiset väärät ja puutteelliset tiedot saavat omasta mielestäni etenkin Pekka Peruskäyttäjän pään täysin sekaisin.
Näin kävi juuri täällä. Sain johtoportaalta sähköpostilla it-viikon uutisen missä kerrottiin miten surkea Mozilla on, kun siinä on tämä ja tämä bugi. Ja arvatkaapa oliko mitään hyötyä kertoa, että kyseessä on vanhat versiot Mozilla selaimesta. Ainakin toistaiseksi olen kuitenkin saanut käyttää Mozillaa, mutta pelkään pian senkin muuttuvan. Varsinkin johtajilla tuntuu olevan sellainen virheellinen käsitys, että suuren yrityksen tuotteisiin voi luottaa, saahan ne päivitykset haettua Windows Updatesta. Eikä auttanut vaikka miten mainitsin, että päivityksiä saa usein odotella pitkänkin tovin.

IT-osasto olisi pelastus, mutta kaikissa yrityksissä sellaista ei nähdä järkeväksi. Sääli.
--
Mihin on kadonnut perinteinen harakointi?
Re: Maileja..
mxmattil, 5.11.2002 11:24:09		 Pisteet: 0
Lähetin tästä jo mailia cert-fi:llekin mutta en saanut vastausta sieltä joten pistänpä mailit sitten jakoon.
Vielä pikku lisäys kun edittiä ei ole eli Sektori on hoitanut tässä tapauksessa omasta mielestäni asian todella järkevästi eli on selvästi maininnut versiot jotka tietoturvaongelmiin liittyvät. Jotenkin en aina oikein ymmärrä muiden uutispalvelujen tiedota copy-paste linjaa mutta sama kyllä pätee suureen osaan kaikkia uutisia kaikkialla.
http://www.dvd.to - DVD hakukone