Windows Vista & Bezbednost

Bezbedni Windows? Oksimoron!
Kao kad biste rekli da je diktatura slobodna vrsta vlasti.
Windows (i ostali closed-source drugari) su bezbedni prvenstveno za onog ko ga je napisao, a za korisnika - onoliko koliko autor(i) misle da treba.
Zamislite samo da su "loši momci" Microsoft. Dajte mi samo jedan razlog da to ne budu. Dovoljan razlog da budu je kontrola tržišta, tj. korisnika, a potreban razlog je da im se može. A može im se - ništa ih ne sprečava u tome...
Microsoft će sve učiniti da ne dozvoli da neko preuzme kontrolu nad Vašim računarom, ali ne od Vas nego od njih.
(Legalni) korisnici closed-source proizvoda ustvari plaćaju nešto što im uskraćuje prava i slobodu (Digital Restrictions Management), a usput dobijaju i ono što zapravo žele (operativni sistem, office paket, itd.).
Mislite o tome...

Prvo, naslov texta ne ispunjava moja ocekivanja u pogledu korisnih informacija u samom textu a u vezi sa Vistom, ali dobro ipak sadrzi demante na lazne cinjenice o nesigurnosti nekog sistema sto je itekako korisno posebno za zrtve novopecenih ubuntu hakera.

Drugo, navodi se link na text u kome se govori o hackovanom windows systemu. Metod se naziva "Blue Pill" i ukratko se zasniva na kreiranju virtuelnog prostora\systema u kome se izvrsava maliciozni program. Zelim samo da napomenem da se ova vrsta napada moze izvrsiti samo sa admin privilegijama. Sto znaci da su sanse za ovako nesto veoma male jer se admin mod koristi (bar bi trebalo) samo od strane "iskusnih" korisnika.

@Ivan Markovic
Sledeci tekst ce obuhvatiti skoro sve novosti koje Vista donosi, najverovatnije krajem sledece nedelje. Poseban tekst
bice posvecen Blue Pill-u, ali u pravu si, Joanna je prezentirala ceo napad sa admin privilegijama. Ipak, ceo koncept je vrlo znacajan, jer tera Microsoft da radi jos bolje u pravcu poboljsanja bezbednosti... Inace, Joanna, koja je prezentirala Blue Pill je jedna izuzetno talentovana osoba...

Neka Drustvo jednog lica zvano Microsoft svede cijene svojih proizvoda, prvenstveno za home user, na fer nivo pa da raspravljamo. Do tada puno srece zelim hakerima iako sam za postivanje zakona, ali kada neko igra prljavo...

Tekst je odličan, a pravila koja si predstavio univerzalna, bez obzira o kakvoj je platformi reč. Upravo je zato šteta što sam naslov ne otkriva o čemu se radi.

Ma ko ce da nam prica o bezbednosti i dokle? Oni!? Nikada nece nauciti sta je bezbednost.Microsoft je mrtav!!! Ziveo OpenSource !!!

"Less than 24 hours after the launch of Internet Explorer 7, security researchers are poking holes in the new browser.

Danish security company Secunia ApS reported Thursday that IE7 contains an information disclosure vulnerability, the same one it reported in IE6 in April. The vulnerability affects the final version of IE7 running on Windows XP with Service Pack 2.

If a surfer uses IE7 to visit a maliciously crafted Web site, that site could exploit the security flaw to read information from a separate, secure site to which the surfer is logged in. That could enable an attacker to read banking details, or messages from a Web-mail account, said Thomas Kristensen, Secunia’s chief technology officer."

Sta dodati?

Inace, Blue Pill problem je resen i vise ne moze tako da se "hakuje" Vista.

"It quickly turned out that our exploit doesn’t work anymore! The reason: Vista RC2 now blocks write-access to raw disk sectors for user mode applications, even if they are executed with elevated administrative rights."

Direktno sa bloga autora:
http://theinvisiblethings.blogspot.com/

Izjave tipa "Open source is more secure than close sourced software" je sama za sebe NETAČNA!!! Ako bismo posmatrali neki open i closed system u nekom idealnom svetu, došli bismo do zaključka da ne postoji razlika u bezbednosti između ta dva sistema. Bezbednost je ISTA. To je i matematički dokazao jedan student sa Cambridge University-a u svom radu "Security in Open versus Closed Systems – The Dance of Boltzmann, Coase and Moore". Rad možete pročitati ovde http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/toulouse.pdf

Pošto mi ne živimo u idealnom svetu, situacija odstupa od one dokazane u radu. Razlika sigurno postoji, ali razlika je u tome kako je neka tehnologija primenjena, kako je software pisan, da li je software testiran, da li je urađen review software-a (i ko je uradio taj review). U "security community" postoji puno ljudi koji preferiraju open source software, ali ne iz razloga što je on "more secure" jer se svi koji nešto znaju o bezbednosti slažu se u jednom: "Simply being open source is no guarantee of security". Kao ilustraciju, pročitajte esej koji je napisao Elias Levy, alias Aleph One, bivši moderator Bugtraq mailing liste. Esej možete naći u arhivi Security Focus sajta http://www.securityfocus.com/news/19.

da, ovo mi zaista deluje kao 10 univerzalnih pravila koja ce sigurno pomoci mnogim korisnicima ovog, kao i ostalih microsoft OS proizvoda.

@Sasa Vidanovic
Odlicno, jedva cekam text o "Blue Pill". I da Joanna jeste najlepsa medju geekovima ;)

@Nemanja
Ovakvim postovima samo pokazujes svoje neznanje. Ja licno koristim i linux i windows, cak za neke potrebe koristim i mac-osx i solaris, i opet ne mogu da kazem da je neki od njih bolji ili gori. Jednostavno biras system po svojim potrebama. E sad druga je stvar nestrucnost administratorskog kadra ...

@Nenad Simić
Što se tiče IE 7, postoji velika razlika u funkcionalnosti IE 7 kad je instaliran na XP SP2 mašini i Vista mašini, ali o tome u jednom od narednih postova. Ključna reč ovde je "IE Protected Mode".

Drugo, bag koji pominješ nije propust u IE 7 već u Outlook Express komponenti koja koristi IE 7 kao vektor, i sve to na XP SP2, A NE NA VISTI... A ja se ne sećam da sam pisao o XP-u, ili se možda varam...

http://www.digitmag.co.uk/news/index.cfm?NewsID=6399

http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-vulnerability.aspx

Veliki pozdrav
Saša

@Nenad Simic
Ako malo bolje procitas izjave u vezi sa IE7 exploitom videces da je to ustvari propust u OE komponenti i da na Visti ne radi. Takodje, uz pomoc tog exploita moguce je pokupiti samo sadrzaj stranice sto dovodi do toga da je veoma mala mogucnost dobijanja korisnih informacija zbog otezanog pogadjanja trenutka trajanja sessije na odredjenom sajtu koji potencijalno moze da bude zanimljiv napadacima.

Nema potrebe za gorcinom. Ocigledno niste razumeli poentu mog ranijeg posta. MS izbaci major verziju Explorera i to nakon pet godina. Kampanja o MS-u kao "secure" vendoru prsti na sve strane, kad ono... Ne lezi vraze, ne prodje ni 24h, a novi IE vec "pokazao koroziju"!
E sad, imajuci u vidu celu istoriju MS-OS-ova, MS poslovnu politiku, evo vidimo, i sadasnjost, zasto bi iko sa zdravim razumom poverovao da nece biti isto i sa Vistom? Svaka prica o Visti kao secure OS-u je cist marketing i mrtvo slovo na papiru.(nesto kao Evropska Srbija) Dakle, pricacemo o Vista security-u 6 meseci posto bude lansirana.
Shodno ovome http://news.com.com/5208-1016-0.html?forumID=1&threadID=20651&messageID=178784&start=-55
bice tu dosta za pricati...

@Nenad:
ti kao da zaboravljas da su tu kompaniju pocepali upravo zbog IE. Zasto te onda cudi sto su obustavili rad na istom i povukli ga u pozadinu? Zar su trebali da nastave, pa da stvarno dodje do najcrnjeg za MS? Gubitak nekoliko (ili vise) % trzista browsera za njih nije big deal, ako ce da osigura mir od sudova - a ponavljam, na ulogu je bila cela kompanija. Sta bi ti uradio?

Sto se propusta tice, uvek ih je bilo (u svim browserima i bice), ali izgeda da ne zelis da procitas ono sto su drugi vec napisali ovde: propust uopste nije deo IE 7, a i ne radi na Visti, o kojoj je rec ovde.

@dejan
Hm... Ja napravim ocajan browser zbog koga me pocepaju i, kao odgovor na to, ja obustavim razvoj istog na pet godina?! (ne i distribuciju - naravno, ha, ha...) Kao, ako nastavim, doci ce do nacrnjeg za mene?! (ha, ha, budale i dalje koriste ovaj stari i ne bune se, ha, ha...)
E, logika ti je jaca strana, nema sta... Kao kad SRS objasnjava da je bolje prihkljuciti se Nesvrstanima nego EU...
Da se ovde mi ne zamajavamo. MS je unistio trziste browsera koristeci monopol (ukjlucivsi IE u standardnu distribuciju Win95) i, dok nisu poceli da gube trziste od FireFox-a, bolelo ih je uvo za za security i korisnike. Nisu hteli ni prstom da maknu! Na radost AntiVirus vendora, naravno.
Ja ovde, takodje, govorim o Visti (za one sa slabijom koncentracijom). Dakle, kompanija koja je proizvela sve najnebezbednije operativne siteme ikad prozvedene, krece u marketinsku kampanju da ce im BAS SLEDECI biti najbezbedniji. Kao kad bi SRS pred izbore govorio u kampanji da ce oni od izbora biti green/hipici sa cvecem u kosi?! I, sta sam ja ako slepo poverujem? Da, upravo to... A kao garanciju svog poboljsanog kvaliteta, izbaci novi (pet godina razvijani, da ih nebi opet razbili) IE 7 - i oni ga razbiju za 24h! Pateticno... Ah, da. To je zbog problema u OutlookExpress-u. E, onda je u redu... A, ko ono bese pravi OE...?!
Ja nikad u zivotu nisam koristio nista osim MS DOS-a i Windowsa, i sigurno je da je jedino sto cu koristiti u buducnosti Vista. Jednostavno - neznam da koristim ista drugo. Ali to ne znaci da pristajem na marketinsko ispiranje mozga. Pogotovo ne za svoj novac. Do sada smo bili unsecure - PUF! - sad smo naprasno secure! Ovog puta ce to morati prvo da dokazu. Track-record ne cini prognozu u tom pogledu narocito suncanom. Na radost, gore pomenutih, AntiVirus vendora...
Ma, i onako nema veze... Sve se da resiti sa 4-5 secvice pack-ova i 500-600 security update-a...

@Nenad
Nije bas sve tako crno. U prethodnom periodu MS je jedini imao progres u sekjuritiju, dok su svi ostali degradirali. Narocito Solaris i Linux. Linux je IT pastorce, sa kojim mi je svaki susret preseo i doneo samo frustracije. Vista ce da ga sahrani. I, po Darvinovoj teoriji, potpuno je OK da je tako.
Vista, za razliku od prethodnih Mikrosoftovih OS-a, nije "facelift" vec potpuno novi proizvod.
Naravno, kao happy Mac user, ja preferiram OS X, ali je OS X bezbedan prevashodno zbog toga sto za njega ne mozete da kupite programe od kineza na Zelenom Vencu. Kao sto je i sam autor vec odlicno objasnio, IT bezbednost je kao bezbedan sex - promiskuitet moze da bude smrtonosan. Stupajte u (IT) odnose jedino sa onima u koje imate apsolutno poverenje i obavezno koristite zastitu. I problema nece biti.

@Vladica Mitrovic
Couldn't agree more...

Vidim da se diskusija prilicno zahuktala izmedju zagovornika open source-a i onih koji smatraju da je MS ovaj put napravio pristojan OS po pitanju sigurnosti. Pre svega bih zeleo da kazem da ako je nesto open source to ne znaci a priori da je sigurnije od vendorskog softvera, ali takodje ne vazi ni obrnuto. U cemu je zapravo rec kod sigurnosti i open source-a? Stvar je u tome sto je open source, kako mu ime i samo kaze otvorenog koda, tj. uz sam program koji je moguce izvrsiti, dobijate i izvorni kod istog. Pogodnost kod ovakvog nacina distribucije seoftvera je da je moguca veoma laka prepravka, tako da program radi onako kako mi to zelimo, pa samim tim je moguca i laka popravka sigurnosnih propusta, sto kod vedorskog softver, koji je po pravilu zatvorenog koda, nije moguce. Takav softver moze da ispravlja samo njegov proizvodjac, kada i ako mu se prohte, sto, priznacete, moze biti jako nezgodna stvar. Pretpostavljam da nije veliki problem kada ce se popraviti neki propust ako se pojavi na kucnoj masini koja se koristi uglavnom za filmove, muziku, office aplikacije itd., ali sta se desava ako se taj isti sistem koristi u neke veoma delikatne stvari, kao ste je e-banking, ili nesto jos znacajnije, i kada je bukvalno bitno da se problem otkloni u roku od najvise pola sata?!
Pogledajte malo po netu, koji se operativni sistemi koriste kao web serveri. Preko 75% cine neke od verzija Unix operativnog sistema, kao sto su Linux, razne verzije BSD-a, Solaris,... Microsoftov OS zauzima oko 20% trzista web servera, sto nije ni izbliza veliki procenat, kao na trzistu desktop masina. Zasto je to tako? Pa jednostavno nisu dovoljno pouzdani, nisu dovoljno robusni, laki za odrzavanje, da ne govorim o prepravkama da bi se obezbedila dodatna funkcionalnost, ili uklonili neki problemi. Naravno da je sve ovo moguce na operativnim sistemima otvorenog tipa, ali i tu postoji jedan problem, a to je da ovakvi sistemi definitivno iziskuju vece znanje.
Postavlja se pitanje u stvari cemu ce odredjeni sistem sluziti: kao kucna zabava uz povremene izlete na net, ili kao ozbiljna poslovna masina? Mislim da se odgovori namecu sami po sebi...
Pozdrav za sve ljude koji veruju u ideju otvorenog koda, i koji zdusno ucestvuju u realizaciji iste.

@nowave
Potpuno je suludo misliti da serveri za online banking ozbiljnih finansijskih institucija rade na open source softveru. Jednostavno to nije tacno. Stvar je mnogo ozbiljnija, i neki drugi operativni sistemi su u pitanju (i nikako nisu open source).

Kad su u pitanju Web serveri za online banking, moras imati u vidu da se security online bankinga ne bazira na Web serveru. I tu su stvari mnogo komplikovanije, a Web server se samo koristi kao transportni protokol.

Ja postujem open source software, but make no mistake, security online banking aplikacija u ozbiljnim finansijskim institucijama nikad nece biti baziran na open source softveru.

@nowave
Pa, neznam bas ko bi se upustio u krpljenje source koda Apache-a ili JBoss-a. Mozda to i jeste opcija kod nas, gde ljudi rade prakticno za dzabaka. Ali na zapadu, gde radni dan dobrog profesionalca kosta 1000-3000 EUR, to je cisto bacanje para. Mnogo je finasijski isplativije prosto kupiti proizvod. Takodje, na zapadu funkcionise legalni sistem. Ako nesto sto sam platio ne radi, dobicu momentalno support, a mogu (u zavisnosti od ugovora) da nekom i nalupam penale. Sigurnost investicije je na prvom mestu.
Naravno, ne kazem da je OpenSource svuda inferioran. Na primer, u Enterprise Application Development-u, JEE (JSF+EJB3.0) je milenijum ispred .NET-a, upravo zahvaljujuci OpenSource-u, a JBoss suvereno vlada trzistem Aplication Server-a. Ali je cinjenica da je Linux potpuno izgubio "edge" u zadnjih 5 godina, postao pun rupa, ostao komplikovan za konfiguraciju, ima patetican GUI i ocajan hardware support. Nismo vise u devedesetim. Linux i dalje jeste. Move on.

@Nowave
Web serveri sami po sebi nisu bas najbolji pokazatelj zastupljenosti servera na trzistu, posebno Netcraft, koji racuna broj web prezentacija, a ne broj servera. (Linux server sa 200 besplatnih licnih prezentacija po 5MB u ovom istrazivanju vredi koliko i 200 "dedicated" Microsoft servera koji drze samo po jednu prezentaciju). Medjutim, cak i Netcraft procenjuje da na Microsoft IIS server otpada preko 30%. Sa druge strane, udeo Linuxa na trzistu baza podataka je veoma skromno. Ako se pogleda brojcano udeo Linuxa u novim isporucenim serverima, i taj broj je puno skromniji. Ako se pogleda ucesce Windowsa i Linuxa u migraciji sa Unix mainframe servera, opet Windows uzima veci deo kolaca (preko 40%).

Sto se tice mogucnosti da se open source sofver menja, upravo je to jedan od potencijalnih problema. Mogu da dobijem softver u koji su unete izmene koje ja ne zelim. Naravno, te promene je moguce otkriti, ali onome ko ima vremena (i znanja) da ide kroz kod.

@Nenad
Puno se stvari u Microsoft izmenilo u poslednjih nekoliko godina. Treba biti posten i priznati da se bezbednosti danas poklanja puno veca paznja. U poslednje vreme Microsoft ne izbacuje nove proizvode dok dobar deo kompanije ne predje na njih. Isti je slucaj sa Vistom: zaposleni u Microsoftu je koriste vec duze vreme.

@Sasa Vidic

Bio bih ti zahvalan kada bi malo detaljnije objasnio koji su to operativni sistemi u pitanju.

@nowave
Pa recimo da su to UNIX-like & Windows operativni sistemi koji zadovoljavaju najmanje nivo 4+ Common Criteria standarda, sto je otprilike B1 nivo americkog standarda (labeled security protection). Ako odes na CC sajt videces da od OS-a ima UNIXa, Windowsa, Linuxa (Red Hat & Novell SuSe), ali nijedan nije open source (ipak to nije business za open source community). I najbitnije je sto sam OS nije garancija da ce se dobiti EAL4 ili 4+, nego je potrebno atestirati celokupnu proceduru dizajna, testiranja i review-a koja mora da sledi propisanu metodologiju.

I to nije sve. Dalje dolaze specifina poboljsanja najvise u pravcu kompartmentalizacije OS-a, a to definitino nije open source.

Veliki pozdrav
Sasa

Bezbedni Windows? Oksimoron!
Kao kad biste rekli da je diktatura slobodna vrsta vlasti.
Windows (i ostali closed-source drugari) su bezbedni prvenstveno za onog ko ga je napisao, a za korisnika - onoliko koliko autor(i) misle da treba.
Zamislite samo da su "loši momci" Microsoft. Dajte mi samo jedan razlog da to ne budu. Dovoljan razlog da budu je kontrola tržišta, tj. korisnika, a potreban razlog je da im se može. A može im se - ništa ih ne sprečava u tome...
Microsoft će sve učiniti da ne dozvoli da neko preuzme kontrolu nad Vašim računarom, ali ne od Vas nego od njih.
(Legalni) korisnici closed-source proizvoda ustvari plaćaju nešto što im uskraćuje prava i slobodu (Digital Restrictions Management), a usput dobijaju i ono što zapravo žele (operativni sistem, office paket, itd.).
Mislite o tome...

Prvo, naslov texta ne ispunjava moja ocekivanja u pogledu korisnih informacija u samom textu a u vezi sa Vistom, ali dobro ipak sadrzi demante na lazne cinjenice o nesigurnosti nekog sistema sto je itekako korisno posebno za zrtve novopecenih ubuntu hakera.

Drugo, navodi se link na text u kome se govori o hackovanom windows systemu. Metod se naziva "Blue Pill" i ukratko se zasniva na kreiranju virtuelnog prostora\systema u kome se izvrsava maliciozni program. Zelim samo da napomenem da se ova vrsta napada moze izvrsiti samo sa admin privilegijama. Sto znaci da su sanse za ovako nesto veoma male jer se admin mod koristi (bar bi trebalo) samo od strane "iskusnih" korisnika.

@Ivan Markovic
Sledeci tekst ce obuhvatiti skoro sve novosti koje Vista donosi, najverovatnije krajem sledece nedelje. Poseban tekst
bice posvecen Blue Pill-u, ali u pravu si, Joanna je prezentirala ceo napad sa admin privilegijama. Ipak, ceo koncept je vrlo znacajan, jer tera Microsoft da radi jos bolje u pravcu poboljsanja bezbednosti... Inace, Joanna, koja je prezentirala Blue Pill je jedna izuzetno talentovana osoba...

Neka Drustvo jednog lica zvano Microsoft svede cijene svojih proizvoda, prvenstveno za home user, na fer nivo pa da raspravljamo. Do tada puno srece zelim hakerima iako sam za postivanje zakona, ali kada neko igra prljavo...

Tekst je odličan, a pravila koja si predstavio univerzalna, bez obzira o kakvoj je platformi reč. Upravo je zato šteta što sam naslov ne otkriva o čemu se radi.

Ma ko ce da nam prica o bezbednosti i dokle? Oni!? Nikada nece nauciti sta je bezbednost.Microsoft je mrtav!!! Ziveo OpenSource !!!

"Less than 24 hours after the launch of Internet Explorer 7, security researchers are poking holes in the new browser.

Danish security company Secunia ApS reported Thursday that IE7 contains an information disclosure vulnerability, the same one it reported in IE6 in April. The vulnerability affects the final version of IE7 running on Windows XP with Service Pack 2.

If a surfer uses IE7 to visit a maliciously crafted Web site, that site could exploit the security flaw to read information from a separate, secure site to which the surfer is logged in. That could enable an attacker to read banking details, or messages from a Web-mail account, said Thomas Kristensen, Secunia’s chief technology officer."

Sta dodati?

Inace, Blue Pill problem je resen i vise ne moze tako da se "hakuje" Vista.

"It quickly turned out that our exploit doesn’t work anymore! The reason: Vista RC2 now blocks write-access to raw disk sectors for user mode applications, even if they are executed with elevated administrative rights."

Direktno sa bloga autora:
http://theinvisiblethings.blogspot.com/

Izjave tipa "Open source is more secure than close sourced software" je sama za sebe NETAČNA!!! Ako bismo posmatrali neki open i closed system u nekom idealnom svetu, došli bismo do zaključka da ne postoji razlika u bezbednosti između ta dva sistema. Bezbednost je ISTA. To je i matematički dokazao jedan student sa Cambridge University-a u svom radu "Security in Open versus Closed Systems – The Dance of Boltzmann, Coase and Moore". Rad možete pročitati ovde http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/toulouse.pdf

Pošto mi ne živimo u idealnom svetu, situacija odstupa od one dokazane u radu. Razlika sigurno postoji, ali razlika je u tome kako je neka tehnologija primenjena, kako je software pisan, da li je software testiran, da li je urađen review software-a (i ko je uradio taj review). U "security community" postoji puno ljudi koji preferiraju open source software, ali ne iz razloga što je on "more secure" jer se svi koji nešto znaju o bezbednosti slažu se u jednom: "Simply being open source is no guarantee of security". Kao ilustraciju, pročitajte esej koji je napisao Elias Levy, alias Aleph One, bivši moderator Bugtraq mailing liste. Esej možete naći u arhivi Security Focus sajta http://www.securityfocus.com/news/19.

da, ovo mi zaista deluje kao 10 univerzalnih pravila koja ce sigurno pomoci mnogim korisnicima ovog, kao i ostalih microsoft OS proizvoda.

@Sasa Vidanovic
Odlicno, jedva cekam text o "Blue Pill". I da Joanna jeste najlepsa medju geekovima ;)

@Nemanja
Ovakvim postovima samo pokazujes svoje neznanje. Ja licno koristim i linux i windows, cak za neke potrebe koristim i mac-osx i solaris, i opet ne mogu da kazem da je neki od njih bolji ili gori. Jednostavno biras system po svojim potrebama. E sad druga je stvar nestrucnost administratorskog kadra ...

@Nenad Simić
Što se tiče IE 7, postoji velika razlika u funkcionalnosti IE 7 kad je instaliran na XP SP2 mašini i Vista mašini, ali o tome u jednom od narednih postova. Ključna reč ovde je "IE Protected Mode".

Drugo, bag koji pominješ nije propust u IE 7 već u Outlook Express komponenti koja koristi IE 7 kao vektor, i sve to na XP SP2, A NE NA VISTI... A ja se ne sećam da sam pisao o XP-u, ili se možda varam...

http://www.digitmag.co.uk/news/index.cfm?NewsID=6399

http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-vulnerability.aspx

Veliki pozdrav
Saša

@Nenad Simic
Ako malo bolje procitas izjave u vezi sa IE7 exploitom videces da je to ustvari propust u OE komponenti i da na Visti ne radi. Takodje, uz pomoc tog exploita moguce je pokupiti samo sadrzaj stranice sto dovodi do toga da je veoma mala mogucnost dobijanja korisnih informacija zbog otezanog pogadjanja trenutka trajanja sessije na odredjenom sajtu koji potencijalno moze da bude zanimljiv napadacima.

Nema potrebe za gorcinom. Ocigledno niste razumeli poentu mog ranijeg posta. MS izbaci major verziju Explorera i to nakon pet godina. Kampanja o MS-u kao "secure" vendoru prsti na sve strane, kad ono... Ne lezi vraze, ne prodje ni 24h, a novi IE vec "pokazao koroziju"!
E sad, imajuci u vidu celu istoriju MS-OS-ova, MS poslovnu politiku, evo vidimo, i sadasnjost, zasto bi iko sa zdravim razumom poverovao da nece biti isto i sa Vistom? Svaka prica o Visti kao secure OS-u je cist marketing i mrtvo slovo na papiru.(nesto kao Evropska Srbija) Dakle, pricacemo o Vista security-u 6 meseci posto bude lansirana.
Shodno ovome http://news.com.com/5208-1016-0.html?forumID=1&threadID=20651&messageID=178784&start=-55
bice tu dosta za pricati...

@Nenad:
ti kao da zaboravljas da su tu kompaniju pocepali upravo zbog IE. Zasto te onda cudi sto su obustavili rad na istom i povukli ga u pozadinu? Zar su trebali da nastave, pa da stvarno dodje do najcrnjeg za MS? Gubitak nekoliko (ili vise) % trzista browsera za njih nije big deal, ako ce da osigura mir od sudova - a ponavljam, na ulogu je bila cela kompanija. Sta bi ti uradio?

Sto se propusta tice, uvek ih je bilo (u svim browserima i bice), ali izgeda da ne zelis da procitas ono sto su drugi vec napisali ovde: propust uopste nije deo IE 7, a i ne radi na Visti, o kojoj je rec ovde.

@dejan
Hm... Ja napravim ocajan browser zbog koga me pocepaju i, kao odgovor na to, ja obustavim razvoj istog na pet godina?! (ne i distribuciju - naravno, ha, ha...) Kao, ako nastavim, doci ce do nacrnjeg za mene?! (ha, ha, budale i dalje koriste ovaj stari i ne bune se, ha, ha...)
E, logika ti je jaca strana, nema sta... Kao kad SRS objasnjava da je bolje prihkljuciti se Nesvrstanima nego EU...
Da se ovde mi ne zamajavamo. MS je unistio trziste browsera koristeci monopol (ukjlucivsi IE u standardnu distribuciju Win95) i, dok nisu poceli da gube trziste od FireFox-a, bolelo ih je uvo za za security i korisnike. Nisu hteli ni prstom da maknu! Na radost AntiVirus vendora, naravno.
Ja ovde, takodje, govorim o Visti (za one sa slabijom koncentracijom). Dakle, kompanija koja je proizvela sve najnebezbednije operativne siteme ikad prozvedene, krece u marketinsku kampanju da ce im BAS SLEDECI biti najbezbedniji. Kao kad bi SRS pred izbore govorio u kampanji da ce oni od izbora biti green/hipici sa cvecem u kosi?! I, sta sam ja ako slepo poverujem? Da, upravo to... A kao garanciju svog poboljsanog kvaliteta, izbaci novi (pet godina razvijani, da ih nebi opet razbili) IE 7 - i oni ga razbiju za 24h! Pateticno... Ah, da. To je zbog problema u OutlookExpress-u. E, onda je u redu... A, ko ono bese pravi OE...?!
Ja nikad u zivotu nisam koristio nista osim MS DOS-a i Windowsa, i sigurno je da je jedino sto cu koristiti u buducnosti Vista. Jednostavno - neznam da koristim ista drugo. Ali to ne znaci da pristajem na marketinsko ispiranje mozga. Pogotovo ne za svoj novac. Do sada smo bili unsecure - PUF! - sad smo naprasno secure! Ovog puta ce to morati prvo da dokazu. Track-record ne cini prognozu u tom pogledu narocito suncanom. Na radost, gore pomenutih, AntiVirus vendora...
Ma, i onako nema veze... Sve se da resiti sa 4-5 secvice pack-ova i 500-600 security update-a...

@Nenad
Nije bas sve tako crno. U prethodnom periodu MS je jedini imao progres u sekjuritiju, dok su svi ostali degradirali. Narocito Solaris i Linux. Linux je IT pastorce, sa kojim mi je svaki susret preseo i doneo samo frustracije. Vista ce da ga sahrani. I, po Darvinovoj teoriji, potpuno je OK da je tako.
Vista, za razliku od prethodnih Mikrosoftovih OS-a, nije "facelift" vec potpuno novi proizvod.
Naravno, kao happy Mac user, ja preferiram OS X, ali je OS X bezbedan prevashodno zbog toga sto za njega ne mozete da kupite programe od kineza na Zelenom Vencu. Kao sto je i sam autor vec odlicno objasnio, IT bezbednost je kao bezbedan sex - promiskuitet moze da bude smrtonosan. Stupajte u (IT) odnose jedino sa onima u koje imate apsolutno poverenje i obavezno koristite zastitu. I problema nece biti.

@Vladica Mitrovic
Couldn't agree more...

Vidim da se diskusija prilicno zahuktala izmedju zagovornika open source-a i onih koji smatraju da je MS ovaj put napravio pristojan OS po pitanju sigurnosti. Pre svega bih zeleo da kazem da ako je nesto open source to ne znaci a priori da je sigurnije od vendorskog softvera, ali takodje ne vazi ni obrnuto. U cemu je zapravo rec kod sigurnosti i open source-a? Stvar je u tome sto je open source, kako mu ime i samo kaze otvorenog koda, tj. uz sam program koji je moguce izvrsiti, dobijate i izvorni kod istog. Pogodnost kod ovakvog nacina distribucije seoftvera je da je moguca veoma laka prepravka, tako da program radi onako kako mi to zelimo, pa samim tim je moguca i laka popravka sigurnosnih propusta, sto kod vedorskog softver, koji je po pravilu zatvorenog koda, nije moguce. Takav softver moze da ispravlja samo njegov proizvodjac, kada i ako mu se prohte, sto, priznacete, moze biti jako nezgodna stvar. Pretpostavljam da nije veliki problem kada ce se popraviti neki propust ako se pojavi na kucnoj masini koja se koristi uglavnom za filmove, muziku, office aplikacije itd., ali sta se desava ako se taj isti sistem koristi u neke veoma delikatne stvari, kao ste je e-banking, ili nesto jos znacajnije, i kada je bukvalno bitno da se problem otkloni u roku od najvise pola sata?!
Pogledajte malo po netu, koji se operativni sistemi koriste kao web serveri. Preko 75% cine neke od verzija Unix operativnog sistema, kao sto su Linux, razne verzije BSD-a, Solaris,... Microsoftov OS zauzima oko 20% trzista web servera, sto nije ni izbliza veliki procenat, kao na trzistu desktop masina. Zasto je to tako? Pa jednostavno nisu dovoljno pouzdani, nisu dovoljno robusni, laki za odrzavanje, da ne govorim o prepravkama da bi se obezbedila dodatna funkcionalnost, ili uklonili neki problemi. Naravno da je sve ovo moguce na operativnim sistemima otvorenog tipa, ali i tu postoji jedan problem, a to je da ovakvi sistemi definitivno iziskuju vece znanje.
Postavlja se pitanje u stvari cemu ce odredjeni sistem sluziti: kao kucna zabava uz povremene izlete na net, ili kao ozbiljna poslovna masina? Mislim da se odgovori namecu sami po sebi...
Pozdrav za sve ljude koji veruju u ideju otvorenog koda, i koji zdusno ucestvuju u realizaciji iste.

@nowave
Potpuno je suludo misliti da serveri za online banking ozbiljnih finansijskih institucija rade na open source softveru. Jednostavno to nije tacno. Stvar je mnogo ozbiljnija, i neki drugi operativni sistemi su u pitanju (i nikako nisu open source).

Kad su u pitanju Web serveri za online banking, moras imati u vidu da se security online bankinga ne bazira na Web serveru. I tu su stvari mnogo komplikovanije, a Web server se samo koristi kao transportni protokol.

Ja postujem open source software, but make no mistake, security online banking aplikacija u ozbiljnim finansijskim institucijama nikad nece biti baziran na open source softveru.

@nowave
Pa, neznam bas ko bi se upustio u krpljenje source koda Apache-a ili JBoss-a. Mozda to i jeste opcija kod nas, gde ljudi rade prakticno za dzabaka. Ali na zapadu, gde radni dan dobrog profesionalca kosta 1000-3000 EUR, to je cisto bacanje para. Mnogo je finasijski isplativije prosto kupiti proizvod. Takodje, na zapadu funkcionise legalni sistem. Ako nesto sto sam platio ne radi, dobicu momentalno support, a mogu (u zavisnosti od ugovora) da nekom i nalupam penale. Sigurnost investicije je na prvom mestu.
Naravno, ne kazem da je OpenSource svuda inferioran. Na primer, u Enterprise Application Development-u, JEE (JSF+EJB3.0) je milenijum ispred .NET-a, upravo zahvaljujuci OpenSource-u, a JBoss suvereno vlada trzistem Aplication Server-a. Ali je cinjenica da je Linux potpuno izgubio "edge" u zadnjih 5 godina, postao pun rupa, ostao komplikovan za konfiguraciju, ima patetican GUI i ocajan hardware support. Nismo vise u devedesetim. Linux i dalje jeste. Move on.

@Nowave
Web serveri sami po sebi nisu bas najbolji pokazatelj zastupljenosti servera na trzistu, posebno Netcraft, koji racuna broj web prezentacija, a ne broj servera. (Linux server sa 200 besplatnih licnih prezentacija po 5MB u ovom istrazivanju vredi koliko i 200 "dedicated" Microsoft servera koji drze samo po jednu prezentaciju). Medjutim, cak i Netcraft procenjuje da na Microsoft IIS server otpada preko 30%. Sa druge strane, udeo Linuxa na trzistu baza podataka je veoma skromno. Ako se pogleda brojcano udeo Linuxa u novim isporucenim serverima, i taj broj je puno skromniji. Ako se pogleda ucesce Windowsa i Linuxa u migraciji sa Unix mainframe servera, opet Windows uzima veci deo kolaca (preko 40%).

Sto se tice mogucnosti da se open source sofver menja, upravo je to jedan od potencijalnih problema. Mogu da dobijem softver u koji su unete izmene koje ja ne zelim. Naravno, te promene je moguce otkriti, ali onome ko ima vremena (i znanja) da ide kroz kod.

@Nenad
Puno se stvari u Microsoft izmenilo u poslednjih nekoliko godina. Treba biti posten i priznati da se bezbednosti danas poklanja puno veca paznja. U poslednje vreme Microsoft ne izbacuje nove proizvode dok dobar deo kompanije ne predje na njih. Isti je slucaj sa Vistom: zaposleni u Microsoftu je koriste vec duze vreme.

@Sasa Vidic

Bio bih ti zahvalan kada bi malo detaljnije objasnio koji su to operativni sistemi u pitanju.

@nowave
Pa recimo da su to UNIX-like & Windows operativni sistemi koji zadovoljavaju najmanje nivo 4+ Common Criteria standarda, sto je otprilike B1 nivo americkog standarda (labeled security protection). Ako odes na CC sajt videces da od OS-a ima UNIXa, Windowsa, Linuxa (Red Hat & Novell SuSe), ali nijedan nije open source (ipak to nije business za open source community). I najbitnije je sto sam OS nije garancija da ce se dobiti EAL4 ili 4+, nego je potrebno atestirati celokupnu proceduru dizajna, testiranja i review-a koja mora da sledi propisanu metodologiju.

I to nije sve. Dalje dolaze specifina poboljsanja najvise u pravcu kompartmentalizacije OS-a, a to definitino nije open source.

Veliki pozdrav
Sasa