|
|
 | Bedste sikkerhed på en apache server ??
Fra : kfc |
Dato : 14-06-02 11:55 |
|
hejsa..
hvordanne srikker man sin server mest muligt ??
hvilken programmer & andre små ting
K
| |
 Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 12:03 |
|
"kfc" <kfc@ofir.dk-fjerndette> wrote in message
news:zYjO8.40752$N46.1600654@news010.worldonline.dk...
> hvordanne srikker man sin server mest muligt ??
>
> hvilken programmer & andre små ting
Uha, vi skal have lidt mere info, så som hvad din server skal køre og
dit OS.
mvh
db
| |
kfc (14-06-2002)
| Kommentar
Fra : kfc |
Dato : 14-06-02 12:06 |
|
> Uha, vi skal have lidt mere info, så som hvad din server skal køre og
> dit OS.
okayy " min fejl upzz " men køre med en apache 1.3.20 kun til hjemmeside
brug og mit OS er W xp pro
K
| |
 Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 12:13 |
|
"kfc" <kfc@ofir.dk-fjerndette> wrote in message
news:J6kO8.40919$N46.1601805@news010.worldonline.dk...
> > Uha, vi skal have lidt mere info, så som hvad din server skal køre
og
> > dit OS.
>
> okayy " min fejl upzz " men køre med en apache 1.3.20 kun til
hjemmeside
> brug og mit OS er W xp pro
Hvis du vil have sikkerhed, så er det nok ikke lige xp du skal køre. Tag
hellere en BSD, eller Linux. Har kan du:
Få en masse gratis sikkerhedsværktøjer
Configurer din server bedre (jeg har ikke prøvet at opsætte windows
servere)
Læse source-kode til alle dine programmer
Køre tjenester som specielle brugere
Køre tjenester i jail (eller chroot i linux)
mvh
db
| |
kfc (14-06-2002)
| Kommentar
Fra : kfc |
Dato : 14-06-02 12:18 |
|
> Hvis du vil have sikkerhed, så er det nok ikke lige xp du skal køre. Tag
> hellere en BSD, eller Linux.
hej
nu høre jeg til den ene % der godt kan lide windows..så et system skift er
ikke på tale her... men hvad kan jeg gøre med mine muligheder på denne
platform..
> Læse source-kode til alle dine programmer
> Køre tjenester som specielle brugere
> Køre tjenester i jail (eller chroot i linux)
det vil SQ nok svaer til at jeg læser en bog på fransk ,da jeg heller ikke
kan det sprog 
men takker for din info ..
K
| |
Alex Holst (14-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 14-06-02 12:24 |
|
Daniel Blankensteiner <db@traceroute.dk> wrote:
> Hvis du vil have sikkerhed, så er det nok ikke lige xp du skal køre.
Hvor gammel bor du egenligt til efternavn?
Apache til Win32 er naesten det samme som Apache til UNIX. En XP maskine
der udelukkende koerer Apache kan vaere omtrent lige saa sikker som en
UNIX maskine der udelukkende koerer Apache.
Hvis du fortsaetter med at sprede FUD ender du i min killfile.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 12:41 |
|
"Alex Holst" <a@area51.dk> wrote in message
news:slrnagjkio.hkv.a@Alpha.Area51.DK...
> Daniel Blankensteiner <db@traceroute.dk> wrote:
> > Hvis du vil have sikkerhed, så er det nok ikke lige xp du skal køre.
>
> Hvor gammel bor du egenligt til efternavn?
?
> Apache til Win32 er naesten det samme som Apache til UNIX. En XP
maskine
> der udelukkende koerer Apache kan vaere omtrent lige saa sikker som en
> UNIX maskine der udelukkende koerer Apache.
Kører apache til windows ikke som "root", hvor i unix kører den som
"nobody"?
> Hvis du fortsaetter med at sprede FUD ender du i min killfile.
Tja, jeg er allerede under dine "muppets".
mvh
db
| |
Peder Vendelbo Mikke~ (14-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 14-06-02 13:03 |
|
Daniel Blankensteiner skrev:
> Kører apache til windows ikke som "root", hvor i unix kører den som
> "nobody"?
Jeg kan ikke huske om Apache kan opsættes til at køre som en service
"out of the box", med svrany (fra resource kittet) kan den opsættes
til at køre som en specifik bruger med specifikke brugerrettigheder.
Alex er ikke ene om at være irriteret over, at du er så rask til at
skrive ting om windows som ikke passer. Især ikke når du selv skriver
at du ikke ved noget om opsætning af windows.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 14:01 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aecuha.6c.1@mjoelner.aaks.aarhus.dk...
> Kører apache til windows ikke som "root", hvor i unix kører den som
> > "nobody"?
>
> Jeg kan ikke huske om Apache kan opsættes til at køre som en service
> "out of the box", med svrany (fra resource kittet) kan den opsættes
> til at køre som en specifik bruger med specifikke brugerrettigheder.
Hvis den kan det, så er det helt sikkert et stort plus til windows.
> Alex er ikke ene om at være irriteret over, at du er så rask til at
> skrive ting om windows som ikke passer. Især ikke når du selv skriver
> at du ikke ved noget om opsætning af windows.
Jeg har ikke skrevet ting om windows der ikke passer. Jeg mener ikke
apache til windows, kan køres som en speciel bruger og indtil videre har
ingen givet mig svar på det.
mvh
db
| |
Jesper Nielsen (14-06-2002)
| Kommentar
Fra : Jesper Nielsen |
Dato : 14-06-02 15:39 |
|
> Jeg har ikke skrevet ting om windows der ikke passer. Jeg mener ikke
> apache til windows, kan køres som en speciel bruger og indtil videre har
> ingen givet mig svar på det.
Det får du så nu.
Apache til Windows kan sættes op til at køre som en service, og man
bestemmer selv, hvilken bruger en given service skal køre under (der er nok
nogle services, som det er bedst man lader køre som LocalSystem eller en
Administrator, men Apache er ikke én af dem.)
--
Mvh. Jesper
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 15:47 |
|
"Jesper Nielsen" <jn@nielsenit.dk> wrote in message
news:9fnO8.42362$N46.1620472@news010.worldonline.dk...
> > Jeg har ikke skrevet ting om windows der ikke passer. Jeg mener ikke
> > apache til windows, kan køres som en speciel bruger og indtil videre
har
> > ingen givet mig svar på det.
>
> Det får du så nu.
> Apache til Windows kan sættes op til at køre som en service, og man
> bestemmer selv, hvilken bruger en given service skal køre under (der
er nok
> nogle services, som det er bedst man lader køre som LocalSystem eller
en
> Administrator, men Apache er ikke én af dem.)
Ok takker. Så må jeg sige at der ikke er den store sikkerhedmæssige
forskel på at køre apache under windows fremfor unix. Dog har du ikke
mulighed for at sætte httpd i jail?
mvh
db
| |
Dennis Jakobsen (14-06-2002)
| Kommentar
Fra : Dennis Jakobsen |
Dato : 14-06-02 16:21 |
|
Daniel Blankensteiner wrote:
>
> Ok takker. Så må jeg sige at der ikke er den store sikkerhedmæssige
> forskel på at køre apache under windows fremfor unix. Dog har du ikke
> mulighed for at sætte httpd i jail?
nej, men der er en grim performance forskel på 1.3.xx
en 2.0.36 ville være langt bedre under windows..
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 16:25 |
|
"Dennis Jakobsen" <brunis@[REM-SPAM]kolumbus.fi> wrote in message
news:aed1lh$6k8$1@phys-news1.kolumbus.fi...
> > Ok takker. Så må jeg sige at der ikke er den store sikkerhedmæssige
> > forskel på at køre apache under windows fremfor unix. Dog har du
ikke
> > mulighed for at sætte httpd i jail?
>
> nej, men der er en grim performance forskel på 1.3.xx
>
> en 2.0.36 ville være langt bedre under windows..
Jeg er ikke helt med på hvor du er henne. Snakker vi performance nu?
Fordi her tror (ved) jeg windows vil komme til kort.
mvh
db
| |
Kasper Dupont (15-06-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 15-06-02 00:33 |
|
Dennis Jakobsen wrote:
>
> Daniel Blankensteiner wrote:
> >
> > Ok takker. Så må jeg sige at der ikke er den store sikkerhedmæssige
> > forskel på at køre apache under windows fremfor unix. Dog har du ikke
> > mulighed for at sætte httpd i jail?
>
> nej, men der er en grim performance forskel på 1.3.xx
>
> en 2.0.36 ville være langt bedre under windows..
Ja, 2.0.x er vist meget mere effektiv på windows end 1.3.x
var. På Linux og Unix systemer gør det vist ingen forskel,
da 1.3.x allerede har en god performance på de systemer.
Men, hvis man går efter sikkerhed bør man nok holde sig
til 1.3.x et stykke tid endnu. Den har en god record, mens
2.0.x endnu ikke har haft tid nok til at bevise sin
sikkerhed.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Michael Wojciechowsk~ (15-06-2002)
| Kommentar
Fra : Michael Wojciechowsk~ |
Dato : 15-06-02 12:30 |
|
On Fri, 14 Jun 2002 13:24:08 +0200, Alex Holst <a@area51.dk> wrote:
|> Apache til Win32 er naesten det samme som Apache til UNIX. En XP
|> maskine der udelukkende koerer Apache kan vaere omtrent lige saa
|> sikker som en UNIX maskine der udelukkende koerer Apache.
Man kunne formode, at Apache til *nix og Windows er lige sikre.
Men kan det lade sig gøre, at lukke for _alle_ porte på en Windows[1]
maskine? Sidste gang jeg prøvede havde det fatale følger. Maskinen
hang ved logon.
Kan det passe, at visse services ikke kan standses, dvs. at man ikke
kan lave en konfiguration med 0 åbne porte?
Der skal lige siges, at jeg ikke normalt anvender Microsoft produkter,
og derfor ikke ved, om min argumentation holder ;(
På f.eks, en Linux maskine kan man fjerne alle de daemons der lytter
på netværket, og kun efterlade Apache der lytter på port 80.
Hvis man ikke kan lukke _alle_ porte på en Windows maskine, må en
*unix maskine derfor være mere sikker, da den har færre åbne porte, og
derfor færre services der kan findes sikkerhedshuller i.
[1] Windows 2000
--
/wojci at wojci dot dk
One must suffer before enlightenment.
| |
Jesper Nielsen (15-06-2002)
| Kommentar
Fra : Jesper Nielsen |
Dato : 15-06-02 14:24 |
|
> Hvis man ikke kan lukke _alle_ porte på en Windows maskine, må en
> *unix maskine derfor være mere sikker, da den har færre åbne porte, og
> derfor færre services der kan findes sikkerhedshuller i.
Du kan jo altid opsætte en firewall, der sørger for at lukke alle uønskede
porte udadtil. Og det er vel altid anbefalelsesværdigt, hvis man har
maskiner, der skal kunne tilgås fra nettet.
--
Mvh. Jesper
| |
Michael Wojciechowsk~ (15-06-2002)
| Kommentar
Fra : Michael Wojciechowsk~ |
Dato : 15-06-02 14:58 |
|
On Sat, 15 Jun 2002 15:24:26 +0200, Jesper Nielsen <jn@nielsenit.dk>
wrote:
|> Du kan jo altid opsætte en firewall, der sørger for at lukke alle
|> uønskede porte udadtil. Og det er vel altid anbefalelsesværdigt,
|> hvis man har maskiner, der skal kunne tilgås fra nettet.
Du mener altså, at det er hensigtsmæssigt at tilføre endnu et lag af
muligvis defekt software i stedet for at fjerne de daemons/services[1]
som kan have sikkerhedsfejl, og som ikke bruges, men f.eks. bliver
installeret pr. default i de fleste Linux distributioner[2].
Jeg er ikke enig :(
[1] f.eks. services kørt af *inetd
[2] f.eks. Redhat
--
/wojci at wojci dot dk
One must suffer before enlightenment.
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 23:18 |
|
Michael Wojciechowski skrev:
>> Jesper Nielsen wrote:
>>> Du kan jo altid opsætte en firewall, der sørger for at lukke alle
>>> uønskede porte udadtil. Og det er vel altid anbefalelsesværdigt,
>>> hvis man har maskiner, der skal kunne tilgås fra nettet.
> Du mener altså, at det er hensigtsmæssigt at tilføre endnu et lag af
> muligvis defekt software
Man installerer vel en firewall som er fra et velrennomeret firma på
sin egen box, f.eks. en PIX og hvad de populære mærke nu hedder?
Jeg tror ikke at Jesper mener en privat firewall som f.eks. Zone alarm.
Hvad gjorde du egentlig for at lukke alle porte på en W2K-server?
(umiddelbart kan jeg heller ikke se hvordan du kan gøre det, uden at
dræbe servicen på den brutale måde, hvis det er sket brutalt er det
da ok at W2K går ned).
Jeg synes at det lyder underligt at den skulle kunne gå ned over det.
Når jeg har eksperimenteret med det, har jeg været ude for at ting, som
jeg ikke troede var relateret til den service jeg stoppede, holdte op
med at virke.
Var du logget på som almindelig bruger eller som admin da du forsøgte?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Michael Wojciechowsk~ (16-06-2002)
| Kommentar
Fra : Michael Wojciechowsk~ |
Dato : 16-06-02 11:30 |
|
On Sun, 16 Jun 2002 00:17:33 +0200, Peder Vendelbo Mikkelsen
<pedervm@myrealbox.com> wrote:
|> Man installerer vel en firewall som er fra et velrennomeret firma
|> på sin egen box, f.eks. en PIX og hvad de populære mærke nu
|> hedder? Jeg tror ikke at Jesper mener en privat firewall som
|> f.eks. Zone alarm.
Det skrev han ikke noget om, og mine telepatiske evener fungerede ikke
i går ;)
|> Hvad gjorde du egentlig for at lukke alle porte på en W2K-server?
|> (umiddelbart kan jeg heller ikke se hvordan du kan gøre det, uden
|> at dræbe servicen på den brutale måde, hvis det er sket brutalt er
|> det da ok at W2K går ned).
Jeg fulgte en guide, der beskrev de forskellige services, og lukkede
alle dem jeg ikke følte at der var brug for. Det efterlod mig med
nogle få porte der var åbne(ifølge nmap). Det virkede fint.
Derefter lukkede jeg nogle flere. Maskinen hang ved login når jeg
rebootede. Jeg blev nødt til at starte op i rescue mode og rette i
registreringsdatabasen, så de services jeg har standet blev startet
igen. Derefter fungerede maskinen igen.
|> Jeg synes at det lyder underligt at den skulle kunne gå ned over
|> det. Når jeg har eksperimenteret med det, har jeg været ude for
|> at ting, som jeg ikke troede var relateret til den service jeg
|> stoppede, holdte op med at virke.
Jeg lagde også mærke til at visse services er afhængige af andre.
|> Var du logget på som almindelig bruger eller som admin da du
|> forsøgte?
Admin bruger. En normal bruger burde vel ikke have lov til at standse
services.
--
/wojci at wojci dot dk
One must suffer before enlightenment.
| |
Allan Olesen (16-06-2002)
| Kommentar
Fra : Allan Olesen |
Dato : 16-06-02 14:14 |
|
Michael Wojciechowski <wojci@wojci.dk> wrote:
>Det skrev han ikke noget om, og mine telepatiske evener fungerede ikke
>i går ;)
Selv uden telepatiske evner læste jeg udtrykket "opsætte en
firewall" som noget, der havde med et stykke hardware at gøre.
Software-firewalls installerer man først, og derefter sætter man
dem (måske) op.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Allan Olesen (15-06-2002)
| Kommentar
Fra : Allan Olesen |
Dato : 15-06-02 16:59 |
|
Alex Holst <a@area51.dk> wrote:
>Apache til Win32 er naesten det samme som Apache til UNIX. En XP maskine
>der udelukkende koerer Apache kan vaere omtrent lige saa sikker som en
>UNIX maskine der udelukkende koerer Apache.
Tilfældigvis var jeg inde på Unix-delen af www.securityfocus.com
for et par dage siden og slog Apache op i deres database over
sikkerhedsproblemer. Uf, hvor var der mange, og en del af dem gav
endda mulighed for at angriberen kunne køre kode på maskinen.
Så kiggede jeg mig lidt bedre for og opdagede, at listen dækkede
både Unix- og Windows-udgaverne af Apache - og sjovt nok var alle
de "farlige" problemer gennem det seneste halve år fundet i
Windows-udgaverne.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Kent Friis (20-06-2002)
| Kommentar
Fra : Kent Friis |
Dato : 20-06-02 17:26 |
|
Den Sat, 15 Jun 2002 17:58:39 +0200 skrev Allan Olesen:
>Alex Holst <a@area51.dk> wrote:
>
>>Apache til Win32 er naesten det samme som Apache til UNIX. En XP maskine
>>der udelukkende koerer Apache kan vaere omtrent lige saa sikker som en
>>UNIX maskine der udelukkende koerer Apache.
>
>Tilfældigvis var jeg inde på Unix-delen af www.securityfocus.com
>for et par dage siden og slog Apache op i deres database over
>sikkerhedsproblemer. Uf, hvor var der mange, og en del af dem gav
>endda mulighed for at angriberen kunne køre kode på maskinen.
>
>Så kiggede jeg mig lidt bedre for og opdagede, at listen dækkede
>både Unix- og Windows-udgaverne af Apache - og sjovt nok var alle
>de "farlige" problemer gennem det seneste halve år fundet i
>Windows-udgaverne.
Den nyeste (som er patchet i nyeste version) gjalt faktisk alle
versioner - forudsat exploit'en rent faktisk virkede.
Mvh
Kent
--
Running Windows on a Pentium is like having a brand new Porsche but only
be able to drive backwards with the handbrake on.
(Unknown source)
| |
Kasper Dupont (20-06-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 20-06-02 19:14 |
|
Kent Friis wrote:
>
> Den nyeste (som er patchet i nyeste version) gjalt faktisk alle
> versioner - forudsat exploit'en rent faktisk virkede.
Udfra det, jeg har læst, er det meget uklart, hvor alvorligt
problemet er. Det lyder som om, at problemet er værst på
Windows og 64bits platforme, mens andre 32bits systemer
skulle være mindre udsat. Men jeg kan bestemt ikke forstå,
hvorfor det skulle hænge sådan sammen. Desuden fremgår det
ikke klart, om man kun kan lave DoS attacks, eller om man
også kan få kontrol og serveren.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Alex Holst (20-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 20-06-02 19:25 |
|
Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Kent Friis wrote:
>>
>> Den nyeste (som er patchet i nyeste version) gjalt faktisk alle
>> versioner - forudsat exploit'en rent faktisk virkede.
>
> Udfra det, jeg har læst, er det meget uklart, hvor alvorligt
> problemet er. Det lyder som om, at problemet er værst på
> Windows og 64bits platforme, mens andre 32bits systemer
> skulle være mindre udsat. Men jeg kan bestemt ikke forstå,
> hvorfor det skulle hænge sådan sammen. Desuden fremgår det
> ikke klart, om man kun kan lave DoS attacks, eller om man
> også kan få kontrol og serveren.
GOBBLES har skrevet et exploit af chunked encoding fejlen til
forskellige versioner af Apache, baseret paa shellkode til OpenBSD 3.0
og 3.1:
http://online.securityfocus.com/archive/1/277830
Den giver shell adgang som den unpriviliged user Apache skifter UID til.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Kent Friis (20-06-2002)
| Kommentar
Fra : Kent Friis |
Dato : 20-06-02 20:34 |
|
Den Thu, 20 Jun 2002 20:25:19 +0200 skrev Alex Holst:
>Kasper Dupont <kasperd@daimi.au.dk> wrote:
>> Kent Friis wrote:
>>>
>>> Den nyeste (som er patchet i nyeste version) gjalt faktisk alle
>>> versioner - forudsat exploit'en rent faktisk virkede.
>>
>> Udfra det, jeg har læst, er det meget uklart, hvor alvorligt
>> problemet er. Det lyder som om, at problemet er værst på
>> Windows og 64bits platforme, mens andre 32bits systemer
>> skulle være mindre udsat. Men jeg kan bestemt ikke forstå,
>> hvorfor det skulle hænge sådan sammen. Desuden fremgår det
>> ikke klart, om man kun kan lave DoS attacks, eller om man
>> også kan få kontrol og serveren.
>
>GOBBLES har skrevet et exploit af chunked encoding fejlen til
>forskellige versioner af Apache, baseret paa shellkode til OpenBSD 3.0
>og 3.1:
>
> http://online.securityfocus.com/archive/1/277830
>
>Den giver shell adgang som den unpriviliged user Apache skifter UID til.
Hvad er det OpenBSD plejer at sige? Er det "No remote exploit", eller
"no remote root"?
Eller kan de as usual dække sig ind under "den service er ikke i en
standardkonfiguration"?
Mvh
Kent
--
What was your username?
<Clicketyclick> - B.O.F.H.
| |
Ole Michaelsen (21-06-2002)
| Kommentar
Fra : Ole Michaelsen |
Dato : 21-06-02 07:57 |
|
Alex Holst wrote:
>
> GOBBLES har skrevet et exploit af chunked encoding fejlen til
> forskellige versioner af Apache, baseret paa shellkode til OpenBSD 3.0
> og 3.1:
>
> http://online.securityfocus.com/archive/1/277830
>
> Den giver shell adgang som den unpriviliged user Apache skifter UID til.
Har du haft lejlighed til at proeve exploitet? Med hvilket resultat?
/Ole
| |
Alex Holst (21-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 21-06-02 12:54 |
|
Ole Michaelsen <omic+usenet4@fys.ku.dk> wrote:
> Alex Holst wrote:
>>
>> GOBBLES har skrevet et exploit af chunked encoding fejlen til
>> forskellige versioner af Apache, baseret paa shellkode til OpenBSD 3.0
>> og 3.1:
>>
>> http://online.securityfocus.com/archive/1/277830
>>
>> Den giver shell adgang som den unpriviliged user Apache skifter UID til.
>
> Har du haft lejlighed til at proeve exploitet? Med hvilket resultat?
En upatched Apache segfaulter, men ingen af de givne targets virker paa
mine maskiner, saa jeg bliver ikke droppet ud i en shell. En *patched*
Apache svarer 401 til klienten og segfaulter, hvilket bekymrer mig.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Alex Holst (21-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 21-06-02 13:17 |
|
Alex Holst <a@area51.dk> wrote:
> Ole Michaelsen <omic+usenet4@fys.ku.dk> wrote:
>> Har du haft lejlighed til at proeve exploitet? Med hvilket resultat?
>
> En upatched Apache segfaulter, men ingen af de givne targets virker paa
> mine maskiner, saa jeg bliver ikke droppet ud i en shell. En *patched*
> Apache svarer 401 til klienten og segfaulter, hvilket bekymrer mig.
Erhm, jeg opdager lige at det bruceforce forsoeg jeg satte i gang i
aftes blev afbrudt da nogen hensynsloest slukkede for min computer. Jeg
vender tilbage naar dette forsoege paa at bruteforce target imod en
upatched httpd paa OpenBSD er faerdigt.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Ole Michaelsen (21-06-2002)
| Kommentar
Fra : Ole Michaelsen |
Dato : 21-06-02 13:41 |
|
Alex Holst wrote:
>
> Erhm, jeg opdager lige at det bruceforce forsoeg jeg satte i gang i
> aftes blev afbrudt da nogen hensynsloest slukkede for min computer. Jeg
> vender tilbage naar dette forsoege paa at bruteforce target imod en
> upatched httpd paa OpenBSD er faerdigt.
Jeg har ingen OpenBSD-boks at proeve paa, men jeg fyrede den af mod en
Solarismaskine, og der segfaultede httpd ogsaa:
[Thu Jun 20 16:03:19 2002] [notice] child pid 6864 exit signal
Segmentation Fault (11)
[Thu Jun 20 16:03:19 2002] [notice] child pid 6863 exit signal
Segmentation Fault (11)
[Thu Jun 20 16:03:34 2002] [notice] child pid 6868 exit signal
Segmentation Fault (11)
[Thu Jun 20 16:03:34 2002] [notice] child pid 6867 exit signal
Segmentation Fault (11)
[Thu Jun 20 16:03:34 2002] [notice] child pid 6866 exit signal
Segmentation Fault (11)
[Thu Jun 20 16:03:34 2002] [notice] child pid 6865 exit signal
Segmentation Fault (11)
$
men httpd spawnede bare nye processer, saa der skete egentligt ikke
noget (slemt).
Jeg har endnu til gode (og jeg er meget interesseret) i at hoere om
nogen, der paa egen krop har oplevet at faa en shell paa
target-maskinen.
--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic
| |
Allan Olesen (20-06-2002)
| Kommentar
Fra : Allan Olesen |
Dato : 20-06-02 19:27 |
|
leeloo@phreaker.net (Kent Friis) wrote:
>Den nyeste (som er patchet i nyeste version) gjalt faktisk alle
>versioner - forudsat exploit'en rent faktisk virkede.
Du mener den fra den 17/6?
Det indlæg, du har besvaret, er fra den 15/6.
Den næste på listen (log entry spoofing) vil jeg nok ikke sætte i
den farligste kategori.
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Kent Friis (20-06-2002)
| Kommentar
Fra : Kent Friis |
Dato : 20-06-02 20:35 |
|
Den Thu, 20 Jun 2002 20:26:40 +0200 skrev Allan Olesen:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>Den nyeste (som er patchet i nyeste version) gjalt faktisk alle
>>versioner - forudsat exploit'en rent faktisk virkede.
>
>Du mener den fra den 17/6?
>
>Det indlæg, du har besvaret, er fra den 15/6.
Time changes everything
Mvh
Kent
--
Mails skrevet før 12:00 skal læses med det forbehold, at hjernen først
forventes at være færdig med at boote på det tidspunkt, og indholdet
derfor kan indeholde random data der tilfældigvis lå i den
uinitializerede cache.
| |
Peder Vendelbo Mikke~ (14-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 14-06-02 13:16 |
|
Daniel Blankensteiner skrev:
> Hvis du vil have sikkerhed, så er det nok ikke lige xp du skal køre.
> Tag hellere en BSD, eller Linux. Har kan du:
> Få en masse gratis sikkerhedsværktøjer
Er der en specifik funktionalitet du savner på windows-platformen?
(sniffer, scanner, kodeordsknækkere etc.)
> Configurer din server bedre (jeg har ikke prøvet at opsætte
> windows servere)
Hvordan dælen kan du så skrive det ovennævnte, når du ikke har prøvet?
Da KFC ikke kender til *nix, kan han sikkert opsætte *nix meget værre
end han kan opsætte en windows-maskine.
> Læse source-kode til alle dine programmer
Enig, det er en dejlig ting, hvis man forstår noget af hvad der står i
koden ellers er det ikke værdifuldt.
> Køre tjenester som specielle brugere
Det kan windows.
> Køre tjenester i jail (eller chroot i linux)
Jeg er aldrig faldet over noget lignende på windows. Hvad er forskellen
på at køre tjenester i jail i forhold til som en ordentlig opsat bruger
på en ordentlig opsat maskine?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 13:59 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aecuha.6c.2@mjoelner.aaks.aarhus.dk...
> Daniel Blankensteiner skrev:
>
> > Hvis du vil have sikkerhed, så er det nok ikke lige xp du skal køre.
> > Tag hellere en BSD, eller Linux. Har kan du:
> > Få en masse gratis sikkerhedsværktøjer
>
> Er der en specifik funktionalitet du savner på windows-platformen?
> (sniffer, scanner, kodeordsknækkere etc.)
At de er gratis.
> > Configurer din server bedre (jeg har ikke prøvet at opsætte
> > windows servere)
>
> Hvordan dælen kan du så skrive det ovennævnte, når du ikke har prøvet?
Se mit svar til alex om at køre apache som "nobody". Dog afventer svar
på om dette kan lade sig gøre.
> > Køre tjenester i jail (eller chroot i linux)
>
> Jeg er aldrig faldet over noget lignende på windows. Hvad er
forskellen
> på at køre tjenester i jail i forhold til som en ordentlig opsat
bruger
> på en ordentlig opsat maskine?
Hvis man er i jail, så har man ikke adgang til suid-root-programmer, som
kan udnyttes af en user-to-root exploit.
mvh
db
| |
Klaus Ellegaard (14-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 14-06-02 16:06 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>> > Hvis du vil have sikkerhed, så er det nok ikke lige xp du skal køre.
>> > Tag hellere en BSD, eller Linux. Har kan du:
>> > Få en masse gratis sikkerhedsværktøjer
>>
>> Er der en specifik funktionalitet du savner på windows-platformen?
>> (sniffer, scanner, kodeordsknækkere etc.)
>At de er gratis.
Så dit argument er, at *nix er sikrere, fordi sniffere er gratis?
>> > Configurer din server bedre (jeg har ikke prøvet at opsætte
>> > windows servere)
>>
>> Hvordan dælen kan du så skrive det ovennævnte, når du ikke har prøvet?
>Se mit svar til alex om at køre apache som "nobody". Dog afventer svar
>på om dette kan lade sig gøre.
Det fik du så at vide, at det kan man. Så røg det argument også.
>> > Køre tjenester i jail (eller chroot i linux)
>>
>> Jeg er aldrig faldet over noget lignende på windows. Hvad er
>forskellen
>> på at køre tjenester i jail i forhold til som en ordentlig opsat
>bruger
>> på en ordentlig opsat maskine?
>Hvis man er i jail, så har man ikke adgang til suid-root-programmer, som
>kan udnyttes af en user-to-root exploit.
Som Alex skrev: hvad er forskellen på dét og en ordentligt opsat
maskine?
Jeg synes, du løb tør for argumenter?
Mvh.
Klaus.
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 16:22 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aed0pk$fr$1@katie.ellegaard.dk...
> >> > Hvis du vil have sikkerhed, så er det nok ikke lige xp du skal
køre.
> >> > Tag hellere en BSD, eller Linux. Har kan du:
> >> > Få en masse gratis sikkerhedsværktøjer
> >>
> >> Er der en specifik funktionalitet du savner på windows-platformen?
> >> (sniffer, scanner, kodeordsknækkere etc.)
>
> >At de er gratis.
>
> Så dit argument er, at *nix er sikrere, fordi sniffere er gratis?
Hvor kommer den fra? Jeg skriver at du har en masse gratis
sikkerhedsværktøjer, så som tripwire, snort o.s.v..
> >Se mit svar til alex om at køre apache som "nobody". Dog afventer
svar
> >på om dette kan lade sig gøre.
>
> Det fik du så at vide, at det kan man. Så røg det argument også.
Nej det gøre den ikke. Mon ikke der findes flere tjenester, der kan
køres som specielle brugere i unix end i windows?
> >Hvis man er i jail, så har man ikke adgang til suid-root-programmer,
som
> >kan udnyttes af en user-to-root exploit.
>
> Som Alex skrev: hvad er forskellen på dét og en ordentligt opsat
> maskine?
Et jail giver person færre rettigheder, samt lukker personen inde i et
bestemt dir.
> Jeg synes, du løb tør for argumenter?
*G* Synes du det? Jeg kan komme med mange argumenter hvorfor Unix er
bedre end windows, mht sikkerhed.
Jeg skrev faktisk en opgave (HHX, tredje år, SSO) om dette enme.
db
| |
Klaus Ellegaard (14-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 14-06-02 22:30 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>*G* Synes du det? Jeg kan komme med mange argumenter hvorfor Unix er
>bedre end windows, mht sikkerhed.
Man kan også udmærket argumentere for, at kloden er flad. Jeg vil
se dokumentation.
Så medmindre du kan dokumentere din påstand om, at Unix er
sikkerhedsmæssigt bedre, vil jeg afskrive det som mangel på
forståelse for it-sikkerhed.
>Jeg skrev faktisk en opgave (HHX, tredje år, SSO) om dette enme.
Ja, det bliver det jo ikke ligefrem bedre af...
Mvh.
Klaus.
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 23:11 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aedn9i$7iu$1@katie.ellegaard.dk...
> >*G* Synes du det? Jeg kan komme med mange argumenter hvorfor Unix er
> >bedre end windows, mht sikkerhed.
>
> Man kan også udmærket argumentere for, at kloden er flad. Jeg vil
> se dokumentation.
>
> Så medmindre du kan dokumentere din påstand om, at Unix er
> sikkerhedsmæssigt bedre, vil jeg afskrive det som mangel på
> forståelse for it-sikkerhed.
Afskriv du bare. Har du nogen sinde hørt en sikkerhed expert udtale sig
om at windows er mere sikkert end unix?
Vi kan se på antal remote-to-"root" exploits, samt hvor hurtigt de
bliver lukket (fixed).
Derefter kan vi se på mulighederne for at begrænse skaden, ved fx at
lade tjenester køre i jail og som en speciel bruger.
Taler vi default installationer/opsætninger, så taber windows da med et
brag.
Men du vil se dokumentation? Hvis du tager en søger på www.google.com
finder du nok alt det dokumentation du vil have, og hvis du finder en
tekst der siger windows er mere sikkert, må du er poste den!
Jeg siger ikke at windows ikke kan blive "sikkert", men bare at en unix
maskine kan gøres mere sikker end windows.
mvh
db
| |
Klaus Ellegaard (14-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 14-06-02 23:48 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>Men du vil se dokumentation? Hvis du tager en søger på www.google.com
>finder du nok alt det dokumentation du vil have,
Nu var det dig, der skrev, at Unix er mere sikkert. Altså er det også
dig, der skal dokumentere det.
>Jeg siger ikke at windows ikke kan blive "sikkert", men bare at en unix
>maskine kan gøres mere sikker end windows.
Det ser jeg frem til dokumentation på.
Mvh.
Klaus.
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 23:57 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aedrqb$946$1@katie.ellegaard.dk...
> >Men du vil se dokumentation? Hvis du tager en søger på www.google.com
> >finder du nok alt det dokumentation du vil have,
>
> Nu var det dig, der skrev, at Unix er mere sikkert. Altså er det også
> dig, der skal dokumentere det.
Gerne, hvis jeg havde tid og lyst.
jail()
setuid()
Desuden TROR jeg helt sikkert også at flere tjenester kører som
ikke-root under unix, end under windows.
mvh
db
| |
Klaus Ellegaard (15-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 15-06-02 09:38 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>Gerne, hvis jeg havde tid og lyst.
>jail()
>setuid()
>Desuden TROR jeg helt sikkert også at flere tjenester kører som
>ikke-root under unix, end under windows.
Kan du dokumentere, at ovenstående gør velopsatte servere mere eller
mindre sikre?
Mvh.
Klaus.
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 11:27 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aeeud4$jgs$1@katie.ellegaard.dk...
> >Gerne, hvis jeg havde tid og lyst.
> >jail()
> >setuid()
> >Desuden TROR jeg helt sikkert også at flere tjenester kører som
> >ikke-root under unix, end under windows.
>
> Kan du dokumentere, at ovenstående gør velopsatte servere mere eller
> mindre sikre?
Jeg gider ikke bruge min tid på at overbevise dig. Hvis du gerne vil tro
at windows er mere sikkert så *be my guest*. Når du engang gider bruge
din tid på at undersøge ovenstående funktioner, finder du nok selv ud af
det.
mvh
db
| |
Klaus Ellegaard (15-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 15-06-02 11:37 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>> Kan du dokumentere, at ovenstående gør velopsatte servere mere eller
>> mindre sikre?
>Jeg gider ikke bruge min tid på at overbevise dig. Hvis du gerne vil tro
>at windows er mere sikkert så *be my guest*.
Det vil jeg ikke. Faktisk tror jeg, det forholder sig, som du
påstår. Men at gå ud og sige "Unix er mere sikkert end Windows"
er direkte forkert.
Er en vilkårlig installation af en vilkårlig *nix udført af en
newbie altid mere sikker end Windows? Det må jo være din
holdning, for du bad en Windows-gut om at installere Linux
eller lignende. Næppe noget han har styr på (uden at det skal
være en kritik af den oprindelige spørger på nogen måde). Du
siger alligevel, at hans installation af *nix vil være bedre
rent sikkerhedsmæssigt end hans Windows XP-installation.
Jeg tillader mig derofr at tvivle på, at du har tænkt ret meget
over det svar og de konsekvenser, det kan risikere at få.
>Når du engang gider bruge din tid på at undersøge ovenstående
>funktioner, finder du nok selv ud af det.
Ud fra forudsætningerne i tråden er det at bruge jail det samme
som at sige, at ens system er sikkerhedsmæssigt defekt. Hvorfor
skulle det ellers være nødvendigt at bruge det? "Livrem og seler"
er ikke engang et godt argument her - det gør løsningen langt
mere kompliceret rent sikkerhedsmæssigt, uden at det egentlig
tilføjer noget nyttigt. Det er noget af det rigtigt grimme at
udsætte en sikkerhedspolitik for.
Jeg mener derfor, at argumenterne ud fra forudsætningerne (og
dermed hele dit svar) er decideret forkerte.
Mvh.
Klaus.
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 12:02 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aef5c7$lej$1@katie.ellegaard.dk...
> Det vil jeg ikke. Faktisk tror jeg, det forholder sig, som du
> påstår. Men at gå ud og sige "Unix er mere sikkert end Windows"
> er direkte forkert.
>
> Er en vilkårlig installation af en vilkårlig *nix udført af en
> newbie altid mere sikker end Windows?
Som jeg skrev tidligere, så opdelte jeg i min SSO windows og unix i
bruger og server systemer. Her "vandt" windows i bruger version
afdelingen.
>Det må jo være din
> holdning, for du bad en Windows-gut om at installere Linux
> eller lignende. Næppe noget han har styr på (uden at det skal
> være en kritik af den oprindelige spørger på nogen måde). Du
> siger alligevel, at hans installation af *nix vil være bedre
> rent sikkerhedsmæssigt end hans Windows XP-installation.
Ok, det var en fejl af mig, unix er ikke bare automatisk mere sikkert en
windows, du skal naturligvis har styr på netværk, unix og sikkerhed.
mvh
db
| |
Thomas (15-06-2002)
| Kommentar
Fra : Thomas |
Dato : 15-06-02 11:40 |
|
Daniel Blankensteiner wrote:
> "Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
> news:aeeud4$jgs$1@katie.ellegaard.dk...
>> >Gerne, hvis jeg havde tid og lyst.
>> >jail()
>> >setuid()
>> >Desuden TROR jeg helt sikkert også at flere tjenester kører som
>> >ikke-root under unix, end under windows.
>>
>> Kan du dokumentere, at ovenstående gør velopsatte servere mere eller
>> mindre sikre?
>
> Jeg gider ikke bruge min tid på at overbevise dig. Hvis du gerne vil tro
> at windows er mere sikkert så *be my guest*.
Jeg kan ikke se at Klaus mener det ene eller det andet. Blot at han
efterlyser noget dokumentation der underbygger din påstand.
> Når du engang gider bruge din tid på at undersøge ovenstående
> funktioner, finder du nok selv ud af det.
Tror ikke du skal være bekymret for at Klaus's mangler kendskab til de
funktioner.
--
Don't waste space
| |
Christian E. Lysel (15-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 15-06-02 12:58 |
|
Daniel Blankensteiner wrote:
> Jeg gider ikke bruge min tid på at overbevise dig. Hvis du gerne vil tro
> at windows er mere sikkert så *be my guest*. Når du engang gider bruge
> din tid på at undersøge ovenstående funktioner, finder du nok selv ud af
> det.
Jeg synes at mainframes er mere sikre.
For 20 år siden sagde mainframe folkene det samme om UNIX som UNIX
folkene nu siger om Windows. Hvorfor gentager historien sig? :)
Det er nemt at finde eksempler hvor UNIX er hullet som en si i forhold
til Windows, kik fx på SGI's IRIX
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 13:22 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
message news:3D0B2BE3.1070300@example.net...
> Daniel Blankensteiner wrote:
> > Jeg gider ikke bruge min tid på at overbevise dig. Hvis du gerne vil
tro
> > at windows er mere sikkert så *be my guest*. Når du engang gider
bruge
> > din tid på at undersøge ovenstående funktioner, finder du nok selv
ud af
> > det.
>
> Jeg synes at mainframes er mere sikre.
>
> For 20 år siden sagde mainframe folkene det samme om UNIX som UNIX
> folkene nu siger om Windows. Hvorfor gentager historien sig? :)
SVJV kørte de fleste mainframes unix.
> Det er nemt at finde eksempler hvor UNIX er hullet som en si i forhold
> til Windows, kik fx på SGI's IRIX
Ja, jeg kan jo ikke tale for hele unix siden. Jeg har prøvet Linux og
BSD, og bruger FreeBSD så det er dem jeg kan diskutere ud for.
Og som en sidste ting vil jeg gerne understrege hvor skuffende det er at
være bagud 0-3.
mvh
db
| |
Christian E. Lysel (15-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 15-06-02 13:30 |
|
Daniel Blankensteiner wrote:
> SVJV kørte de fleste mainframes unix.
Ikke enig, du kan få mange UNIX'er til mainframes, men jeg betragter
ikke IBM's z/OS MVS/ESA (OS/390), VM/ESA og VSE/ESA som UNIX operativ
systemer.
Se endvidere, http://www.mainframes.com/whatis.htm
> Og som en sidste ting vil jeg gerne understrege hvor skuffende det er at
> være bagud 0-3.
Snakker vi nu om fodbold eller sikkerhed?
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 23:24 |
| | |
Klaus Ellegaard (15-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 15-06-02 13:40 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>> For 20 år siden sagde mainframe folkene det samme om UNIX som UNIX
>> folkene nu siger om Windows. Hvorfor gentager historien sig? :)
>SVJV kørte de fleste mainframes unix.
Nej, de kørte MVS eller en lignende platform. Nogle havde/har
også en VM med noget, der ofte var en dårlig undskyldning for
Unix[1]. Det er blevet klart bedre nu.
I dag er det typisk gamle MVS/ESA-dino'er, der kører videre,
eller nye, Linux-baserede mainframes i miniudgaver.
Mvh.
Klaus.
[1] Såsom Amdahl UTS. Føj for en omgang skrot!
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 14:40 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
message news:3D0B2BE3.1070300@example.net...
> Det er nemt at finde eksempler hvor UNIX er hullet som en si i forhold
> til Windows, kik fx på SGI's IRIX
Sjovt du lige skulle nævne IRIX, da den ligger en "klasse" over NT:
http://www.radium.ncsc.mil/tpep/epl/epl-by-class.html
mvh
db
| |
Christian E. Lysel (15-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 15-06-02 14:59 |
|
Daniel Blankensteiner wrote:
> Sjovt du lige skulle nævne IRIX, da den ligger en "klasse" over NT:
> http://www.radium.ncsc.mil/tpep/epl/epl-by-class.html
Du mener vel, Silicon Graphics Inc. Trusted IRIX/B release 4.0.5EPL,
dette er en speciel udgave af IRIX, på samme måde som du kan få Trusted
Solaris. Endvidere er IRIX oppe i version 6.5.
Jeg vil ikke sammenligne Trusted IRIX og IRIX.
Det jeg snakkede om var http://www.sgi.com/support/security/advisories.html
Selv firewallen til SGI har haft sine problemer,
ftp://patches.sgi.com/support/free/security/advisories/20011104-01-I/
| |
Klaus Ellegaard (15-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 15-06-02 21:21 |
| | |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 21:28 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aeg7ir$ust$1@katie.ellegaard.dk...
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
>
> >Sjovt du lige skulle nævne IRIX, da den ligger en "klasse" over NT:
> > http://www.radium.ncsc.mil/tpep/epl/epl-by-class.html
>
> Har du undersøgt, om NT er B2-testet?
Nej, hvorfor skulle jeg dog gøre det, når siden fint fortæller at NT er
C2.
mvh
db
| |
Klaus Ellegaard (15-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 15-06-02 21:28 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>> Har du undersøgt, om NT er B2-testet?
>Nej, hvorfor skulle jeg dog gøre det, når siden fint fortæller at NT er
>C2.
Det betyder ikke nødvendigvis, at den ikke er B2-certificerbar.
Mvh.
Klaus.
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 21:34 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aeg80d$vf2$1@katie.ellegaard.dk...
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
>
> >> Har du undersøgt, om NT er B2-testet?
>
> >Nej, hvorfor skulle jeg dog gøre det, når siden fint fortæller at NT
er
> >C2.
>
> Det betyder ikke nødvendigvis, at den ikke er B2-certificerbar.
Hvis den var det, vil den nok stå under B2. Det er jo ligemeget hvad jeg
kommer med så, du vil altid kunne sige "hvem siger at bla bla bla" og du
kan altid finde noget på nettet der siger at jorden er flad, men vi ved
alle godt den er rund. Nu har jeg længe nok argumenteret for at unix er
mere sikkert, nu vil jeg godt høre bare en god grund for at windows er
mere sikkert. Jeg går udfra at de personer der har råbt op om
dokumentation ikke bare ville spilde min tid og synes det var sjovt at
se om jeg kunne finde noget på nettet om det, men at de virkelig tror at
Windows og Unix er lige sikkert.
mvh
db
| |
Klaus Ellegaard (15-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 15-06-02 21:43 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>> Det betyder ikke nødvendigvis, at den ikke er B2-certificerbar.
>Hvis den var det, vil den nok stå under B2.
Nej, ikke nødvendigvis. TTAP tester kun (op til) det niveau, som
leverandøren mener, at produktet lever op til.
Mvh.
Klaus.
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 23:38 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aeg8t1$vgo$1@katie.ellegaard.dk...
> >Hvis den var det, vil den nok stå under B2.
>
> Nej, ikke nødvendigvis. TTAP tester kun (op til) det niveau, som
> leverandøren mener, at produktet lever op til.
Hvis MS troede på at windows nt kunne klare et højere niveau, så vil de
nok lade sig teste.
mvh
db
| |
Klaus Ellegaard (15-06-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 15-06-02 23:46 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
>Hvis MS troede på at windows nt kunne klare et højere niveau, så vil de
>nok lade sig teste.
Det er ikke altid tilfældet.
På samme måde som mange nødstrømsanlæg ikke har problemer med at lave
yderst stabil strøm, men som alligevel ikke må bruges i hospitaler og
lignende. Ikke fordi de ikke kan, men fordi producenten enten ikke er
interesseret i markedet eller ønsker at sælge en anden type produkter
til dette marked.
Eller den klassiske: hastighedsgrænsen på motorveje er 110 km/t. Det
betyder, at der ikke findes en eneste bil, der kan køre mere end 110
km/t. For så havde man naturligvis ændret hastighedsgrænsen.
Mvh.
Klaus.
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 23:50 |
|
"Klaus Ellegaard" <klaus@ellegaard.dk> wrote in message
news:aegg3u$23k$1@katie.ellegaard.dk...
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
>
> >Hvis MS troede på at windows nt kunne klare et højere niveau, så vil
de
> >nok lade sig teste.
>
> Det er ikke altid tilfældet.
Det lyder lidt ulogisk i mine ører. Men det er også ligemeget....
mvh
db
| |
Peder Vendelbo Mikke~ (16-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 16-06-02 01:49 |
|
Daniel Blankensteiner skrev:
> men at de virkelig tror at Windows og Unix er lige sikkert.
I øvrigt, linket du sendte til NCSC websiden: websiden er ikke op-
dateret siden 27. marts 2000. Det er nok på grund af at man bruger
Common Criteria idag.
W2K er ved at blive testet efter Common Criteria:
<URL: http://microsoft.com/technet/security/prodtech/secureev.asp >
Udmærket dokument, hvor der er en liste over hvilke .dll filer der
tilhører hvilke services og beskrivelse af hvad hver service gør.
Testen er åbenbart ikke færdig, for jeg kan ikke finde Microsoft på:
<URL: www.commoncriteria.org >
Til gengæld kan den findes på:
<URL: http://niap.nist.gov/cc-scheme/InEvaluation.html >
Med denne kommentar: "Assurance Level: EAL4 Augmented with ALC_FLR
Flaw Remediation". Fra side 75 i:
<URL: http://niap.nist.gov/cc-scheme/PPentries/CCEVS-010002-PPSLOSMRVer1_22.pdf >
"6.5.2 Flaw Remediation (ALC_FLR)
ALC_FLR.2.1D The developer shall document the flaw remediation
procedures.
ALC_FLR.2.2D The developer shall establish a procedure for accepting
and acting upon user reports of security flaws and requests for
corrections to those flaws.
ALC_FLR.2.1C The flaw remediation procedures documentation shall
describe the procedures used to track all reported security flaws in
each release of the TOE.
ALC_FLR.2.2C The flaw remediation procedures shall require that a
description of the nature and effect of each security flaw be provided,
as well as the status of finding a correction to that flaw.
ALC_FLR.2.3C The flaw remediation procedures shall require that
corrective actions be identified for each of the security flaws.
ALC_FLR.2.4C The flaw remediation procedures documentation shall
describe the methods used to provide flaw information, corrections and
guidance on corrective actions to TOE users.
ALC_FLR.2.5C The procedures for processing reported security flaws
shall ensure that any reported flaws are corrected and the correction
issued to TOE users.
ALC_FLR.2.6C The procedures for processing reported security flaws
shall provide safeguards that any corrections to these security flaws
do not introduce any new flaws.
ALC_FLR.2.1E The evaluator shall confirm that the information provided
meets all requirements for content and presentation of evidence."
Jeg kan ikke finde noget om hvilken af ovennævnte W2K overtræder, men
det kan måske forklare hvor MS ikke bryder sig om fuld offentlighed om
sikkerheds-"issues".
EAL1 er laveste niveau af sikkerhed, EAL4 er det højeste.
Listen over validerede produkter kan ses her:
<URL: http://niap.nist.gov/cc-scheme/ValidatedProducts.html >
Listen over produkter som er til test:
<URL: http://niap.nist.gov/cc-scheme/InEvaluation.html >
IRIX 6.5.13 er valideret til EAL3:
<URL: http://niap.nist.gov/cc-scheme/CCentries/CCEVS-CC-VID401-SGI_IRIX.html >
"CANDIDATE CLASS:
EAL3"
IRIX 6.5.13 trusted:
<URL: http://niap.nist.gov/cc-scheme/CCentries/CCEVS-CC-VID403-SGI_TrustedIRIX.html >
"CANDIDATE CLASS:
EAL3, Augmented with ADV_SPM.1"
Jeg kan huske at have læst kritik af Common Criteria, men kan ikke fin-
de URLen.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Jakob Bork (15-06-2002)
| Kommentar
Fra : Jakob Bork |
Dato : 15-06-02 00:04 |
| | |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 00:13 |
|
"Jakob Bork" <bork@adslhome.dk> wrote in message
news:3d0a767f$0$78752$edfadb0f@dspool01.news.tele.dk...
> > Men du vil se dokumentation? Hvis du tager en søger på
www.google.com
> > finder du nok alt det dokumentation du vil have, og hvis du finder
en
> > tekst der siger windows er mere sikkert, må du er poste den!
>
>
http://techupdate.zdnet.com/techupdate/stories/main/0,14179,2868851,00.h
tml
>
> Fundet ved at søge på ovennævnte søgemaskine...
Det handler bare om closed-source vs open-source. De argumentere ud fra
den tankegang, at hvis crackeren har sourcekode, så kan han lettere
finde huller i den. Men der bliver ikke fundet flere huller i de fleste
unix base systemer, end i windows, tværtimod.
mvh
db
| |
Kasper Dupont (15-06-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 15-06-02 00:39 |
|
Daniel Blankensteiner wrote:
>
> Det handler bare om closed-source vs open-source. De argumentere ud fra
> den tankegang, at hvis crackeren har sourcekode, så kan han lettere
> finde huller i den. Men der bliver ikke fundet flere huller i de fleste
> unix base systemer, end i windows, tværtimod.
Jeg læste faktisk i dag (dvs. i går) i Ingeniøren, at Micro$oft har
måttet indrømme, at der er så mange fejl i deres kode, at det ville
være en katastrofe, hvis sourcen blev offentliggjort.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 01:01 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3D0A7E9D.7EA626C7@daimi.au.dk...
> > Det handler bare om closed-source vs open-source. De argumentere ud
fra
> > den tankegang, at hvis crackeren har sourcekode, så kan han lettere
> > finde huller i den. Men der bliver ikke fundet flere huller i de
fleste
> > unix base systemer, end i windows, tværtimod.
>
> Jeg læste faktisk i dag (dvs. i går) i Ingeniøren, at Micro$oft har
> måttet indrømme, at der er så mange fejl i deres kode, at det ville
> være en katastrofe, hvis sourcen blev offentliggjort.
Jeg vil gerne lige understrege at jeg intet har imod MS/windows. Som I
måske kan se, bruger jeg selv Windows XP sammen med FreeBSD, og til
samtlig venner, familie og bekendte som skal bruge en computer til spil,
surfing, regneark, tekstbehandling o.s.v anbefaler jeg også windows xp.
Men mht til performance, stabilitet og sikkerhed (hovedpunkterne for en
server) kan det vel ikke komme bag på nogen at windows halter lidt
bagud. Performance er bevist, eftersom ingen vil anbefale windows til
meget krævende opgave som fx verden mest besøgte hjemmeside eller
verdens mest brugte ftp server (de kører FreeBSD). Selv MS bruger
FreeBSD til deres high-end servere.
Stabilitet kender vi vist alle sammen til, Blue Screen of death? Windows
har ikke en god "uptime".
Sikkerhed er et problem for windows, da de som default vil tilbyde så
meget som muligt og alt skal være så let som muligt. Windows er et meget
lukket og complext system, og det kan ikke give andet en
sikkerhedsmæssige problemer. Men de arbejder da på problemet, men det er
absolut ikke på det område windows henter point.
mvh
db
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 09:07 |
|
Daniel Blankensteiner skrev:
> Som I måske kan se, bruger jeg selv Windows XP
Pro eller Home?
> Selv MS bruger FreeBSD til deres high-end servere.
Er det ikke kun til Hotmail? (til at afvikle databaserne, såvidt jeg
lige husker)
> Stabilitet kender vi vist alle sammen til,
Ja, den er fin. Hvis serveren er ordentlig opsat og vedligeholdt.
> Blue Screen of death?
Hvis man holder sig til hardware som er på HCL og lader være med at
bruge beta-drivere sker det ret sjældent. Sidste gang jeg så en BSOD,
for 2 måneder siden, var da en processor viste sig at være fejlbehæf-
tet.
> Windows har ikke en god "uptime".
Hvor mange måneder er en god "uptime"?
Er "uptime" vigtigere, end at maskinen bliver vedligeholdt med nødven-
dige rettelser som kræver genstart af maskinen?
> Sikkerhed er et problem for windows, da de som default vil tilbyde så
> meget som muligt og alt skal være så let som muligt.
Ja, det er et problem hvis en inkompetent person håndterer serveren.
Det ville klæde dig hvis du dokumenterer dine påstande, alternativ und-
lader at påstå noget som du ikke ved noget om.
Jeg håndterer en stor håndfuld windows servere hver dag, det er ikke
noget problem at få NT eller W2K til at køre stabilt.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 11:39 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aef4un.lo.3@mjoelner.aaks.aarhus.dk...
> Daniel Blankensteiner skrev:
>
> > Som I måske kan se, bruger jeg selv Windows XP
>
> Pro eller Home?
Pro
> > Selv MS bruger FreeBSD til deres high-end servere.
>
> Er det ikke kun til Hotmail? (til at afvikle databaserne, såvidt jeg
> lige husker)
De brugte både FreeBSD til hotmail og microsoft.com, men de har
udskiftet til NT på de fleste af dem nu.
> > Windows har ikke en god "uptime".
>
> Hvor mange måneder er en god "uptime"?
Der findes en side på nettet (kan ikke huske adressen), der viser en
liste over serverne med den bedste "uptime". Jeg har aldrig set windows
på den liste og nogle af de unix'er der står på den har kørt i over et
år. Jeg har selv kørt med windows 2000 og det gør min skole og flere af
mine venner også. Godt nok går den ikke ned så tit, men det er ikke en
overraskelse når den så gør det.
> Er "uptime" vigtigere, end at maskinen bliver vedligeholdt med nødven-
> dige rettelser som kræver genstart af maskinen?
Helt sikkert ikke, men windows skal jo genstart bare man rykker med
musen (overdrivelse fremmer forståelsen).
> > Sikkerhed er et problem for windows, da de som default vil tilbyde
så
> > meget som muligt og alt skal være så let som muligt.
>
> Ja, det er et problem hvis en inkompetent person håndterer serveren.
Ja, administratoren er den vigtigst brik mht sikkerhed.
> Det ville klæde dig hvis du dokumenterer dine påstande, alternativ
und-
> lader at påstå noget som du ikke ved noget om.
Hvis du mener at jeg selv skal opsætte unix og nt servere of lave tests,
så har jeg hverken tid, hardware eller lyst til det. Men jeg fandt en
side:
http://people.freebsd.org/~murray/bsd_flier.html
Desuden kan jeg ikke forstå at I beskytter windows sådan, ms selv påstår
jo ikke engang at windows er mere stabilt, sikkerhed eller har en bedre
performance end unix.
mvh
db
| |
Asbjorn Hojmark (15-06-2002)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 15-06-02 17:25 |
|
On Sat, 15 Jun 2002 12:38:51 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
> De brugte både FreeBSD til hotmail og microsoft.com,
Jeg kan ikke mindes at være stødt på en ikke-NT/2K server, når
jeg har checket. Ligeledes har det mig bekendt aldrig indgået i
deres beskrivelser af deres setup. Hvornår mener du, de har brugt
FreeBSD til microsoft.com, og til hvilke dele af sitet?
-A
--
http://www.hojmark.org/
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 18:03 |
|
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:jcqmgu07q6816vqs86179kfcf29g214nut@news.worldonline.dk...
> > De brugte både FreeBSD til hotmail og microsoft.com,
>
> Jeg kan ikke mindes at være stødt på en ikke-NT/2K server, når
> jeg har checket.
Du checker tit samtlige microsofts servere?
> Ligeledes har det mig bekendt aldrig indgået i
> deres beskrivelser af deres setup. Hvornår mener du, de har brugt
> FreeBSD til microsoft.com, og til hvilke dele af sitet?
Fra http://www.freebsd.org/gallery/cgallery.html
Hotmail.com -- Hotmail FreeMail Service. FreeBSD powered web servers and
mail servers.
Mht microsoft.com må du skrive og spørge dem.
mvh
db
| |
Peter Brodersen (15-06-2002)
| Kommentar
Fra : Peter Brodersen |
Dato : 15-06-02 18:12 |
|
On Sat, 15 Jun 2002 19:03:25 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
>Du checker tit samtlige microsofts servere?
Mange gør, for det ville være en god historie, hvis det kørte noget
andet. Og du kan roligt regne med at der ville blive råbt højt og
bredt om en sådan historie.
>Mht microsoft.com må du skrive og spørge dem.
Nej, Daniel - hvornår lærer du, at hvis man kommer med en påstand må
man altså også dokumentere den.
Du har påstået, at microsoft.com har brugt FreeBSD. Find en reference,
eller træk din påstand tilbage.
--
- Peter Brodersen
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 18:52 |
|
"Peter Brodersen" <usenet@ter.dk> wrote in message
news:wzKO8.54794$N46.1791504@news010.worldonline.dk...
> On Sat, 15 Jun 2002 19:03:25 +0200, "Daniel Blankensteiner"
> <db@traceroute.dk> wrote:
>
> >Du checker tit samtlige microsofts servere?
>
> Mange gør, for det ville være en god historie, hvis det kørte noget
> andet. Og du kan roligt regne med at der ville blive råbt højt og
> bredt om en sådan historie.
Ja og det er almen kendt i FreeBSD verden at hotmail kører/kørte med
FreeBSD.
> >Mht microsoft.com må du skrive og spørge dem.
>
> Nej, Daniel - hvornår lærer du, at hvis man kommer med en påstand må
> man altså også dokumentere den.
>
> Du har påstået, at microsoft.com har brugt FreeBSD. Find en reference,
> eller træk din påstand tilbage.
Jamen for ***, det er sgu da ikke en stor hemmelighed, istedet for at
jeg skal dokumentere alt (snart skal jeg vel sende en kopi af min
dåbsattest, for at I tror på jeg hedder Daniel), så prøv selv at søge på
www.google.com:
http://www.microsoft.com/windows2000/server/evaluation/casestudies/hotma
il.asp
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodt
echnol/windows2000serv/case/hotmail/hotop.asp
http://www.bsdtoday.com/2000/August/Newswire244.html
http://www.freebsd-corp-net-guide.com/rejrev/pref-1.html
Jeg har også henvist til http://www.freebsd.org/gallery/cgallery.html,
men det er vel ikke godt nok. Skal jeg skrive til Bill Gates og få ham
til at sende en post herind før I tror på det?
h
db
| |
Peter Brodersen (15-06-2002)
| Kommentar
Fra : Peter Brodersen |
Dato : 15-06-02 19:00 |
|
On Sat, 15 Jun 2002 19:51:40 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
>> >Mht microsoft.com må du skrive og spørge dem.
[..]
>Jamen for ***, det er sgu da ikke en stor hemmelighed, istedet for at
>jeg skal dokumentere alt (snart skal jeg vel sende en kopi af min
>dåbsattest, for at I tror på jeg hedder Daniel), så prøv selv at søge på
> www.google.com:
Jeg har da søgt, uden at få noget resultat. Jeg har også kigget på de
URL's, du har givet, og der står altså stadigvæk ikke at microsoft.com
skulle have kørt på FreeBSD.
Jeg prøver så igen. Forhold dig til dette spørgsmål, og intet andet:
Hvor står der at microsoft.com har kørt FreeBSD?
--
- Peter Brodersen
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 19:20 |
|
"Peter Brodersen" <usenet@ter.dk> wrote in message
news:ygLO8.55180$N46.1796197@news010.worldonline.dk...
> Jeg har da søgt, uden at få noget resultat. Jeg har også kigget på de
> URL's, du har givet, og der står altså stadigvæk ikke at microsoft.com
> skulle have kørt på FreeBSD.
>
> Jeg prøver så igen. Forhold dig til dette spørgsmål, og intet andet:
> Hvor står der at microsoft.com har kørt FreeBSD?
Nej, jeg har brugt nok at min tid på at fise rundt på google efter ting
jeg har læst for 2 år siden, bare fordi I ikke tror på mig. Jeg
indrømmer at jeg måske har læst fx "Microsoft Hotmail use FreeBSD bla
bla bla" som at det både er microsoft.com og hotmail.com, dette tror jeg
nu ikke er tilfældet. Men det er egentlig også ligemeget, pointen var at
microsoft har brugt FreeBSD og det har jeg bevist!
mvh
db
| |
Lasse Reichstein Nie~ (15-06-2002)
| Kommentar
Fra : Lasse Reichstein Nie~ |
Dato : 15-06-02 17:33 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
> pointen var at
> microsoft har brugt FreeBSD og det har jeg bevist!
Det er rigtigt at Hotmail kørte på FreeBSD-maskiner da Microsoft købte
dem. Microsoft har siden skiftet Hotmail.com til Win2000 servere (jvf. det
link du selv gav,
<URL: http://www.microsoft.com/windows2000/server/evaluation/casestudies/hotmail.asp>).
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgment merely degrades the spirit divine.'
| |
DUdsen (15-06-2002)
| Kommentar
Fra : DUdsen |
Dato : 15-06-02 20:16 |
|
Lasse Reichstein Nielsen wrote:
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
>
>> pointen var at
>> microsoft har brugt FreeBSD og det har jeg bevist!
>
> Det er rigtigt at Hotmail kørte på FreeBSD-maskiner da
> Microsoft købte dem. Microsoft har siden skiftet Hotmail.com
> til Win2000 servere (jvf. det link du selv gav,
>
<URL: http://www.microsoft.com/windows2000/server/evaluation/casestudies/hotmail.asp>).
Men der er så den hage på sagen at efter de proklamerede at nu
var der skiftet til windows fandt man stadig freeBSD servere i
hotmails domæne.
--
Daniel Udsen <dudsen@gjk.dk>
Køer er gudommlige www.koen.dk
| |
Peter Brodersen (15-06-2002)
| Kommentar
Fra : Peter Brodersen |
Dato : 15-06-02 21:13 |
|
On Sat, 15 Jun 2002 20:19:57 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
>Jeg
>indrømmer at jeg måske har læst fx "Microsoft Hotmail use FreeBSD bla
>bla bla" som at det både er microsoft.com og hotmail.com, dette tror jeg
>nu ikke er tilfældet. Men det er egentlig også ligemeget, pointen var at
>microsoft har brugt FreeBSD og det har jeg bevist!
Der er ingen grund til at blive sur på mig over at du læste forkert.
Jeg spurgte blot angående lige præcis microsoft.com, og fik smidt en
masse kritiske kommentarer i hovedet om at jeg ikke kunne finde ud af
at søge og lignende. Anklager, som jeg da er ked af at få klasket på
mig.
--
- Peter Brodersen
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 21:29 |
|
"Peter Brodersen" <usenet@ter.dk> wrote in message
news:KcNO8.56325$N46.1811002@news010.worldonline.dk...
> >Jeg
> >indrømmer at jeg måske har læst fx "Microsoft Hotmail use FreeBSD bla
> >bla bla" som at det både er microsoft.com og hotmail.com, dette tror
jeg
> >nu ikke er tilfældet. Men det er egentlig også ligemeget, pointen var
at
> >microsoft har brugt FreeBSD og det har jeg bevist!
>
> Der er ingen grund til at blive sur på mig over at du læste forkert.
> Jeg spurgte blot angående lige præcis microsoft.com, og fik smidt en
> masse kritiske kommentarer i hovedet om at jeg ikke kunne finde ud af
> at søge og lignende. Anklager, som jeg da er ked af at få klasket på
> mig.
Ok, hvorfor er det så vigtig om FreeBSD er blev brugt på microsoft.com
fremfor hotmail.com?
mvh
db
| |
Peter Brodersen (15-06-2002)
| Kommentar
Fra : Peter Brodersen |
Dato : 15-06-02 21:33 |
|
On Sat, 15 Jun 2002 22:28:56 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
>Ok, hvorfor er det så vigtig om FreeBSD er blev brugt på microsoft.com
>fremfor hotmail.com?
Fordi microsoft.com i højere grad er bygget op fra bunden, hvor
HoTMaiL er blevet overtaget med FreeBSD på sig i god drift, hvor der
måske ikke har været behov for at skifte? Derfor ville det være mere
overraskende, hvis microsoft.com havde kørt FreeBSD, end at HoTMaiL
har gjort det.
Jeg bebrejder dig altså ikke for at du fejlagtigt anklagede løs. Men
jeg vil heller ikke bebrejdes for at stille et opklarende spørgsmål.
--
- Peter Brodersen
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 21:38 |
|
"Peter Brodersen" <usenet@ter.dk> wrote in message
news:OvNO8.56431$N46.1813312@news010.worldonline.dk...
> >Ok, hvorfor er det så vigtig om FreeBSD er blev brugt på
microsoft.com
> >fremfor hotmail.com?
>
> Fordi microsoft.com i højere grad er bygget op fra bunden, hvor
> HoTMaiL er blevet overtaget med FreeBSD på sig i god drift, hvor der
> måske ikke har været behov for at skifte? Derfor ville det være mere
> overraskende, hvis microsoft.com havde kørt FreeBSD, end at HoTMaiL
> har gjort det.
Nå derfor, ok.
> Jeg bebrejder dig altså ikke for at du fejlagtigt anklagede løs. Men
> jeg vil heller ikke bebrejdes for at stille et opklarende spørgsmål.
Nej ok, nu forstår jeg hvorfor du stilte det spørgsmål, som jeg troede
blev stillet pga manglende tro på at jeg talte sandt.
mvh
db
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 21:54 |
|
"Daniel Blankensteiner" <db@traceroute.dk> wrote in message
news:aeg8h4$3n1$1@sunsite.dk...
> > Jeg bebrejder dig altså ikke for at du fejlagtigt anklagede løs. Men
> > jeg vil heller ikke bebrejdes for at stille et opklarende spørgsmål.
>
> Nej ok, nu forstår jeg hvorfor du stilte det spørgsmål, som jeg troede
> blev stillet pga manglende tro på at jeg talte sandt.
Altså at jeg skulle sidde og digte historier for at sætte unix i et godt
lys.
mvh
db
| |
DUdsen (15-06-2002)
| Kommentar
Fra : DUdsen |
Dato : 15-06-02 23:29 |
|
Peter Brodersen wrote:
> On Sat, 15 Jun 2002 22:28:56 +0200, "Daniel Blankensteiner"
> <db@traceroute.dk> wrote:
>
>>Ok, hvorfor er det så vigtig om FreeBSD er blev brugt på
>>microsoft.com fremfor hotmail.com?
>
> Fordi microsoft.com i højere grad er bygget op fra bunden, hvor
> HoTMaiL er blevet overtaget med FreeBSD på sig i god drift,
> hvor der måske ikke har været behov for at skifte? Derfor ville
> det være mere overraskende, hvis microsoft.com havde kørt
> FreeBSD, end at HoTMaiL har gjort det.
Jeg tror siden han hentyder til er micosofts kampange
wehavethewayout.com der skal promovere windows over unix men er
hostet hos et firma der basere sig på freebsd servere, og
følegeligt køre på en freebsd server.
Da det så kom frem skiftede de så tilsynelade server til en
windows2000 men maskinen ligner stadigvæk en unix ved en
portscan.
--
Daniel Udsen <dudsen@gjk.dk>
Køer er gudommlige www.koen.dk
| |
Asbjorn Hojmark (15-06-2002)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 15-06-02 22:24 |
|
On Sat, 15 Jun 2002 20:19:57 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
> pointen var at microsoft har brugt FreeBSD og det har jeg
> bevist!
Den enkle forklaring er, at Microsoft overtog Hotmail, der
allerede kørte FreeBSD.
Din påstand var imidlertid, at "De brugte både FreeBSD til
hotmail og microsoft.com", og det var hvad jeg anfægtede.
-A
--
http://www.hojmark.org/
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 21:41 |
| | |
Asbjorn Hojmark (15-06-2002)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 15-06-02 22:21 |
|
On Sat, 15 Jun 2002 19:03:25 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
>> Jeg kan ikke mindes at være stødt på en ikke-NT/2K server, når
>> jeg har checket.
> Du checker tit samtlige microsofts servere?
Tit? Nej.
> Mht microsoft.com må du skrive og spørge dem.
Det var dig, der kom med en påstand, ikke mig.
-A
--
http://www.hojmark.org/
| |
Povl H. Pedersen (15-06-2002)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 15-06-02 20:45 |
|
In article <jcqmgu07q6816vqs86179kfcf29g214nut@news.worldonline.dk>,
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
> On Sat, 15 Jun 2002 12:38:51 +0200, "Daniel Blankensteiner"
> <db@traceroute.dk> wrote:
>
> > De brugte både FreeBSD til hotmail og microsoft.com,
>
> Jeg kan ikke mindes at være stødt på en ikke-NT/2K server, når
> jeg har checket. Ligeledes har det mig bekendt aldrig indgået i
> deres beskrivelser af deres setup. Hvornår mener du, de har brugt
> FreeBSD til microsoft.com, og til hvilke dele af sitet?
En ting du hurtigt kan checke ved hotmail er, at filsystemet er case
dependent. Det er derfor ikke en Windows / .NOT applikation der kører
denne. Ihvertfald ikke hele vejen.
Microsoft har længe haft TXT records der har fortalt at deres DNS er på
unix bokse.
| |
Christian E. Lysel (15-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 15-06-02 20:51 |
|
Povl H. Pedersen wrote:
> En ting du hurtigt kan checke ved hotmail er, at filsystemet er case
> dependent. Det er derfor ikke en Windows / .NOT applikation der kører
Hvorfra ved du det er et filsystem du ser og ikke en database
repræsentation?
| |
Asbjorn Hojmark (15-06-2002)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 15-06-02 22:29 |
|
On Sat, 15 Jun 2002 21:45:05 +0200, "Povl H. Pedersen"
<nospam@home.terminal.dk> wrote:
> Hvornår mener du, de har brugt FreeBSD til microsoft.com, og
> til hvilke dele af sitet?
> En ting du hurtigt kan checke ved hotmail er
Det var ikke Hotmail, jeg spurgte til. Jeg er klar over, at de
'altid' har brugt FreeBSD. Og altså også, da Microsoft overtog
dem.
> Microsoft har længe haft TXT records der har fortalt at deres
> DNS er på unix bokse.
Ja?
-A
--
http://www.hojmark.org/
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 20:46 |
|
Daniel Blankensteiner skrev:
> Pro
Prøv Start | Kør | gpedit.msc
Der kan du se potentialet i sikkerhed i Windows/på et windows netværk,
tjek eventuelt hjælpefilen hvis du støder på et eller andet du ikke
umiddelbart kan se konsekvensen af.
> De brugte både FreeBSD til hotmail og microsoft.com, men de har
> udskiftet til NT på de fleste af dem nu.
Mon ikke de er skiftet til W2K?
<URL: http://www.netcraft.com/?restriction=site+contains&host=microsoft&position=limited >
Hmm, nogen der ved hvad "AkamaiGHost" er? (Google siger ikke rigtigt
noget om det)
>>> Windows har ikke en god "uptime".
>> Hvor mange måneder er en god "uptime"?
> Der findes en side på nettet (kan ikke huske adressen)
Netcraft. En tilfældig udvalgt server fra MS (activate.microsoft.com)
har en oppetid på over 100 dage:
<URL: http://uptime.netcraft.com/up/graph/?host=activate.microsoft.com >
> Jeg har selv kørt med windows 2000. Godt nok går den ikke ned så tit,
> men det er ikke en overraskelse når den så gør det.
Hver gang jeg har leget med *nix, har jeg nemt kunne få X til at gå
ned, uden at jeg kunne se at jeg havde gjort noget forkert (bare ved
at åbne en tekstfil eller lignende). På den samme maskine kører W2K
uden problemer (IBM Netvista PII-450 Mhz uden eksotisk hardware).
>> Er "uptime" vigtigere, end at maskinen bliver vedligeholdt med
>> nødven- dige rettelser som kræver genstart af maskinen?
> Helt sikkert ikke, men windows skal jo genstart bare man rykker med
> musen (overdrivelse fremmer forståelsen).
Det er fordi MS har været langsomme til at få hardware-leverandørerne
tvunget til at skrive ordentlige drivere og bruge den nye drivermodel
som betyder at de kan genindlæses dynamisk. Med fremkomsten af W2K og
senere, ser det ud til at gå i den rigtige retning.
> Hvis du mener at jeg selv skal opsætte unix og nt servere of lave
> tests, så har jeg hverken tid, hardware eller lyst til det.
Det jeg kunne tænke mig at læse, var hvad for nogle problemer du mener
Windows har, gerne i detaljer og eventuelt krydret med links til web-
sider som bekræfter dine meninger.
> Men jeg fandt en side:
> http://people.freebsd.org/~murray/bsd_flier.html
Tak for linket, selvom jeg synes at Murray lyder temmelig forudind-
taget. Efter af have læst siden er min umiddelbare reaktion, at siden
er ment som en kortfattet "reklame-side" hvor det drejer sig om at
vise at det OS Murray har valgt er andre overlegne. MS har lignende
websider, hvor deres markedsføringsfolk kan udbrede sig.
> Desuden kan jeg ikke forstå at I beskytter windows sådan,
Jeg gør det, fordi jeg er træt af at *nix-advokaterne har temmeligt
travlt med at nedgøre alt andet end deres egen platform, med oplys-
ninger som enten er misvisende eller direkte forkerte.
> ms selv påstår jo ikke engang at windows er mere stabilt, sikkerhed
> eller har en bedre performance end unix.
URL?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 23:12 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aeginn.17c.5@mjoelner.aaks.aarhus.dk...
> Daniel Blankensteiner skrev:
>
> > Pro
>
> Prøv Start | Kør | gpedit.msc
Kender det godt. Jeg har også prøvet at oprette en telnet, ftp og http
server med windows 2000, men jeg gik ikke i dybden med det. Såsom at
forbyde visse brugere ftp, og dem der så har ftp adgang, nogen af dem
skal så chroot'es, andre skal ikke.
> > De brugte både FreeBSD til hotmail og microsoft.com, men de har
> > udskiftet til NT på de fleste af dem nu.
>
> Mon ikke de er skiftet til W2K?
Jo, Windows 2000 server versionen vil jeg gætte på. Dog har jeg hørt at
FreeBSD stadig bruges på nogle af deres high-end servere.
> > Jeg har selv kørt med windows 2000. Godt nok går den ikke ned så
tit,
> > men det er ikke en overraskelse når den så gør det.
>
> Hver gang jeg har leget med *nix, har jeg nemt kunne få X til at gå
> ned, uden at jeg kunne se at jeg havde gjort noget forkert (bare ved
> at åbne en tekstfil eller lignende). På den samme maskine kører W2K
> uden problemer (IBM Netvista PII-450 Mhz uden eksotisk hardware).
Ja, X går ned, men går hele computeren ned? Desuden er X ikke en del af
base systemet, da en grafiskbrugergrænseflade IMHO ikke hører til en
server.
> > Hvis du mener at jeg selv skal opsætte unix og nt servere of lave
> > tests, så har jeg hverken tid, hardware eller lyst til det.
>
> Det jeg kunne tænke mig at læse, var hvad for nogle problemer du mener
> Windows har, gerne i detaljer og eventuelt krydret med links til web-
> sider som bekræfter dine meninger.
Jeg er ved at "uddannelse" mig FreeBSD expert, så jeg skal finde en
windows expert (virkelig expert der kender alt til windows) at diskutere
med. Så kan vi (og gerne mange flere) gennemgå alle detaljerne mht
sikkerhed.
> > Men jeg fandt en side:
> > http://people.freebsd.org/~murray/bsd_flier.html
>
> Tak for linket, selvom jeg synes at Murray lyder temmelig forudind-
> taget. Efter af have læst siden er min umiddelbare reaktion, at siden
> er ment som en kortfattet "reklame-side" hvor det drejer sig om at
> vise at det OS Murray har valgt er andre overlegne. MS har lignende
> websider, hvor deres markedsføringsfolk kan udbrede sig.
Ok, jeg synes også tit der mangler tekniske eksempler på forskellene når
man snakker windows vs unix, og Linux vs BSD. Men se ovenstående ønske
om fremtidig projekt.
mvh
db
| |
Asbjorn Hojmark (16-06-2002)
| Kommentar
Fra : Asbjorn Hojmark |
Dato : 16-06-02 22:59 |
|
On Sat, 15 Jun 2002 21:45:31 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@myrealbox.com> wrote:
> Hmm, nogen der ved hvad "AkamaiGHost" er? (Google siger ikke rigtigt
> noget om det)
Akamai er en content delivery provider. Hvis man er net-globalt
orienteret, og ønsker at publicere noget content (filer til down-
load, eller et helt web-site) tættest muligt på brugeren, så kan
man bruge en content delivery provider.
Akamai har servere over hele verden, og leverer content tættest
muligt på brugeren. De bruger lidt smart teknonolgi til at vari-
ere det svar man får på et navneopslag, så man får adressen på
den net-nærmeste server.
http://www.akamai.com/
Når dele af Microsofts site(s) hostes af Akamai, så kan man måske
nok argumentere for, at sitet benytter andre OS'er end Windows,
men ikke (på det grundlag) at Microsoft gør det.
-A
--
http://www.hojmark.org/
| |
Peder Vendelbo Mikke~ (17-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 17-06-02 00:15 |
|
Asbjorn Hojmark skrev:
> Akamai er en content delivery provider.
Takker for info. Jeg troede kun at de kørte søgemaskiner.
> Når dele af Microsofts site(s) hostes af Akamai, så kan man måske
> nok argumentere for, at sitet benytter andre OS'er end Windows,
> men ikke (på det grundlag) at Microsoft gør det.
Jeg smed et par stykker af de nævnte Akamai-servere ind i webbrowseren,
uden positivt resultat (jeg portscanner kun "mine egne" IP-scopes). Jeg
skulle nok have Googlet lidt på dem i stedet, hvis jeg ville have fun-
det ud af hvad de bruges til (det er nok beskrevet på en eller anden
obskur mailingliste).
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Peter Brodersen (17-06-2002)
| Kommentar
Fra : Peter Brodersen |
Dato : 17-06-02 09:22 |
|
On Mon, 17 Jun 2002 01:15:05 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@myrealbox.com> wrote:
>> Akamai er en content delivery provider.
>Takker for info. Jeg troede kun at de kørte søgemaskiner.
Du tænker ikke på Inktomi?
--
- Peter Brodersen
| |
Peder Vendelbo Mikke~ (17-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 17-06-02 17:18 |
|
Peter Brodersen skrev:
>> Peder Vendelbo Mikkelsen wrote:
>>> Akamai er en content delivery provider.
>> Takker for info. Jeg troede kun at de kørte søgemaskiner.
> Du tænker ikke på Inktomi?
Det er sandsynligt at jeg har blandet Akamai og Inktomi sammen.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Christian E. Lysel (15-06-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 15-06-02 00:31 |
| | |
Kasper Dupont (15-06-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 15-06-02 14:04 |
|
"Christian E. Lysel" wrote:
>
> Jakob Bork wrote:
> > http://techupdate.zdnet.com/techupdate/stories/main/0,14179,2868851,00.html
> >
> > Fundet ved at søge på ovennævnte søgemaskine...
>
> Uha, så må vi håbe Microsoft ikke får stjålet deres kildetekst,
Endnu et godt argument for opensource. Hvis du basserer dig på
closedsource risikerer du at få en ubehagelig overraskelse, hvis
sourcen en dag skulle slippe ud. Det kan næppe lade sig gøre, at
rette alle fejl hurtigt nok, den dag det sker.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Niels Callesøe (15-06-2002)
| Kommentar
Fra : Niels Callesøe |
Dato : 15-06-02 11:51 |
| | |
Jakob Bork (15-06-2002)
| Kommentar
Fra : Jakob Bork |
Dato : 15-06-02 22:43 |
|
> Nu skal man ikke tro på alt hvad man læser..
>
> http://www.theregister.co.uk/content/4/25656.html
> http://www.theregister.co.uk/content/4/25659.html
>
> .. og dermed selvfølgelig heller ikke alt hvad man læser på The Reg.
Den side af sagen havde jeg ikke set eller hørt om før i forbindelse med
denne kilde. Det sætter jo ikke ligefrem rapporten i det bedste lys.
> Jeg ved nu godt hvilken kilde jeg stoler på i den her sammenhæng.
Ja, men så tror jeg at jeg skifter holdning og stoler på din kilde 
> (Bortset fra det, gider jeg ikke blande mig i *nix vs. Win debatten)
Det er vist en religionskrig...
mvh
Jakob Bork
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 08:48 |
|
Daniel Blankensteiner skrev:
> Har du nogen sinde hørt en sikkerhed expert udtale sig om at windows
> er mere sikkert end unix?
Nej, men jeg har læst det i Hacking Windows 2000 Exposed. Jeg kan ikke
huske om det var Joel Scambray eller Stuart McClure som skrev det i et
af de indledende kapitler (jeg gider ikke slå det op, da jeg har travlt
med at forsøge at tegne danske flag på kinden). Hvis du vil vide noget
om de personer som har været med til at skrive og redigere bogen kan du
læse her:
<URL: http://www.hackingexposed.com/win2k/auths.html >
> Vi kan se på antal remote-to-"root" exploits, samt hvor hurtigt de
> bliver lukket (fixed).
Har du URL til beskrivelser af disse exploits?
(jeg vil svært gerne læse mere om dem, så jeg kan opsætte mine ser-
vere bedre og mere sikkert)
> Derefter kan vi se på mulighederne for at begrænse skaden, ved fx at
> lade tjenester køre i jail og som en speciel bruger.
Alt du kan køre som en tjeneste, kan du opsætte med en specifik bruger,
som du kan opsætte til kun at have adgang til bestemte ressourcer på
serveren.
> Taler vi default installationer/opsætninger, så taber windows da med
> et brag.
Du kan finde standard indstillinger som er ligeså ringe opsat på *nix.
Standard opsætninger er ikke interessante at diskutere, synes jeg, det
er mere interessant om personen der opsætter den er kvalificeret til
jobbet.
> Jeg siger ikke at windows ikke kan blive "sikkert", men bare at en
> unix maskine kan gøres mere sikker end windows.
Ja det påstår du jo. Men dine påstande afvises af folk som kender til
Windows.
Kan vi ikke afslutte diskussionen med at blive enige om, at alt kan
sættes råddent op.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 11:47 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aef4un.lo.2@mjoelner.aaks.aarhus.dk...
> > Vi kan se på antal remote-to-"root" exploits, samt hvor hurtigt de
> > bliver lukket (fixed).
>
> Har du URL til beskrivelser af disse exploits?
> (jeg vil svært gerne læse mere om dem, så jeg kan opsætte mine ser-
> vere bedre og mere sikkert)
www.securityfocus.com
www.ntbugtraq.com
http://ntsecurity.nu/
http://www.ntsecurity.net/
http://www.nttoolbox.com/
www.astalavista.com
> > Jeg siger ikke at windows ikke kan blive "sikkert", men bare at en
> > unix maskine kan gøres mere sikker end windows.
>
> Ja det påstår du jo. Men dine påstande afvises af folk som kender til
> Windows.
Ja, men de skriver ikke hvorfor. Jeg kommer med nogle funktioner vi har
i unix og mangler i windows, men får ikke svar på om windows har dem,
hvilket nok skyldes at det har de ikke.
> Kan vi ikke afslutte diskussionen med at blive enige om, at alt kan
> sættes råddent op.
I min SSO delte jeg Unix og Windows op i bruger og server versioner,
windows vandt i bruger afdelingen pga visse unix'ers meget usikre
default installationer. Så jo, hvis man ikke ved hvad man laver, så kan
man ikke opsætte en sikker computer.
mvh
db
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 22:04 |
|
Daniel Blankensteiner skrev:
> www.securityfocus.com
> www.ntbugtraq.com
> http://ntsecurity.nu/
> http://www.ntsecurity.net/
> http://www.nttoolbox.com/
> www.astalavista.com
Dem kendte jeg i forvejen. Jeg regnede med links til nogle specifikke
exploits som ikke var fixet endnu (som Thor Larholms jscript.dk/
unpatched).
> Jeg kommer med nogle funktioner vi har i unix og mangler i windows,
> men får ikke svar på om windows har dem, hvilket nok skyldes at det
> har de ikke.
Jeg kender ikke til chroot eller jail, jeg har blot læst *nix-advoka-
ter skrive begejstret om dem. Såvidt jeg kan regne ud, gør de ca. det
samme som en ordentlig opsætning gør (f.eks. begrænse hvad servicen
kan gøre, hvornår servicen gør det og ved hvad servicen gør noget).
> I min SSO delte jeg Unix og Windows op i bruger og server versioner,
> windows vandt i bruger afdelingen pga visse unix'ers meget usikre
> default installationer.
Jeg synes det er en forkert konklusion, på serversiden.
Jeg er enig med dig, i at det er alt for nemt at opsætte en Windows
server forkert. Det burde være sådan, at man ikke kan få services til
at køre med mindre man ved hvordan de skal aktiveres/deaktiveres/ved-
ligeholdes etc. og samtidig skal man bombarderes med dialogbokse (hvis
man bruger GUI-interfacet) om konsekvenserne af de indstillinger man
laver.
Det vil passe mig fint, at man ikke får mulighed for at starte en ser-
vice førend man har RTFMet, hvis det kunne lade sig gøre.
Jeg synes ikke man kan vurdere noget ud fra standard-opsætningen, man
bør vurdere systemer ud fra mulighederne i produktet og ud fra anbe-
falingerne fra leverandøren (i manuelen og/eller på leverandørens web-
side). Hvis der er fejl i produkterne eller anbefalingerne skal de na-
turligvis rettes.
> Så jo, hvis man ikke ved hvad man laver, så kan man ikke opsætte en
> sikker computer.
Nemlig.
I øvrigt, denne webside påstår at man godt kan bryde ud af et chroot
jail:
<URL: http://www.bpfh.net/simes/computing/chroot-break.html >
Jeg kender ikke nok til *nix til at kunne afgøre om det er sandt eller
falskt.
--
Engelaand, Engelaand, Engelaand *smak* Farvel Japan. Men det går godt
i det franske, for Tom Christensen og hans Audi, i Le Mans 24 timers
løbet.
| |
Troels Arvin (15-06-2002)
| Kommentar
Fra : Troels Arvin |
Dato : 15-06-02 22:55 |
|
On Sat, 15 Jun 2002 23:03:31 +0200, Peder Vendelbo Mikkelsen wrote:
> I øvrigt, denne webside påstår at man godt kan bryde ud af et chroot
> jail:
>
> <URL: http://www.bpfh.net/simes/computing/chroot-break.html >
Som jeg læser artiklen, kan der kun brydes ud af chroot'et tilstand, hvis
chroot'ingen sker på uhensigtsmæssig vis (ikke skift til
chroot-biblioteket før der chroot'es). Sådan vil det vel altid være: Hvis
software ikke fungerer optimalt, ja så kan det ikke forventes at fungere
optimalt...
Et program såsom BIND (navneserver) er en oplagt kandidat til at køre i
chroot'et tilstand. Jeg har kigget i sovsen til BIND 9.2.0, og dér
chroot'es så vidt jeg kan se på den korrekte måde. Derfor vil jeg påstå,
at det på en moderne unix er muligt at opsætte sin navneserver på en
måde, hvor det ikke kan udsætte resten af installationen for fare, hvis
der skulle være et hul i BIND.
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 23:00 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aeginn.17c.7@mjoelner.aaks.aarhus.dk...
> <URL: http://www.bpfh.net/simes/computing/chroot-break.html >
>
> Jeg kender ikke nok til *nix til at kunne afgøre om det er sandt eller
> falskt.
Hvis man er root kan man, så at chroot en root service er kun for at
skabe et extra lag crackeren skal igennem.
mvh
db
| |
Daniel Blankensteine~ (16-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 16-06-02 00:07 |
|
Kan ikke se min anden besked, så jeg sender igen
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aeginn.17c.7@mjoelner.aaks.aarhus.dk...
> Jeg kender ikke til chroot eller jail, jeg har blot læst *nix-advoka-
> ter skrive begejstret om dem. Såvidt jeg kan regne ud, gør de ca. det
> samme som en ordentlig opsætning gør (f.eks. begrænse hvad servicen
> kan gøre, hvornår servicen gør det og ved hvad servicen gør noget).
Det handler om hvilke rettigheder/muligheder en cracker har, hvis han
har hacket tjenesten.
Vil læse om chroot og jail: http://www.freebsd.org/cgi/man.cgi
Søg på jail(2), jail(8), chroot(2) og chroot(8).
> Jeg synes ikke man kan vurdere noget ud fra standard-opsætningen
Enig.
> I øvrigt, denne webside påstår at man godt kan bryde ud af et chroot
> jail:
>
> <URL: http://www.bpfh.net/simes/computing/chroot-break.html >
At chroot en tjeneste der kører som root, har kun den effekt at skabe et
extra lag crackeren skal igennem.
Er der forresten nogen herinde der kender til The Hurd? Jeg har hørt at
når en tjeneste har
bind() til en port, så dropper den alle rettigheder. Når en person så
logger ind, så får han de rettigheder han er berettiget til. Det lyder
jo meget fint, men det vil altså sige at den process der egentlig kører
uden rettigheder kan sætte rettigheder for dens "børn". For mig lyder
det ligesom at køre en server med seteuid() når real-user egentlig
stadig er root, og dermed kan en cracker, ved fx en buffer-overflow,
bare sætte et system kald til seteuid() ind før shell-koden.
mvh
db
| |
jacob_a@spamos.dk (15-06-2002)
| Kommentar
Fra : jacob_a@spamos.dk |
Dato : 15-06-02 09:41 |
|
"Daniel Blankensteiner" <db@traceroute.dk> writes:
> Vi kan se på antal remote-to-"root" exploits, samt hvor hurtigt de
> bliver lukket (fixed).
> Derefter kan vi se på mulighederne for at begrænse skaden, ved fx at
> lade tjenester køre i jail og som en speciel bruger.
> Taler vi default installationer/opsætninger, så taber windows da med et
> brag.
Prøv du engang at installere en default Win98.
Prøv dernæst at installere en default Rødhætte.
Lav en portscanning af de to.
Jeg tror godt du kender resultatet.
Un*x maskiner bliver bare generelt bedre holdt ved lige. Som du selv
skriver har un*x diverse værktøjer til at hjælpe med sikkerheden, men
det kræver en aktiv indsats af brugeren, at sikre services med
dem. Hvis Windows brugeres gennemsnitlige kundskaber var på linie med
un*x brugeres tror jeg du ville opfatte Windows som meget mere
sikkert.
Just my 2 cents.
- Jacob
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 11:50 |
|
<jacob_a@spamos.dk> wrote in message
news:87y9dhaq8p.fsf@morpheus.trinity.dyndns.dk...
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
>
> > Vi kan se på antal remote-to-"root" exploits, samt hvor hurtigt de
> > bliver lukket (fixed).
> > Derefter kan vi se på mulighederne for at begrænse skaden, ved fx at
> > lade tjenester køre i jail og som en speciel bruger.
> > Taler vi default installationer/opsætninger, så taber windows da med
et
> > brag.
>
> Prøv du engang at installere en default Win98.
> Prøv dernæst at installere en default Rødhætte.
> Lav en portscanning af de to.
> Jeg tror godt du kender resultatet.
Som jeg også skrev til Peder, så delte jeg i min SSO windows og unix op
i bruger og server versioner. Der vandt windows bruger versionerne, især
pga ovennævnte problem.
> Un*x maskiner bliver bare generelt bedre holdt ved lige. Som du selv
> skriver har un*x diverse værktøjer til at hjælpe med sikkerheden, men
> det kræver en aktiv indsats af brugeren, at sikre services med
> dem. Hvis Windows brugeres gennemsnitlige kundskaber var på linie med
> un*x brugeres tror jeg du ville opfatte Windows som meget mere
> sikkert.
Ja, det har du nok ret i. Jeg har selv prøvet at sætte ftp og telnet op
med windows, og jeg synes sgu jeg mangler kontrol og
instillingsmuligheder, men det er måske fordi jeg ikke gider investere
500 bob i en bog om NT sikkerhed.
mvh
db
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 22:26 |
| | |
Søren Lund Jensen (30-07-2002)
| Kommentar
Fra : Søren Lund Jensen |
Dato : 30-07-02 01:06 |
|
"Daniel Blankensteiner" <db@traceroute.dk> wrote in news:aedpl5$4po$1
@sunsite.dk:
> Afskriv du bare. Har du nogen sinde hørt en sikkerhed expert udtale sig
> om at windows er mere sikkert end unix?
Jeg har faktisk hørt ved flere lejligheder, at Linux (hvis det er det,
som du kalder Unix) er lige så hullet som en Windows maskine. Det handler
i bund og grund om opsætning. At der findes procentvis flere kritiske
fejl i Windows, kan vel også hænge sammen med at installationsbasen er så
meget større og dermed procentvis mere udsat?
> Taler vi default installationer/opsætninger, så taber windows da med et
> brag.
Det ved jeg nu ikke rigtigt, hvis vi tager en gængs Linux installation og
kigger lidt på den, så vil man hurtigt se, at der installeres et væld af
daemons og andre herlige sager, som den gennemsnitlige bruger ikke aner
en brik om at lukke. Der finder jeg Windows dejligere, fordi vi her har
med en intuitiv flade at gøre. Man fiser bare ind og klikker luk og så er
den ikke længere.
> Jeg siger ikke at windows ikke kan blive "sikkert", men bare at en unix
> maskine kan gøres mere sikker end windows.
Jeg vil nærmere sige, at det er ca. det samme. Smid en firewall på og
problemet er ikke-eksisterende. I sidste ende handler det om opsætning,
hvis der findes et hul er quick-fixet at lukke hullet med en firewall
indtil et patch bliver frigivet.
--
Med venlig hilsen,
Søren Lund Jensen
| |
Flemming Riis (30-07-2002)
| Kommentar
Fra : Flemming Riis |
Dato : 30-07-02 10:53 |
|
"Søren Lund Jensen" <mufoxe@hotmail.com> wrote in message
news:Xns925B1576771ABmufoxehotmailcom@193.88.15.201
> > Taler vi default installationer/opsætninger, så taber windows da med et
> > brag.
>
> Det ved jeg nu ikke rigtigt, hvis vi tager en gængs Linux installation og
> kigger lidt på den, så vil man hurtigt se, at der installeres et væld af
> daemons og andre herlige sager, som den gennemsnitlige bruger ikke aner
> en brik om at lukke. Der finder jeg Windows dejligere, fordi vi her har
> med en intuitiv flade at gøre. Man fiser bare ind og klikker luk og så er
> den ikke længere.
Der burde være en lov imod default Windows installs som kobles på netværk,
du skal typisk
ind og have fat i registry hvis det skal gøre ordenteligt aka ikke intuitivt
> Jeg vil nærmere sige, at det er ca. det samme. Smid en firewall på og
> problemet er ikke-eksisterende.
Bull firewall er symptom behandling ikke helbredelse, hvis maskinen stadig
er hullet som en si nytter en firwall intet med en dum bruger
| |
Kasper Dupont (30-07-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 30-07-02 15:29 |
|
Flemming Riis wrote:
>
> Der burde være en lov imod default Windows installs som kobles på netværk
Glimrende idé
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Peder Vendelbo Mikke~ (03-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 03-08-02 03:49 |
|
Flemming Riis skrev:
> Der burde være en lov imod default Windows installs som kobles på
> netværk,
Jeg vil gerne udvide det ovennvænte, til at dække samtlige systemer
som tilbyder diverse server-funktioner.
Ifølge alt hvad jeg har læst indtil nu, så leveres .NET virkelig låst
ned. Jeg burde snart modtage RC1 og derfor kunne se det mine egne øjen.
Den koster 135 kr, hvis man benytter dette tilbud:
<URL: http://www.microsoft.com/danmark/net/aod.asp >
> du skal typisk ind og have fat i registry hvis det skal gøre ordente-
> ligt aka ikke intuitivt
Hvilke services skal slåes fra gennem registry?
> Bull firewall er symptom behandling ikke helbredelse, hvis maskinen
> stadig er hullet som en si nytter en firwall intet med en dum bruger
Enig.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (02-08-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 02-08-02 16:54 |
|
"Søren Lund Jensen" <mufoxe@hotmail.com> wrote in message
news:Xns925B1576771ABmufoxehotmailcom@193.88.15.201...
> Jeg har faktisk hørt ved flere lejligheder, at Linux (hvis det er det,
> som du kalder Unix)
Jeg taler om Unix, ikke kun Linux.
> > Taler vi default installationer/opsætninger, så taber windows da med et
> > brag.
>
> Det ved jeg nu ikke rigtigt, hvis vi tager en gængs Linux installation og
> kigger lidt på den, så vil man hurtigt se, at der installeres et væld af
> daemons og andre herlige sager, som den gennemsnitlige bruger ikke aner
> en brik om at lukke. Der finder jeg Windows dejligere, fordi vi her har
> med en intuitiv flade at gøre. Man fiser bare ind og klikker luk og så er
> den ikke længere.
Windows er meget svær at gøre sikker (men denne diskution er vist afsluttet)
og nej, du kan ikke generalisere at alle Unix'er kører et væld af daemons
efter en default installation, se fx www.OpenBSD.org
> > Jeg siger ikke at windows ikke kan blive "sikkert", men bare at en unix
> > maskine kan gøres mere sikker end windows.
>
> Jeg vil nærmere sige, at det er ca. det samme. Smid en firewall på og
> problemet er ikke-eksisterende. I sidste ende handler det om opsætning,
> hvis der findes et hul er quick-fixet at lukke hullet med en firewall
> indtil et patch bliver frigivet.
En firewall der tillader IIS beskytter ikke mod IIS exploits.
mvh
db
ps: Jeg flytter idag/morgen, så jeg er ikke længere herinde. Jeg får nok
internet igen den 01/09.
| |
Bo Simonsen (02-08-2002)
| Kommentar
Fra : Bo Simonsen |
Dato : 02-08-02 23:33 |
|
In article <aie9rn$bum$1@sunsite.dk>, Daniel Blankensteiner wrote:
> Jeg taler om Unix, ikke kun Linux.
Nej du taler unix-like systemer. Bl.a. Linux er ikke Unix certificeret,
derfor må man ikke kalde det Unix. Jeg har dog ikke sat mig ind i
hvordan de gratis BSD'er har det med unix-cerificering.
--
Med venlig hilsen
Bo Simonsen
http://fido.geekworld.dk
| |
Allan Olesen (02-08-2002)
| Kommentar
Fra : Allan Olesen |
Dato : 02-08-02 23:58 |
|
Bo Simonsen <bo@geekworld.dk> wrote:
>Nej du taler unix-like systemer. Bl.a. Linux er ikke Unix certificeret,
>derfor må man ikke kalde det Unix.
Jeg er paa gyngende grund her, men er det ikke kun UNIX, man ikke
maa kalde det?
--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.
| |
Peder Vendelbo Mikke~ (03-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 03-08-02 16:51 |
|
Søren Lund Jensen skrev:
> Man fiser bare ind og klikker luk og så er den ikke længere.
Arh, det er jo ikke altid hele sandheden.
Nogle services kan finde på at starte sig selv, i brugervenlighedens
navn, med mindre de er disabled. Jeg synes at det er skodagtigt, ser-
veren kunne da i det mindste spørge om man ville starte servicen førend den gjorde, for det er jo ikke for sjov man slår en service
fra ved
f.eks. at ændre indstillingen fra at starte automatisk til at star-
te manuelt.
>> Jeg siger ikke at windows ikke kan blive "sikkert", men bare at en
>> unix maskine kan gøres mere sikker end windows.
Efterhånden er jeg overbevist om, at der ikke er den vildt store for-
skel. Bortset fra obskure systemer som crackere/indbrudstyve ikke har
hørt om, eller kan læse sig til på nettet/biblioteket.
Jeg forestiller mig, at en Apache afviklet på Hercules [1] i f.eks.
OS/390 udgave på en W2K platform vil være forholdsvis svær at få noget
ud af for en cracker, med mindre det er opsat med hovedet under armen.
Moshe Bar fra Byte.com ser ud til at lide Hercules:
<URL: http://www.byte.com/documents/s=429/byt20000801s0002/index.htm >
[1] http://www.conmicro.cx/hercules/
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Klaus Ellegaard (03-08-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 03-08-02 20:05 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> writes:
>Nogle services kan finde på at starte sig selv, i brugervenlighedens
>navn, med mindre de er disabled. Jeg synes at det er skodagtigt, ser-
>veren kunne da i det mindste spørge om man ville starte servicen førend den gjorde, for det er jo ikke for sjov man slår en service
>fra ved
>f.eks. at ændre indstillingen fra at starte automatisk til at star-
>te manuelt.
Unix kræver en dygtig administrator, fordi en rodprompt sædvanligvis
bare er et # efterfulgt af en markør. Og fordi "help" ikke ligefrem
er brugbart, hvis det er det eneste, man kan finde på at taste. Selv
med diverse vendor specific tools kommer man ikke ret langt uden et
alvorligt stort clue.
Windows kan bruges af snart sagt enhver idiot, men det er næppe ret
meget nemmere at *administrere*.
Eller sagt på en anden måde: Windows er lige så (u)sikkert som Unix,
når man (ikke) har forstand på det.
Unix råber og skriger ikke om de mulige konsekvenser af, at man
starter inetd. Det ved enhver med et clue. Præcis som enhver med et
clue ved, hvornår Windows selv starter services.
>Jeg forestiller mig, at en Apache afviklet på Hercules [1] i f.eks.
>OS/390 udgave på en W2K platform vil være forholdsvis svær at få noget
>ud af for en cracker, med mindre det er opsat med hovedet under armen.
Det er bare security by obscurity. En generelt meget dårlig ide,
fordi det ofte introducerer så megen kompleksitet, at man ender
med at lave endnu flere sikkerhedshuller.
Mvh.
Klaus.
| |
Peder Vendelbo Mikke~ (03-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 03-08-02 23:30 |
|
Klaus Ellegaard skrev:
>> Jeg forestiller mig, at en Apache afviklet på Hercules [1] i f.eks.
>> OS/390 udgave på en W2K platform vil være forholdsvis svær at få
>> noget ud af for en cracker, med mindre det er opsat med hovedet
>> under armen.
> Det er bare security by obscurity.
Jeg tænkte ikke så meget på at der nok ikke findes mange som kender
OS/390, som på det at hvis Apache knækkes kommer man ikke videre til
det underlæggene styresystem, man kommer til Hercules.
Ja, det ville nok være komplekst at vedligeholde.
| |
Christian E. Lysel (04-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 04-08-02 13:42 |
|
Søren Lund Jensen wrote:
> Jeg har faktisk hørt ved flere lejligheder, at Linux (hvis det er det,
> som du kalder Unix) er lige så hullet som en Windows maskine. Det handler
> i bund og grund om opsætning. At der findes procentvis flere kritiske
Hvor fleksibel er Windows i sin opsætning, hvordan får du fx RFC til kun
at lytte på localhost, eller gå ind i tasklisten og forklar mig hvad de
forskellige processor gør.
> fejl i Windows, kan vel også hænge sammen med at installationsbasen er så
> meget større og dermed procentvis mere udsat?
Har du fx læst service pack 3 til Windows 2000?
> Det ved jeg nu ikke rigtigt, hvis vi tager en gængs Linux installation og
> kigger lidt på den, så vil man hurtigt se, at der installeres et væld af
> daemons og andre herlige sager, som den gennemsnitlige bruger ikke aner
> en brik om at lukke. Der finder jeg Windows dejligere, fordi vi her har
> med en intuitiv flade at gøre. Man fiser bare ind og klikker luk og så er
> den ikke længere.
Jeg finder ikke fladen intuitiv, da jeg stadigvæk ikke ved hvad der
forgår inde bagved og da fladen mangle mange konfigurations muligheder.
Hvis jeg fx ønsker at kører to version af IIS'er på den samme server,
eller ønsker at kører med 2 domaincontrollere på den samme server, men
hvor servicen skal lytte på hvert sin ip adresse, hvordan går jeg det i
fladen?
>>Jeg siger ikke at windows ikke kan blive "sikkert", men bare at en unix
>>maskine kan gøres mere sikker end windows.
>
>
> Jeg vil nærmere sige, at det er ca. det samme. Smid en firewall på og
> problemet er ikke-eksisterende. I sidste ende handler det om opsætning,
> hvis der findes et hul er quick-fixet at lukke hullet med en firewall
> indtil et patch bliver frigivet.
| |
Jesper Louis Anderse~ (04-08-2002)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 04-08-02 18:03 |
|
On Sun, 04 Aug 2002 14:41:35 +0200, Christian
E. Lysel <sunsite.dk.nntp@spindelnet.dk> wrote:
ARGH!
Der findes ikke noget endeligt "sikkert produkt". Det er en
arbejdsopgave at tage noget man kender til og rette i det indtil det
opfylder de krav man har til det. Foerend krav kan man godt glemme alt
om sikkerhed.
For nogen vil et bestemt produkt vaere at foretraekke. Som regel fordi
dette produkt er et de har stor erfaring med. Drop en diskussion der i
realiteten er ligegyldig. Hvad der er mest sikkert kommer man ikke langt
med. Tag istedet fat og goer noget ved de problemer der er.
I bliver aldrig enige. Sikkerhed kan ikke maales og vejes. Jeres
argumentation er staerkt subjektiv og meget generaliserende. Jeg ved
ikke om unix er bedre end windows mht sikkerhed. Windows har hoejere
sikkerhedscertificering end de fleste unix'er har [1]. Men denne
sikkerhedscertificering er i hoej grad featurepraeget. Hvad hjaelper
features, hvis der er fejl i dem? Noget endeligt svar er svaert at give.
Jeg er traet af holdningen "unix er mere sikkert end windows", thi
kender du ikke unix har du ikke en chance. "Windows er mere intuitivt
end unix" holder heller ikke en meter. Jeg aner ikke hvad 99% at alle
services i windows goer. Jeg ved dog godt hvordan jeg skal slaa services
fra i unix systemer [2].
[1] Og her snakker vi saa om hvad den amerikanske stat mener er sikkert.
[2] Og jeg har en del erfaring med et par stykker eller 4.
--
Jesper
| |
Christian E. Lysel (04-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 04-08-02 23:48 |
|
Jesper Louis Andersen wrote:
> ARGH!
..
> Der findes ikke noget endeligt "sikkert produkt". Det er en
Hvem siger da det?
> arbejdsopgave at tage noget man kender til og rette i det indtil det
> opfylder de krav man har til det. Foerend krav kan man godt glemme alt
> om sikkerhed.
Ja, men hvordan retter man i noget man ikke kan rette i, og som man
lovmæssigt (hvis du spørger producenten) ikke må rette i?
Eller hvordan rette du i noget som producenten ikke vil rette i?
> For nogen vil et bestemt produkt vaere at foretraekke. Som regel fordi
> dette produkt er et de har stor erfaring med. Drop en diskussion der i
Betyder dette også at man skal installere en zonealarm firewall på en
arbejdsplads, fordi de ansatte har erfaringer med denne i deres private tid?
> realiteten er ligegyldig. Hvad der er mest sikkert kommer man ikke langt
> med. Tag istedet fat og goer noget ved de problemer der er.
Hvordan?
Hvordan får jeg en service der er programmeret til at lytte på alle
interface til ikke at lytte på alle interface?
> I bliver aldrig enige. Sikkerhed kan ikke maales og vejes. Jeres
> argumentation er staerkt subjektiv og meget generaliserende. Jeg ved
> ikke om unix er bedre end windows mht sikkerhed. Windows har hoejere
> sikkerhedscertificering end de fleste unix'er har [1]. Men denne
Windows og UNIX er mange forskellige ting, fx har jeg aldrig set
windows95 med en sikkerhedscertificering, og ligeledes med nogle UNIX'er.
> sikkerhedscertificering er i hoej grad featurepraeget. Hvad hjaelper
> features, hvis der er fejl i dem? Noget endeligt svar er svaert at give.
Antallet af fejl, mener jeg giver et fingerpeg, ligeledes med antallet
af nye smarte features.
> Jeg er traet af holdningen "unix er mere sikkert end windows", thi
> kender du ikke unix har du ikke en chance. "Windows er mere intuitivt
> end unix" holder heller ikke en meter. Jeg aner ikke hvad 99% at alle
Grafisk intuitation mener jeg er vigtig i forbindelse med sikkerhed, fx
ved administration af 10-20 regler i en firewall.
Men i forbindelse med hvilke services, kan ikke se forskel på hvorfor en
GUI skal være mere intuitiv end en tekst konsol.
Jeg sætte dog mere pris på en god lang historik, lavt antal af
sårbarheder og åbenhed om dem der eksistere, et godt sikkerhedsdesign,
få/ingen features, simpelt design, hurtige svar ved sikkerhedsproblemer,
hurtig udarbejdelse af fejlrettelser, mulighed for selv at udarbejde
fejlrettelser, god dokumentation, gode logfiler, ectetera.
På baggrund af ovennævnte kan jeg hurtigt "kassere" en del operativ
systemer.
> services i windows goer. Jeg ved dog godt hvordan jeg skal slaa services
> fra i unix systemer [2].
| |
Jan Bøgh (05-08-2002)
| Kommentar
Fra : Jan Bøgh |
Dato : 05-08-02 07:54 |
|
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> wrote in message
news:3D4DAF15.4030809@spindelnet.dk...
> Grafisk intuitation
Hvad i alverden er det for noget?
vh
Jan
| |
Christian E. Lysel (05-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 05-08-02 08:16 |
|
Jan Bøgh wrote:
>>Grafisk intuitation
> Hvad i alverden er det for noget?
Hmmm, det må havde været sent. Jeg mente en grafisk flade (GUI).
| |
Kasper Dupont (05-08-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 05-08-02 10:20 |
|
"Christian E. Lysel" wrote:
>
> og som man
> lovmæssigt (hvis du spørger producenten) ikke må rette i?
Det er nu ikke hvad jeg kan læse ud af dette citat fra
lov om ophavsret:
§ 36. Den, der har ret til at benytte et edb-program, må
1) fremstille sådanne eksemplarer af programmet og foretage
sådanne ændringer i programmet, som er nødvendige for,
at den pågældende kan benytte det efter dets formål,
herunder foretage rettelse af fejl,
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Christian E. Lysel (05-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 05-08-02 11:39 |
|
Kasper Dupont wrote:
> § 36. Den, der har ret til at benytte et edb-program, må
Jeg skrev hvis du spørger producenten, ikke hvis du kikker i dansk
lovgivning.
| |
Lasse Reichstein Nie~ (05-08-2002)
| Kommentar
Fra : Lasse Reichstein Nie~ |
Dato : 05-08-02 10:36 |
|
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:
> Kasper Dupont wrote:
> > § 36. Den, der har ret til at benytte et edb-program, må
>
> Jeg skrev hvis du spørger producenten, ikke hvis du kikker i dansk
> lovgivning.
Og Kasper sagde at det er ligegyldigt hvad producenten siger, så det
er ikke et argument for noget som helst.
/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
'Faith without judgement merely degrades the spirit divine.'
| |
Christian E. Lysel (06-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 06-08-02 11:26 |
|
Lasse Reichstein Nielsen wrote:
> Og Kasper sagde at det er ligegyldigt hvad producenten siger, så det
> er ikke et argument for noget som helst.
Det er ikke ligegyldigt hvad en producent siger, jeg synes det siger en
del om producenten.
| |
Klaus Ellegaard (06-08-2002)
| Kommentar
Fra : Klaus Ellegaard |
Dato : 06-08-02 11:28 |
|
"Christian E. Lysel" <sunsite.dk.nntp@spindelnet.dk> writes:
>Det er ikke ligegyldigt hvad en producent siger, jeg synes det siger en
>del om producenten.
Snarere om forskelle i lovgivningen mellem de enkelte lande og en
EULA, der skyder med spredehagl.
Mvh.
Klaus.
| |
Jesper Louis Anderse~ (05-08-2002)
| Kommentar
Fra : Jesper Louis Anderse~ |
Dato : 05-08-02 15:04 |
|
On Mon, 05 Aug 2002 00:47:49 +0200,
Christian E. Lysel <sunsite.dk.nntp@spindelnet.dk> wrote:
Nu fik du mig igang..
>> Der findes ikke noget endeligt "sikkert produkt". Det er en
>
> Hvem siger da det?
>
Det siger jeg. Mennesker laver fejl. Software er lavet af mennesker.
Ergo indeholder software fejl. Det er der næppe meget erasmus-montanus
logik i.
> Ja, men hvordan retter man i noget man ikke kan rette i, og som man
> lovmæssigt (hvis du spørger producenten) ikke må rette i?
>
> Eller hvordan rette du i noget som producenten ikke vil rette i?
Er der passende blevet svaret på...
>> For nogen vil et bestemt produkt vaere at foretraekke. Som regel fordi
>> dette produkt er et de har stor erfaring med. Drop en diskussion der i
> Betyder dette også at man skal installere en zonealarm firewall på en
> arbejdsplads, fordi de ansatte har erfaringer med denne i deres private tid?
Du vender mine ord som du ønsker. På en arbejdsplads har man
selvfølgeligt en sikkerhedspolitik udarbejdet, der nøje beskriver
sikkerhedsaspekter i forbindelse med edb-udstyr (og andet). Det er
muligt at denne politik pålægger brugeren selv at installere
sikkerhedssoftware, men en fornuftig politik ville antage at brugerne
havde et meget lavt teknisk niveau og ikke forstod IP filtrering til
bunds. Derfor handler det ikke om de ansattes erfaringer, men den
sikkerhedsansvarliges erfaringer.
Hvis sikkerhedspolitiken kan dækkes med brug af Zonealarm er der ikke
noget galt i at anvende det IMO. Personligt ville jeg dog ikke gøre det,
da min erfaring med ZoneAlarm er 0.
>> Tag istedet fat og goer noget ved de problemer der er.
> Hvordan?
>
> Hvordan får jeg en service der er programmeret til at lytte på alle
> interface til ikke at lytte på alle interface?
Hvis du ikke kan ændre i softwaren må du banke dem der kan oven i
hovedet. Hvis du kan ændre i softwaren kan du: 1) omskrive den 2) lave
et framework omkring det, der kan få softwaren til at opføre sig
ordentligt. Du kunne også kigge efter andet software, der opfylder dine
krav.
>> ikke om unix er bedre end windows mht sikkerhed. Windows har hoejere
>> sikkerhedscertificering end de fleste unix'er har [1]. Men denne
> Windows og UNIX er mange forskellige ting, fx har jeg aldrig set
> windows95 med en sikkerhedscertificering, og ligeledes med nogle UNIX'er.
Jeg tænker nu ikke i ældre software i så høj grad. Jeg havde NT/2000/XP
i hovedet. Du har ret i at Win95, Win98 og Mac OS<9 er jokes i den
sammenhæng.
>> sikkerhedscertificering er i hoej grad featurepraeget. Hvad hjaelper
>> features, hvis der er fejl i dem? Noget endeligt svar er svaert at give.
>
> Antallet af fejl, mener jeg giver et fingerpeg, ligeledes med antallet
> af nye smarte features.
Antallet af fejl giver ikke et fingerpeg. Jeg kender måske 30 fejl i et
stykke software, men jeg annoncerer 5 af dem. En anden finder 10 fejl i
et andet stykke (konkurrende) software. Han annoncerer samtlige 10. Er
mit software så bedre end hans? Jeg har øjensynligt færre fejl end ham,
ikke?
Antallet af features er noget skidt. Jo flere features, jo større
sandsynlighed for at fejl er opstået grundet den øgede kompleksitet. Jeg
foretrækker software, der netop dækker mine behov.
> Grafisk intuitation mener jeg er vigtig i forbindelse med sikkerhed, fx
> ved administration af 10-20 regler i en firewall.
Ja, jeg kan også godt lide at tegne mit problem visuelt på et stykke
papir før jeg begynder at skrive regler. Jeg kan også godt lide at
dokumentere min færden udi regler, så jeg ikke er bundet at et bestemt
stykke software.
Hertil kommer at jeg bedst kan lide tekstbaserede konfigurationsfiler.
På denne måde kan jeg anvende et stykke software såsom Nuweb
( http://nuweb.sf.net) til at dokumentere og skrive regler på samme tid.
CFengine[1] er et andet eksempel der tilsvarende hjælper. Ingen af
delene er muligt med grafiske brugergrænseflader.
10-20 regler er temmeligt lidt for større setups. Der er 50-60 regler
nærmere stedet. Visse firewalls har det med at lave et regelhelvede med
1000-2000 regler. Det kan ingen mand styre, grafisk interface eller ej.
Jeg vil ikke over 50 regler, hvis jeg kan undgå det. Ellers skifter jeg
firewall.
> Jeg sætte dog mere pris på en god lang historik, lavt antal af
> sårbarheder og åbenhed om dem der eksistere, et godt sikkerhedsdesign,
> få/ingen features, simpelt design, hurtige svar ved sikkerhedsproblemer,
> hurtig udarbejdelse af fejlrettelser, mulighed for selv at udarbejde
> fejlrettelser, god dokumentation, gode logfiler, ectetera.
Exactly. Det er netop årsagen til at samtlige mine maskiner kører
OpenBSD. Jeg mener at det operativsystem bedst dækker de behov jeg har.
> På baggrund af ovennævnte kan jeg hurtigt "kassere" en del operativ
> systemer.
Jeps. Men lad være med at udråbe visse systemer som vindere grundet
religiøse holdninger.
--
Jesper
| |
Kasper Dupont (05-08-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 05-08-02 23:43 |
|
Jesper Louis Andersen wrote:
>
> On Mon, 05 Aug 2002 00:47:49 +0200,
> Christian E. Lysel <sunsite.dk.nntp@spindelnet.dk> wrote:
>
> Nu fik du mig igang..
>
> >> Der findes ikke noget endeligt "sikkert produkt". Det er en
> >
> > Hvem siger da det?
> >
> Det siger jeg. Mennesker laver fejl. Software er lavet af mennesker.
> Ergo indeholder software fejl. Det er der næppe meget erasmus-montanus
> logik i.
Mennesker laver fejl, men mennesker behøves ikke lave fejl hver
gang. Mennesker kan skrive fejlfrit software, men sandsynligheden
for at det lykkes aftager eksponentielt med størrelsen af det
pågældende system. Det vil sige at når størrelsen når op på bare
100KB source kode kan vi roligt antage, at sandsynligheden for at
det bliver skrevet fejlfrit er 0.
Efterfølgende kan man begynde at rette fejl, jeg ved ikke, om man
kan sige noget fornuftigt om, hvordan antallet af fejl aftager
som funktion af revisionsnummeret. Hvis der kun rettes fejl, og
ikke tilføjes features, burde antallet af fejl konvergere mod 0.
>
> 10-20 regler er temmeligt lidt for større setups. Der er 50-60 regler
> nærmere stedet. Visse firewalls har det med at lave et regelhelvede med
> 1000-2000 regler. Det kan ingen mand styre, grafisk interface eller ej.
> Jeg vil ikke over 50 regler, hvis jeg kan undgå det. Ellers skifter jeg
> firewall.
Jeg har pt. 83 regler i min personlige firewall, og jeg har
absolut intet problem med at overskue dem. Jeg er meget glad for
iptables brugerdefinerede chains, det gør opsætningen mere
intuitiv for mig, og jeg kan lave min opsætning mere struktureret
og dermed bevare overblikket. Jeg tror godt at 1000 regler kunne
skrives, så det blev overskueligt, men så burde man nok dele sin
configuration op og have et directory for hver table, og en fil
for hver chain. Det ville naturligvis kræve et lille værktøj, der
kunne lave noget sanitetscheck af configurationsfilerne og
generere en samlet configurationsfil.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk
| |
Christian E. Lysel (06-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 06-08-02 12:14 |
|
Jesper Louis Andersen wrote:
> Nu fik du mig igang..
Godt.
>>>Der findes ikke noget endeligt "sikkert produkt". Det er en
>>Hvem siger da det?
> Det siger jeg. Mennesker laver fejl. Software er lavet af mennesker.
Hmm, jeg spurte om hvem der siger at der eksistere et "sikkert produkt",
jeg har samme holdning til det som dig.
> Ergo indeholder software fejl. Det er der næppe meget erasmus-montanus
> logik i.
Hvad så med software lavet af software :)
Læs Kaspers holdninger til dette, således skelner jeg også til hvor
mange liner kode en given applikation fylder og hvor komplekst systemet er.
>>Eller hvordan rette du i noget som producenten ikke vil rette i?
> Er der passende blevet svaret på...
I det tilfælde du kan disassemble, dog vil det være at fortrække at
rette i selve sourcen, denne er mere sigende (og indeholder typisk
kommentar, så den er forståelig).
>>Betyder dette også at man skal installere en zonealarm firewall på en
>>arbejdsplads, fordi de ansatte har erfaringer med denne i deres private tid?
> Du vender mine ord som du ønsker. På en arbejdsplads har man
Det er blot et eksempel.
> selvfølgeligt en sikkerhedspolitik udarbejdet, der nøje beskriver
> sikkerhedsaspekter i forbindelse med edb-udstyr (og andet). Det er
> muligt at denne politik pålægger brugeren selv at installere
> sikkerhedssoftware, men en fornuftig politik ville antage at brugerne
> havde et meget lavt teknisk niveau og ikke forstod IP filtrering til
> bunds. Derfor handler det ikke om de ansattes erfaringer, men den
> sikkerhedsansvarliges erfaringer.
Mange stedet ved den sikkerhedsansvarlige lige så meget om en
aldmindelig bruger, og dette ser jeg ikke som et problem.
> Hvis sikkerhedspolitiken kan dækkes med brug af Zonealarm er der ikke
Hvilke krav i en sikkerhedspoltik kan ZA ikke opfylde?
> noget galt i at anvende det IMO. Personligt ville jeg dog ikke gøre det,
> da min erfaring med ZoneAlarm er 0.
Vil det så sige, hvis du havde erfaringer med den og sikkerhedspolitiken
umiddelbart kan dækkes med ZA, ville du så bruge ZA?
>>Hvordan får jeg en service der er programmeret til at lytte på alle
>>interface til ikke at lytte på alle interface?
> Hvis du ikke kan ændre i softwaren må du banke dem der kan oven i
> hovedet. Hvis du kan ændre i softwaren kan du: 1) omskrive den 2) lave
Dette er typisk sværrer jo størrer producenten er.
Hvis vi snakker om Microsoft, har de haft rigeligt med år til at rette
på dette.
> et framework omkring det, der kan få softwaren til at opføre sig
> ordentligt. Du kunne også kigge efter andet software, der opfylder dine
> krav.
Ja.
> Jeg tænker nu ikke i ældre software i så høj grad. Jeg havde NT/2000/XP
> i hovedet. Du har ret i at Win95, Win98 og Mac OS<9 er jokes i den
> sammenhæng.
Og ligeledes med Linux 1.0
Hvor mange sikkerhedsceritiferinger har 2000 og XP, og hvad kan man
bruge dem til, hvis man ikke kører i et ligende setup?
>>Antallet af fejl, mener jeg giver et fingerpeg, ligeledes med antallet
>>af nye smarte features.
> Antallet af fejl giver ikke et fingerpeg. Jeg kender måske 30 fejl i et
> stykke software, men jeg annoncerer 5 af dem. En anden finder 10 fejl i
> et andet stykke (konkurrende) software. Han annoncerer samtlige 10. Er
> mit software så bedre end hans? Jeg har øjensynligt færre fejl end ham,
> ikke?
Du er ikke den eneste der finder fejl. Tilfældet i den seneste tid er at
flere har fundet de samme fejl, samtidigt.
> Antallet af features er noget skidt. Jo flere features, jo større
> sandsynlighed for at fejl er opstået grundet den øgede kompleksitet. Jeg
> foretrækker software, der netop dækker mine behov.
Ja, jeg fortrække endvidere software hvor jeg kan undlade at kompilere
de dele jeg ikke har brug for.
>>Grafisk intuitation mener jeg er vigtig i forbindelse med sikkerhed, fx
>>ved administration af 10-20 regler i en firewall.
> Ja, jeg kan også godt lide at tegne mit problem visuelt på et stykke
> papir før jeg begynder at skrive regler. Jeg kan også godt lide at
> dokumentere min færden udi regler, så jeg ikke er bundet at et bestemt
> stykke software.
Jeg smider reglerne ind i en matrix, evt. vil det af matricen fremgå
hvordan det nemmere kan segmenteres.
Prøv evt. at kikke på Solsoft, her tegner du reglerne på en
netværkstegning, for derefter at vælge at din firewall er en PIX. Den
dag din PIX brænder af, og du kan smide linux på en i386, ændringer du
tegningen at PIX nu er erstattet af ipchains, og du er oppe at kører igen.
> Hertil kommer at jeg bedst kan lide tekstbaserede konfigurationsfiler.
> På denne måde kan jeg anvende et stykke software såsom Nuweb
> ( http://nuweb.sf.net) til at dokumentere og skrive regler på samme tid.
> CFengine[1] er et andet eksempel der tilsvarende hjælper. Ingen af
> delene er muligt med grafiske brugergrænseflader.
> 10-20 regler er temmeligt lidt for større setups. Der er 50-60 regler
Hvis vi snakker pakke filtre er 10-20 regler ingen ting, hvis vi snakker
applikationsfirewall er over 20 regler meget.
> nærmere stedet. Visse firewalls har det med at lave et regelhelvede med
> 1000-2000 regler. Det kan ingen mand styre, grafisk interface eller ej.
Jeg læste om en amerikaner der pralede med 1200 regler i en fw-1, *suk*,
han havde vist ikke helt fattet det.
> Jeg vil ikke over 50 regler, hvis jeg kan undgå det. Ellers skifter jeg
> firewall.
Eller splitter infrastukturen op, i flere segmenter med flere firewalls.
>>Jeg sætte dog mere pris på en god lang historik, lavt antal af
>>sårbarheder og åbenhed om dem der eksistere, et godt sikkerhedsdesign,
>>få/ingen features, simpelt design, hurtige svar ved sikkerhedsproblemer,
>>hurtig udarbejdelse af fejlrettelser, mulighed for selv at udarbejde
>>fejlrettelser, god dokumentation, gode logfiler, ectetera.
> Exactly. Det er netop årsagen til at samtlige mine maskiner kører
> OpenBSD. Jeg mener at det operativsystem bedst dækker de behov jeg har.
Jeg er det seneste år, blevet træt af redhat, specielt hvis man kikke på
hvad shell fortolkeren skal igennem for at boote systemet og er gået
over til BSD specielt OpenBSD.
>>På baggrund af ovennævnte kan jeg hurtigt "kassere" en del operativ
>>systemer.
> Jeps. Men lad være med at udråbe visse systemer som vindere grundet
> religiøse holdninger.
Hvor går jeg det, jeg hakkede blot ned på windows.
| |
Christian E. Lysel (06-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 06-08-02 19:25 |
| | |
Peder Vendelbo Mikke~ (06-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 06-08-02 16:15 |
|
Christian E. Lysel skrev:
> Mange stedet ved den sikkerhedsansvarlige lige så meget om en
> aldmindelig bruger, og dette ser jeg ikke som et problem.
Det er vel fordi du regner med at hun har folk til det grove arbejde,
internet eller qua leverandører?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Christian E. Lysel (06-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 06-08-02 22:58 |
|
Peder Vendelbo Mikkelsen wrote:
>>Mange stedet ved den sikkerhedsansvarlige lige så meget om en
>>aldmindelig bruger, og dette ser jeg ikke som et problem.
> Det er vel fordi du regner med at hun har folk til det grove arbejde,
> internet eller qua leverandører?
Hun/han, ja.
| |
Peder Vendelbo Mikke~ (05-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 05-08-02 19:05 |
|
Christian E. Lysel skrev:
> Ja, men hvordan retter man i noget man ikke kan rette i, og som man
> lovmæssigt (hvis du spørger producenten) ikke må rette i?
Hvis man gider og kan, kan man vel altid disassemble programmet? Men,
så er man sikkert så dygtig, at man nemmere kan lave en service der er
bedre end den medfølgende.
Ja, jeg ved godt at det ovennævnte sikkert er uartigt, i henhold til
de regler som gælder på området. Om ikke andet, så har modparten nok
adgang til flere advokat-ressourcer end jeg har, så jeg holder min
kæft hvis jeg engang blev så dygtig og havde behov for at bryde kon-
trakten.
> Betyder dette også at man skal installere en zonealarm firewall på en
> arbejdsplads, fordi de ansatte har erfaringer med denne i deres
> private tid?
Nej for katten da, har du fået solstik?
>> realiteten er ligegyldig. Hvad der er mest sikkert kommer man ikke
>> langt med. Tag istedet fat og goer noget ved de problemer der er.
> Hvordan?
Ret fejlen hvor det er muligt, gennem opsætning eller gennem patchning.
Eller, gennem valg af software
> Windows og UNIX er mange forskellige ting, fx har jeg aldrig set
> windows95 med en sikkerhedscertificering, og ligeledes med nogle
> UNIX'er.
Alt før NT er end-of-lifed, NT skulle vist dø til nytår, hvis jeg ikke
husker forkert.
> Men i forbindelse med hvilke services, kan ikke se forskel på hvorfor
> en GUI skal være mere intuitiv end en tekst konsol.
Det er det som regel heller ikke, da dem der har udviklet GUIen til-
syneladende ikke har gjort sig voldsomme store tanker om hvorfor og
hvad GUIen skal gøre bedre end konsol-værktøjer, bortset fra at den
skal være indbydende og smækkerlækker at se til.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Christian E. Lysel (06-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 06-08-02 12:09 |
|
Peder Vendelbo Mikkelsen wrote:
>>Ja, men hvordan retter man i noget man ikke kan rette i, og som man
>>lovmæssigt (hvis du spørger producenten) ikke må rette i?
> Hvis man gider og kan, kan man vel altid disassemble programmet? Men,
> så er man sikkert så dygtig, at man nemmere kan lave en service der er
> bedre end den medfølgende.
Hvis det servicen kan/skal er offentligt tilgændeligt.
>>Betyder dette også at man skal installere en zonealarm firewall på en
>>arbejdsplads, fordi de ansatte har erfaringer med denne i deres
>>private tid?
> Nej for katten da, har du fået solstik?
Nej, tænkte blot på argumentationen ..."For nogen vil et bestemt produkt
vaere at foretraekke. Som regel fordi dette produkt er et de har stor
erfaring med. "
>>Hvordan?
> Ret fejlen hvor det er muligt, gennem opsætning eller gennem patchning.
Jeg fortrækker at have muligheden for selv at rette fejlen, der hvor den er.
> Eller, gennem valg af software
Ja.
> Alt før NT er end-of-lifed, NT skulle vist dø til nytår, hvis jeg ikke
> husker forkert.
Skulle den ikke være død for 8 måneder siden?
| |
Lars Kyndi Laursen (06-08-2002)
| Kommentar
Fra : Lars Kyndi Laursen |
Dato : 06-08-02 12:29 |
| | |
Christian E. Lysel (06-08-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 06-08-02 12:41 |
| | |
Peder Vendelbo Mikke~ (06-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 06-08-02 16:10 |
|
Lars Kyndi Laursen skrev:
> NT 4 server er ikke tilgængelig efter 1. juli 2003.
De får ikke mine select-cdere tilbage, førend vi er færdige med at mi-
grere til W2K engang sidst i 2003.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Peder Vendelbo Mikke~ (06-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 06-08-02 16:08 |
|
Christian E. Lysel skrev:
>> Alt før NT er end-of-lifed, NT skulle vist dø til nytår, hvis jeg
>> ikke husker forkert.
> Skulle den ikke være død for 8 måneder siden?
Jo, men den er sejlivet og nogle store kunder "overbeviste" MS om at de
var hjernelamme at udfase produktet så hurtigt og at de ikke ville fin-
de sig i den behandling. Det var vist på Infoworld eller ZDNet jeg læs-
te det engang mellem december 2001 og februar 2002.
Kilderne fra kunderne og MS var "hemmelige", så jeg aner ikke om histo-
rien er korrekt.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Kent Friis (06-08-2002)
| Kommentar
Fra : Kent Friis |
Dato : 06-08-02 22:20 |
|
Den Tue, 6 Aug 2002 17:08:20 +0200 skrev Peder Vendelbo Mikkelsen:
>Christian E. Lysel skrev:
>
>>> Alt før NT er end-of-lifed, NT skulle vist dø til nytår, hvis jeg
>>> ikke husker forkert.
>
>> Skulle den ikke være død for 8 måneder siden?
>
>Jo, men den er sejlivet og nogle store kunder "overbeviste" MS om at de
>var hjernelamme at udfase produktet så hurtigt og at de ikke ville fin-
>de sig i den behandling. Det var vist på Infoworld eller ZDNet jeg læs-
>te det engang mellem december 2001 og februar 2002.
>
>Kilderne fra kunderne og MS var "hemmelige", så jeg aner ikke om histo-
>rien er korrekt.
Det er vel meget sandsynligt. Det siges at folk der kører MS-produkter
og samtidig ønsker en rimelig stabilitet venter mindst til SP3, og den
er først lige kommet til W2k (hvis den overhovedet er frigivet, jeg er
ikke sikker).
Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox
| |
Peder Vendelbo Mikke~ (08-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 08-08-02 01:09 |
|
Kent Friis skrev:
Fut er sat til dk.edb.sysadmin, da vi er ved at være godt og grundigt
offtopic.
> Det siges at folk der kører MS-produkter og samtidig ønsker en rime-
> lig stabilitet venter mindst til SP3,
Vi sætter ikke noget nyt op, til andet end test, førend SP1 har fået
tæsk i 1-2 måneders tid og der ikke har været febrilske emails på de
relevante maillinglister eller rygter om rettelser og genudgivelse af
SP.
På vores ugentlige afdelingsmøde, i dag, blev det bestemt at ferie
mellem maj og august er forbudt næste år, da vi skal migrere til AD
og sandsynligvis lave server-, storage- og backup-konsolidering med W2K
og WMware, hvis fibernedlægning foregår planmæssigt. Sommervejret er
derfor udsat næste år og vil først komme lidt inde i august.
Ydermere er vi blevet lovet hvide kitler og retten til at sætte Blin-
kenlights-skilte op.
> og den er først lige kommet til W2k (hvis den overhovedet er fri-
> givet, jeg er ikke sikker).
Den er frigivet, på engelsk, den danske skulle komme om et par måneder.
Fut er sat til dk.edb.sysadmin, da vi er ved at være godt og grundigt
offtopic.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Peder Vendelbo Mikke~ (05-08-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 05-08-02 18:49 |
|
Jesper Louis Andersen skrev:
> Jeg er traet af holdningen "unix er mere sikkert end windows", thi
> kender du ikke unix har du ikke en chance.
Enig, også i: Lifes a bitch, and then you die.
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 08:30 |
|
Daniel Blankensteiner skrev:
>> "Peder Vendelbo Mikkelsen" wrote
>> Er der en specifik funktionalitet du savner på windows-platformen?
>> (sniffer, scanner, kodeordsknækkere etc.)
> At de er gratis.
Der findes masser af gratis programmer til Windows, inklusive de om-
talte typer.
> Hvis man er i jail, så har man ikke adgang til suid-root-programmer,
> som kan udnyttes af en user-to-root exploit.
Jeg er ikke helt med på hvad du skriver: skriver du om eskalering af
bruger-rettigheder?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (15-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 15-06-02 11:55 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aef4un.lo.1@mjoelner.aaks.aarhus.dk...
> > Hvis man er i jail, så har man ikke adgang til suid-root-programmer,
> > som kan udnyttes af en user-to-root exploit.
>
> Jeg er ikke helt med på hvad du skriver: skriver du om eskalering af
> bruger-rettigheder?
Jeg taler om at hvis en person hacker en tjeneste på serveren, så kommer
han ind i et jail hvor han er fanget. Han kan altså ikke komme uden for
det dir han er i og der er en del andre ting han ikke kan, så som at
tilføje moduler på kernen. I FreeBSD kan man sætte forskellige flags på
filer, såsom kan-ikke-slettes og
må-kun-skrives-til-i-slutningen-af-filen og kører du så i securelevel 2
kan du ikke slette eller rette i disse filer, fx logfiler, kan man også
det i nt?
mvh
db
| |
Peder Vendelbo Mikke~ (15-06-2002)
| Kommentar
Fra : Peder Vendelbo Mikke~ |
Dato : 15-06-02 23:08 |
|
Daniel Blankensteiner skrev:
> I FreeBSD kan man sætte forskellige flags på filer, såsom kan-ikke-
> slettes og må-kun-skrives-til-i-slutningen-af-filen
Smart, at man kun kan tilføje linier i slutningen af filen, bortset fra
hvis loggen er sat til at have en bestemt størrelse og derefter kan
overskrives ved at tilføje tilstrækkeligt mange linier (efter først
ind, først ud princippet), eller lave logfilen så stor at man løber
tør for ressourcer.
> kan man også det i nt?
NT er død, der laves ikke længere sikkerhedsfixes, længe leve NT.
Jeg kender ikke nogen mulighed for at sætte en begrænsning, som afgør
at man kun kan skrive til slutningen af logfilen. Jeg gætter på at det
er en funktion som er indbygget i syslog?
--
Fix Outlook Express 5.*:
<URL: http://home.in.tum.de/~jain/software/quotefix.php >
| |
Daniel Blankensteine~ (16-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 16-06-02 11:17 |
|
"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in message
news:aegubs.1sk.1@mjoelner.aaks.aarhus.dk...
> > I FreeBSD kan man sætte forskellige flags på filer, såsom kan-ikke-
> > slettes og må-kun-skrives-til-i-slutningen-af-filen
>
> Smart, at man kun kan tilføje linier i slutningen af filen, bortset
fra
> hvis loggen er sat til at have en bestemt størrelse og derefter kan
> overskrives ved at tilføje tilstrækkeligt mange linier (efter først
> ind, først ud princippet), eller lave logfilen så stor at man løber
> tør for ressourcer.
Med ressourcer mener du plads til at tilføje mere til filen? Men hvis
crackeren bare tilføjer mere til filen, så sletter han jo stadig ikke
sine egne spor i den.
> > kan man også det i nt?
>
> NT er død, der laves ikke længere sikkerhedsfixes, længe leve NT.
Windows 2000 er jo egentlig bare Windows NT 5.0
> Jeg kender ikke nogen mulighed for at sætte en begrænsning, som afgør
> at man kun kan skrive til slutningen af logfilen. Jeg gætter på at det
> er en funktion som er indbygget i syslog?
Nope, det handler om flags til filer.
mvh
db
| |
Kasper Dupont (16-06-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 16-06-02 21:22 |
|
Peder Vendelbo Mikkelsen wrote:
>
> Jeg kender ikke nogen mulighed for at sætte en begrænsning, som afgør
> at man kun kan skrive til slutningen af logfilen.
Funktionen findes i ext2/ext3 filsystemerne, som normalt bruges under
Linux. Jeg ved ikke, om der findes andre systemer med denne feature.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Daniel Blankensteine~ (16-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 16-06-02 21:37 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3D0CF36C.CBB9D2CF@daimi.au.dk...
> Peder Vendelbo Mikkelsen wrote:
> >
> > Jeg kender ikke nogen mulighed for at sætte en begrænsning, som
afgør
> > at man kun kan skrive til slutningen af logfilen.
>
> Funktionen findes i ext2/ext3 filsystemerne, som normalt bruges under
> Linux. Jeg ved ikke, om der findes andre systemer med denne feature.
Og FreeBSD's filsystem.
mvh
db
| |
Peter Brodersen (14-06-2002)
| Kommentar
Fra : Peter Brodersen |
Dato : 14-06-02 14:40 |
|
On Fri, 14 Jun 2002 13:12:58 +0200, "Daniel Blankensteiner"
<db@traceroute.dk> wrote:
> Læse source-kode til alle dine programmer
Som fx Apache?
Hvilke større applikationer har du læst og forstået hele source'n til,
Daniel?
--
- Peter Brodersen
| |
Daniel Blankensteine~ (14-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 14-06-02 14:44 |
|
"Peter Brodersen" <usenet@ter.dk> wrote in message
news:immO8.42024$N46.1615677@news010.worldonline.dk...
> > Læse source-kode til alle dine programmer
>
> Som fx Apache?
>
> Hvilke større applikationer har du læst og forstået hele source'n til,
> Daniel?
Hvad har det noget med at gøre? Det sidste jeg læste igennem var til
ftpd. For at rette velkomst besked, samt output fra syst og stat.
mvh
db
| |
Alex Holst (14-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 14-06-02 12:15 |
|
kfc <kfc@ofir.dk-fjerndette> wrote:
>> Uha, vi skal have lidt mere info, så som hvad din server skal køre og
>> dit OS.
>
> okayy " min fejl upzz " men køre med en apache 1.3.20 kun til hjemmeside
> brug og mit OS er W xp pro
Du maa have overset foelgende afsnit da du laeste OSS'en igennem:
http://a.area51.dk/sikkerhed/servere
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
kfc (14-06-2002)
| Kommentar
Fra : kfc |
Dato : 14-06-02 12:28 |
|
> Du maa have overset foelgende afsnit da du laeste OSS'en igennem:
>
> http://a.area51.dk/sikkerhed/servere
hejsa
var lige inde på start siden... men gad ikke kikke mere da den var på eng.
og ingen dansk side at se..
såå ja det gjorde jeg
K
| |
Thomas B. Maxe (14-06-2002)
| Kommentar
Fra : Thomas B. Maxe |
Dato : 14-06-02 12:41 |
|
"kfc" skrev:
> var lige inde på start siden... men gad ikke kikke mere da den var på
eng.
> og ingen dansk side at se..
>
Hvis det er meget vigtigt, at teksten skal være på dansk, så kan du jo
søge på Google.
Jeg brugte søgeordet Apache og valgte "dansk".
Det gav bl.a. disse hits, som ser ud til at være skrevet for den "knap
så øvede bruger":
http://www.webcafe.dk/artikler/apache/
http://mbn.dk/Apache/
Måske kan det hjælpe dig lidt videre?
Med venlig hilsen
Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)
| |
kfc (14-06-2002)
| Kommentar
Fra : kfc |
Dato : 14-06-02 12:47 |
|
> Hvis det er meget vigtigt, at teksten skal være på dansk, så kan du jo
> søge på Google.
> Jeg brugte søgeordet Apache og valgte "dansk".
jaaa til at starte med er det
>
> Det gav bl.a. disse hits, som ser ud til at være skrevet for den "knap
> så øvede bruger":
> http://www.webcafe.dk/artikler/apache/
> http://mbn.dk/Apache/
har været på dem..
> Måske kan det hjælpe dig lidt videre?
altid
men må vist lige ref. til emme : Bedste sikkerhed ....
og evt brug af 3.part programmer ??
K
| |
Ole Michaelsen (14-06-2002)
| Kommentar
Fra : Ole Michaelsen |
Dato : 14-06-02 12:30 |
| | |
kfc (14-06-2002)
| Kommentar
Fra : kfc |
Dato : 14-06-02 12:33 |
| | |
Alex Holst (14-06-2002)
| Kommentar
Fra : Alex Holst |
Dato : 14-06-02 12:52 |
|
kfc <kfc@ofir.dk-fjerndette> wrote:
>> Du maa have overset foelgende afsnit da du laeste OSS'en igennem:
>>
>> http://a.area51.dk/sikkerhed/servere
>
> var lige inde på start siden... men gad ikke kikke mere da den var på eng.
> og ingen dansk side at se..
Hm, a.area51.dk er paa engelsk, a.area51.dk/sikkerhed/ (og andre) er
ikke. Forveksel ej min hjemmeside med OSS'en. De to har som saadan ikke
noget med hinanden at goere.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
Martin Christensen (14-06-2002)
| Kommentar
Fra : Martin Christensen |
Dato : 14-06-02 17:00 |
|
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
"Jesper Nielsen" <jn@nielsenit.dk> writes:
> Apache til Windows kan sættes op til at køre som en service, og man
> bestemmer selv, hvilken bruger en given service skal køre under (der er nok
> nogle services, som det er bedst man lader køre som LocalSystem eller en
> Administrator, men Apache er ikke én af dem.)
Apache vil normalt skulle bindes til port 80. Man kan selvfølgeligt
vælge at binde den til en høj port, men det ville ikke give mening,
hvis det er en offentlig server. Det kræver administratorprivilegier
at binde et program til en lav port.
I 'Hacking Exposed', 2. udgave, står der om W2K, at når et program får
administratorprivilegier og vil droppe dem igen, vil programmet altid
kunne genetablere disse privilegier. Jeg kan ikke lige finde det
præcise sted, det står. Jeg antager, at når det gælder for W2K, gælder
det også for WXP, men jeg kan selvfølgeligt tage fejl.
Så er spørgsmålet, om Apache selv skal bruge disse privilegier for at
binde sig til en lav port, eller om et andet program, evt. service
manageren (er det sådan, den hedder?), kan gøre det for den. Ellers må
Apache/Windows i sagens natur være mindre sikker end Apache/Unix,
forudsat at man kan genetablere privilegier, man ellers havde givet
afkald på.
Det hører nok mest til i flueknepperiafdelingen, da der givet ikke er
mange automatiserede eller halvautomatiserede kits, der går efter
Apache på nogen afskygning af Windows, da der efter mit indtryk ikke
lader til at være særligt mange, der kører denne kombination. Eller
tager jeg fejl?
Martin
- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG < http://www.gnupg.org>
iEYEARECAAYFAj0KEvsACgkQYu1fMmOQldXwYACbBJmPAdZdgbTuuSRVeaEcq2ZN
nckAoIS0jrQcElJrkfJqVTr/VwDafhrP
=exF8
-----END PGP SIGNATURE-----
| |
Martin Christensen (16-06-2002)
| Kommentar
Fra : Martin Christensen |
Dato : 16-06-02 22:23 |
|
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
"Daniel Blankensteiner" <db@traceroute.dk> writes:
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
>> Funktionen findes i ext2/ext3 filsystemerne, som normalt bruges under
>> Linux. Jeg ved ikke, om der findes andre systemer med denne feature.
> Og FreeBSD's filsystem.
while (Daniel_Blankensteiner) {
if (mention_other_os) {
dk-edb-sikkerhed.post(shameless-plug("FreeBSD"));
}
else {
dk-edb-sikkerhed.post(shameless-plug("FreeBSD"));
}
}
Martin
- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG < http://www.gnupg.org>
iEYEARECAAYFAj0NAaAACgkQYu1fMmOQldVQtQCgo61LFW+VVun2zNEDK3ALN7fC
M0EAoME8Ei7AU3JUK97zhuT2P9DchuNU
=L31G
-----END PGP SIGNATURE-----
| |
Daniel Blankensteine~ (16-06-2002)
| Kommentar
Fra : Daniel Blankensteine~ |
Dato : 16-06-02 22:35 |
|
"Martin Christensen" <knightsofspamalot-factotum@gvdnet.dk> wrote in
message news:87n0tu7wbj.fsf@gvdnet.dk...
> "Daniel Blankensteiner" <db@traceroute.dk> writes:
> > "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> >> Funktionen findes i ext2/ext3 filsystemerne, som normalt bruges
under
> >> Linux. Jeg ved ikke, om der findes andre systemer med denne
feature.
> > Og FreeBSD's filsystem.
>
> while (Daniel_Blankensteiner) {
> if (mention_other_os) {
> dk-edb-sikkerhed.post(shameless-plug("FreeBSD"));
> }
> else {
> dk-edb-sikkerhed.post(shameless-plug("FreeBSD"));
> }
> }
Hehe, ja jeg er glad for FreeBSD. Men grunden til at jeg nævnte det var
fordi at kasper ikke nævnte FreeBSD og at diskutionen om dette emne,
egentlig kom af at jeg efterlyste denne mulighed i NT, som jeg havde i
FreeBSD. Så Kasper viste jo godt at andre OS end Linux også har den
funktion
mvh
db
| |
Martin Christensen (16-06-2002)
| Kommentar
Fra : Martin Christensen |
Dato : 16-06-02 22:37 |
|
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
"Daniel Blankensteiner" <db@traceroute.dk> writes:
> "Martin Christensen" <knightsofspamalot-factotum@gvdnet.dk> wrote in
>> while (Daniel_Blankensteiner) {
>> if (mention_other_os) {
>> dk-edb-sikkerhed.post(shameless-plug("FreeBSD"));
>> }
>> else {
>> dk-edb-sikkerhed.post(shameless-plug("FreeBSD"));
>> }
>> }
>
> Hehe, ja jeg er glad for FreeBSD. Men grunden til at jeg nævnte det var
> fordi at kasper ikke nævnte FreeBSD og at diskutionen om dette emne,
> egentlig kom af at jeg efterlyste denne mulighed i NT, som jeg havde i
> FreeBSD. Så Kasper viste jo godt at andre OS end Linux også har den
> funktion
Step 1: Plug FreeBSD.
Step 2: ...
Step 3: PROFIT!
Martin (der skal se at blive færdig med sin eksamensforberedelse så
han kan komme i seng og lade være med at genere de gode folk på d.e.s.)
- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG < http://www.gnupg.org>
iEYEARECAAYFAj0NBO4ACgkQYu1fMmOQldWwKgCfQfvPQX4R4icoxo06geEjBI/A
9NAAoIstJyVOcAfFMP/6y2xFqHj/75Nh
=1s1y
-----END PGP SIGNATURE-----
| |
|
|