Мэри Дэвидсон, руководитель службы безопасности компании Oracle, опубликовала (http://arstechnica.com/information-technology/2015/08/oracle.../) в корпоративном блоге заметку (https://webcache.googleusercontent.com/search?q=cache:https:...), в которой упомянула факты запрета проведения обратного инжиниринга продуктов Oracle с целью анализа наличия в них уязвимостей.
В ответ на попытки некоторых пользователей привлечь внимание Oracle к наличию неисправленных уязвимостей, им были отправлены письма с указанием на недопустимость проведения изучения продуктов, так как обратный инжиниринг запрещён в лицензионном соглашении. В заметке также указано на то, что 87% всех уязвимостей в продуктах компании выявляются сотрудниками Oracle, 3% - исследователями безопасности и 10% - клиентами.
Дополнение: Вскоре заметка была удалена, а вице-президент Oracle прокомментировал (http://www.zdnet.com/article/oracle-to-sinner-customers-reve.../) удаление тем, что указанная в нём информация не отражает убеждения компании и отношения с клиентами.
URL: http://www.zdnet.com/article/oracle-to-sinner-customers-reve.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=42768
Лицемерненько. )
Что значит "лицемерненько"?Правильно Оракл делает! Теперь хайкеры оракловские продукты не будут ревёрсить, а займутся конкурентами, ибо те не были против.
Такую тонкую игру понимать надо, это же передний край борьбы с уязвимостями!
Размечтался то. Теперь хакеры будут сливать дыры на черный рынок, срубая в 10 раз больше денег чем жлобье из оракля может дать даже чисто теоретически. Ну а пользователи оракла окажутся между молотом и наковальней.
сарказм анонимом был не оценён
Извини, по моей статистике - Анончег слишком уж примитивный чтобы так саркастировать.
87% уязвимостей это артворк редхета?
Ты сделал мой день :)
RH разрабатывает Oracle DB?
Люди говорят нам что мы плохо работаем. Отвратительно!
> руководитель службы безопасности ... опубликовала ... запрета проведения обратного инжиниринга продуктов Oracle с целью анализа наличия в них уязвимостей.ЦРУ-шник бывшим не бывает.
>ЦРУ-шник бывшим не бывает.А ещё их учат вертеть Конституцию на вертикали власти...
Не конституцию, а конституции. Цру-шник по определению работает вне рамок законов, любых, включая основной.
Можете спросить у фиолетовой дыры например http://www.kaliningradka.ru/site_pc/region/index.php?ELEMENT...
что ЦРУ, что КГБ - одних хрен.
> Oracle не приветствует выявление уязвимостей через обратный инжинирингА они уверены, что злоумышленников это остановит?
> А они уверены, что злоумышленников это остановит?Они точно уверены, что это остановит законопослушных пользователей от попыток разобраться во внутренностях из продуктов, т.е. им, законопослушным-то, остается только верить маркетоидному бреду Оракля, а посмотреть, как оно там на самом деле устроено - низзя, Оракле не велит. А даже если и посмотрел - молчи в тряпочку, даже если ошибку/уязвимость высмотрел, иначе Оракле лицензию отозвет.
Естественно, тех, кто плевал с высокой колокольни на все эти лицензии, такой запрет остановить не может.
>В подтверждение представлена статистика, чтоНеудивительно. С таким-то отношением к пользователям.
Скорее всего Оракл весьма масштабно ковыряется в пользовательских данных и было бы нехорошо если такое поведение всплывёт. Вы, базисты, лучше бы растиражировали эту "заметку". Что бы Оракл не говорил, но мнение "руководителя службы безопасности компании" не может сильно отличаться от настоящего (а не официального) мнения компании -- иначе руководитель просто не смог бы выполнять свои обязанности.
А вы что, не видели бывших фсб-шников на таких должностях?
Думаете у них по-другому? Пока вьедет, пока честь перестанет отдавать,..
>бывших фсб-шниковЛитвиненко не встречал, про других не слышал.
> Скорее всего Оракл весьма масштабно ковыряется в пользовательских данныхДа тут даже у депутатов приступ адеквата наконец начался - до жирафов наконец дошло что микрософт оказывается [их] данные сливает, а маздай в куче госучреждений.
Да не смешите, адекватный депутат - это аксюморон. Система принимает людей только определенного склада ума, других же - либо деформирует под себя, либо отталкивает и не впускает.
> Да не смешите, адекватный депутат - это аксюморон.Ну, понимаешь, когда пи...ц приобретает вопиющий масштаб - может доползти даже до жирафа.
> определенного склада ума, других же - либо деформирует под себя, либо
> отталкивает и не впускает.Однако кража данных АНБшниками - оказалась достаточно понятной перспективой даже для депутатов.
Это не приступ адеквата, это продолжение беснования "кругом враги". Просто в этот раз они умудрились наступить на собственные яйца, что не может не доставлять. Ждем продолжения банкета. Интересно, у мелкомягких хватит смелости затроллить этот паноптикум, или жадность все же победит?
> Интересно, у мелкомягких хватит смелости затроллить этот паноптикум, или жадность все же победит?Они надеятся на продолжение повсеместного стихийного юзанья виндоуз пользователями РФ несмотря ни на что, и они чертовски правы.
> Они надеятся на продолжение повсеместного стихийного юзанья виндоуз пользователями РФ
> несмотря ни на что, и они чертовски правы.Ну так местные аборигены будут воинственно гравировать на ифонах угрозы в адрес США, но кирпич контролируемый из США на 100% ни за что не выкинут. Чудная у папуасов логика :)
Деньги не пахнут, бро
> Это не приступ адеквата, это продолжение беснования "кругом враги".Я как-то затрудняюсь записать АНБ в друзья. А зачем им меня защищать? Они американцев то защищают сильно некоторых, в ущерб всем остальным. А уж на жителей остальных стран они и вовсе в самом лучшем случае плевать хотели. Остальные варианты еще хуже.
Ну или для каких благих целей может потребоваться столь масштабная кража информации с компьютера пользователя? Это в любом случае потенциальная подстава.
> затроллить этот паноптикум, или жадность все же победит?
Не знаю. Я в этом вижу "одни м...ки клещатся с другими м...ками". Даже и не знаю кто из них мне менее симпатичен. Я бы предпочел развидеть и тех и других.
"Что бы Оракл ни говорил"
> 3% - исследователями безопасности и 10% - клиентами.Возможные комментарии:
* Вот на эти три процЭнта и живём
* угу, а могли бы и не сказать
* у-у-у — а сколько не сказали
* вот теперь и эта инфа стала достоянием абчественности, молодец безопасник.
Ну-ну, рано или поздно ситуация изменится и тогда Oracle не будет чем лицемерить.
Хоть БД у них хорошая, но высокая цена лицензии и закрытая архитектура играет не в их пользу.
Про историю с Java и OpenOffice я вообще умолчу.
> Про историю с Java и OpenOffice я вообще умолчу.Ну с ОпенОфисом всё уже ясно, но Ява пока чувствует себя отлично.
Или это какая-то интересная история про "Java и OpenOffice"? Тогда рассказывай...
Ну с Java полностью потерять ситуацию не успели, но уже сейчас двойственная ситуация из-за OpenJDK.
Так OpenJDK они же сами и разрабатывают. OpenJDK и Oracle JDK соотносятся так же, как Chromium и Chrome.
Вообще-то, JAVA - это ключевой момент в корпоративном ПО Оракла, так что ява в хороших руках. OO - это просто профита некому там некому было, а так бы уже у всех была бы интеграция через StartOffice
> OO - это просто профита некому там некому было, а так бы уже у всех была бы интеграция через StartOfficeДело не в этом, если бы Oracle не пожлобился и отдал ОО в опенсорс, то вместо LibreOffice дальше бы пилили ОО, но уже как свободный проект. Вместо того пришлось развиваться под другим названием. А когда уже года как два не выходило ни одного обновления ОО, тогда Оракл спихнул ОО Apache.
Хе хе хе, да вы что? Ну ок, расскажите это вирмейкерам, а мы то конечно можем положить на это дело, дольше исправлять будете
Ещё один довод чтоб держаться подальше от продукции оракл.
Значит 100% всех уязвимостей вносятся сотрудниками Oracle, но они выявляют только 87%. А клиенты выявляют 10% уязвимостей, но не вносят не одной таковой.
Теперь понятно почему в мире OpenSource такого не бывает - там клиентам говорят спасибо, когда они уязвимости выявляют и даже разрешают клиентам самим вносить новые))
Во-первых, уязвимости не считают в процентах - любая из них может привести к катастрофе для клиента и должна быть обнаружена. Во-вторых, такой подход приведёт к одному - вместо того чтобы сдавать уязвимости ораклу, их будут продавать на чёрном рынке. Впрочем проблемы оракла - благо для человечества.
Мнение Oracle наплевать!
походу oracle не хочет судьбы adobe. может они хотят клиентов на деньги поставить в очередной раз? мол если у клиента платный oracle и он занимаеться реверс инженеренгом и трахает суппорт. в целом не понятно кому и зачем это заявление.
Да что не понятного?
Девочка "спорола глупость".
Главный начальник поправил, предворительно проведя с девочкой разъяснительную работу, о том какие глупости можно говорить и когда. :-)
Я думаю, девочка нечаянно сказала правду, но ее быстренько замяли.
Ну во первых это все же не официальная позиция компании, раз извинились. Во вторых, законы в разных странах разные, если где-то реверс-инжинеринг запрещен лицензией, то в других странах на него клали и поэтому Oracle следует принять его, как данность - проводить то всёравно будут. А в "развитых" странах будут использовать разделение реверс-инжинеринга между участниками, как всегда.Вызывает удивление такая глупость сотрудника. Руководству стоит подумать о его увольнении или понижении.
> Ну во первых это все же не официальная позиция компании, раз извинились.Это написала Chief Security Officer, директор по безопасности.
Когда директор по безопасности пишет "нам насрать на безопасность", мало что может переплюнуть такой вброс по эпичности.
> упомянула о запрете проведения обратного инжиниринга продуктов OracleВот так взяли и послушали ее! Что хочу, то и ковыряю. А информацию об уязвимостях можно анонимно предавать огласке.
> В ответ на попытки некоторых пользователей привлечь внимание Oracle
> к наличию неисправленных уязвимостей, им отправляются письма с указанием
> на недопустимость проведения изучения внутренностей продуктов."А у вас негров линчуют!"
Оракл - копирасты-либерасты!Добавлю, что они исправно берут деньги с наших компаний за техпотдержку, а когда надо что-то сделать отказываются мотивируя санкциями.
> Оракл - копирасты-либерасты!
> Добавлю, что они исправно берут деньги с наших компаний за техпотдержку, а
> когда надо что-то сделать отказываются мотивируя санкциями.Экое негодование папуаса на белолицых хренов с ружьями. Так это, у тоталитаристов, монархиств и прочих коммунистов было не меньше времени и ресурсов чтобы базы себе сделать. А они вот как-то попали в зависимость от упырей от оракла, не взяв планку сами. И потому вынужденно занося денег тем кто так может, в отличие от.
Вообще это просто "крик души" у CSO оракла.
У женщины накипело и она выплеснула эмоции.
И тут оказалось, что у неё не все в порядке с пониманием своей должности (а так же с ответственностью и, возможно, с головой).Это не показатель того, как вся oracle относится к дыркам.
Это показатель того, что совет директоров выбрал на должность CSO не самую подходящую (не самую ответственную) (да и не самую умную) кандидатуру.
Им нужно просто уволить CSO (и может быть и половину штата безопасников) и найти человека, который будет более адекватно подходить к этой работе.А в остальном да, это показатель, что даже самые крупные поставщики корпоративного ПО могут ложить наиогромнейший болт на проблемы безопасности своих клиентов.
И ещё и иметь наглость затыкать рот, ссылаясь на лизензионное соглашение, когда им явно указывают на дыру.
> Это не показатель того, как вся oracle относится к дыркам.Нет, вот извините. Когда это говорит CSO компании Oracle - это таки показатель отношения к дырам компании Oraclt.
> Это показатель того, что совет директоров выбрал на должность CSO не самую
> подходящую (не самую ответственную) (да и не самую умную) кандидатуру.А вот это уже внутренние половые трудности компании Orcale. А для всех остальных озвученное теперь и будет официальной позицией Oracle. Потому что такие решения на их головы будет прилунять такая CSO.
> Им нужно просто уволить CSO (и может быть и половину штата безопасников)Ну вот когда и если - тогда можно будет говорить про какое-то другое отношение оракла к дырам.
> и найти человека, который будет более адекватно подходить к этой работе.
А это уже ораклопроблемы. Остальных они колыхать не должны.