Atomot nekik... atomot a bestiáknak!

https://www.coreinfinity.tech

aztán valami durvát is.

Tudod, mit jelent az, hogy nemezis? Az érintett, erősebb fél kinyilatkoztatása a méltó büntetés mértékét illetően. Az érintett fél jelen esetben egy szadista állat... én.

Mekkora mosakodás (és burkolt fenyegetőzés) lesz ebből

/// Nekünk nem Mohács, de Hofi kell! /// Szíriusziak menjetek haza!!!

Kell idő újabb biztonsági rések nyitásához az NSA-nak, addig is maradnak a régiek.

Inkább arra lenne szükség, hogy végre a szoftverfejlesztő cégek is felelősséget vállaljanak a termékükkel kapcsolatban, ahelyett, hogy 50 oldalas EULA-kban a felhasználó önként lemond minden jogáról, kártérítési lehetőségéről a cég meg "lemond" a kötelességeiről.

Ebben az esetben például be kellene jelenteni a sebezhetőséget egy állami szervezetnél is és ha a fejlesztő X napon belül nem javítja ki, komoly büntetést kapna.

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

Oracle. Ennyi.

Fotóim és kalandjaim a világ körül: https://www.facebook.com/fmartinphoto/

Nézd, az se maradhat hogy ma amikor egy ilyen biztonsági lyuk dollármilliárdos károkat okozhat (gondolj pl. a banki, tőzsdei, bankártya rendszerekre) egy szoftverfejlesztő cégnek jelzik hogy létezik egy sebezhetőség a rendszerükben, elmondják hogy mi az és hogy lehet kihasználni és a cég magasról tesz a javítására. Jellemzően a legtöbb ilyen hiba nem igényli óriási mennyiségű kód megváltoztatását, vagyis hamar megtalálhatnák és javíthatnák, de nem teszik, mert valami barom döntéshozó rossz székben ül a cégnél.

Nem lehet hogy minden más termékre nagyon szigorú előírások vonatkoznak, míg a szoftverekre semmi. A szoftverek egyre jobban átveszik a hardverek helyét és nem kellene megvárni, míg egy nagyobb katasztrófa mutatja meg a helyes irányt.

Igen, azt a fejlesztőt aki nem javítja ki a szoftverei ismert hibáit azt felelőségre kell vonni.
Azt a rendszer-üzemeltetőt, aki figyelmen kívül hagyja az IT biztonságot, felelősségre kell vonni.

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

Nagy +1.

https://www.coreinfinity.tech

Gondolom te nem szakmabeli vagy. Ha ilyen kötelezettség terhelné a szoftverfejlesztő cégeket, azonnal bezárna a legtöbb és a maradék iszonyatosan megemelné az árait (nem mintha most olyan olcsó lenne minőségi szoftvert fejlesztetni). Annyira összetett még a legegyszerűbb szoftver is és annyi mindentől függ a működése, hogy egyszerűen nem lehet garanciát vállalni.

Persze, egyből nem lesz tökéletes a szoftver, de a bejelentett hibákat illik javítani, főleg, ha azok súlyos biztonsági rések.

Jester

Mennyi ideig? Az örökkévalóságig? Szokás garanciát vállalni, de csak bizonyos ideig és nem úgy, hogy mindenféle elmaradt hasznot kifizet a fejlesztő (cég), ha ilyesmit okozott egy bug.

Ha szakmabelinek mondod magad, akkor gondolom tudod, hogy létezik szoftveres jótállás, valamint annak lejárta után általában support-szerződések, amikben meghatározott SLA-k vannak a hiba kivizsgálására és kijavítására.
Bezárna sok cég? Sokra rá is férne, mert egyszerűen kutyaütők.
S ha szakmabelinek mondod magad, akkor gondolom nem kell bemutatnom az Oracle-t, annak üzletpolitikáját és annak hibajavítási supportját. Az IT világ fekélye.

Fotóim és kalandjaim a világ körül: https://www.facebook.com/fmartinphoto/

Addig, amíg tart a szoftver supportja. Ha az elmaradt hasznot nem is, de az üzletmenet megakadásából eredő kárt mindenképpen ki kéne fizetnie a gyártónak.

Nonszensz, hogy kritikus hibákat simán megúsznak a gyártók, mert így semmi nem ösztönzi őket arra, hogy törekedjenek a minél jobb minőségű, kevésbé sebezhető szoftver elkészítésére.

Bezárna az Adobe, a Microsoft és az Oracle? Lehet, hogy jobban járna az IT-világ...

[ Szerkesztve ]

https://www.coreinfinity.tech

Én sem kedvelem az Oraclet és akkor még finoman fogalmaztam. Viszont a "legyen tökéletes vagy fizetsz minden veszteséget, elmaradt hasznot amit a hibák okoznak" hozzáállás sem működik. Az ügyfelek szeretnek évekkel később újra felbukkanni és követelni, hogy a fejlesztő javítsa ki a hibát, esetleg inkompatibilitási problémát az új environmenten.

Az előbb írtam, hogy SLA, nem?

Fotóim és kalandjaim a világ körül: https://www.facebook.com/fmartinphoto/

Nem érted, hogy én Tigerclawnak, illetve a hozzá hasonlóan gondolkodóknak írtam, amit írtam? Azoknak, akik szemmel láthatóan nincs sok közül a dologhoz és nem értik, miért nem lehet a szoftverfejlesztést a cipőgyártáshoz hasonlítani. De úgy tűnik te direkt nem érted azt, amiről én beszélek.

Ha az elmaradt hasznot nem is, de az üzletmenet megakadásából eredő kárt mindenképpen ki kéne fizetnie a gyártónak.

Nejazemberekfizessékmeg sokadik felvonás.

Lehet kiterjesztett szerződésekkel nyomulni a szoftvercégeknél supportra és károkra/elmaradt izékre vonatkozóan, de az ilyen szerződések annyiba is kerülnek.

Ha izomból megpróbálja ezt valaki úgy generalice ráerőltetni a szoftvercégekre, akkor a többi licenc is annyiba fog kerülni.

Nem akarod te azt megfizetni.

[ Szerkesztve ]

/// Nekünk nem Mohács, de Hofi kell! /// Szíriusziak menjetek haza!!!

Generalice addig nem lehet rálőni a szoftvergyártókra, amíg felülről nem érkezik nyomás rájuk.

https://www.coreinfinity.tech

pont ma törölte el az eu a roamingdíjakat. nem hinném, hogy annyival drágább lenne holnaptól a telefonálás, ahhoz túl sokszereplős a piac, hogy árakat tudjanak emelni.

Tudod, mit jelent az, hogy nemezis? Az érintett, erősebb fél kinyilatkoztatása a méltó büntetés mértékét illetően. Az érintett fél jelen esetben egy szadista állat... én.

aki azt a marhaságot meri kitalálni, hogy bárkit is felelősségre vonjanak olyanért, ami nem az ő hatásköre, azt kellene bezárni.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

generalice abszolút és teljesen téves az az elképzelés, hogy a sok szereplő közül egyet kell kiragadni és azt megbüntetni, a többi meg:
a./ röhög a markába
b./ jogászállamban újabb lehetőséget lát a jogtalan gazdagodásra.

ébredjünk már fel, a biztonság nem egyszereplős műsor!

"Ha az elmaradt hasznot nem is, de az üzletmenet megakadásából eredő kárt mindenképpen ki kéne fizetnie a gyártónak.": ha az üzletmenet elmaradásából eredő kár azonosan egyenlő az elmaradt haszonnal, akkor pontosan mi itt a kérdés?

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Lehet igazad van csak ez nem tudom hogy releváns. Arról volt szó, hogy a szállító a saját termékét supportálja és javítsa ki a hibákat, ill. működjön közre a megfelelő üzembe helyezésnél / üzemeltetésnél.

(#10) Protezis
Folytatva a játékot, gondolom nem szakmabéli vagy mert akkor tudnád, hogy minőség az csak elvetve van főleg a nagy cégeknél sajnos nincs olyan magyar cég ami egy Oraclet rá tudna bármire bírni.

[ Szerkesztve ]

-= QFR mx blue / HPE87 mx brown / QFR mx red / Poker 2 mx blue / Poker 3 mx clear / Leopold FC660M mx silent red=-

Nem lehet garanciat vallalni arra, hogy egy adott szoftver ami masik 3 al kommunikal mig egy negyedik operacios rendszeren fut annak ne legyenek gyenge oldalai. Es utana majd jon a huzavona hogy ez azert volt mert a felhasznalo upgradelte a javat, php-t anyam tyukjat.
Ezt akkor lehet garantalni ha dedikalt alkalmazas dedikalt kornyezetben fut. Igy viszont marha draga lenne mert minden egyes alkalmazashoz adott szeparalt szoftverkornyezet kellene. Szoval nem akarod ezt te megfizetni...

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Miért röhögne a többi a markába? Rájuk ugyanúgy vonatkozna a szabályzás, más résztvevőkre meg már vonatkozik is, pl. a kiberbűnözőkre. Valószínűleg az alkalmazott sem éri meg a másnapot, ha egy "kattints ide, ha látni akarod rihannát meztelenül" linket megnyit, a cég rendszere meg összeomlik. Röhejes, hogy fizetsz a szoftverértés nem kapsz semmilyen garanciát. Nem a program hibátlan működésére gondolok, mert nyilván ez nem lehetséges, de mondjuk a biztonsági szempontból kritikus hibák erősen korlátozott időtartamban történő javítására, azon kívüli időtartamban pedig kártérítési kötelezettségre.

De ha van más ötleted, szerintem szívesen vevő rá minden nagy szoftvercég. A biztonság nem egyszereplős műsor, mint ahogy a fejlesztőcégek sem vonhatják ki magukat alóla. Mindenki más rábaszik, csak ők nem.

https://www.coreinfinity.tech

Ez volt a mondat, amire reagáltam: "Azt a rendszer-üzemeltetőt, aki figyelmen kívül hagyja az IT biztonságot, felelősségre kell vonni.". a rendszer-üzemeltetőnek van a legkevesebb ráhatása az it biztonságra, és ezt már egy korábbi hsz-emben is kifejtettem, amitől összedőlt a világ...

felhasználói szempontból meg az van, hogy a júzer egy rendszert akar és azt, hogy az kompletten működjön. ehhez van kismillió komponens, a processzortól kezdve, amelyik nem tud összeadni, az oprendszeren keresztül, amelyik kékhalálozik, ha nem a megfelelő driver és driververzió van fent, a videokártyán át, amelyik fagy, ha nem vesznek vissza az energiamenedzsmentjétől, az alkalmazáson át, az internetes infrastruktúráig Micikén, a titkárnőn keresztül az agyhalott portálfejlesztőig, aki totálkommanderrel tölti fel a szájtot.

ez mind focizik biztonság téren. és akkor ebből egyet, az egy darab üzemeltetőt, akinek a főnöke nem ad elég pénzt, de legalább hülye elvárásból van bőven, mindent tegnapra, és a munkaköri leírása kicsit bővebb, mint a wikipédia teljes informatikai szekciója, kiválasztasz és azt büntessék meg.

marhaság.

az egy másik kérdés, hogy egy bejelentett hibára anyázással válaszolni rossz ómen, csak itt pár hozzászólás már általánosított, és nem csak az oracle szájaszélét akarja elkenni ezen konkrét hibák kapcsán, hanem mindenkiét.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"Nem érted, hogy én Tigerclawnak, illetve a hozzá hasonlóan gondolkodóknak írtam, amit írtam?"

(#15) Protezis válasza .mf (#13) üzenetére
Aha.

"De úgy tűnik te direkt nem érted azt, amiről én beszélek."

Már bocs, de aki a support-szerződések és SLA után egy olyat beír, hogy
"Viszont a "legyen tökéletes vagy fizetsz minden veszteséget, elmaradt hasznot amit a hibák okoznak" hozzáállás sem működik. Az ügyfelek szeretnek évekkel később újra felbukkanni és követelni, hogy a fejlesztő javítsa ki a hibát, esetleg inkompatibilitási problémát az új environmenten."
-- már megbocsáss, de szerintem te nem érted, miről van szó.
1. Az SLA pont arról szól, hogy mindkét fél tudja, hogy olyan, hogy tökéletes, hibamentes, nincs; de a szállító felelősséget vállal, hogy x időn belül kivizsgálja és y időn belül elhárítja a hibát, hogyha az az ő szoftvere miatt van. Ha ezt nem tudja teljesíteni, akkor sem minden veszteséget, hanem max. egy kikötött kötbért fizet (vagy ő vagy a biztosítója a felelősség-biztosítás révén. Ha nem, akkor egy nagyon rossz szerződést kötött és nagyon pancser cég).
2. Vége a szavatossági időnek, support-szerződésnek, akkor az ügyfél követelhet, de hiába, a szállítónak már nincs kötelezettsége.
3. Az új environment meg főleg, mivel azt jobb helyeken a projekt kezdetekor kikötik, hogy milyen környezetben működik, tehát ettől eltérni change request.

Fotóim és kalandjaim a világ körül: https://www.facebook.com/fmartinphoto/

Jelenleg még nem akarnánk elkenni az Oracle szája szélét (nem mellesleg egyébként ráférne), hanem olyan szabályzást, ami a fejlesztőket is érdekeltté teszi a kritikus hibák megelőzésében, mielőbbi javításában.
A rendszerüzemeltetőt meg ne csak a rencergizdára értsd, hanem a cégre is, aki alkalmazza.

[ Szerkesztve ]

https://www.coreinfinity.tech

A rendszeruzemelteto es a ceg biztonsag menedzsmentel foglalkozo uzemeletetoi ket kulon allatfaj.
Azt kell sajnos mondanom ( tisztelet a kivetelnek ) hogy egy atlag rendszeruzemelteto kb szart se tud illetve csak az alapokokat rendszerbiztonsagi kerdesekrol. Pedig elvileg vizsgazik belole csak eppen alkalmazni felejti el...

Ha meg elkezdjuk feszegetni, hogy ezt miert nem igy ugy ( meg ha van is eszkoz ra a kezeben ) akkor jon a nincs ra ido meg ez bosszantja a usert es hasonlo remek kifogasok.

Nalunk relative sok penz van ilyenekre es kuzdunk is mint diszno a jegen hogy olyan legyen a vallalati kornyezet ami megfeleloen biztonsagosan mukodtetheto es meg igy is hatalmas falakba utkozunk neha cegen belul es kivul.

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Az nagy kötelezettség, hogy a szoftver fejlesztőjének ki kell javítania egy mások által már megtalált, dokumentált sebezhetőséget?

Az a baj a világgal, hogy a hülyék mindenben holtbiztosak, az okosak meg tele vannak kételyekkel.

mindig a fejétől büdösödik a hal.
nem a rendszergazdák fejében kellene elsősorban rendet rakni, hanem a főnökök meg az aláírásra jogosultak fejében...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Értem mit mondasz de nem, ha ő üzemelteti a rendszert, nagyon sok befolyása van rá. Pl más észre sem veszi a problémákat amikről ő tud a napi munkája miatt (és egy részét ő generálja).

-= QFR mx blue / HPE87 mx brown / QFR mx red / Poker 2 mx blue / Poker 3 mx clear / Leopold FC660M mx silent red=-

ez egy szép eszme, a való élet meg úgy működik, hogy irogatod az emaileket a főnöknek, hogy milyen problémákat látsz, ő meg tesz rá magasról.
ez mindaddig tart, amíg rá nem gyújtja a házat valaki, akkor csinálnak egy látszatmegoldást ócsóér', hazudnak valamit a publikumnak, és el van intézve.

én a rendszer üzemeltetője alatt rendszergazdát értettem, nem a céget, amely számára üzemeltetik, a rendszergazdának minimális, a szükséges alatti befolyása van a dolgokra.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Vagy esetleg írogatsz a rendszergazdai csoportnak aki magasról leszarja és továbbra is root csordauserrel telnetezik be. Nem tudom miféle példákat ismersz de amit mondasz nem realisztikus, én mást tapasztalok.

-= QFR mx blue / HPE87 mx brown / QFR mx red / Poker 2 mx blue / Poker 3 mx clear / Leopold FC660M mx silent red=-

lássuk be: a főnök-rendszergazda viszony nem szimmetrikus. ha a főnök el akar érni valamit, kiadja ukázba. ha a rendszergazda, akkor felveti, hogy probléma van.

mindenféle példát ismerek, probléma nem ott szokott adódni, amikor a rendszergazda szól és a főnök elfogadja és intézkedik, hanem ott, ahol falra hányt borsó minden figyelmeztetés. olyat nem sokat láttam, hogy a főnök ne bírná keresztülverni az akaratát. a legrosszabb tapasztalatom az, amikor a főnök úgy gondolja, hogy a nagyon egyenlő felhasználók érdekei fontosabbak, mint a törvény meg a cég érdekei, és leugatja a rendszergazdát. ilyen helyzetekből csak akkor van kiút, ha külső tényező rádgyújtja a házat (v.ö: akkor lép csak, ha már ég a ház című szólás) vagy minden mindegy alapon ráborítod a telefonközpontot.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Én meg olyat tapasztalok, hogy a rendszergazda (a te értelmezésed szerinti rendszergazda, tehát a domain admin jogosultsággal jelentkező üzemeltető arc) nagy ívben tesz a biztonságra, a Windows szervert default beállításokkal használja, arra lusta hogy normális csoportházirendet alakítson ki, a fájlszerveren is mindenki mindent elér mert azt a legegyszerűbb beállítani stb. És ehhez semmi köze sincs a főnökének, vagy a nagyfőnöknek. Van ilyen is.

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

de ha a főnök elhatározza magát, akkor ez a helyzet kezelhető.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ja, hát szervezet függő. Kis cégeknél a biztonság eléggé utolsó szempont, sokszor jogosan. Az alap best practiceken kívül többnyire nincs is másra szükség. te biztonságtudatos rendszergazdáról írsz, az lehet, nem ismerem a helyzetet, olyat nem láttam...

-= QFR mx blue / HPE87 mx brown / QFR mx red / Poker 2 mx blue / Poker 3 mx clear / Leopold FC660M mx silent red=-

Ennyire ne legyél már értetlen. Másnak írtam, erre te közbevágtál. Amit neked címeztem, azt neked címeztem, amit nem, azt nem.

#33: Igen.

#25: Kérlek definiáld a minőséget, utána majd vitázhatunk erről. Egyébként pedig kíváncsi lennék, hány multinál dolgoztál, hogy levond ezt a konzekvenciát.