URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104140
[ Назад ]

Исходное сообщение
"Oracle пытается предотвратить выявление уязвимостей через за..."

Отправлено opennews , 11-Авг-15 22:06 
Мэри Дэвидсон, руководитель службы безопасности компании Oracle, опубликовала (http://arstechnica.com/information-technology/2015/08/oracle.../) в корпоративном блоге заметку (https://webcache.googleusercontent.com/search?q=cache:https:...), в которой упомянула факты запрета проведения обратного инжиниринга продуктов  Oracle с целью анализа наличия в них уязвимостей.


В ответ на попытки некоторых пользователей привлечь внимание Oracle к наличию неисправленных уязвимостей, им были отправлены письма с указанием на недопустимость проведения изучения продуктов, так как обратный инжиниринг запрещён в лицензионном соглашении. В заметке также указано на то, что 87% всех уязвимостей в продуктах компании выявляются сотрудниками Oracle, 3% - исследователями безопасности и 10% - клиентами.


Дополнение: Вскоре  заметка была удалена, а вице-президент Oracle прокомментировал (http://www.zdnet.com/article/oracle-to-sinner-customers-reve.../) удаление тем, что указанная в нём информация не отражает убеждения компании и отношения с клиентами.


URL: http://www.zdnet.com/article/oracle-to-sinner-customers-reve.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42768


Содержание

Сообщения в этом обсуждении
"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Sluggard , 11-Авг-15 22:06 

Лицемерненько. )


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Анончег , 12-Авг-15 01:08 
Что значит "лицемерненько"?

Правильно Оракл делает! Теперь хайкеры оракловские продукты не будут ревёрсить, а займутся конкурентами, ибо те не были против.

Такую тонкую игру понимать надо, это же передний край борьбы с уязвимостями!


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 12-Авг-15 03:14 
Размечтался то. Теперь хакеры будут сливать дыры на черный рынок, срубая в 10 раз больше денег чем жлобье из оракля может дать даже чисто теоретически. Ну а пользователи оракла окажутся между молотом и наковальней.

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено kakojto chel , 14-Авг-15 09:26 
сарказм анонимом был не оценён

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 16-Авг-15 01:13 
Извини, по моей статистике - Анончег слишком уж примитивный чтобы так саркастировать.

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 11-Авг-15 22:09 
87% уязвимостей это артворк редхета?

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Ещё один аноним. , 12-Авг-15 08:31 
Ты сделал мой день :)

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено anonimous , 12-Авг-15 09:47 
RH разрабатывает Oracle DB?

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 11-Авг-15 22:14 
Люди говорят нам что мы плохо работаем. Отвратительно!

"Oracle не приветствует выявление уязвимостей через обратный ..."
Отправлено ананим.orig , 11-Авг-15 22:17 
> руководитель службы безопасности ... опубликовала ... запрета проведения обратного инжиниринга продуктов Oracle с целью анализа наличия в них уязвимостей.

ЦРУ-шник бывшим не бывает.


"Oracle не приветствует выявление уязвимостей через обратный ..."
Отправлено правдоруб , 12-Авг-15 00:59 
>ЦРУ-шник бывшим не бывает.

А ещё их учат вертеть Конституцию на вертикали власти...


"Oracle не приветствует выявление уязвимостей через обратный ..."
Отправлено ананим.orig , 12-Авг-15 10:37 
Не конституцию, а конституции. Цру-шник по определению работает вне рамок законов, любых, включая основной.
Можете спросить у фиолетовой дыры например http://www.kaliningradka.ru/site_pc/region/index.php?ELEMENT...

"Oracle не приветствует выявление уязвимостей через обратный ..."
Отправлено 10й Брейтовский переулок , 12-Авг-15 08:17 
что ЦРУ, что КГБ - одних хрен.

"Oracle не приветствует выявление уязвимостей через обратный ..."
Отправлено Аноним , 11-Авг-15 22:19 
> Oracle не приветствует выявление уязвимостей через обратный инжиниринг

А они уверены, что злоумышленников это остановит?


"Oracle не приветствует выявление уязвимостей через обратный ..."
Отправлено Аноним , 12-Авг-15 12:15 
> А они уверены, что злоумышленников это остановит?

Они точно уверены, что это остановит законопослушных пользователей от попыток разобраться во внутренностях из продуктов, т.е. им, законопослушным-то, остается только верить маркетоидному бреду Оракля, а посмотреть, как оно там на самом деле устроено - низзя, Оракле не велит. А даже если и посмотрел - молчи в тряпочку, даже если ошибку/уязвимость высмотрел, иначе Оракле лицензию отозвет.
Естественно, тех, кто плевал с высокой колокольни на все эти лицензии, такой запрет остановить не может.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено A.Stahl , 11-Авг-15 22:22 
>В подтверждение представлена статистика, что

Неудивительно. С таким-то отношением к пользователям.
Скорее всего Оракл весьма масштабно ковыряется в пользовательских данных и было бы нехорошо если такое поведение всплывёт. Вы, базисты, лучше бы растиражировали эту "заметку". Что бы Оракл не говорил, но мнение "руководителя службы безопасности компании" не может сильно отличаться от настоящего (а не официального) мнения компании -- иначе руководитель просто не смог бы выполнять свои обязанности.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено ананим.orig , 11-Авг-15 22:28 
А вы что, не видели бывших фсб-шников на таких должностях?
Думаете у них по-другому? Пока вьедет, пока честь перестанет отдавать,..

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено правдоруб , 12-Авг-15 01:02 
>бывших фсб-шников

Литвиненко не встречал, про других не слышал.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 12-Авг-15 03:25 
> Скорее всего Оракл весьма масштабно ковыряется в пользовательских данных

Да тут даже у депутатов приступ адеквата наконец начался - до жирафов наконец дошло что микрософт оказывается [их] данные сливает, а маздай в куче госучреждений.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено АнонимХ , 12-Авг-15 09:23 
Да не смешите, адекватный депутат - это аксюморон. Система принимает людей только определенного склада ума, других же - либо деформирует под себя, либо отталкивает и не впускает.

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 16-Авг-15 01:15 
> Да не смешите, адекватный депутат - это аксюморон.

Ну, понимаешь, когда пи...ц приобретает вопиющий масштаб - может доползти даже до жирафа.

> определенного склада ума, других же - либо деформирует под себя, либо
> отталкивает и не впускает.

Однако кража данных АНБшниками - оказалась достаточно понятной перспективой даже для депутатов.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 12-Авг-15 14:35 
Это не приступ адеквата, это продолжение беснования "кругом враги". Просто в этот раз они умудрились наступить на собственные яйца, что не может не доставлять. Ждем продолжения банкета. Интересно, у мелкомягких хватит смелости затроллить этот паноптикум, или жадность все же победит?

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Коля , 12-Авг-15 16:32 
> Интересно, у мелкомягких хватит смелости затроллить этот паноптикум, или жадность все же победит?

Они надеятся на продолжение повсеместного стихийного юзанья виндоуз пользователями РФ несмотря ни на что, и они чертовски правы.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 16-Авг-15 01:25 
> Они надеятся на продолжение повсеместного стихийного юзанья виндоуз пользователями РФ
> несмотря ни на что, и они чертовски правы.

Ну так местные аборигены будут воинственно гравировать на ифонах угрозы в адрес США, но кирпич контролируемый из США на 100% ни за что не выкинут. Чудная у папуасов логика :)


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено анином , 12-Авг-15 16:36 
Деньги не пахнут, бро

"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 16-Авг-15 01:23 
> Это не приступ адеквата, это продолжение беснования "кругом враги".

Я как-то затрудняюсь записать АНБ в друзья. А зачем им меня защищать? Они американцев то защищают сильно некоторых, в ущерб всем остальным. А уж на жителей остальных стран они и вовсе в самом лучшем случае плевать хотели. Остальные варианты еще хуже.

Ну или для каких благих целей может потребоваться столь масштабная кража информации с компьютера пользователя? Это в любом случае потенциальная подстава.

> затроллить этот паноптикум, или жадность все же победит?

Не знаю. Я в этом вижу "одни м...ки клещатся с другими м...ками". Даже и не знаю кто из них мне менее симпатичен. Я бы предпочел развидеть и тех и других.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено GrammarNarziss , 12-Авг-15 10:43 
"Что бы Оракл ни говорил"

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено ананим.orig , 11-Авг-15 22:25 
> 3% - исследователями безопасности и 10% - клиентами.

Возможные комментарии:
* Вот на эти три процЭнта и живём
* угу, а могли бы и не сказать
* у-у-у — а сколько не сказали
* вот теперь и эта инфа стала достоянием абчественности, молодец безопасник.


"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 11-Авг-15 22:30 
Ну-ну, рано или поздно ситуация изменится и тогда Oracle не будет чем лицемерить.
Хоть БД у них хорошая, но высокая цена лицензии и закрытая архитектура играет не в их пользу.
Про историю с Java и OpenOffice я вообще умолчу.

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено A.Stahl , 11-Авг-15 22:36 
>    Про историю с Java и OpenOffice я вообще умолчу.

Ну с ОпенОфисом всё уже ясно, но Ява пока чувствует себя отлично.
Или это какая-то интересная история про "Java и OpenOffice"? Тогда рассказывай...


"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Ан , 11-Авг-15 23:00 
Ну с Java полностью потерять ситуацию не успели, но уже сейчас двойственная ситуация из-за OpenJDK.

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 12-Авг-15 04:48 
Так OpenJDK они же сами и разрабатывают. OpenJDK и Oracle JDK соотносятся так же, как Chromium и Chrome.

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 12-Авг-15 09:20 
Вообще-то, JAVA - это ключевой момент в корпоративном ПО Оракла, так что ява в хороших руках. OO - это просто профита некому там некому было, а так бы уже у всех была бы интеграция через StartOffice

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 12-Авг-15 14:57 
> OO - это просто профита некому там некому было, а так бы уже у всех была бы интеграция через StartOffice

Дело не в этом, если бы Oracle не пожлобился и отдал ОО в опенсорс, то вместо LibreOffice дальше бы пилили ОО, но уже как свободный проект. Вместо того пришлось развиваться под другим названием. А когда уже года как два не выходило ни одного обновления ОО, тогда Оракл спихнул ОО Apache.


"Oracle против использования обратного инжиниринга для выявле..."
Отправлено username , 11-Авг-15 22:42 
Хе хе хе, да вы что? Ну ок, расскажите это вирмейкерам, а мы то конечно можем положить на это дело, дольше исправлять будете

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено asavah , 11-Авг-15 23:16 
Ещё один довод чтоб держаться подальше от продукции оракл.

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 11-Авг-15 23:37 
Значит 100% всех уязвимостей вносятся сотрудниками Oracle, но они выявляют только 87%. А клиенты выявляют 10% уязвимостей, но не вносят не одной таковой.
Теперь понятно почему в мире OpenSource такого не бывает - там клиентам говорят спасибо, когда они уязвимости выявляют и даже разрешают клиентам самим вносить новые))

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 12-Авг-15 02:27 
Во-первых, уязвимости не считают в процентах - любая из них может привести к катастрофе для клиента и должна быть обнаружена. Во-вторых, такой подход приведёт к одному - вместо того чтобы сдавать уязвимости ораклу, их будут продавать на чёрном рынке. Впрочем проблемы оракла - благо для человечества.

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено КЭП , 12-Авг-15 03:16 
Мнение Oracle наплевать!

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено antixrict , 12-Авг-15 06:37 
походу oracle не хочет судьбы adobe. может они хотят клиентов на деньги поставить в очередной раз? мол если у клиента платный oracle и он занимаеться реверс инженеренгом и трахает суппорт. в целом не понятно кому и зачем это заявление.

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 12-Авг-15 08:34 
Да что не понятного?
Девочка "спорола глупость".
Главный начальник поправил, предворительно проведя с девочкой разъяснительную работу, о том какие глупости можно говорить и когда. :-)

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 12-Авг-15 10:50 
Я думаю, девочка нечаянно сказала правду, но ее быстренько замяли.

"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Читама , 12-Авг-15 09:38 
Ну во первых это все же не официальная позиция компании, раз извинились. Во вторых, законы в разных странах разные, если где-то реверс-инжинеринг запрещен лицензией, то в других странах на него клали и поэтому Oracle следует принять его, как данность - проводить то всёравно будут. А в "развитых" странах будут использовать разделение реверс-инжинеринга между участниками, как всегда.

Вызывает удивление такая глупость сотрудника. Руководству стоит подумать о его увольнении или понижении.


"Oracle против использования обратного инжиниринга для выявле..."
Отправлено XoRe , 14-Авг-15 15:06 
> Ну во первых это все же не официальная позиция компании, раз извинились.

Это написала Chief Security Officer, директор по безопасности.
Когда директор по безопасности пишет "нам насрать на безопасность", мало что может переплюнуть такой вброс по эпичности.


"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 12-Авг-15 12:46 
> упомянула о запрете проведения обратного инжиниринга продуктов Oracle

Вот так взяли и послушали ее! Что хочу, то и ковыряю. А информацию об уязвимостях можно анонимно предавать огласке.


"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Какаянахренразница , 12-Авг-15 13:15 
> В ответ на попытки некоторых пользователей привлечь внимание Oracle
> к наличию неисправленных уязвимостей, им отправляются письма с указанием
> на недопустимость проведения изучения внутренностей продуктов.

"А у вас негров линчуют!"


"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 12-Авг-15 16:08 
Оракл - копирасты-либерасты!

Добавлю, что они исправно берут деньги с наших компаний за техпотдержку, а когда надо что-то сделать отказываются мотивируя санкциями.


"Oracle против использования обратного инжиниринга для выявле..."
Отправлено Аноним , 16-Авг-15 01:28 
> Оракл - копирасты-либерасты!
> Добавлю, что они исправно берут деньги с наших компаний за техпотдержку, а
> когда надо что-то сделать отказываются мотивируя санкциями.

Экое негодование папуаса на белолицых хренов с ружьями. Так это, у тоталитаристов, монархиств и прочих коммунистов было не меньше времени и ресурсов чтобы базы себе сделать. А они вот как-то попали в зависимость от упырей от оракла, не взяв планку сами. И потому вынужденно занося денег тем кто так может, в отличие от.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено XoRe , 14-Авг-15 15:03 
Вообще это просто "крик души" у CSO оракла.
У женщины накипело и она выплеснула эмоции.
И тут оказалось, что у неё не все в порядке с пониманием своей должности (а так же с ответственностью и, возможно, с головой).

Это не показатель того, как вся oracle относится к дыркам.
Это показатель того, что совет директоров выбрал на должность CSO не самую подходящую (не самую ответственную) (да и не самую умную)  кандидатуру.
Им нужно просто уволить CSO (и может быть и половину штата безопасников) и найти человека, который будет более адекватно подходить к этой работе.

А в остальном да, это показатель, что даже самые крупные поставщики корпоративного ПО могут ложить наиогромнейший болт на проблемы безопасности своих клиентов.
И ещё и иметь наглость затыкать рот, ссылаясь на лизензионное соглашение, когда им явно указывают на дыру.


"Oracle пытается предотвратить выявление уязвимостей через за..."
Отправлено Аноним , 16-Авг-15 01:31 
> Это не показатель того, как вся oracle относится к дыркам.

Нет, вот извините. Когда это говорит CSO компании Oracle - это таки показатель отношения к дырам компании Oraclt.

> Это показатель того, что совет директоров выбрал на должность CSO не самую
> подходящую (не самую ответственную) (да и не самую умную)  кандидатуру.

А вот это уже внутренние половые трудности компании Orcale. А для всех остальных озвученное теперь и будет официальной позицией Oracle. Потому что такие решения на их головы будет прилунять такая CSO.

> Им нужно просто уволить CSO (и может быть и половину штата безопасников)

Ну вот когда и если - тогда можно будет говорить про какое-то другое отношение оракла к дырам.

> и найти человека, который будет более адекватно подходить к этой работе.

А это уже ораклопроблемы. Остальных они колыхать не должны.