Vlákno názorů ke zprávičce Google přestává používat Windows kvůli bezpečnosti

Vetsi hloupost jsem neslysel od doby, kdy skoncila predvolebni kampan.
Nejsem ochoten verit tomu, ze Google opravdu povazuje Mac OS X za zabezpecnejsi, nez Windows. Podstatna cast jeho bezpecnosti vychazi z toho, ze je to minorita. Coz staci, pokud je vas hlavni strach „plosne nebezpeci“. Protoze je ale Google ohrozeny hlavne lidmi, kteri jdou po krku Googlu a ne vsem, tak by IMO mela dostat prednost spise bezpecnost postavena na vlastnostech samotneho systemu a tam Win vedou. (Abych predesel flame: rikam to z pozice cloveka, ktery pro svou praci i zabavu preferuje Mac OS X. O to vic mne stve laxni pristup Applu, ktery do ted nedodal trebas kvalitne zpracovanou randomizaci adresniho prostoru.)

Nevim jak je to s bezpecnosti Mac OS ale bezpecnost os windows je velice tristni, sam jsem s timto systemem bohuzel nekolik let pracoval …

Cemu rikate tristni? V posledni dobe (rekneme od Vist dal) mam dojem, ze musi byt ve vetsine pripadu uzivatel debil, aby se mu neco stalo. Vzdalenych utoku nebo situaci typu „samotne otevreni stranky staci k ziskani podstatnych prav“ docela ubylo (samozrejme ne na nulu, ale imo se s tim uz zit da). Mac OS X na tom ted nijak oslnive neni, mam dojem, ze tam docela chybi obrana do hloubky. (Coz samozrejme nic nemeni na tom, ze je bezny uzivatel z vyse zminenych duvodu ve vetsim bezpeci na macu.)

„Woknows“ mohou mít sebelepší zabezpečení, je to však na ho.no, pokud představují prakticky monokulturu. Ano, třeba i děravý „Masox“ je potom lepším řešením, protože na něj nefungují ty mechanizmy, které se odladily na homogenní většině. Ještě lepší pozici má „Linuch“, jenž je rozbitý na spousty různých distribucí. Z hlediska bezpečnosti nejlepší řešení.

To je pul pravdy. Pokud jste bezny uzivatel, ktery je ohrozeny hlavne tim, ze je na internetu, tak samozrejme pouziti nejakeho minoritniho reseni odstrani vetsinu hrozeb. Pokud jste nekdo, po kom jdou (a to je pripad Googlu), tak neni vas nejvetsi problem virus poslany mailem vsem (a tudiz win-only), ale utok, ktery je vam sity na miru. Pak „utek k minorite“ nepomuze. (Nepresny a tudiz lehce zavadejici primer by mohl byt zivot na vesnici. Je tam mensi kriminalita a jste proto vice v bezpeci, i pokud mate slabsi zamek. Pokud ale mate doma Rembranta, tak je pro vas dulezitejsi poradny zamek nez to, ze se v okoli casteji pohybuji drobni zlodejicci.)

Zase půl pravdy. Ten můj Rembrant bude na vsi v nebezpečí, pokud se s ním budu vytahovat. Pokud jsem Google a očekávám útok, je pro mě potenciálně rozbitá minorita (širé lány linuxových distribucí) výhodou vzhledem k tomu, že lze uvažovat o snadné migraci. A nemám na mysli jen jiné distribuce, ale i jádro a jednotlivé služby. Potom jako útočník budete mít problém zamířit. Monokultura Windows je perfektní tank stojící na otevřeném pahorku. Linux tak perfektní nebude, ale je pohyblivý – hůře se do něj trefuje, chce to podrobné informace o napadeném – běžící jádro, služby, verze programů atd. Ten útok musím nějak odladit … a když mi najednou změní konfiguraci postfixu, nebo ho nedejbože vymění za qmail, budu vymýšlet znovu. Kdepak, to je rozumné rozhodnutí. Sebelepší systém se dá prostřelit, bezpečnost se musí primárně zajistit jinak, než dokonalostí. Zdánlivě otázky mimo: V DNA se přes 90% kódu nepoužívá – k čemu tam asi je? Proč jsou potomci příbuzných rodičů častěji problémoví, než geneticky vzdálených rodičů? Proč se vybíjely ty spousty dobytka a drůbeže v uplynulých letech (myslím, že to lidstvu dost pohoršilo karmu)?

Myslím že kolega má pravdu.
Pokud jste terč, zlomí vám jakýkoliv systém, ať už je zabezpečený jakkoliv.
To co píšete o nehomogenním prostředí taky myslím nebude realitou. Každý rozumný správce sítě drží své uživatele na uzdě. Nikomu z nás by se nelíbilo opravovat Gentoo nebo třeba i nejaký klon BSD, když perfektně známe …(každý si dosaďte svou oblíbenou distribuci).
Dovedu si představit, že tam bude jedna až dvě podobné distribuce které používají stejné systémy (kompilované nebo balíčkové) se zapnutými updaty. Tedy jedna až dvě distribuce se stejnými nebo velmi podobnými verzemi.
Navíc je to podle mne opravdu nepodstatné. Když bude útočník vědět, že v Googlu používají Firefoxe na linuxu, tak si počká na nějaký takovýto nahlášený masitý bug co se bude opravovat řádově týdny a tehdy zaútočí. Možností je samozřejmě dalších Y.
Jinak řečeno, pravděpodobnost že lovec trefí vás mezi miliardami zajíců je mizivá. Stejně tak mizivá je ale pravděpodobnost, že na vás míří a mine. Můžete kličkovat jak chcete, pokud si usmyslel, že vás bude mít na talíři, dříve nebo později se tam ocitnete :-).

Mluvil jsem o Win vs. Mac. Aktuální stav bezpečnosti Linuxu ani karmu jsem nezminoval. A řeč tu nejde o konfiguracích postfixu, ale o životě na desktopu. (Btw: na serverech je G dle dostupných informací značně homogenní.)

Widle děravé vždy byly, jsou a budou! Je jen otázka času, kdy někdo vymyslí jak se dostat i do Sedmiček (visty už jsou, naštěstí, v podstatě chcíplá záležitost). Stále bude ale platit, že Windows s přístupem na internet jsou pro bezpečnost hlavně běžných uživatelů vražedná kombinace.

„bezpecnost postavena na vlastnostech samotneho systemu a tam Win vedou“ :-)) .. vedou, ale nad kym? :-)

no neviem. Kde sa hlavne hladaju backdoory? v produktoch plosne rozsirenych a nie v minoritnych. Tzn minoritny produkt moze byt deravejsi ako majoritny ale kedze je radovo menej crackerov zameranych na minoritne produkty defacto vychadza minoritny produkt ako bezchybny. Podla mna je idealny heterogenny system a ma vela vyhod (samo aj nevyhod – hlavne udrzbovych) oproti homogennemu. V praxi vid zaplatovanie IE vs Mozila FF a pozeraj hlavne zaciatok presadzovania FF. :o)

Takže jinými slovy říkáte, že BSD je na tom s bezpečností hůře než Windows?
Nebo jste jako správný programátor zase řekl něco trošičku nepřesně?

Řekl jsem jen, že je na tom lépe Win 7 než Sněžhart (pokud nejde o útoky směrované plošně na všechny). O jiných BSD si nejsem jistý. Třebas FreeBSD nemá dost podstatných bezpečnostních mechanismů, ale, na rozdíl od Windows a MAC OS X jsem neviděl mnoho textů, které by se jím zabývaly protože mne moc nezajímal.

Tak jako na *BSD, tak i na OSX běží (resp. může běžet) jail (zkus ‚man jail‘ na *BSD/OSX). Takže procesy běží naprosto odděleně a vzájemnou komunikaci určí správce, pokud je potřeba. Právě na jailu (a dalších součástech systému) je postavená bezpečnost BSD. Next a následně Apple (prakticky Velký Steve) tyto mechanismy převzaly. Pochopitelně jail se používá zejména na serverech, ale své opodstatnění má i jeho nasazení na desktopu – pokud je běžný uživatel paranoidní. V případě Google to určitě bude na masoxu norma.
‚FreeBSD nemá dost podstatných bezpečnostních mechanismů‘ – co je to za nesmysl? BSD komunita je poměrně malá, ale když napíšeš do vyhledávače ‚BSD jail‘, najdeš kvanta odkazů, mimochodem některé povedou na fóra o masoxu.