Vlákno názorů k článku
Stažené OpenVPN konfigurační soubory mohou být nebezpečné od r - A na to Jacob Baines prisel az ted...

A na to Jacob Baines prisel az ted ze vsude tam, kde mame moznost spustit libovolnou akci, tak ze tam muzeme spustit fakt co chceme? To je sdeleni jak noha tohle. To je jak rici ze jsem prave zjistil ze chodit po ulici je nebezpecne. Boha jeho za co :/

Ne, to je jak říct, že když polezu na suchou hrušku, můžu změchnout dolů.

Pokud je něco opt-in a dokumentováno, tak je asi pro povolení důvod a dotyčný ví, co a proč dělá, je to OK.
A pokud to dotyčný neví, jeho problém.

S timhle nesouhlasim. Timto zpusobem se nikdy bezpecnosti nedockame. Nebezpecne features by meli byt explicitne zakazany a pri povoleni by mel byt zobrazen warning, ktery uzivatele varuje. Ne vsichni maji cas cist dokumentaci anebo mit prehled v bezpecnosti.

> Nebezpecne features by meli byt explicitne zakazany

Jsou, musíš je explicitně povolit pomocí --script-security.

Co bude příště? Stažená konfigurace sítě může být nebezpečná, lze nastavit post-up script? Stažená konfigurace PHP může být nebezpečná, jako sendmail lze nastavit libovolný program? Stažené systemd unity mohou být nebezpečné, mohou spustit libovolný program, smrt systemd!!1!?

Neděláš bezpečáka v korporátu? Tam nám vydali zákaz používání skalpelů. V případě, že ho někdo potřeboval, bylo potřeba sepsat jak a k čemu ho člověk používá, odeslat nadřízenýmu, ten to schválil a poslal na bezpečáky, kteří člověka podle jeho vlastního návodu proškolili a následně dostal dokument, opravňující zaměstnance k používání skalpelu.

"Nebezpecne features by meli byt explicitne zakazany a pri povoleni by mel byt zobrazen warning, ktery uzivatele varuje."
1) Jak zařídíš, že změna v /etc/firewall napíše po změně "pozor, otevření portu XY ven může propustit útoky z vnější sítě do vnitřní"? Udělá to editor? Musí editor rozumět všem volbám všech programů, který se jím dají konfigurovat? A budou muset po změně příkazu v konfiguráku nějakýho obskurního prográmku dělat úpravy všichni dodavatelé editoru?
2) Pokud to napíše firewall, kam to vyhodíš? Zaplavelíš si tím log (který lama stejně nečte) při bootu? Nebo to ukryješ pod boot screen? Nebo s tím budeš otravovat tak dlouho, až uživatel vygooglí návod, jak to přesměrovat (včetně chyb) do /dev/null a má klid?

"Ne vsichni maji cas cist dokumentaci anebo mit prehled v bezpecnosti."

Bylo jim 18? Mají občanku? Tak je to jejich problém, když se rozhodnou něco zfušovat, a následky ať si řeší, jak umí. Od nefunkčnosti přes škody jiným a trestní stíhání až po vlastní zdravotní stav. Je to jak s brzdama u auta, plynovodem,...

(něco potřebuju) && ((nemám na to čas) || (nemám na to schopnosti)) => zaplatím si odborníka

Petr M.:
Zapomínáš na drobný detail:
cizí nabořený server může být víc problém pro tebe, či pro komunitu, než pro toho dotyčného.
Jemu může být celkem ukradené, že jeho stroj rozesílá spam nebo někoho DDOSuje.

Necist dokumentaci a obhajit to nedostatkem casu je PRUDCE NEZODPOVEDNE. Ne vsichni maji co pohledavat u konfigurace openvpn, zejmena ti, kteri nevi co delaji. Stejne tak ne kazdy ma dostat rootovsky pristup na ssh, pokud nevi co dela. IT clovek ktery mysli jako vy a necte dokumentaci, nezjistuje co dela protoze nema cas, je aspirant na to, aby se firma, kde pracuje, ocitla z duvodu masivniho uniku citlivych informaci v likvidaci a uplne zanikla, dokonce nekolik lidi by mohlo jit kvuli zalobam do teplaku, do exekuci atd. Vy jako podrizeny mi tenhle argument rict, tak letite na minutu a ne na hodinu. To snad neni mozny toto ceho jsou dnes lide schopni a cim vsim jsou schopni to obhajit.

A ano .. osobne jsem pro automatizaci a i pro to aby software byl blbuvzdorny, ale na druhou stranu nemel by byt otravny a hazet klacky pod nohy. Kdyz uz stahnu neco z netu, a tyka se to konfigurace, kde vim, ze existuje moznost spousteni libovolnych prikazu, alespon se do ni podivam. Ostatne ten kdo neni schopen napsat tak trivialni vec jako je napriklad konfigurace openvpn rucne a rutinne a musi si stahovat neco neduveryhodnyho a ani se do tech par radku nepodiva je linej lempl a nema u takove cinnosti co delat.

No tak to teda potěš, aby mě systém se vším potenciálně nebezpečným obtěžoval otázkama.

(Tento javascript je potenciálně nebezpečný
Tato aplikace má přístup na disk
Tahle aplikace leze na internet
Tahle aplikace sahá na NTP) - chcete to povolit?

To by hodně rychle letělo z okna...

Tak zase já jako neIT totální amatér bych něco jako aplikační firewall, nebo nějakého podobného hlídacího psa uvítal

Konkrétně mít možnost kontrolovat nějak jednoduše třeba wine by bylo dobrý - zatím to řeším přes skupiny a uživatelé a podobně.