Ораклобезопасность

http://www.theregister.co.uk/2012/08/30/oracle_knew_about_flaws/

Здорово ребята enterprise-уровень безопасности отрабатывают. Скоро как в СПО будет — «тебе надо, ты и пиши патч, а продукт априори идеальный».

Реклама
Ораклобезопасность

Ораклобезопасность: 22 комментария

  1. Svart Testare:

    Самый жир в том, шо уже низя списать всё на «троянцев и вирусы, которые хавают винду постоянно и везде». То есть, дыра в коде или в дизайне (всё равно в коде!), джава попрана, а винда как работала безотказно с дотнетом и своим UAC, так и продолжает работать. Слава Богу, что джавы на компе нет и не будет, Оракла, в принципе, тоже.

      1. Svart Testare:

        а шо, на компе только браузер? ТОНКО!!! :)))))))))

        1. Есть еще «безотказная винда с юаком». Какой смысл сравнивать с тем, чего нет.

      2. Вопрос вида «Можно ли хакануть винду нюком через айпишник».

        Константин, Вы бы почитали, что такое .NET. После будет проще про него и рассуждать, и предполагать.

        1. Всегда считал, что это CLR + набор библиотек. Специальнго сходил проверил, так и есть.

          Вот есть задача: подписать транзакцию в банк-клиенте. Все почему-то жрут кактус и используют жабу. Для браузеров нет безотказного плагина, который может выполнять CLI код.

          1. Этот код должен работать на куче ОС и архитектур, под все ОС будете сами его писать? А интерфейс, который дёргает смарткарту, тоже? Для кросплатформенности Java безальтернативна.

          2. Хороший у Вас подход, глубокий. «Нагуглить в принципе за пять минут, всё и так понятно».

  2. Будет много криков, если сквозь эту дыру уведут деньги из банк-клиентов.

    1. Нет не будет, уводят уже (прямо сейчас), слышите крики?
      Тем более ситуация неоднократно повторялась.

      1. Представляю себе банк-полностью-на-линуксе, действующий в не соответствии с законодательством, а в рамках Приказов секты FSF и речей штульмана.

        — Здравствуйте, у меня с карточки сняли деньги
        — ХАХА ЛОХ БЫДЛО УРОД
        — Но у меня застрахован вклад, и я работал через Ваш сайт, который вчера в очередной раз успешно взломали…
        — САМ НАПИШИ СЕБЕ САЙТ ЛОШАРА КРИВОРУКАЯ, НЕОСИЛЯТОР, А У НАС ВСЁ ИДЕАЛЬНО РАБОТАЕТ, ТЕБЯ ПОДКУПИЛ ЛИЧНО БАЛЛМЕР

  3. На самом деле это создаёт серьёзные проблемы, например, в области дистанционного банковского обслуживания, где обычно для электронной подписи нужен java-аплет или вообще весь клиент на java.

    1. Именно. Я в своё время поэтому счета фирмы перетащил в Альфа-Банк, там без явы всё сделано и без установки доп.софта. IE достаточно.

      1. Ну тут позволю не согласиться, защитить компьютер элементарно (достаточно операционки с Win XP SP3+ (или иной любой имеющей фаервол на борту) и не ходить никуда, кроме как на сайт банка — всё вирус вы не подхватите).
        Кстати, в Альфа-клиент Online для электронной подписи и поддержки кртиптотокенов как раз java и используется, так что мимо.

        А об отношении к защите своих собсвенных систем в альфабанке красноречиво говорит отчетик так, что меняйте банк снова https://www.ssllabs.com/ssltest/analyze.html?d=https%3A%2F%2Fibank.alfabank.ru%2FALFAIBS32%2F )))

          1. O_o как сбер они тоже сделали? «Подпись» одноразовыми SMS паролями. (((
            Схема простая тут, делают поддельную довернность, симку получают и вперёд. Слив, кого доить идёт через банк (про альфу не скажу, не копенгаген, но это наиболее простой способ поиска жертвы в подобного класса системах).

            И, да, только в сапорт им не пишите и не сливайте, что у них SSL/TLS не настроен на серверах, а то так удобно на этот отчет ссылаться. )))

      2. А про пересогласование, тут не на вас атака может быть направлена, а вы в нужное время не сможете использовать сервис.

          1. Дык, кто бы сомневался, но как я говорил ранее нет ничего сложного в том, чтобы оградить JRE от соблазна скомпромитировать систему. И это нужно делать, даже в том случае, когда нет публично известных багов. Веб приложения + SMS так себе для небольшого бизнеса сгодиться, дично мне удобнее работать вот так https://ibank2.ru/1c.html или вообще через сквозную интеграцию.

    1. Например тот, у кого бизнес-приложения есть на предприятии, которые на Java написаны. Не у всех же, как у линуксдетей, цели «во вконтактик чтобы залогиниться и чтобы уведомления оттуда приходили». Некоторые на компьютерах ещё и работают.

Обсуждение закрыто.