Microsoft: primi errori di gioventù per OneCare

[riccardosl45]

Non ha nessun senso giustificare Microsoft con la scusa che tanto è una BETA...

E' stato chiaro il portavoce di MS dicend che il servizio lasciato cosi di default per loro va bene così, non si parla di un bug ma di una scelta progettuale per facilitare gli utenti a discapito della loro sicurezza.

Trovo inutile che MS continui nel settore AV/Firewall/Antispyware quando i loro sistemi operativi hanno già fin troppi problemi da risolvere.

[mjordan]

Quote:

Originariamente inviato da k0nt3

ma.. c'è bisogno? se uno trova un modo per fregare la jvm o il sistema dei certificati ha contemporaneamente fregato qualche milione di utenti!
non è una mia opinione:

Ma per Java il discorso è un pò particolare però.
La maggiorparte dei programmi Java richiedono il JRE. Ora anlizzando il mercato, i programmi Java che uno potrebbe utilizzare sono principalmente due:

1) Ambienti di sviluppo.
Non sono programmi di rete ma, qualora si necessiti di aprire qualche porta per avviare qualche server per testare (ad asempio) una pagina in JSP o qualche servizio J2EE, la scelta dell'apertura è consapevole. Questo porterebbe l'utente di tali applicazioni comunque ad "aprire il firewall" verso Java.

2) Programmi di rete (per esempio P2P come ad esempio LimeWire o Azureus per i Torrent...).
In questo caso il firewall mi sembra scontato che fine fa da parte dell'utente...

Quindi, dove sta questa scelta "sbagliata a livello di progettazione"?
A me sembra chiaro che uno che ha un minimo di conoscenza per usare un firewall quantomeno ha anche la capacità di abilitare/disabilitare quello che ritiene opportuno.

Quindi io come scelta di default non la vedo per niente cosi cattiva ma anche abbastanza logica... Visto che poi le cose da preoccuparsi sono molte altre che una JVM.

[mjordan]

Quote:

Originariamente inviato da riccardosl45

Non ha nessun senso giustificare Microsoft con la scusa che tanto è una BETA...

E' stato chiaro il portavoce di MS dicend che il servizio lasciato cosi di default per loro va bene così, non si parla di un bug ma di una scelta progettuale per facilitare gli utenti a discapito della loro sicurezza.

Trovo inutile che MS continui nel settore AV/Firewall/Antispyware quando i loro sistemi operativi hanno già fin troppi problemi da risolvere.

Tu che sistema operativo usi?

[k0nt3]

Quote:

Originariamente inviato da mjordan

Ma per Java il discorso è un pò particolare però.
La maggiorparte dei programmi Java richiedono il JRE. Ora anlizzando il mercato, i programmi Java che uno potrebbe utilizzare sono principalmente due:

1) Ambienti di sviluppo.
Non sono programmi di rete ma, qualora si necessiti di aprire qualche porta per avviare qualche server per testare (ad asempio) una pagina in JSP o qualche servizio J2EE, la scelta dell'apertura è consapevole. Questo porterebbe l'utente di tali applicazioni comunque ad "aprire il firewall" verso Java.

2) Programmi di rete (per esempio P2P come ad esempio LimeWire o Azureus per i Torrent...).
In questo caso il firewall mi sembra scontato che fine fa da parte dell'utente...

Quindi, dove sta questa scelta "sbagliata a livello di progettazione"?
A me sembra chiaro che uno che ha un minimo di conoscenza per usare un firewall quantomeno ha anche la capacità di abilitare/disabilitare quello che ritiene opportuno.

Quindi io come scelta di default non la vedo per niente cosi cattiva ma anche abbastanza logica... Visto che poi le cose da preoccuparsi sono molte altre che una JVM.

1) perchè i virus in java non ti piacciono?
2) java permette di creare qualsiasi tipo di SW, non solo quelli che hai citato te!
3) dei certificati non hai parlato comunque

[The_misterious]

pessima la scelta della Microsft di lasciare libera la connessione alla vm..

[mjordan]

Quote:

Originariamente inviato da k0nt3

1) perchè i virus in java non ti piacciono?

Quali virus Java? Le applet ostili? Per le applet il problema non sussiste visto che di default con un'applet non si puo' fare niente di malefico grazie al concetto di "sandbox". E comunque le applet si disabilitano dal browser se proprio non ti piacciono. Se ti riferisci a StrangeBrew, esso dev'essere compilato nativamente per avere effetto. E quindi probabilmente li Java c'entra poco e niente. In ogni caso è pure roba vecchia. Per avere i comportamenti che ha avuto, ha sicuramente utilizzato JNI. E' comunque materia di un antivirus, non di un firewall.

Quote:

2) java permette di creare qualsiasi tipo di SW, non solo quelli che hai citato te!

Software che risiede nel ciclo di vita di una JVM.
E' rilevante "un qualsiasi tipo di software" al di fuori di quello che ho citato? Visto che ho citato "programmi di rete" che dovrebbero essere l'unico oggetto trattato da un firewall?
Cioè programmi che hanno in qualche modo a che fare con il mondo esterno? O dobbiamo citare i word processor per un firewall...

Quote:

3) dei certificati non hai parlato comunque

Cosa devo dire dei certificati? Che Microsoft si deve preoccupare delle questioni di Sun adesso?

Io non la vedo cosi critica come la si definisce, visto comunque che Java è comunque un componente esterno a Windows e chi lo installa, deve quantomeno capire come funziona e come si configura correttamente.

Se lo avessero bloccato, sono siuro sarebbero sorte altre polemiche. Tipo Microsoft vuole bloccare la diffusione di Java a favore di .NET ... Per favore...
Quello che devi capire è che Java non è un componente di Windows ed è pertanto corretto (secondo me) non bloccarlo di default.

[k0nt3]

Quote:

Originariamente inviato da mjordan

Quali virus Java? Le applet ostili? Per le applet il problema non sussiste visto che di default con un'applet non si puo' fare niente di malefico grazie al concetto di "sandbox". E comunque le applet si disabilitano dal browser se proprio non ti piacciono. Se ti riferisci a StrangeBrew, esso dev'essere compilato nativamente per avere effetto. E quindi probabilmente li Java c'entra poco e niente. In ogni caso è pure roba vecchia. Per avere i comportamenti che ha avuto, ha sicuramente utilizzato JNI. E' comunque materia di un antivirus, non di un firewall.

il fatto che non ce ne siano molti fino ad adesso non impedisce che nel futuro saranno di più (e più evoluti)

Quote:

Originariamente inviato da mjordan

Software che risiede nel ciclo di vita di una JVM.
E' rilevante "un qualsiasi tipo di software" al di fuori di quello che ho citato? Visto che ho citato "programmi di rete" che dovrebbero essere l'unico oggetto trattato da un firewall?
Cioè programmi che hanno in qualche modo a che fare con il mondo esterno? O dobbiamo citare i word processor per un firewall...

ho detto "tipo" di SW non "modalità con cui viene eseguito"! e per la cronaca anche i word processor possono comunicare con l'esterno ed essere fatti in java.. non mi sembra sia vietato!

Quote:

Originariamente inviato da mjordan

Cosa devo dire dei certificati? Che Microsoft si deve preoccupare delle questioni di Sun adesso?

no dovevi dire che si sopravvalutano se pensano che il sistema dei certificati sia perfetto!

Quote:

Originariamente inviato da mjordan

Io non la vedo cosi critica come la si definisce, visto comunque che Java è comunque un componente esterno a Windows e chi lo installa, deve quantomeno capire come funziona e come si configura correttamente.

pensa che io java l'ho trovato già installato nel mio portatile! inoltre è ormai vitale averlo!

Quote:

Originariamente inviato da mjordan

Se lo avessero bloccato, sono siuro sarebbero sorte altre polemiche. Tipo Microsoft vuole bloccare la diffusione di Java a favore di .NET ... Per favore...
Quello che devi capire è che Java non è un componente di Windows ed è pertanto corretto (secondo me) non bloccarlo di default.

guarda che adesso i firewall bloccano java di default, come qualsiasi altra applicazione! non vuol dire ostacolare java no? in più se permettono a .NET di comunicare di default commetterebbero un altro grosso errore!

[LukeHack]

Quote:

Originariamente inviato da mjordan

Comincia allora a spiegare le implicazioni, al posto di usare perennemente quel vocabolo. Siccome le tue non sono verità assolute, quanto meno degnaci del perchè.

ah xche adesso le implicazioni non sono chiare?

ed a proposito dei programmi "certificati"? vogliamo discutere anche della facilità con cui è possibile "certificare" un prg?

ma x favore! è uno schiaffo arrogante alla sicurezza,imho

[LukeHack]

a parte che le applet java sono "sendboxate" per modo di dire, perchè se la tale applet mi inizializza un socket col server remoto,ciò non viola assolutamente le policy delle applet java, e coi socket aperti è possibile fare tante cose poco carine: non vedo PERCHE' debbano essere lasciate via libera solo xche è un componente esterno a winzozz..

quello che mi stupisce, a volte, è che a fare queste sparate non siano solo utOnti, ma anche persone competenti

[LukeHack]

Quote:

Originariamente inviato da k0nt3

guarda che adesso i firewall bloccano java di default, come qualsiasi altra applicazione! non vuol dire ostacolare java no? in più se permettono a .NET di comunicare di default commetterebbero un altro grosso errore!

ovvio! però se domani mi installo il prg XXXDialaer.class, siccome è scritto in java e per di più è un componente ESTERNO a winzozz, allora OOOOK VAAA BENE via libera!

[mjordan]

Di alcune distribuzioni Linux non ci si lamenta però. Che di default lasciano aperto Apache, mySQL, Sendmail, ftpd e sshd.

[mjordan]

Quote:

Originariamente inviato da LukeHack

a parte che le applet java sono "sendboxate" per modo di dire, perchè se la tale applet mi inizializza un socket col server remoto,ciò non viola assolutamente le policy delle applet java, e coi socket aperti è possibile fare tante cose poco carine: non vedo PERCHE' debbano essere lasciate via libera solo xche è un componente esterno a winzozz..

Va bhè qua non ci sta proprio concezione di causa... Sandboxate per modo di dire...
Chiudiamo il discorso va...

[mjordan]

Quote:

Originariamente inviato da LukeHack

a parte che le applet java sono "sendboxate" per modo di dire, perchè se la tale applet mi inizializza un socket col server remoto,ciò non viola assolutamente le policy delle applet java, e coi socket aperti è possibile fare tante cose poco carine: non vedo PERCHE' debbano essere lasciate via libera solo xche è un componente esterno a winzozz..

Va bhè qua non ci sta proprio concezione di causa... Sandboxate per modo di dire... Cose poco carine con i socket di una apple C'hai pure l'I/O castrato con le applet...
Chiudiamo il discorso va che è meglio...

[Cimmo]

Quote:

Originariamente inviato da mjordan

Di alcune distribuzioni Linux non ci si lamenta però. Che di default lasciano aperto Apache, mySQL, Sendmail, ftpd e sshd.

lamentiamocene non e' un problema... le cose van dette come stanno!

[k0nt3]

Quote:

Originariamente inviato da Cimmo

lamentiamocene non e' un problema... le cose van dette come stanno!

infatti! ma in questa discussione si sta parlando di OneCare (già il nome è un programma ) e quindi mi lamento di MS! se lo lasciano così mettono in serio pericolo la sicurezza di milioni di persone (e non scherzo)

[LukeHack]

Quote:

Originariamente inviato da mjordan

Va bhè qua non ci sta proprio concezione di causa... Sandboxate per modo di dire... Cose poco carine con i socket di una apple C'hai pure l'I/O castrato con le applet...
Chiudiamo il discorso va che è meglio...

..colle eccezioni, col rpc, servizi di rete (UPnP) la microzozz lascia porte aperte a iosa,in più concede "licenze" sul firewall ad applicazioni ,dove nel corso degli anni si sono rivelate pericolose: vedi la scelta di abilitare il DCOM!! quella di rendere il netbios APERTO di default ecc...

i comportamenti di M$ sulla sicurezza di windows sono assurdi.
dire "ok,far passare la jvm è GIUSTO" per me, come per qualunque persona un minimo pratico di sicurezza, è un rischio clamoroso ...

[riccardosl45]

Quote:

Originariamente inviato da mjordan

Tu che sistema operativo usi?

Utilizzo principalmente windows 2000 Pro / XP Pro / Linux ( Mepis )

Cosa centra con il topic questo?

[-fidel-]

Quote:

Originariamente inviato da mjordan

Di alcune distribuzioni Linux non ci si lamenta però. Che di default lasciano aperto Apache, mySQL, Sendmail, ftpd e sshd.

Non sono assolutamente d'accordo. Hai elencato servizi che poco hanno a che fare con l'utente medio: penso che se un utente si mette ad installare questi programmi, forse conosce anche un minimo di sicurezza. Tutte le distro commerciale che ho avuto modo di provare NON installano di default Apache, mySQL ed ftpd. Anche se li installi volontariamente, questi 3 servizi NON vengono avviati di default, bisogna comuqne attivarli nei runlevels volontariamente. Sendmail viene installata ma non configurata, dal momento che il normale utente che usa Evolution o Kmail utilizza il POP3/SMTP integrato nella app, mica si mette ad usar sendmail...
ssh poi è un discorso a parte, mi sembra normale che sia aperto di default, stiamo parlando di un canale cifrato che garantisce (o dovrebbe garantire) il massimo della sicurezza. Ok, poi il buffer overflow è sempre dietro l'angolo, ma ssh è un po' diverso dalla JVM non trovi?
JVM invece è un prodotto che praticamente tutti gli utenti hanno, magari ce l'hanno installato e neanche lo sanno, ne consegue che il rischio sicurezza è decisamente più elevato.
Mi viene in mente una cosa: se ricevo una mail che contiene in allegato un bel giochino java, oppure un .exe che in realtà è un .class e lo eseguo, cosa succede? Vista la diffusione degli ultimi virus, non mi meraviglierei che inziassero a girare virus java in allegato...

[LukeHack]

Quote:

Originariamente inviato da -fidel-

Mi viene in mente una cosa: se ricevo una mail che contiene in allegato un bel giochino java, oppure un .exe che in realtà è un .class e lo eseguo, cosa succede? Vista la diffusione degli ultimi virus, non mi meraviglierei che inziassero a girare virus java in allegato...

quoto...
ma poi cioè, è talmente ovvio che davvero continuo a stupirmi

[-fidel-]

Quote:

Originariamente inviato da LukeHack

ma poi cioè, è talmente ovvio che davvero continuo a stupirmi

Sì ma io mi chiedo perchè questa scelta da parte di Microsoft? Sembra non avere molto senso, non credo proprio che non abbiamo pensato ai risvolti negativi in termini di sicurezza di questa scelta. Secondo me torneranno sui loro passi prima dell'uscita definitiva di OneCare.