SQL Slammer: web-panic

[stefanotv]

x darksky e cdimauro

finalmente un commento decente e sensato,
invito i signori che scrivevano prima di voi ad andare a vedere quante vulnerabilita' hanno anche i vari oracle,apache,tomcat,mysql,bind... fatevi un giro su www.sans.org e poi vediamo,
l'unica differenza sta nel fatto che un admin unix ha determinate competenze e sa fare il suo lavoro, mentre chi installa microsoft lo fa pensando che basti avanti-avanti-fine, senza pensare poi che tanti clienti una volta installato il sistema non pensano che ogni tanto serva anche manutenzione (cosa che serve anche a qualsiasi server unix).

[magomerlano]

Sottoscrivo pienamente quello che dice cdimauro: aggiungo poi che zioBill facendosi pagare è obbligato anche ad offrire un supporto tecnico efficiente in queste situazioni. La patch per questa vulnerabilità di SQL è stata pubblicata a LUGLIO 2002... non capisco con quale facciatosta si possa incolpare Microsoft di quello che è successo IERI! Inoltre, lasciatemi dire che quando valuto da utente la bontà di un software, quello che mi interessano sono i "veri" bug, che impattano sulla funzionalità dello strumento. I vari "unchecked buffer" che rappresentano il 70% delle falle dei software MS non sono bug che mi fanno dubitare della qualità del prodotto, ma semplicemente causati da un approccio ingenuamente ottimista all'implementazione: è stato commesso l'errore di privilegiare la snellezza del codice rispetto al pararsi il culo in ogni modo possibile.

[cdimauro]

Spero anch'io che l'Open Source faccia dei passi da gigante, ma francamente non mi aspetto grossi miglioramenti in termini qualitativi. A volte la libertà è un lusso talmente grande da venire sprecato in maniera stupida appena si assaggia: vedi le innumerevoli versioni di Linux/BDS e la presenza di due GUI che si fanno la guerra, il tutto a scapito degli utenti...

[dataman]

Quote:

Originally posted by "Fater69"



Per commentare la news: purtroppo in ambito DBMS enterprise le alternative dominanti sono SQLServer e Oracle e quelle ci dobbiamo tenere finché le soluzioni free non diventano affidabili, NEL SENSO che ci siano delle entità di supporto specifiche. Alle ditte (che danno sempre più in outsourcing il loro reparto IT) piace avere un interlocutore preciso che ti risolve tutti i problemi, e questo a tutto il mondo OpenSource manca... o è ancora in fase di sviluppo.

SBAGLIATO !

http://www-3.ibm.com/software/data/db2/linux/idc.html

Lo studio non è dell'IBM è dell'IDC, una società di consulenza indipendente (viene spesso citata anche da Oracle o Microsoft).

Io sono obiettivo e dico due cose:

1) E' ovvio che se un hacker se la deve prendere con qualcuno se la prende con Zio Bill: è l'icona del software fuffa e dell'infocacca ! Dopodichè non tutto quello che Microsoft fa schifo (SQL Server sì però ), però è vero che i prodotti entreprise sono mediamente instabili.

2) Linux è una REALTA', fa una paura fottuta a Bill ed ai suoi. Non importa se è ancora giovane. Soltanto alcuni dati:
- il 33% dei siti web del mondo ha sotto Linux ed Apache
- Più di un milione e mezzo di developers in tutto il mondo nella comunità Open Source
- IBM, Oracle, HP, Sun, SAP, Siebel, Peoplesoft hanno effettuato il porting delle loro applicazioni mission critical su Linux
- Linux non è solo Intel, gira anche su OS/390, z/OS, zVM, AS/400, AIX, HP-UX.

....devo aggiungere altro ???

[Tasslehoff]

Vorrei innanzitutto invitare chiunque a lasciare da parte i fanatismi "Tux vs Win" ancora più inutili dei vari "Nvidia vs Ati" o "Intel vs AMD", sono sistemi molto diversi per cui il paragone va fatto con le "molle".

Purtroppo parlando di linux e Open Source c'è molta disinformazione, sia da parte del pubblico che da parte degli stessi addetti al lavori. Si può dire che linux dal pdv commerciale si sia appena affacciato sul mercato (soprattutto grazie agli sforzi di molti big, primo fra tutti IBM, e questo è innegabile...) e proprio per questo purtroppo molti utenti e addetti lo stanno utilizzando esattamente come windows, e in questo le installazioni super user friendly aiutano parecchio.
E' innegabile che i bug ci siano, sia nel software OpenS come in tutti gli altri software, così come gli exploit e tutto il resto, ma il saper amministrare sapientemente il tutto significa limitare i danni in buona percentuale e purtroppo con un uso di linux alla win (clicca avanti, avanti, fine...) tutto questo viene amplificato.

Questo però non vuol dire star tutto il tempo ad aspettare che escano patches e fixes come diceva qualcuno, il buon sistemista non è colui che patcha tutto il giorno, non è pensabile un approccio del genere, ne dal pdv tecnico ne dal pdv dei costi/persona. Il buon sistemista è colui che ottimizza la macchina, è colui che non spreca risorse, è colui che tiene sempre e cmq un backup e in caso di problemi li sa risolvere; certo, ci sono anche le patch però non è nemmeno immaginabile che uno riesca a star dietro a tutte...

Non sono d'accordo con chi dice che le alternative dominanti in ambito dbms sono solo oracle e sql2000, entrambi sono dei buoni dbms, oracle è troppo elefantiaco, sql2000 unisce la semplicità d'uso con parte della serietà di un dbms "serio", ma imho DB2 spacca entrambi, e casualmente esiste sia per Win che per Linux (e per Linux è risultato essere il dbms più performante...). Mysql è anch'esso un ottimo software, però soffre della mancanza di un supporto "appariscente" e queste cose in ambito aziendale si fanno sentire, purtroppo...

Infine per quanto riguarda le GUI di Linux non finirò mai di ribadire la mia tesi, sono cose che attualmente sono totalmente inutili. Su un server non mi sognerò mai e poi mai di installare ne KDE ne GNOME, al max ma proprio al massimo massimo tirato per i capelli installerò windowmaker, ma proprio se ne ho la stretta necessità...

Mi scuso per la lunghezza del post

[dataman]

Quote:

Originally posted by "Tasslehoff"

Vorrei innanzitutto invitare chiunque a lasciare da parte i fanatismi "Tux vs Win" ancora più inutili dei vari "Nvidia vs Ati" o "Intel vs AMD", sono sistemi molto diversi per cui il paragone va fatto con le "molle".

Purtroppo parlando di linux e Open Source c'è molta disinformazione, sia da parte del pubblico che da parte degli stessi addetti al lavori. Si può dire che linux dal pdv commerciale si sia appena affacciato sul mercato (soprattutto grazie agli sforzi di molti big, primo fra tutti IBM, e questo è innegabile...) e proprio per questo purtroppo molti utenti e addetti lo stanno utilizzando esattamente come windows, e in questo le installazioni super user friendly aiutano parecchio.
E' innegabile che i bug ci siano, sia nel software OpenS come in tutti gli altri software, così come gli exploit e tutto il resto, ma il saper amministrare sapientemente il tutto significa limitare i danni in buona percentuale e purtroppo con un uso di linux alla win (clicca avanti, avanti, fine...) tutto questo viene amplificato.

Questo però non vuol dire star tutto il tempo ad aspettare che escano patches e fixes come diceva qualcuno, il buon sistemista non è colui che patcha tutto il giorno, non è pensabile un approccio del genere, ne dal pdv tecnico ne dal pdv dei costi/persona. Il buon sistemista è colui che ottimizza la macchina, è colui che non spreca risorse, è colui che tiene sempre e cmq un backup e in caso di problemi li sa risolvere; certo, ci sono anche le patch però non è nemmeno immaginabile che uno riesca a star dietro a tutte...

Non sono d'accordo con chi dice che le alternative dominanti in ambito dbms sono solo oracle e sql2000, entrambi sono dei buoni dbms, oracle è troppo elefantiaco, sql2000 unisce la semplicità d'uso con parte della serietà di un dbms "serio", ma imho DB2 spacca entrambi, e casualmente esiste sia per Win che per Linux (e per Linux è risultato essere il dbms più performante...). Mysql è anch'esso un ottimo software, però soffre della mancanza di un supporto "appariscente" e queste cose in ambito aziendale si fanno sentire, purtroppo...

Infine per quanto riguarda le GUI di Linux non finirò mai di ribadire la mia tesi, sono cose che attualmente sono totalmente inutili. Su un server non mi sognerò mai e poi mai di installare ne KDE ne GNOME, al max ma proprio al massimo massimo tirato per i capelli installerò windowmaker, ma proprio se ne ho la stretta necessità...

Mi scuso per la lunghezza del post

Clap clap
Intervento da applausi

Concordo al 100%.

[dm69]

Guarda che chi deve essere seriamente preoccupato sono i tradizionali e costosi UNIX (SOLARIS, AIX, etc.). Infatti LINUX fornisce piu' o meno le stesse funzionalita' a costo (HW + SW) assai ridotto.
Non credo invece che gli utnti domestici possano essere interessati a Linux (se non per imparare qualcosa) perche' con WINDOWS possono giocare, editare documenti, andare su internet senza saper nulla di networking, script di shell, compilazione del kernel, etc..
E poi basta con questi toni da tifosi dell'informatica.
Per fare il tifo c'e' gia' il calcio!

[dataman]

Quote:

Originally posted by "dm69"

Guarda che chi deve essere seriamente preoccupato sono i tradizionali e costosi UNIX (SOLARIS, AIX, etc.). Infatti LINUX fornisce piu' o meno le stesse funzionalita' a costo (HW + SW) assai ridotto.
Non credo invece che gli utnti domestici possano essere interessati a Linux (se non per imparare qualcosa) perche' con WINDOWS possono giocare, editare documenti, andare su internet senza saper nulla di networking, script di shell, compilazione del kernel, etc..
E poi basta con questi toni da tifosi dell'informatica.
Per fare il tifo c'e' gia' il calcio!

1) Linux fa comodo a tutti perchè consente di abbassare il TCO (total cost of ownership): Per farti un esempio, se IBM implementa Linux su hardware AIX o hardware zseries si apre una bella fetta di mercato e mantiene il controllo sul ferro (che è quello che rende, mica il sistema operativo, suvvia !)

2) Chi se ne fotte di Linux a casa per giocare o per navigare!!!!!! Io parlo di applicazioni aziendali. Per giocare e per l'e applicazioni Office va benissimo M$ con i suoi Word, Excel e Powerpoint del caxxo ! Mi starebbe anche bene che M$ si tenesse il suo 90% del mercato PC per casa, ma sui server e sulle applicazioni verticali è meglio che stia fuori.

Adesso vedremo con .Net. Ti faccio una profezia: la implementeranno in tanti, tantissimi, e poi tutti torneranno indietro.
Tutti i fornitori di IT, anche acerrimi nemici tra di loro, concordano che la piattaforma di business del futuro si chiama J2EE. Solo M$ dice il contrario.

Cos'è, sono tutti dei citrulli ?

[Fater69]

Sì concordo che un buon sistemista non è colui che passa tutto il tempo ad aggiornare il sistema. E' colui che blocca tutte le porte inutili e configura bene il firewall, è colui che installa il meno possibile su una macchina ad IP pubblico, mettendo il DBMS su un'altra macchina non pubblica.......
All'inizio non capivo poi l'ho imparato di persona, prima di mettere una patch (SP compresi, per non dire di nuove releases) si aspetta del tempo per essere sicuri che l'aggiornamento non porti nuovi problemi a quello che attualmente fa il suo dovere. ...i buoni amministratori sono molto conservativi!!

[dm69]

Hai detto esattamente quello che ho detto io, a parte .Net e J2EE (che non c'entrano nulla nella nostra discussione su LINUX).

[ilboso]

vorrei avere io un SW brutto/schifoso/dim*rda e controllare il 90% del mercato.....

....tante volte credo sia un po' di invidia....

...e credo ce cmq sia obbligatorio distinguere l'ambito Home (giochi+word+forseExcel+internet) da quello Aziendale (DBMS, ecc.)

[dataman]

Allora siamo d'accordo.

Cmq J2EE e .Net c'entrano eccome. Cosa hanno attaccato gli hacker secondo te ? Hanno attaccato il database SQL Server di sito M$, che è sviluppato ed implementato con tecnologia .Net.

[dm69]

Non credo proprio che SQL server sia implementato con .Net dato che esiste da una vita mentre .Net esiste da pochi anni (inoltre non e' fattibile un RDBMS competitivo implementato con un linguaggio interpretato).
Probabilmente con .Net hanno implementato la parte WEB.

In ogni case .Net e J2EE, secondo me, sono solo delle mode e tra non molto verranno sostituite da altre mode.

[dataman]

x dm69

Ti consiglio di fare un giretto sul sito MS e guardare bene lo schema di implementazione di .Net.
Qualsiasi Application Server o portale(.Net, Websphere, Weblogic, etc..) si appoggia in un modo o nell'altro ai servizi di un RDBMS. Cosa credi che stia dietro a Yahoo, Tiscali, Lycos, Google, se non un database server ???

Non capisco poi in discorso del linguaggio compilato vs interpretato

Cmq, ti assicuro,faccio il consulente informatico da 11 anni, quindi parlo con cognizione di causa. Ho lavorato con quasi tutti i RDBMS esistenti, su Windows, Aix, Linux, Sun Solaris, AS/400, OS/390 e posso assicurarti che SQL Server è fragile e limitato.

[cdimauro]

Forse si riferisce alla velocità di esecuzione...

[dm69]

Allora, io con .Net intendo la famiglia di linguaggi C#, Visual Basic .Net etc. proposti da non molto da Microsoft. Questi sono linguaggi interpretati: cioe' l'ambiente di sviluppo non genera codice eseguibile ma byte code esattamente come Java. Quindi qualunque applicazione sviluppata con questi linguaggi ha delle performance fatalmente inferiori a quelle ottenibili da un pezzo di codice compilato in maniera tradizionale (non a caso i video giochi sono fatti in C o in C++ ed hanno alcune perti addirittura in Assembler).
Percio' quando dici che SQL server e' sviluppato ed implementato con tecnologia .Net significa che SQL server non e' una applicazione nativa ma una applicazione interpretata. Ora, considerato il carico di lavoro che mediamente un RDBMS server deve svolgere in un sistema informativo, credo che la tua affermazione sia inverosimile.

Ciao.

[magomerlano]

Assolutamente SQL Server NON è implementato con .NET !!
Ci mancherebbe che MS avesse imposto di installare in .NET Framework su ogni macchina su cui gira SQL.
Anzi, mentre molti altri prodotti Enterprise come Exchange verranno migrati su .NET (che poi significa migrare il codice da C/C++ a C#, in sostanza), è stato da tempo comunicato che anche la nuova versione di SQL (Yukon? non ricordo...) NON verrà migrata al fine di privilegiare le performance sopra ogni cosa: come si sa il C++ compilato è più performante di qualunque linguaggio interpretato, java o c# che sia.

[dataman]

Il deployment model di .Net prevede SQL Server come RDBMS di riferimento, così come Websphere prevede DB2 UDB, così come Weblogic prevede Oracle.

Nulla vieta poi di cambiare le carte in tavola e mettere Oracle o DB2 sotto .Net, basta che sia munito di un driver ASP/ADO e C# ufficialmente certificato da M$. Punto e basta. Il fatto è non conviene violentare un'architettura solo per il guto di fare diverso. Io non suggerirò mai ad un mio cliente che ha scelto .Net di togliere SQL Server e mettere DB2, o di togliere Exchange e mettere Domino, sarebbe come martellarsi le balle ! Piuttosto gli suggerisco, se è ancora in tempo, di valutare seriamente J2EE, dove la scelta è ampia: IBM, Oracle, BEA, etc... In questo caso si tratta di dettagli tecnologici di prodotti, non di architettura.

Il database è una commodity dell'architettura, ciononostante deve essere in grado di proteggere i propri dati. Non è mica colpa degli altri (IBM, Oracle, HP, Sun) se IIS, SQL Server, SNA Server, Exchange, Visual Studio, Internet Explorer sono pieni di backdoor che servono loro per comunicarsi tutta la fuffa ASP e ADO che viaggia sul TCP/IP di .Net...

[Tasslehoff]

Quote:

Originally posted by "Fater69"

Sì concordo che un buon sistemista non è colui che passa tutto il tempo ad aggiornare il sistema. E' colui che blocca tutte le porte inutili e configura bene il firewall, è colui che installa il meno possibile su una macchina ad IP pubblico, mettendo il DBMS su un'altra macchina non pubblica.......
All'inizio non capivo poi l'ho imparato di persona, prima di mettere una patch (SP compresi, per non dire di nuove releases) si aspetta del tempo per essere sicuri che l'aggiornamento non porti nuovi problemi a quello che attualmente fa il suo dovere. ...i buoni amministratori sono molto conservativi!!

Giusto per difendere un po' la categoria visto che ne faccio parte
Il problema è che non sempre è possibile fare tutto questo, spesso e volentieri un sistemista non ha il tempo e/o le risorse a disposizione (sempre scarse...) che permettono di fare le cose come si vorrebbe.
Spesso si da la colpa ai sistemisti, accollando a loro la responsabilità di configurazioni errate, illogiche o semplicemente azzardate, il problema è che abbiamo le mani legate...
Ok, ci sono anche gli incompetenti, come in tutti i campi e i lavori ci sono fannulloni e/o quelli che "se ne fregano", e la % di questi non è diversa da quella in tutte le altre categorie informatiche. Il problema è che il sistemista in italia non viene affatto considerato come una vera e propria figura professionale ma, a seconda delle occasioni, come una specie di guru oppure la maggior parte delle volte come un factotum...

Anch'io ho server IIS+SQL2000 tutti sulla stessa macchina, ma che ci posso fare? Il mio capo non vuole comprare un'altra macchina per tenere dbms e server web separati, ma mica ce la posso mettere io di tasca mia, già il mio stipendio sembra una barzelletta...

[dm69]

E questo cosa centra con la discussione?
Io ho risposto alla tua imprecisione riguardo alla implementazione di SQL server.
Credo che stai facendo confusione fra RDBMS e infrastruttura complessiva.
Ti ricordo che RDBMS e' il server che accetta ed esegue le interrogazioni SQL!