LINUX.ORG.RU
ФорумTalks

Microsoft Exchange юзают все, кому не лень

 ,


0

0

Эй, вендузятники. Там этот ваш мс обделался и его поделие, вместе клиентами имеют во все щели уже самые последние собаки. Даже самое страшное опенсорц решето рядом с этим цикром смотрится как бетонная стенка. Оправдывайтесь. Ваш бог обосрался.

★★★★★

Последнее исправление: crutch_master (всего исправлений: 1)

Без выездной сессии на винфак не получится. Виндузятники тут конечно же есть, но идейных сторонников ms exchange тут врядл ли много наберётся

Harald ★★★★★
()
Ответ на: комментарий от Harald

идейных сторонников ms exchange тут врядл ли много наберётся

Я не идейный, но после Lotus Notes Exchange просто манна небесная!

cocucka ★★★★☆
()

вендузятники

в последний раз как с ними общался, мне 2 человека объясняло что у них на почтовые ящики нет паролей, «оно само» – говорили они, а на вопрос «а как в веб инетфейс попасть» говорили: «а нам не нужно».

что с таких спрашивать

Shulman
()

Можно в фейсбуке рекламу купить и разместить туда «гетзефактс» про этот их иксчендж. На первые $15 вроде бы бесплатный бонус даётся :)

Harald ★★★★★
()
Ответ на: комментарий от int13h

Очень… самое обидное что они ничего не заподозрили, так как напрашиваться и лезть в админку их почты мне не хотелось

Shulman
()
Ответ на: комментарий от wandrien

На securitylab.ru, да и, наверное, любом ресурсе для безопасников уже недели две про это трубят. Там всю почту сливают, боты заваливают почтовые серваки троянами, творится ад, Израиль и содомия.

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 2)
Ответ на: комментарий от Harald

Без выездной сессии на винфак не получится.

Да они скажут, что венда - это глючное, тормозное, дырявое говно и срач сделать не получится.

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 1)

Ну, обосрался. Можно подумать, в первый раз.

tiinn ★★★★★
()

Оправдывайтесь.

Дак мы используем сертифицированный программный продукт, поэтому попу вазелинить будут этой самой компании и её тех поддержке.

А если условный Васян поднимет свой сервак на швабодном линаксе, то в случае факапа вазелинить попу будут этому самому Васяну.

Смекаешь?

В копроративной среде важно не качество ПО, а чтобы было на кого стрелки перевести.

А что клиенты страдают, данные утекают, пфффф... Nobody cares.

Spoofing ★★★★★
()
Ответ на: комментарий от Spoofing

поэтому попу вазелинить будут этой самой компании и её тех поддержке.

И давно это ты видел… эээ… вазелинование попы у Microsoft’а за дыры в их софте? :)) Даже Intel после ряда крупных дыреней в хардвари и то без потерь вышел.

zemidius
()

heartbleed - бетонная стена? Никак не отрицая эпичности выявленных дыр, тут главная проблема в скорости работы товарищей из Hafnium.

CaveRat ★★
()
Ответ на: комментарий от Spoofing

Увы и ах, на вендора ты стрелки не переведешь. EULA у них у всех хорошо написаны. Хорошо для вендора, очевидно

CaveRat ★★
()

Глубинный смысл софта - чтобы делать ошибки, чтобы система падала, чтобы злоумышленники ее взламывали, чтобы компании терпели убытки, чтобы люди страдали. Просто люди этого не понимают из-за толстого слоя уверений, рационализаций, рекламы и бурной деятельности в индустрии. «Как так, ведь софт должны были проверить?! Как так, ведь систему создавали профессионалы?!» Разрыв шаблона происходит.

seiken ★★★★★
()
Ответ на: комментарий от Shulman

«а как в веб инетфейс попасть» говорили: «а нам не нужно».

Никого не защищаю, но еще лет пятнадцать-двадцать назад на этом лорчике и ему подобных орали точно так же.

Vanilla
()
Последнее исправление: Vanilla (всего исправлений: 1)
Ответ на: комментарий от seiken

Вот именно, если не оставлять дыр, сколько спецов по безопасности остануться без работы? Это как минимум

d09
()

Ну сендмыло тоже изрядно шатали.

vasya_pupkin ★★★★★
()
Ответ на: комментарий от CaveRat

heartbleed - бетонная стена?

Получается, что да. Кого юзали в heartbleed? Дыру нашли, оперативно закрыли и обновились, а тут уже 2 недели цирк. Там еще пацаны вообще не в курсе, что есть какие-то дыры и что надо обновлять ПО. Антивирус жи есть, зачем еще что-то нужно.

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от crutch_master

Дыру нашли, оперативно закрыли и обновились, а тут уже 2 недели цирк

heartbleed - открыт 1 апреля, патч выпущен 7 апреля.

CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 - раскрыты 2 марта, патч выпущен 9 марта.

Как-то так получается, что ты несешь херню.

Кого юзали в heartbleed?

Не помню, что бы кого-то вот прям сразу атаковали через heartbleed, но сравнение ситуаций некорректно. На сколько я помню, этот баг был найден исследователями в рамках рутинной работ. Дыры в Exchange нашли, расследуя уже произошедшие инциденты, т.е. киберкриминал нашел эти дыры раньше. Не повезло, упс.

CaveRat ★★
()
Ответ на: комментарий от Vanilla

Никого не защищаю, но еще лет пятнадцать-двадцать назад на этом лорчике и ему подобных орали точно так же.

Здесь до сих пор полно противников «веб-интерфейсов».

Zhbert ★★★★★
()
Ответ на: комментарий от Zhbert

This

tl;dr - в процессе расследования нескольких инцидентов были найдены уже эксплуатирующиеся уязвимости в Exchange. Уязвимости серьезные, потенциальное количество жертв - около 60к компаний.

CaveRat ★★
()
Ответ на: комментарий от Zhbert

Есть :)) Собственно, тот же heartbleed, который тут уже упоминали - дыра аналогичного уровня жопности. Но тогда очень-очень повезло, что его сперва нашли легальные исследователи. С этими дырами в exchange не повезло, первыми уязвимости нашли плохие парни.

Из хороших последствий - сейчас поднялся достаточно большой шум, что большие вендоры, которые поставляют кучу софта всем подряд, включая правительство, не несут никакой ответственности за качество софта. С учетом того, что буквально вот недавно разбирались с Solar Winds (аж в конгрессе, к слову), это может к чему-то привести.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

тогда очень-очень повезло, что его сперва нашли легальные исследователи

Повезло, что возможности эксплуатации сомнительные. Может повезёт что-то найти в куче мусора, может нет.

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от Zhbert

Ясно. Сразу возникает вопрос - в этом нашем опенсорце дыр нет, да?

Есть, но тут другой подход к безопасности. Если бы через ecxhange не начали кого-то трахать, никто бы туда никогда не полез. CaveRat

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от crutch_master

Если бы через ecxhange не начали кого-то трахать, никто бы туда никогда не полез.

Как будто в опенсорце полез бы.

Zhbert ★★★★★
()
Ответ на: комментарий от crutch_master

Это относится к любой уязвимости. Может, будет что-то полезное на атакуемом хосте, может, нет.

Кроме того, это была дыра в ОЧЕНЬ широко используемой либе.

CaveRat ★★
()
Ответ на: комментарий от Zhbert

Как будто в опенсорце полез бы.

Как показывает практика, в опенсорц как раз таки лазят, находят и исправляют (потому что могут). В поделиях корпорастов такое нельзя провернуть принципиально.

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от crutch_master

ЯННП, куда никто не полез бы? Проверять exchange на наличие уязвимостей? Тут ты просто опять несешь какую-то ересь, ms регулярно и сам себя находит уязвимости, и исправляет то, что репортят исследователи.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Тут ты просто опять несешь какую-то ересь, ms регулярно и сам себя находит уязвимости

Ага. Вот в exchange и самбе недавно нашли, проверяй.

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от CaveRat

Тут ты просто опять несешь какую-то ересь

Потому что это не соответствует твоим религиозным убеждениям? Ну естественно.

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от crutch_master

такое нельзя провернуть принципиально.

Ты врёшь. Bug Bounty у того же ms работает давно и успешно. Уязвимости репортятся и устраняются. И исследователи получают за этой свою копеечку.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

и исправляет то, что репортят исследователи.

Код закрыт. Реверс запрещён eula. Кто его должен исследовать и как?

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от CaveRat

Bug Bounty у того же ms работает давно и успешно

Не ощущаешь разницы между *bug* и исследованием сорцев на уязвимости? Хотя, может для тех поделок, которые мс выкидывают в опенсорц оно и работает как-то.

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от CaveRat

Дядь, давай я тебе покажу секурити репорт

Да я не спорю, что они там сами себе катают секурити репорты. С кем ты там воюешь опять?

crutch_master ★★★★★
() автор топика
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от crutch_master

Ты реально тупой, да? Или ты просто не знаешь, что такое bug bounty и за что там платят?

CaveRat ★★
()
Ответ на: комментарий от crutch_master

Пока что мне кажется, что я общаюсь с непробиваемым бараном, который вообще не в курсе темы безопасности софтваре, кем и как она делается и что всё это значит.

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Пока что мне кажется, что я общаюсь с непробиваемым бараном

Это потому что ты с голосами в голове своей общаешься, что тебе хотят донести ты понимаешь с трудом. Мазарм, деменция. Такое бывает.

crutch_master ★★★★★
() автор топика
Ответ на: комментарий от CaveRat

Это относится к любой уязвимости.

Есть уязвимость, которая даёт возможность выполнить произвольных код, передав хттп запрос. Есть уязвимость, которая выкидывает до 64кб рандомного мусора из памяти.
Абсолютно одинаковые возможности эксплуатации.

crutch_master ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.