Погтому что в госструктурах написано к примеру, что "разрешено использовать ОС, имеющую сертификат не ниже 5 класса по СВТ". И - все, хоть обпрыгайся с криками насчет "Рулез" и "Мастдай", тебе аккуратно в ответ спросят: "Сетрификация присутствует? Какой класс?" И, в случае отсутсвия оной аккуратно отвинтят голову, причем будут правы по всем параграфам документов.

и $150 все-таки отличается от $1k ;-)

И, в случае отсутсвия оной аккуратно отвинтят голову, причем будут правы по всем параграфам документов.

Меня интересует очень простой вопрос - кто несет ответственность

за взлом серт. сервера?

>и $150 все-таки отличается от $1k ;-)

Ну дык надо еще денег дать, что бы поставили, настроили, оттестировали

Теоретически сертификация должна гарантировать определенный уровень безопасности.

Бытовая техника тоже сертифицированна, но если меня трахнет

током, то закон защитит мои права

Если госуд. выдало серт., подтвержающий безопастность этого

дистра, то будьте любезны в суд, иначе это просто бумажка

про дырявых демонов...

2 anonymous (*) (2003-09-25 19:49:37.263327)

> Интересно мне знать, как они просертифицировали дважды дырявый
> openssh proftpd c рут-эксплойтом ;))

Запросто. Например, ядро PaX'-ом пропатчили...

про GPL

2 anonymous (*) (2003-09-26 11:43:05.366782)

> ну и что там серификат купили, это просто грубое нарушение вашего любимого GPL

Сколько раз можно объяснять, что

``Free software'' is a matter of liberty, not price. To understand the concept,
you should think of ``free'' as in ``free speech,'' not as in ``free beer.''

См. http://www.gnu.org/philosophy/free-sw.html

2Sun-ch: Смешиваешь понятия "сертификация" и "реальная безопасность". "Сертификация" означает (в идеале), что дистр просмотрели и на момент осмотра не нашли таких-то вот багов. И это - основание для того, чтобы начать использовать дистр в тех местах, где применение осей РЕГЛАМЕНТИРОВАНО. Это, извиняюсь, защищает ээ.. кхм.. спину тех дядек, которые принимают решение использовать или не использовать определенную ось. Их тоже можно понять. Потому как в другом случае к ним придут и спросят - "А с каких щей вы стали использовать данную операционку?" Только потому что начитались linux.org.ru?

"Реальная безопасность" - это уже комплекс мер, направленный на тот самый уровень безопасности, который необходим. И наличие сертификата - тут только самый начальный уровень.

А жаждать того, что вот у меня сертифицированная ось, которую взломали потому что я рутовый пароль вывесил на главной странице сертифицированного Web-сервера, и теперь пусть мне все государство компенсирует, ну - это уж слишком. Нет :-)?

Возвращаясь к случаю с бытовой техникой - ежели вилку в розетку вставлять мокрыми руками и держась за штырьки - несет ли производитель за это ответственность даже в том случае, если и техника сертифицирована? ;-)

А я хочу купить за несколько кило баксов готовое решение на базе этого

дистра,

тот же инет-магазин

пускай сами все поставят, настроят, проведут аудит, обучат

администратора, напоят меня пивом.

Готов платить за саппорт этого решения.

Наверное это странно, но если сервер ломанут и я понесу убытки,

хочется получить компенсацию.

Не проблема - оговори в договоре с теми, кто будет настраивать И-нет магазин пункт, обязывающий их возместить убытки за счет взлома, произошедшего по вине дистрибутива. Особо оговори методику подсчета убытков и порядок их возмещения, заодно определи что подразумевается под "виной дистрибутива". И пусть фирма, осуществляющая саппорт, патчит дистр. А уж будет ли это ASP или Alt - Linux'ы (пардон, ASP или Утес) и кто это будет настраивать - дело двести восьмидесятое. Если, конечно, фирма согласится;-). А ежели нужон тебе уж "афигенна" сертифицированный дистр - ну дык :-) Говорят у покойного ФАПСИ был такой "пингвин, специально обученный передаче данных". Чем не ось для и-нет магазина ? ;-)

> Наверное это странно, но если сервер ломанут и я понесу
убытки,хочется получить компенсацию.

Я может ошибаюсь, но что-то это желание сильно пересекается с
работой страховых компаний... Любые риски в бизнесе
теоретически можно застраховать. Разве не так? Сертификаты для
ОС - это кривое наследие эпохи тяжелого машиностроения. На софт
они крайне плохо переносятся. Нельзя даже приблизительно
оценить прочность (устойчивость к взлому) той или иной софтины.
Слишком много всяких "если".

Lingvo

> хочу купить за несколько кило баксов готовое решение...инет-магазин
...
> хочется получить компенсацию
пустой трёп.
я думаю Вы с порядком цифр ошиблись, минимум на порядок.
а риски такие страхуются элементарно - ну Вы будете переплачивать 30-40% дополнительно? сомневаюсь...

Вы все мудаки и недоделки. ФСБ использует ФриБСД. А вы лохи сервиспатченные, пользуете свой ацтойно-педораситический линух. Ацтой.

А сайт презикдента на линуксе. А ФСБ сосет и срочно обновляется cvsup'ом.

Почему это важно именно для ГОСконтор? Да потому, что все остальный могуь спокойно х%й забить на все эти сертификаты и продолжать спокойно жить. Из серии маразмов контор такого типа - в смысле, контор, которым нужны "сиртифициравнныи сестемы": Linux примиенять запрещено - потому, что нет "сертифицированных средств защиты от НСД не ниже энного класса защищенности" под него. Зато (не слышу оваций, грома фанфар и криков восторга :-)) разрешено применять... WINDOWS 98!!! Ибо для него есть сертифицированные СЗНСД необходимого класса - заметьте, что не комплекс "система+СЗ" должен быть сертифицирован, а только СЗ должно быть сертифицировано - во как! :-)

Когда объясняешь этим "защищальцам", что защищать надо не "кампутеры", а документы - до них не доходит... "А давайте зашифруем все и раздадим каждому свой ключ - и все будет абсолютно секретно" - это еще цветочки некоторых "защитников", и не самые глупые цветочки не самых глупых защитничков, надо заметить. А самое неприятное, что эти конторы и их "защитнички" постоянно норовят заставит всех с ними связанных работать так, как они считают нужным.

Так что ASP делает правильное дело, продвигая Linux в это болото - потому, что те, кто поневоле работает с такими конторами, смогут как выбрать нормальную систему, а не только эту тамагочу Win98 и "Security System Accord 1.95 VTM DRV for Win3.11/95/98/ME".

P.S.: НИКОГДА не связывайтесь с фирмами под названием "Анкад", "Инфокрипт" и "ОКБ САПР", если будет такая возможность. А если свяжетесь по собственному выбору - не говорите, что вас не предупреждали :-)

Кто может внятно обьяснить "Что означает этот сертификат" ? Пример: Куплен и используется сертиицированный диср "Уеб-М". Через два месяца после покупки выходит рутовский эксплоит Х-трасе и рушит задачу. Можем мы как покупатели сдать изготовителей "Уеб-М" в петушатник и получить компенсацию расходов за их счет ?

А эта хуевина с Федором совместимая ?

> получить компенсацию расходов за их счет ?

По идее можете... Есть закон о потребителях. Только судиться
придется лет пятнадцать, не меньше, и денег на это уйдет много
больше, чем оно стоит.

Одна проблема :-) В описанных условия закон о защите прав потребителей не работает :-).

еще раз для тех кто не понял - наличие сертификата ни в коем случае не говорит о том, что система безопасна в плане отсутствия дыр. он всего лишь говорит, что она удовлетворяет следующим требованиям (тут идет перечисление их для нужного класса). две системы могут иметь один и тот же класс защищенности, и быть совершенно разными. сертификация говорит лишь о том, что система требованиям удовлетворяет, никаких встроенных троянов нет, и ВСЕ но в некоторых местах эта бумажка (лицензия) нужна более всего. бюрократия, понимаешь.

Вышел сборник обновлений для ASPLinux 9

На диске обновлений к ASPLinux 9 вы найдете новые версии всех пакетов, обновленных с середины мая 2003 года. Среди них - самые последние версии графических сред KDE 3.1.3 и GNOME 2.4, а также браузер mozilla-1.4, пакет для организации групповой работы Evolution 1.4.4, новые версии мультимедийных пакетов xmms, xine и т.д.

По просьбам пользователей ASPLinux на диск обновлений попал ряд новых пакетов, это krusader (аналог Windows Commander для KDE), K3B (программа для записи дисков), nagios (монитор узлов и служб в сети). Добавлена поддержка bluetooth, возможность преобразования форматов video (пакет transcode) и другие полезные пакеты.

Все пакеты, вошедшие в сборник обновлений, доступны на ftp-сервере компании ASPLinux в каталогах ftp://ftp.asplinux.ru/pub/i386/updates/9/i386 (исправления ошибок безопасности и сборки пакетов, не меняющие поведения системы и не привносящие новой функциональности) и ftp://ftp.asplinux.ru/pub/ contribs/9/i386 (новые версии пакетов, которые добавляют новые возможности. Пакеты из каталога contribs предназначены для тестирования и ознакомления с технологиями и разработками, которые будут доступны в следующей версии ASPLinux).

Спасибо вcем пользователям ASPLinux за предложения и замечания к разработчикам! Ждем ваших пожеланий на форумах сайта http:// community.asplinux.ru

Диск с обновлениями уже можно купить в интернет-магазине Линуксцентр и магазине "Волшебный мир компьютеров" по адресу Москва, ул. Большая Якиманка, дом 15/20, строение 1.

----------- Интересно, АЛЬТлинуховский "Утес-К", имеющий сертификаты по тому же классу, стоит 22000 руб. А сертифицированный АСП - 150 баксов :) По поводу руководящих документов - все они есть на www.infotecs.ru, смотрите язк не сломайте, читая их. Ужасно написаны :) ------------

Так у ASP сертифицирован только Server с ограниченным набором пакетов, а у ALT - полный Master... с кучей софта (включая средства разработки). Вот цена и разная.