Regisztráció Blogot indítok
Adatok
bboldii11-2011

0 bejegyzést írt és 74 hozzászólása volt az általa látogatott blogokban.

Admin Szerkesztő Tag Vendég
_2501 úgy tűnik, kissé felkapta a vizet a HWSW mai cikkén, ami Brad Arkin, az Adobe termékbiztonságért felelős vezetőjének a Kaspersky Security Analyst Summit 2012-n tartott előadásáról szól - azt kell mondjam, megértem a dolgot. A mondanivaló lényege nagyjából az, hogy az…..
bboldii11-2011 2012.02.10 01:24:48
Valóban nem volt annyira sarkított az előadás, illetve nem volt aggresszív. Azért azt látni kell, hogy minden nagyobb szoftverben valóban evidens, hogy lesznek hibák, és Brad is erről az alapfelvetésről indult, és arról, hogy mindent lehetetlen kijavítani, a fontossági sorrendben lehet csak haladni.
Bemutatott továbbá néhány ábrát is, hogy mi a tipikus lezajlása egy exploitnak az ő szemszögükből, és így picit alátámasztotta mondanivalóját.

Nem akarom védeni az Adobe-t, de válasszuk ketté a dolgot. Az, hogy milyen állapotban van a kódbázisuk, és hogy az elfogadható-e egy kérdés, és lehet, hogy igazatok van.

A másik kérdéskör, hogy kell-e koncentrálni a védekezésre szintén nem kérdés, ha így írjuk le, hogy Brad különösen örül az ASLR elterjedésének, akkor hipphopp már mindenki örülne is, hogy végre valaki kiáll a jó dolgok mellett.

Azon a kérdéskörön, hogy hogy kell a támadásokat publikálni, vagy hogy a védekezésre kell-e jobban fókuszálni vagy a támadásra, el lehet vitatkozni egy ideig, nyilván nincs egy tökéletes álláspont a kérdésben.

Szóval összességében én inkább a pozitív dolgokat próbálom észrevenni: Igenis az Adobe számára is fontos lett a biztonság, igenis változik a szemlélet és befektetnek a dologba, igenis elképzelhető, hogy pár év múlva már nem az Adobe-n kell röhögni, és igenis jó dolog, ha felismerték, hogy alapvető defenzív eszközökkel sok minden elérhető, kezdve azzal, hogy egyes hülye feature-ök kikapcsolhatóak, és így könnyebben lehet kezelni friss hibákat is, amíg nincs patch.
bboldii11-2011 2012.02.10 12:22:11
@_2501: értem ;)
bboldii11-2011 2012.02.10 22:24:02
Nagyon hevenyészetten tájékoztatják az ügyfeleket a hitelfelvételkor a biztosítások különös feltételeiről, és  kemény kifogásokkal szembesülhet az ügyfél, ha gond van.Tisztelt Zugügyvéd! A következő problémával szeretnénk Önhöz fordulni és kérni tanácsát!…..
bboldii11-2011 2012.02.08 18:07:10
@Gera: Erről van egy sztorim. Felhívtam a biztosítót, hogy egy zár de több zárnyelvet mozgatva megfelel-e a kritériumnak. A válasz: Nem tudja, de majd ha betörnek, kijön egy szakértő és eldönti.
De ezt olyan simán adta elő, hogy ne izguljak ezen, majd úgyis kiderül, mintha ez lenne a legtermészetesebb hozzáállás, nem az, hogy előre lefixáljuk, mi a biznisz...
A Tudatos Vásárló Magazinban találkoztam ezzel a hasznos összeállítással, amely az általunk gyakran fogyasztott halakról készített egy olyan elemzést, amely a szállításuk során kibocsátott szennyezőanyagokat mutatja. A megadott érték 1 kiló halra vonatkozik.Alaszkai…..
bboldii11-2011 2012.01.06 16:39:56
@Toma001: Sejtettem. Igazából poénnak szántam a megjegyzést, bár ugye valóban van benne komoly üzenet is. Egyébként ugye az sem átlátható, hogy milyen kibocsátást figyeltek, lehet hogy csak simán a km alapján nézték a szállításból eredő kibocsátást, de ugye lehetne figyelni más kérdéseket is, csomagolás, kifogáshoz szükséges energia, stb stb. És sajnos ezeket korrektül becsülni valószínűleg nagyon nehéz lenne, így az adatok hitelessége itt is könnyen megkérdőjelezhető.

De ettől még egyébként nagyon érdekes poszt, mint a többi is az oldalon, csak így tovább!
De merre is van Sainsbury Angliában? Ghanima sem tudja, de nem az ő hibája, ez remek találat. Lenti levelét elküldte a stop.hu főszerkesztőjének is - engem érdekelne majd a válasz (megjött, lásd a poszt végi update-et; közben javították a cikket): Gondolom, ezt a cikket:…..
trey@HUP:Colin Percival, a FreeBSD biztonsági tisztviselője beköszönt karácsony előtt és mindjárt hozott magával 5 biztonsági figyelmeztetőt. Percival elismeri, hogy az időzítés őszintén szólva szívás. A FreeBSD Security Team igyekszik a biztonsági figyelmeztetőket szerdán…..
Ahogy közeledik a tél, úgy kezdek mindig egyre kétségbeesetten olyan úticélokat keresgélni, ahol meleg vagy legalább melegebb van, mint itt, de nem is a hőmérséklet a döntő, hanem a napsütés. Így akadt meg a szemem ezen az időjárás-előrejelzésen: Szerintem elég meggyőző,…..
Belsőség Tehén: túl a 200 ezren 2011.09.28 13:40:00
2007-ben vettem, 160 ezer kilométerrel. Akkoriban volt egy elméletem, mely szerint az én ízlésem hatévente változik, erre pedig az adott alapot, hogy bármennyire tökéletes autó volt is a Mazda MX5-ösöm, hat év alatt menthetetlenül ráuntam. A 4Runnert tehát hat évre terveztem, most…..
syddd küldte az alábbi érdekességet: Arról van szó, hogy sok Flash alapú applikáció AMF protokollal kommunikál a szerverrel. Ennek a protokollnak a legelterjedtebb implementációja az AMFPHP csomag. Ebben van egy "service browser" nevű alkalmazás, amit fejlesztéskor lehet…..
 Bár sem - az állítólag botrányosan rossz - ország tortáját, sem az új kenyeret nem kóstoltam tegnap, azért igyekeztem az esti tüzijátékra megfelelően pozícionálni magam, hogy egy látványos videó elkészítésével hívjam utolsó csatába és szavazásra az igényes…..
Van a Sziget fesztiválnak rengeteg konkurense világszerte, méretre, árra, színvonalra óriási változatosságot mutatnak a nyári bulik, de egyvalamiben biztos, hogy egyedül áll: Michelin-csillagos backstage étterme senki másnak nincs. Megkóstoltam. Így aztán exkluzív összeállítást…..
bboldii11-2011 2011.08.10 14:29:49
@fogash: Azért csak "belekóstolt", mert a maradék kellett Prince kutyájának.
A párizsi gasztrotúrám végére ugrom, ugyanis olyan durva és emlékezetes volt a keddi nap, hogy úgyse tudok másra gondolni, amíg azt fel nem dolgozom. Csak emlékeztetőül: hétfőn a 3 Michelin-csillagos Pierre Gagniere-ben ebédeltem, aznap pedig Pierre Hermé-nél kóstolgattam…..
bboldii11-2011 2011.08.02 21:54:04
@ehran: Eltűnt a kérdés maga. Egyébként tőkehalfronton elég nagy a katyvasz, az biztos.
"Nektek mindig szerencsésnek kell lennetek, nekünk elég csak egyszer!" - Egy hét múlva hívjuk meg egy sörre azt a rendszeradminisztrátort, akinek utoljára fejtörést okoztunk!  Időpont: 2011. 07. 29. péntek, kapunyitás: 15 óra  Helyszín: Városligeti Sörsátor,…..
  Nyaralni indulsz? Vagy ebben a randa novemberi időben csak bekuckóznál otthonra és olvasnál valami jó kis csajosat, avagy egy nehezebb világirodalmi remeket? Régóta köztudott, hogy ez a fajta kikapcsolódás jót tesz az idegeknek, sőt, esetenként a ráncokat is kisimítja.…..
bboldii11-2011 2011.07.27 00:41:53
@tasslehoff: Kénytelen vagyok javasolni, hogy akkor írjunk ki egy ötletpályázatot a tűz témakörben, azaz hogy milyen tüzet kellene feltalálni.

Vagy egy kutatási projektet
WP1: Requirements and SOTA analysis
WP2: Modelling of fire
WP3: Short time maintenance: starting and estingusihing
WP4: Fire as part of the business process. Kitchen and others
WP5: Demonstrations on fire capabilities: cooking, architecture stuff and others
WP6: Integration and validation

Req'd contribution: EUR 1.500.000.000
(fair deal)
Túl gyorsan készült el a pizza Kuck szerint, amiket 15 percen belül szolgáltak fel nekik Balatonfüreden. Hát már ez is baj?Szombat este a Kékszalag díjkiosztójára igyekeztünk Balatonfüreden. Be is jutottunk könnyedén és ott egy kis nyári borozgatásba kezdtünk. Majd eljött az az…..
Mivel ma már több olyan termék is tartalmaz koffeint, amelyről nem is gondolnánk, könnyen előfordulhat, hogy az ajánlott napi bevitelt túlhaladó mértékben juttatjuk azt a szervezetünkbe. A koffein megtalálható a különböző energia-és sportitalokban, egyes gyógyszerekben,…..
Aki már próbált esküvőt szervezni, az nyilván tisztában van vele, hogy a nagy napot megelőző hónapok, hetek nem a nyugodt pihenésről szólnak. Annyi baj legyen, legalább emlékezetes lesz az esküvő és a lakodalom, az meg minden nyűgöt megér. Sajnos azonban a problémák…..
BuheraBlog Mitévő legyek? 2011.06.23 18:06:00
A blog lassan négy éves történetében eddig nagyjából száz "gray-hat" hibajelentést juttatam el kisebb-nagyobb cégeknek. Meggyőződésem, hogy ezzel minden esetben sikerült hozzájárulnunk - többes szám, hiszen a hibajelzések általában tőletek érkeznek, kedves olvasóim!…..
bboldii11-2011 2011.06.23 19:29:30
@domi007: Ahhoz is kell személyi, ha meg akarod venni, nem?!
bboldii11-2011 2011.06.23 19:39:41
@domi007: A kérdés sokrétű. Elsőként az a nagy kérdés, hogy egyáltalán hogyan szabad üzemeltetni primitív hibákkal teli levő rendszert.
Itt a fő gond az, hogy pl. a személyes adatok védelméért az azokat kezelő a felelős. Hallottatok bárkit is megbüntetni, mert ilyen vagy hasonló törvényeket sért azzal, hogy gyenge szoftvereket rosszul konfigurálva üzemeltet, frissítésekre oda nem figyel? Én nem.

Én csak ezután jön a kérdés, hogy ha mégis feltárják ezeket a hibákat, akkor mit is kell tenni.

És a harmadik helyen jön az, hogy milyen alapon próbálta feltörni engedély nélkül az illető a rendszert.

A dolognak pedig picit fordítottan is működnie kellene. Mondjuk, bármely felhasználó, akinek érdeke fűződik egy rendszer biztonságához (legyen az magyarország.hu, vagy valami vásárlási oldal), jogosan futtathasson egy DoS-t nem okozó nessust vagy web hiba felderítőt, és ha az valamit jelez, akkor számon is kérhesse a másik felet, ha nem is nyilvánosan, legalább magánvonalon.

Nem 0-dayről és extrém távoli hibákról beszélek, hanem arról, hogy a legalapvetőbb ellenőrzésekre az embereknek is joguk lehetne.
Analógia: Ha hétvégén a zárt bankajtót valaki leellenőrzi, hogy tényleg zárva tartják-e, az talán nem gond, ha ugyanezt már fúrógéppel ellenőrzi, hogy fúrásbiztos-e, az már gond.

Ha értitek, mire gondolok.
Egy éves szünet után újra napirendre került Budapesten a közösségi kerékpáros rendszer létrehozása. Az előző ciklusban eltervezett és Bubi névre keresztelt ezer kerékpáros dokkolóhálózatról döntött közgyűlés. Szinte egy időben a budapesti döntéssel Montrealban közben…..
Kevés közhelyesebb baleset van, mint a hűtőben penészedő lekvár, nem túl nehéz előállítani szinte bármilyen márkával. Parkernek azonban sikerült 35 üveg Univer-lekvárt bepenészesítenie, ami területi rekord, ráadásul mindet 3-4 nappal kinyitásuk után. Az Univer már…..
bboldii11-2011 2011.06.22 23:29:12
@szombi: és vegyed már ki a 4 hónapja penészesedő citromot a hűtőből a lekvár mellől! :)
Sajátos mikropayment rendszert vezet be a Sziget. Idén már három fesztiváljukon (Volt, Balatons Sound és Sziget) lesz kizárólagos fizetőeszköz a házi gyártású fesztiválkártya. Ez elsősorban arra jó, hogy ne tudjanak lopni tőlük az alkalmazottak. Illetve a kocsmák/giroszosok se…..
Zseniális szakértelemről tett tanubizonyságot a Miele szervizese. Emailre nem reagálnak, a telefonos rendeléseket elfelejtik, aztán amikor mégis kijön a szerelő, azon kívül, hogy fingja nincs, hogyan működik a sütőjük, olyat bír mondani, hogy a pirolízises öntisztítás…..
 Szalai Vivien írja Stohl András életrajzi regényét, a lány Drága kéj címmel már megírta második könyvét egy jelenleg is praktizáló prostiról aki állítólag évi 300 milliót keres. Szerintünk ez túlzás és hazugság. A könyvbemutatón hosszan ecsetelték, hogy egy…..
bboldii11-2011 2011.06.08 18:06:56
@chipanddale74: Ja az mókás lesz, ha a bíróságon semmire nem emlékszik, hogy kitől kapta a drogot, de a könyvében még az asztalterítő színéről is oldalak fognak szólni.
világevő Az utolsó (l)ehetőség 2011.06.05 11:03:00
Ma van a Budai Gourmet zárónapja, aki eddig valamiért hezitált vagy nem ért rá, itt az utolsó lehetőség, hogy ne maradjon ki az év gasztroeseményéből!   Íme a tegnapi gasztrokalandjaim a Millenáris Parkban képekben, ma nekifutok még egyszer, rengeteg mindent nem kóstoltam…..
bboldii11-2011 2011.06.05 19:03:13
@bruno futuro: Végülis tényleg vérlázító, hogy két ember 20 rugóért több órát eltölthet egy fesztiválon, előadások, vagy csak üldögélés, ingyen kóstolgatások mellett elfogyasztanak ketten pár pohár házi sört, 7-8 éttermi fogást, 5-6 egység bort a legjobb éttermektől és pincészetektől (pl. Gere Kopár decinként pl.), plusz kis desszert, pálinka. Még egyszer mondom, ez belépővel együtt kijön 20 eFt-ből. Nem kis pénz, és az esemény nem a spórolásról szól, nem azt mondom. De lemenni a Balatonra autóval oda-vissza sem olcsó. És az nem azért maradandó élmény az M7-esen, mert olyan jó.

Rettentő burzsuj dolognak hangzik egy fesztivál 20eFt-ért, épp ma néztem körbe, ketten három gyerekkel egy strandbelépő ~6000 Ft. No most a strand az tömegrendezvény, ugye, a fesztivál meg budai villalakóknak van? Biztos, hogy akkor ez a fenti különbség nagy?

Lehet, hogy túlárazott volt a rendezvény piaci szempontból (nem jött be a befektetés), lehet, hogy túlárazott sokak személyes szempontjából, de szerintem a szervezés dicsérete is megérdemel pár sort: Mindenhol hosztesszek, bejutás villámgyors, fizetési rendszer új, de príma, borravalót nem adtam (!ezt is számoljátok!), kiszolgálással nincs gond, sok ülőhely, pohárcserepontok iszonyat mennyiségben, kiállítók, események bőségesen (de nem zsúfoltan!), profi szervezés az esőt is figyelembe véve. Gyerekmegörző, bicikliparkoló. Takarítók folyamatosan, szemetesek megfelelő számban. Tiszta, ápolt környezet. Köszönöm, ez tetszett, tényleg jól tudtam érezni magam.