LINUX.ORG.RU
ФорумTalks

Оракл: нет, вам нельзя искать дыры в купленном софте.

 , ,


1

3

Because fuck you, that's why.
После шитсторма на реддите статью потёрли, но гугл помнит.

[Ъ]
Если вы анализировали наши продукты статическими анализаторами или ещё чем в таком духе, то вы редиска. Даже если вы нашли там реальную дыру. И вообще, вы все - некомпетентые холопы, нам лучше знать где в нашем коде дыры. А кто ещё будет коммитить багрепорты, тот будет получать письма счастья от юротдела.
[/Ъ]

★★★★★

Кто-то ожидал от Оракла иной реакции? Ну вот честно?

Stahl ★★☆
()

Только ссылку ты какую-то странную принёс. Что там за графоманство такое? Эта хрень точно по теме?

Stahl ★★☆
()
Ответ на: комментарий от Stahl

Что там за графоманство такое?

Чувак решил, что недостаточно просто сказать «вы все п-сы, а я Д'Артаньян» и широко раскрыл тему, повторив свою мысль минимум раз 10.

Axon ★★★★★
() автор топика

Оракел==кака, добро утро. А вообще то реально нарушили лицензию, все правильно — не фиг подписываться жрать говно. А если подписался, то жри это говно и не выпендривайся.

mandala ★★★★★
()

Такого ССЗБ я ещё в жизни не видел

sudopacman ★★★★★
()

Оракл: нет, вам нельзя искать дыры в купленном софте.

Мне можно, местное законодательство разрешает.

h578b1bde ★☆
()

После шитсторма на реддите статью потёрли

Шитшторм собственно после подтирки следов начался, до этого была в основном изумленная реакция :3

Вообще там же говорят, что госпожа директор секьюрити отдела, которая эту статью написала, уже давно почти что скандально известна своей позицией по этим вопросам

Midael ★★★★★
()

А еще у оракла нельзя отказаться от поддержки и потом купить ее снова. А также нельзя публиковать тесты производительности оракела, в т.ч. сравнительные с другими субд. И жабу 1.7 скачать нельзя, и еще дофига всего нельзя. Хуже только циска и ибм

no-dashi ★★★★★
()

Воспользуйтесь медитативным поиском, если версия x выпущенная на дату d0, то bug report на d1 ...

swwwfactory ★★
()
Ответ на: комментарий от Stahl

tldr

Это графоманство - пост Chief Security Office'шы в официальном блоге оракла, на тему того как их достали клиенты, которые нарушая лицензионное соглашение находят в декомпилированном коде купленных продуктов косяки и пишут на них багрепорты. В стиле «<вздох>Еще раз для дебилов повторяю <вздох>».

Эпический обосрамс с т.з PR. Причем юридически они наверное правы, но дело в том, каким языком это написано

PS. У меня одного лор дико лагает?

Midael ★★★★★
()
Последнее исправление: Midael (всего исправлений: 1)
Ответ на: tldr от Midael

PS. У меня одного лор дико лагает?

умвр

mandala ★★★★★
()

А кто ещё будет коммитить багрепорты, тот будет получать письма счастья от юротдела.

Они построили свой багтрекер, с троллфэйсом и адвокатшами.

ivn86
()
Ответ на: tldr от Midael

возможно, и чисто практически она права (для некоторой значительной части случаев). Чуваки постят багрепорты на основе тулзов автоматического анализа. Которые выдают совершенно отвлеченные от действительности (пусть и формально корректные) данные. А иногда и совсем некорректные. Вот если человек реально напишет эксплойт - это будет совершенно другой разговор. А распечатками тулзов действительно можно подтереться, никто из разрабов их читать не будет.

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

Вот если человек реально напишет эксплойт - это будет совершенно другой разговор.

Но она же пишет, что не будет. Ты всё равно червь поганый и заслуживаешь только порицания:

You can’t really expect us to say “thank you for breaking the license agreement.”

Алсо, хрен тебе, а не патч с хотфиксом, жди новой версии в порядке общей очереди.

Axon ★★★★★
() автор топика
Ответ на: комментарий от mandala

А вообще то реально нарушили лицензию, все правильно — не фиг подписываться жрать говно. А если подписался, то жри это говно и не выпендривайся.

Смотря где. У нас, например, вот так: http://www.consultant.ru/popular/gkrf4/79_2.html#p788 Для Ъ:

Статья 1280. Право пользователя программы для ЭВМ и базы данных

1. Лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных (пользователь), вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграждения:

1) осуществлять действия, необходимые для функционирования программы для ЭВМ или базы данных (в том числе в ходе использования в соответствии с их назначением), включая запись и хранение в памяти ЭВМ (одной ЭВМ или одного пользователя сети), внесение в программу для ЭВМ или базу данных изменений исключительно в целях их функционирования на технических средствах пользователя, исправление явных ошибок, если иное не предусмотрено договором с правообладателем;

2) изготовить копию программы для ЭВМ или базы данных при условии, что эта копия предназначена только для архивных целей или для замены правомерно приобретенного экземпляра в случаях, когда такой экземпляр утерян, уничтожен или стал непригоден для использования. При этом копия программы для ЭВМ или базы данных не может быть использована в иных целях, чем цели, указанные в подпункте 1 настоящего пункта, и должна быть уничтожена, если владение экземпляром таких программы или базы данных перестало быть правомерным.

2. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения изучать, исследовать или испытывать функционирование такой программы в целях определения идей и принципов, лежащих в основе любого элемента программы для ЭВМ, путем осуществления действий, предусмотренных подпунктом 1 пункта 1 настоящей статьи.

3. Лицо, правомерно владеющее экземпляром программы для ЭВМ, вправе без согласия правообладателя и без выплаты дополнительного вознаграждения воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:

1) информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников;

2) указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию;

3) информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, когда это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления другого действия, нарушающего исключительное право на программу для ЭВМ.

4. Применение положений, предусмотренных настоящей статьей, не должно противоречить обычному использованию программы для ЭВМ или базы данных и не должно ущемлять необоснованным образом законные интересы автора или иного правообладателя.

another ★★★★★
()
Ответ на: комментарий от no-dashi

А еще у оракла нельзя отказаться от поддержки и потом купить ее снова.

Нельзя совсем, или нужно после отказа «калым» заплатить за всё то время, что ты отказывался от поддержки? Если второе, то тьма вендоров так делает, если наши айтишники не врут.

А также нельзя публиковать тесты производительности оракела, в т.ч. сравнительные с другими субд.

Это в условиях лицензионного соглашения такое? С точки зрения российского законодательства - это вряд ли законное требование. Гражданский кодекс таких привилегий правообладателю точно не дает, а иные законы прямо запрещают.

Хуже только циска и ибм

Аминь! С межделмашевскими лицензиями не сталкивался, а вот с циской - да, они ужасны.

another ★★★★★
()
Ответ на: комментарий от mandala

Если я как юрлицо полностью на территории России, то баня оракла мне страшна только прекращением доступа к платной техподдержке. В остальном мне на них будет пофих.

another ★★★★★
()

Прекрасное из комментов на реддите

There had been a well known vulnerability/back door that Oracle wrote into their networking/sync protocol for YEARS that went unaddressed. The vulnerability allowed an attacker to clone the entire database, amongst other nasty things, with no records (able to rewrite db access records, basically giving them more control than the actual owner of the DB). It's highly likely that this was an NSA back door that they refused to fix and/or was unable to fix due to it being written into the syntax of the protocol that the software was written to follow.

Imagine someone on your network just randomly answering a db call that was do go to another database shard, then sending your db data, then your DB just starts responding to that instead because it thinks it's actually part of the database. It was bad enough that we basically couldn't tell if someone was actively hacking our database because there were always hung connections that could be some virtual machine that had already done its job and stopped existing.

There answer to this little problem was to upgrade to Oracle 11, when it comes out. These databases are so ingrained into company's business logic, that even with a huge vulnerability like this that basically made your most valuable data open to corruption and copying, a lot of businesses only option was to wait until they rewrote their protocol and released it in a new product.

What this «engineer» is saying is, well you've already given us this much power over your business, you might as well sit down and shut up if you have any complaints about the quality of our software. Maybe you haven't reverse engineered this communication data, but anyone on your network can see how the databases are talking to each other and slip in data to take control, and Oracle's answer is to just don't look there.

Axon ★★★★★
() автор топика
Последнее исправление: Axon (всего исправлений: 1)
Ответ на: комментарий от another

то баня оракла мне страшна только прекращением доступа к платной техподдержке

А нафиг они нужны? Деньги им платить только за «ключик»? И там не полная баня, вот товарищ another написал:

Нельзя совсем, или нужно после отказа «калым» заплатить за всё то время, что ты отказывался от поддержки? Если второе, то тьма вендоров так делает, если наши айтишники не врут.

Второе.

mandala ★★★★★
()
Ответ на: комментарий от no-dashi

нельзя публиковать тесты производительности оракела

У MS SQL тоже.

pawnhearts ★★★★★
()

Успокойся, истеричка. В проприетарном софте по дефолту нельзя ковыряться.

unt1tled ★★★★
()
Ответ на: комментарий от cvs-255

Да они просто пошлют «его» (гипотетический клиент под юрисдикцией РФ). А вот «ему» придется им что-то доказывать (если он захочет конечно) в американском суде. Тут тоже можно посудится, но это бесперспективно (на политику компании не повлияет или повлияет очень слабо).

mandala ★★★★★
()
Ответ на: комментарий от mandala

если подписался, то жри это говно и не выпендривайся

Просто для справки: ты можешь подписывать что угодно, но выполнять ты обязан только то, что в рамках закона. Ну, если ты не тупой поцанчик с наивно блатными представлениями о чести.

tailgunner ★★★★★
()
Ответ на: комментарий от cvs-255

А каким образом он привлечет его в американский суд?

Как обычно, пригласят на конференцию.

gadfly ★★
()

Ну ешьте это говно дальше...

FiXer ★★☆☆☆
()

Это орокл, детка. Нормальные компании за такое еще и приплачивают.

drull ★☆☆☆
()
Ответ на: комментарий от no-dashi

И жабу 1.7 скачать нельзя

Можно. Даже более того:
http://s57.radikal.ru/i156/1508/db/c354e54772ff.png

Правда надо зарегистрироваться у них и знать где искать.
Потому что как и всё ынтерпрайзнутое говно сайт у них черезжопный.

WatchCat ★★★★★
()
Ответ на: комментарий от Axon

Сразу выкладывать этот эксплоит на торренты. И писать об этом на реддите. Новая версия появится завтра :)

stevejobs ★★★★☆
()
Ответ на: комментарий от another

А еще у оракла нельзя отказаться от поддержки и потом купить ее снова.

Нельзя совсем, или нужно после отказа «калым» заплатить за всё то время, что ты отказывался от поддержки?

Ну да, надо заплатить. Что, в общем то, несколько незаконно

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Что, в общем то, несколько незаконно

В этих ваших Америках это нормально. Просрали страну, теперь еште капитализм, да не забудте добавки попросить.

mandala ★★★★★
()

Хикари-истерички опять ничего не поняли! Это ж был пост во славу здорового индивидуального предпринимательства и против работы на дядю!! Работаешь, скажем, на оборонку и нашел дыру? Ни в коем случае не говори Ларри, а поскорее продай игилу.

mos ★★☆☆☆
()
Ответ на: комментарий от no-dashi

А также нельзя публиковать тесты производительности оракела, в т.ч. сравнительные с другими субд

Если оракел спираченный, то можно, так как в этом случае никакого лицензионного соглашения не подписывалось =)))))

anonymous_incognito ★★★★★
()
Ответ на: комментарий от another

Платная техподдержка - это ещё и некоторые обновления, которых нет в открытом доступе. Ну и вообще, если серьёзный бизнес какой-нибудь, и он завязан на оракл никто ссориться не станет.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от smilessss

а шо там искать - ты ж уже купил

оракл ты купил у оракла, ПО у другой конторы, которая хочет денег. бывает что зашивают проверки в хранимки и вот тут очень интересно найти способ как проверки обойти ;)

Rastafarra ★★★★
()
Ответ на: комментарий от no-dashi

А я что написал?
Регистрация там бесплатная.
Я зарегистрировался и скачал всё что мне надо(необходима была 5-я ява ниже определённой версии).
Просто люди ленивые суки и забираться дальше чем пара страничек не хотят.
Для ленивых

WatchCat ★★★★★
()
Последнее исправление: WatchCat (всего исправлений: 2)

Если бы мне слали невнятные письма с левыми результатами, которые ничего не показывают да ещё и от одной и той же программы, но на которые я вынужден тратить время, я бы тоже так написал. Ведь никто не шлёт эксплоиты.

Это как если мой сервер просканируют и вышлют мне ужасный репорт, открыт 22, 80 и 443 порт, всё пропало.

Legioner ★★★★★
()
Ответ на: комментарий от stevejobs

Новая версия появится завтра

Не появится. Оракуль выпускает патчи и апдейты строго по расписанию.

CaveRat ★★
()
Ответ на: комментарий от Legioner

Ведь никто не шлёт эксплоиты.

Текст по ссылке внимательно читали? 10% уязвимостей репортятся клиентами, ещё 3% - специалистами по безопасности. 13% дыр закрываются именно так.

Axon ★★★★★
() автор топика
Ответ на: комментарий от anonymous_incognito

А где-нибудь есть более конкретное описание дыры?

Можете спросить автора сей прохладной истории.

Axon ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.