<qoute>Via de gelekte code zou er naar kwetsbaarheden kunnen worden gezocht</quote> en dat moeten we uiteraard niet willen met zijn allen. Pfff, lang leve open source.

Nou dames, kom maar weer op met die eindeloze Microsoft, Linux en Apple discussie.

Microsoft heeft 2 kroonjuwelen: 1) broncode en 2) gebruikersdata.

Ongeacht of het een om een geslaagde aanval van buiten en/of een foute insider gaat: wat betekent het lekken van 1) voor 2)?

Misschien door ms zelf, zodat de community de veiligheid kan controleren?

In dit verband kun je het verbod van de VS aan Microsoft om broncode te laten zien meenemen. Het argument dat er op kwetsbaarheden gezocht wordt door het aan de staat verbonden echelon.

zie arstechnica artiekel veel duidelijker dan de register sun tabloid.
32TB of Windows 10 beta builds, driver source code leaked [Updated]
https://arstechnica.com/information-technology/2017/06/32tb-of-windows-10-beta-builds-driver-source-code-leaked/

Word het tijd om windows bye bye te zeggen ?

Het is heel belangrijk dat je niet gaat kijken naar de code. Als je de code hebt gezien mag je wettelijk niet meer werken in de IT industrie wegens bedrijfsspionage. Als je wil weten hoe iets in elkaar zit pak dan de Linux Kernel broncode, daar mag je zelf zoveel in kijken als je wil zonder probleem.

Toen in 2004 de broncode van Windows 2000 deels was uitgelekt werden Wine developers en ReactOs developers bijna een jaar het 'zwijgen' opgelegd. Microsoft beweerde dat ze grote delen uit die gelekte code hadden gestolen. Alle Wine en ReactOs code moest worden herzien, en delen van het open source team van Wine en ReactOs mochten nooit meer werken.

Kijk niet naar die code. Doe het niet.

Karma is een bitch. Arme Microsoft, daar gaan een paar miljardjes aan beurswaarde.

Ooh f__k ik heb zelf een paar Microsoft aandelen. Ik ga nu maar gauw kijken of ik ze hou, het is nu weekend dus de gevolgen zijn Maandag pas als eerste zichtbaar vanaf Australië waar het eerst Maandag zal zijn. Moet dan maar opblijven tot Zondag avond tot de ochtend.

De Windows code is al meer dan 10 jaar lang in te zien door allerlei organisaties wereldwijd (overheden, universiteiten, commerciële bedrijven) in het kader van het shared source programma. Ook in Nederland.
(https://www.microsoft.com/en-us/sharedsource/default.aspx)

Biijblijven in het nieuws. Dat verhaal met us verkiezingen stinkt.
https://www.google.nl/amp/www.newsweek.com/russia-us-tech-source-code-628589%3Famp%3D1

http://m.crn.com/news/security/300087741/partners-troubled-by-report-that-russian-government-vets-vendor-source-code.htm

De Amerikaanse rechtspraak hmmm laat nogal eens steken vallen. Misschien kan de Apple Microsoft zaak ook nog herinneren. Alsof Apple de muis het uitgevonden, bleek het de alto van xerox te zijn waarvan afgekeken werd. Of neem de ronde hoekjes van Apple afgekeken van Philips radio's uit de jaren 60. Als ze consequent waren daar ha Apple als monopolist aangepakt moeten worden inclusief terughalen van ontweken belasting Of ze hadden IBM het lastiger gemaakt ipv ze alle vrijheden te schenken in boardrooms of. ...
Het enige echte wat ooit gebeurd is tegen monopolie is het opsplitsen van at&t

Thanks anoniem13:16 het was mij bekend dat verschillende organisaties die mogelijkheid al lang hebben. Het is stuk beleid wat wel op orde is

Precies :
Update 09:58 GMT 24/06/2017
A spokesperson for Microsoft contacted The Register and said: "Our review confirms that these files are actually a portion of the source code from the Shared Source Initiative and is used by OEMs and partners."

Schijnbaar vond iemand het nodig om de NDA te negeren wat op zijn zachts gezegd niet erg netjes is.

Microsoft is van donderdag op vrijdag 10 dollar cent omhoog gegaan naar 68,60 dollar. Misschien gaat de koers bij opening maandag wel flink omhoog. Vooral nadat Microsoft aangeeft dat het niets voorstelt en luttige code betreft.

ik lach me suf! nu zijn veel argumenten (van hoofdzeikelijk karma4) tegen open source net zo toepassenlijk op windows :) hilarisch!

Lekker dan... zouden ze ook de gelekte sourcecode voor de zekerheid extra door de audit halen?

Na het lekken van Win2k source code zijn er verschillende DCOM en LSASS wormen verschenen, waaronder blaster en sasser. Sooo.. welcome new worms, blij dat ik FreeBSD gebruik

Je beweert objectief te zijn en je reageert zo?
Prima de tegenstrijdigheid druipt er vanaf. Je onderbouwt enkel dat je aparte agenda voe

Ik neem aan dat je ook vierkant achter de Oracle zaak staat dat elk gebruik van een api sql etc licentieveplichtingen meebrengt.
Of de zaak fbi tegen apple waar een enkel toestel data gevraagd werd maar een Cook dat bracht als algemene backdoor. Of de top megaboete tegen Google of Facebook.

Tievoeging: De veronderstelling dat een overheid geen richtlijnen aan bedrijven handelsembargo-s kan opleggen is buiten de realiteit. https://en.m.wikipedia.org/wiki/Export_of_cryptography_from_the_United_States

Als we op het niveau zitten van open source good closed source bad/better dan is dat triest voor secùrity informatieveiligheid. Het verhaaltje mag hilarisch zijn de achtergrond niet.

Ik draai jouw constatering graag om. De argumenten voor open source blijken ook voor Windows te gelden.

Overigens zijn er vele propierty cots leveranciers die open source als niet onderscheiden deel meeleven waar grof voor betaald wordt naar niets doorgegeven aan de enen die het werk doen.

Nu wordt er weer gezegd dat er veel minder gelekt is als oorspronkelijk gemeld door the Reg en anderen.

Zou het niet zo kunnen zijn dat eventuele gevolgen van NSA lekken en dus ook komende zero-day exploits zo zullen worden verklaard.

Dit werkt even goed of beter als de Russen ergens de schuld van geven en de "goede en brave " NSA blijft dan verder buiten beeld en dus buiten schot .

Tevens ook het in het geniep samenspannen van Microsoft en de NSA hoeft dan niet meer te worden verklaard.
Ergo win win voor de Microsoft Monopolist alsmede de Deep State Spooks.

Het is maar een scenario, dat nooit bevestigd zal worden, toch gezien recente ontwikkelingen, lijkt het mij zeer plausibel toe.

Beperkte monopolist als enkel naar Desktops kijkt. Je kunt beter zorgen maken over de server based monopolies aangezuen bijna alle ict firma's onder controle van de vs stasn.
Redelijk omvangrijk datacenter wat er met Snijden naar buiten kwam.

@Neb Poorten,

Het is treurig maar ook hier is het opnieuw hetzelfde liedje. Als Microsoft kritiek krijgt, of op een andere wijze negatief voor het voetlicht komt laat degene tegen wie je nu van leer trekt (met opzet noem ik verderop geen volledige Nickname) geen mogelijkheid onbenut om de aandacht af te leiden van het onderwerp van de initiële redactionele post.

K4 sleurt er van alles bij om zijn paranoïde? doel te bereiken: Microsoft is King of the World, en waag het eens om dat te betwijfelen laat staan te bekritiseren.

Dat is nu juist zo jammer. Alles, maar ook absoluur àlles verdient juist oprechte kritiek. Vanuit kritiek worden/werden 's-werelds grootste meesters geboren. (hoor je me Karma4?)

Echter K4 denkt te bekrompen, te rechtlijnig, vooral zonder totaalvisie om dat te begrijpen.
Nagenoeg elk topic wordt hierdoor verzuurd en gaat schiften. Ik schreef het elders ook al in iets andere woorden:
Het is het beste een K4 posting die zweemt naar zo'n abjecte doelstelling te negeren.
Door (inhoudelijk) te gaan reageren verzakt het Topic alleen maar - anders omschreven - in een steeds diepere modderpoel waarbij alleen het alles doodslaande bashen komt bovendrijven.

Anderen beginnen hier ook wel eens mee - ook fout - maar dan met een losse flodder van 5 woorden ten hoogste.
Maar de meest 'succesvolle' basher is K4.

Nu dus ook weer.

Epiloog: Niet reageren heeft voor K4 vermoed ik vooral een opvoedkundige waarde. Hij zal dan ten lange leste leren in te gaan op een redactioneel artikel en het niet gaan gebruiken om zijn stokpaardje te gaan berijden.

Tijd om van K4 een Amerikaan te maken. Het reactiepatroon is al vrijwel identiek.

Als ik op een ander internationaal forum kom, waar veel Amerikanen (vaak niet de slimsten onder de 'dumbed down') aanwezig zijn, vliegen ze bij kritiek op M$ / Windows10 zowat in brand. Zelden een meer geborneerd of patriottischer gezelschap gezien, lijken wel lui uit de Bataafse republiek destijds.

Laatste opmerking van hen luidt meestal "Maar je hoeft het niet te gebruiken hoor, als je het niet vertrouwt".
Ik dan: "Zo zou het niet moeten zijn, maar dan wordt het een ideale wereld en dat is het nu zeker niet".

Waarom gaan er niet meer mensen een windhose iso als VM draaien op hun PC, instructies zat op you tube te aanschouwen, maar ja sh33pl3 en sh33pl3 volgen andere sh33pl3. En anders - DRM weet je, of Brein einsetzen.

Het blijft rieken naar corporationeel nazisme van de bovenste plank en met welk recht voor deze van origine telefoonhackers, want dat waren ze alle drie, de starters van deze Amerikaanse propriety systemen.

Als M$ gehackt wordt of lekt, is dat karma, want zo zijn ze zelf ooit begonnen ook.

Het simpele antwoord aha en Neb is dat ik het meeste last heb van slechte informatieveiligheid in unix/linux omgevingen.
Aan die situatie worst niets gedaan omdat er een soort heiligverklaring an die omgeving is. Daar wordt behoorlijk misbruik van gemaakt door wat grote commerciëlen.

Kom eens met een voorstel om dat aan te pakken ipv in dd bashing mode te blijven hangen.

@ Neb Poorten & karma 4,

Het hoeft niet, maar kan wel en dan is het in de eerste plaats een gevolg van PEBKAC van degenen die niet een website of server goed veilig weten te houden uit onkunde of anderszins..

Kijk eens hier: Scan of https://www.alltubedownload.net — AllTube Download
HTTP-Only cookie: It looks like a cookie is being set without the "HttpOnly" flag being set (name : value):

PHPSESSID : bfcf5dceb4fbb945ad4444d96d55717d

Unless the cookie legitimately needs to be read by JavaScript on the client, the "HttpOnly" flag should always be set to ensure it cannot be read by the client and used in an XSS attack.

Secure cookie: Result
It looks like 2 cookies are being served over HTTPS without the "secure" flag being set (name : value):

__cfduid : d87ccee1fb3ee860c2375dc5dc6ce933b1498421861
PHPSESSID : bfcf5dceb4fbb945ad4444d96d55717d

Unless the cookie needs to be sent over an insecure connection, the "secure" flag should always be set to ensure it can only be sent with an HTTPS request. Zie ook: https://webcookies.org/scan/6181613

D status with sri-hash not being generated for script: https://sritest.io/#report/194d1d09-57b1-410a-8844-8aa3e9066c9a

https://observatory.mozilla.org/analyze.html?host=www.alltubedownload.net F-status en aanbevelingen.
Ging terug van D-status naar F-status

Server is kwetsbaar voor Heartbleed en Poodle, Comodo certificaat en vrij uitgebreide SAN: Common name:
sni250345.cloudflaressl.com
SAN:
sni250345.cloudflaressl.com, *.064lq.loan, *.0dmul.loan, *.1502201.top, *.1kbog.site, *.31m6r.top, *.33mbr.site, *.42t0w.loan, *.4797794.top, *.4jwfe.top, *.4qs11.loan, *.5655720.top, *.7j55t8.top, *.8nqlr.online, *.adj8q.site, *.afhhnq.loan, *.alltubedownload.net, *.dpdw0.loan, *.epik.club, *.gk6jv.site, *.hkqw9.top, *.homeofficerecyclingbins.co.uk, *.i0jgp0.top, *.k4ths.top, *.kq428.online, *.lj7k2.loan, *.loli.team, *.m22vo.top, *.n6636h.top, *.n8b6af.top, *.ni8ib.loan, *.p54ui.site, *.pomf.xyz, *.pq9i1.loan, *.thuxc.site, *.y1lwk.loan, *.y82mu.site, *.ym9x9.top, *.z9qva.loan, 064lq.loan, 0dmul.loan, 1502201.top, 1kbog.site, 31m6r.top, 33mbr.site, 42t0w.loan, 4797794.top, 4jwfe.top, 4qs11.loan, 5655720.top, 7j55t8.top, 8nqlr.online, adj8q.site, afhhnq.loan, alltubedownload.net, dpdw0.loan, epik.club, gk6jv.site, hkqw9.top, homeofficerecyclingbins.co.uk, i0jgp0.top, k4ths.top, kq428.online, lj7k2.loan, loli.team, m22vo.top, n6636h.top, n8b6af.top, ni8ib.loan, p54ui.site, pomf.xyz, pq9i1.loan, thuxc.site, y1lwk.loan, y82mu.site, ym9x9.top, z9qva.loan
Valid from:
2017-Apr-25 00:00:00 GMT
Valid to:
2017-Nov-01 23:59:59 GMT

Omdat er nog zoveel en zo vaak wordt geconfigureerd zonder het gebruik maken van "best policies", moet dit ook in de discussie worden meegenomen. Hoe kan men wijzen naar de gesloten Microsoft-Monocultuur als non-public cloud CDN's ook meedoen en dan ook nog servers zo configureren of scriptveiligheid afregelen?

Nameserver reza.ns.cloudflare.com op bad zone. Reverse Entries for MX records bijvoorbeeld inconsistent van aspmx.l.google.com. Zie verder voor DOM, JSON api code: https://urlscan.io/result/264c54a3-2c97-4a8f-b1c8-8d03529f12b5#summary

Als we deze zaken niet gaan aanleren of tackelen, blijven qua beveiliging zo in het duister tasten.
CloudFlare en Google kunnen gelijkaardige problemen opleveren als met Microsoft Webservers, alhoewel de
configuratie van servers en met name de beschikbaarheid van settings (dichtzetten) per soort server kan verschillen.

Hier moeten we dus voor trust Cloudflaressl.com, aspmx google dot com & Comodo maar op de blauwe ogen geloven.
Non-public blijft voor veel spiedende oogjes een gesloten boek. Prachtige voorbeelden hier van Security through Obscurity en wat er hierbij Snakeoil kan zijn,

Een sri-hash probleem kan bijvoorbeeld worden opgelost door malcreanten voor een campagne, nadat een onveilige site na een hack door hen "veilig" kan worden gemaakt tegen competitie en anderszins, bijvoorbeeld voor het lanceren van malcode. Wij zien dit vaak hier: https://sritest.io/ in het overzicht als men scant op gecompromitteerde websites.

Ik heb te veel gezien als website foutenjager om er onvoorwaardelijk vertrouwen in te blijven houden.

Zie ik hier een meer algemeen incompetentie probleem, beste Neb Poorten & karma 4?

Dit wilde ik even met allen delen hier in dit draadje. ;)

gegroet en fijne werkweek allen,

luntrus

Ik heb even mijn aluhoedje opgezet....

Wat interessant is, dat het kennelijk te zien is, ergo er is een verschil tussen wat ingezien mag worden en de code die werkelijk gebruikt wordt. De vraag is is dat alleen 'Water merk" of zijn er ook functionele verschillen?

+0,950 (+1,35%) verschil met 23-jun-17 22:15

Je hebt de kern met pebcak denk ik aardig te pakken. Niet leuk als je te maken hebt met beslissers architecten en beheerders met eigen werelden. Je moet wantrouwend open blijven voor de kritiek. Best practices heeft niet mijn voorkeur het zijn de incomplete Quick eins. Good practice houdt continue verbetering in.

Beste karma 4,

Zitten we tenminste op het goede spoor met de aannames. Als online vrijwilliger heb ik weinig tegenspraak van architecten en beheerders met eigen werelden gelukkig, voor de meesten "it goes way over their heads", maar krijg als resultaat vaak genoeg directe blokkeringen van sites en aansporingen om mijn adviezen op te volgen. Ook zijn er inmiddels volgers.

Het is inderdaad vrij ingewikkelde materie. Hoofdzaak blijven pleiten voor patchen, updaten en ook afserveren van al wat oude en kwetsbare of zelfs verlaten script is. Je moet je steeds goed weten af te sluiten voor alles wat kan afleiden.
Een foutenjager is een bepaald soort "dier".

Dan zijn er een legio zaken bij websites die mis kunnen gaan of scheef kunnen zitten. Wat te denken bijvoorbeeld van de zachte drang naar https only implementatie en wie doet de certificeringsautorisatie voor Edge, bij firefox en Chrome - de gebruiker en ontvanger en wie nog meer? In hoeverre is dit proces op uw machine gecompromitteerd?

SSL, wel, het zegt slechts iets over een veilige verbinding, maar welke andere verborgen (on)veiligheid kan ermee gediend zijn om het non-public te houden? En dan nog niet dit probleem, maar ook de onveiligheid van pretcertificaatjes, zelf gesigneerd en vaak als root op de server, een server met excessieve info proliferatie wellicht.
Wat de gebruiker ervaart als onveiligheid of tenminste aantasting van de privacy, kan een veiligheidsdienst juist als de hoogste veiligheid bestempelen (mogelijkheid alles te kunnen monitoren).

Je weet soms niet waar de onveiligheid begint en waar die eindigt. Daarom de jarenlange ervaring en de fijne neus, die aan moet geven waar het aas zoal kan liggen, bepaald PHP type bestand, bepaalde javascript error en commentaar in een bepaald StackOverflow bericht.

Browser en bot zien verschillende code, cloaking en de eventuele kwetsbaarheden vandien. Sinks en sources op jQuery scripts en de afweging tegenover het strikt naleven van de "same origin" policy.

Ik wilde dat anderen er ook gein in kregen en/of zich wat meer gingen openstellen voor dit soort algemene veiligheidsprincipes, het zou het Interweb voor velen tot een wat veiliger oord kunnen maken op termijn,
maar ja de een wil graag weer ondermijnen, hetgeen de ander zou willen opbouwen.

luntrus