Vlákno názorů k článku CrowdStrike: budíček proti bezmyšlenkovitému nasazování bezpečnostních nástrojů od Panzer - Kristova noho to je zase snůška názorů tadyto. tak...

Kristova noho to je zase snůška názorů tadyto.
tak zaprvé. jestli se vám ve firmě zdá, že totam rozhodují manažeři tak, že si háží kostkou, tak každý z vás má možnost se přihlásit na výběrové řízení a jít to tam dělat za ně. Tyhlety pindy zakyslých pracovníků, že by to dělali lépe, to je místní kolorit, U nás ve firmě se to dělá odpovědně a přemýšlíme nad tím.
zadruhé: v enterprise řešení to EDR prostředí prostě potřebujete, potřebujete znát jestli se nějaká stanice nechová divně, server jestli taky nedělá něco divného, Procházení logů je k ho*nu. Na 10 000 stanicích a několika stovek serverů to jinak nejde zvládnout. Ani se SPLUNkem, nijak.
Zatřetí: jestliže existují cyberútoky (a to je podložené) tak musí existovat i cyber obrana/cyberse­curita. Já unii líbám ruce, že to honí horem dolem a že moje data se nepovalují u kdejakýho joudy (kde jsem si koupil boty) jen tak bez jakékoli ochrany.
Ať si dědci mrmlaj.

31. 7. 2024, 14:47 editováno autorem komentáře

Muzu ti rici ze na eventy/logy z EDR se z vysoka tento. Nejsou kapacity kdo by to tridil. Je tam hromada false positive - hlavne u vyvojaru driveru a hw nebo u sec testeru. A kazdy je odvareny z toho kdyz mu EDR zacne zrat cpu pri testech nebo pri celofiremnim meetingu pres vsechny obydlene kontinenty.
Security oddeleni prave shani lidi kteri maji vice presah mezi obory aby se mohly eventy posuzovat a dale kopat do zadku poskytovateli reseni.. Ale jsou toho takova kvanta z celeho sveta a ruzne platformy ze nasi infrastrukturu nezvladaji ani velke firmy nabizejici reseni.
Jenda vec je mit reseni a druha vec ho zvladnout pouzivat.

EUronormy jsou většinou koncipovány tak, že jim vyhoví pouze relativně malý počet "vyvolených" firem, pro něž je to možnost nasadit oligopolní ceny. A vcelku spolehlivě brání tomu, aby těmto firmám vyrostla konkurence, dělající tuto práci lépe. Platí to zcela obecně ve všech takto regulovaných odvětvích (zdravotnictví, výroba potravin, výroba léků, boj za klima a mnoho dalšího).

K té, multi-vendor strategii: Je asi třeba strategická úvaha, co nejhoršího se může stát (a kolik to bude stát) a jaká je pravděpodobnost, že se to stane. Podle některých odborníků bude-li vývoj, který vedl k té havárii před skoro 14 dny, pokračovat, budou havárie tohoto druhu častější a s většími následky.

Trochu obecněji: Jsou v podstatě dvě strategie:
1. Nechat zajištění bezpečnosti volnost (= žádné státní a mezinárodní "bezpečnostní" normy) s tím, ať si to každý dělá, jak chce, ale když to podělá, může se mu stát, že zbytek života prožije v nějaké sociální ubytovně na minimální sociální dávce (=pravicové řešení).
2. Regulovat daleko tvrději a podrobněji než nyní, např. tyhle bezpečnostní firmy by měly stanoveny limitní počty HW, které mohou obsluhovat, uživatelům jejich služeb stanovit od určitého počtu strojů povinnost mít dva (a od ještě vyššího počtu tři, atd.) nezávislé dodavatelů těchto služeb (a asi další limitace, které by napadly někoho v IT více honěného než já) (=levicové řešení).
Obávám se ovšem, že ta první strategie má potenciál růstu, zatímco ta druhá spíš bude mít tendenci degenerovat

Ale jdete vy brepto. ISO ma kdekdo. A rozhodne se bavime o poctech, ktere se vam nevejdou na prsty rukou, jak se tu snazite z neznalosti tvrdit. Spise jen prokazujete vlastni neznalost... a vlastne i neschopnost dohledat informace. Coz je u akademickeho pracovnika ponekud smutny pribeh... :-) Fakt nechcete vratit ten svuj diplom? Delate akademicke obci akorat ostudu.

Zadna EUnorma vam neprikazuje nasazeni konkretniho produktu. Mel byste omezit prisun nebezpecnych navykovych latek ;-) A ze ta kultura pestra je se v pripade incidentu kolem CrowdStrike projevilo zrovinka u nas docela ukazkove... zas tak moc toho tady nevypadlo.

Samozrejme v ramci organizace muzete zkouset veci jako multi-vendor strategie (aka to vase kazdej pes jina ves)... ma to jeden hacek - klade to podstatne vetsi naroky na personal, co se o to stara... presneji receno spis potrebujete vic lidi, co to zvladne ukocirovat. Copak rozjet to, to jeste uplne tezky nebejva... ale nejaky troubleshooting? Zabavy kopec... protoze v tech ruznych low-level detailech se ruzne platformy proste lisi.

Vy jste fakt kousek. Diskutér v příspěvku nad vámi píše, že řešení předepsány nejsou a vy reagujete "ale obvykle bývají". A ani tohle vaše stanovisko není pravda, je jen vaše představa světa.
V další části: strategické úvahy nechte těm, kdo je umí vést a vyhodnotit rizika. Vy o téhle problematice nemáte ani páru, naposledy jste se zřejmě setkal s nějakým mcafee na svým kompu.
No a na závěr vyjmenujete dvě extrémní cesty, které stoprocentně nenastanou, takže to nejsou žádné strategie, které by někam vedly.
Proč nekomentujete prostě jen veci kterým rozumíte?
A já jsem mamlas, že jsem se zase nechal vtáhnout do diskuse s váma. Jsem fakt jelito. Vždyť je to k ničemu.

1. 8. 2024, 10:34 editováno autorem komentáře

Je ovšem otázka, zda za takovou bezpečnost neplatíme příliš mnoho. Zejména v situaci, popsané i v článku, kdy v podstatě "bezpečnostní prvky" omezují provozuschopnost IT systému. Pak je na místě dotaz, zda jsou taková bezpečnostní opatření koncepčně OK. Zda by nestačilo něco, co by sledovalo provoz na síti a v případě, že se některý počítač začne chovat nestandardně, nespustilo poplach.

Jakoze takove Delta Airlines podlehaji bruselskemu nebo snad prazskemu diktatu? ;-) No kdybyste aspon neblabolil. Mimoto, co se kyberbezpecnosti tyce, tak diktat prichazi spise z Brna a ne z Prahy :D

Nejsme ve sporu, musí se do té bezpečnosti dát víc peněz. A je asi lepší ty peníze dát na nějakou kombinaci více systémů, která celá spadne jen s minimální pravděpodobností (protože to bude jakási obdoba geneticky heterogenní populace, u níž skoro vždy nějací atyp jedinci přežijí změnu podmínek, nový patogen apod.).
Ta atyp řešení můžete dále rozvíjet interaktivně na základě toho, co se osvědčilo. Jak to ostatně v přírodě dělá pan Darwin, ale jak se to běžně dělá u některých výrobků s dlouhou tradicí průběžného vývoje, u nichž je skoro každá další generace lepší - spolupracovník měl kdysi na zdi pracovny "vývojový rodokmen" fotoaparátů Leica. Proto má tento extrém a řešení jemu blízká potenciál dalšího zlepšování.
To druhé řešení spíš bude mít tendenci degenerovat, protože se to přesune do ranku řízené ekonomiky, a ta vždy dopadne tak, že na rozhodujících místech sedí naprosto nekompetentní (leč politicky pevní) lidé. To platilo a platí pro nejrůznější verze socialismu, případně fašismu.

To ale musi posuzovat provozovatele dane infrastruktury s prislusnym povedomim o o danem prostredi... to tezko posoudi nekdo z ulice :-) Mimoto, jen chytat sitovy provoz take vsude nestaci, presneji neni to vseobjimajici - ono dnes je spousta technik, kterak do zdanlive legitimniho provozu schovat neco nezadouciho a s rozmachem TLS pro vsechno se dovnit toho sitoveho provozu taky nahlizi hur. A nektere typy incidentu na flow vlastne ani moc nepoznate, proste se tam neprojevi.

Provozuschopnost IT muze ovlivnit kdeco, nejen (bezpecnostni) software. A nektere veci stoji zcela mimo IT... aneb kdyz vam bouchne rozvodna typu Chodov, pak toho zhasne taky dost - a obcas i veci, u kterych to nepredpokladate. Rekneme ze historie uz take pamatuje i pripady, kdy ani pritomnost UPS a dieselagregatu to nezachranila. Ba co hur, historie pamatuje i cela shorela datacentra... ;-)

"to tezko posoudi nekdo z ulice"
V tom nejsme naprosto ve sporu. Jde spíš o to, že aktuální je tč. nějaká pražská či bruselská ulice, jejichž obyvatelé se nemohou zbavit představy, že zkonzumovali Šalamounův exkrement a stali se vševědoucími. A výsledkem je právě situace, jako onen průšvih během pátku předminulého týdne.

Jsou předepsány určité parametry řešení, které jsou s to splnit pouze určité firmy. Naprosto stejně funguje EU uznatelné zateplování domů nebo instalace fotovoltaiky apod.
Takže vám neřeknou "musíte to udělat u firem A - E", ale řeknou vám, "musí to splňovat kritéria ISO XYZQDC a vy holt sám přijdete na to, že jiné firmy než A - E to ISO nemají.
Výsledek je stejný a formálně to jako korupce nevypadá.

Jinak ano, jsou to extrémní cesty, nicméně čím jste blíž k jednomu nebo druhému extrému, tím líp to bude fungovat. Jakmile začnete bastlit nějaký hybridní systém, kterým byste chtěl kombinovat pozitivní vlastnosti obou, vyleze vám z toho vždy něco, co bude naopak kombinovat jejich negativní vlastnosti.

Bohužel, přesně takto to funguje. Bez ohledu na to, zda je těch firem větší či menší množství, vytvářejí monokulturu a ta nakonec povede k obecné zranitelnosti všeho.

MMCH, krátce po zavedení ISO norem v Česku zemřelo na aplikaci jedné z nich dítě. Jedna firma přesně podle ISO normy udila ryby studeným kouřem, a pak je dávala do rybího salátu. Patogenní bakterie, pochopitelně, což tvůrci ISO netušili, toto uzení přežily, v salátu se pomnožily a nastala epidemie s jedním úmrtím. Za což oficiálně nikdo nemohl, protože vše bylo OK podle ISO (tenhle příklad jsme používali ve výuce).
A ve stavebnictví, pokud chcete dotaci třeba na to zateplení, tak je výběr firem a materiálů silně omezený a, navíc jsou ty firmy a ty materiály o tolik dražší, že vám dotace maximálně pokryjí rozdíl ceny mezi těmito firmami a materiály a normálními firmami a materiály. A protože Češi nejsou hloupí a spočítali si to, rozlehl se po zdejších luzích a hájích kvil, že ty dotace (skoro) nikdo nechce.

A buďte ujištěn, že v té IT oblasti to bude s těmi ISO velice podobné.

Vy jste opravdu specialista na vytahovani okrajovych pripadu. Zadna norma vam dokonale nepokryje 100% situaci, ktere muzou nastat. A sam tady nazorne prezentujete ono zjednodusovani a hledani jednoho vinika. Kdy ale opominete komplexni analyzu pri zohledneni dalsich veci - treba slabsi imunita, ktera taky mohla byt spolupusobici faktor v pripade daneho umrti.

A presne to same plati i v IT a bezpecnosti. Zatimco vy se tu snazite tvorit rychle zjednodusujici zavery, ta problematika je proste komplexni zalezitost a zadna norma vam neposkytne presne rozreseni. Je to pouze voditko, jakym smerem se ubirat.

" nerika vam, ze to nemuzete udelat lip"
Mýlíte se. V principu říkat může, protože pokud se ono lepší nevejde do toho ISO, tak musíte přejít k horšímu. V oblasti potravinářské mikrobiologie se tak stalo u řady dílčích metod. U těch metod šlo o to, že ISO požaduje metody simplexní, které zvládne i západoevropská laborantka, která je, či alespoň byla před destrukcí našeho školství, na výrazně nižší úrovni než ty naše. Takže u nás se v době ČSN používala média a postupy, které by prostě ISO laborantky nezvládly navařit a ty postupy s nimi provést.
A, MMCH, ČSN pro mikrobiologickou bezpečnost potravin zahrnovala i mikrobiologické požadavky na jejich obaly, Její ISO "náhrada" žádné mikrobiologické požadavky na obaly potravin vůbec nedefinuje.
A buďte ujištěn, že i v tom IT nakonec narazíte na ISO požadavky, které jednoznačně budou přímo nebo nepřímo krokem zpět oproti současnému stavu zabezpečení. Kdyby ne, opravdu bych se hrozně divil.
Ostatně, určitým projevem toho stavu je onen "černý pátek" před čtrnácti dny.

Kybernetickou bezpečnost posuzuji z pozice mnohaletého uživatele počítačů, od PMD a Didaktika na konci 80. let až po současné HW a SW.
Provoz "nezabezpečených systémů" má význam u méněcenných OS typu Windows, kde je zpravidla "bezpečnostní aktualizace" spojena se zásahy do dalších částí systému, takže část provozovaných programů přestane fungovat, z toho některé nevratně (proto byla a je snaha těch uživatelů, kterým jde o to, aby na tom počítači mohli pracovat, ty aktualizace blokovat). Ostatně, k témuž směřuje i Android. Nechápu, jaký vztah k bezpečnosti má tvar ikonek, které se po takových aktualizacích zcela změní. Z toho důvodu také preferuji Linux, který zpravidla odlišuje bezpečnostní záplaty od upgrade, takže jejich aplikace nezmění ani chování systému ani vzhled GUI.
A krumpáč a lopata do rukou patří IMHO těm "kybersekuriťákům", kteří nejsou s to dělat svou práci tak, aby její výsledky neobtěžovaly uživatele a neohrožovaly výsledky jejich práce.

Jenže existuje cosi jako EUronormy kyberbezpečnosti, generované EU a jejími pohůnky na úrovni států. A pak nastanou problémy.
IMHO menší zlo je jakási pestrá kultura, každý systém stylem "každej pes jiná ves", kde úspěšné napadení jednoho systému má nulovou informační hodnotu pro úspěšné napadení kteréhokoli dalšího.

Pak musíte provést kalkulaci, jestli se investice a provozní náklady na tu bezpečnost vyplatí, nebo ne. Nebo, zda nebude lepší se bezpečnostně rizikové práci vyhnout a najít si jiné zaměření.
Případně můžete rozdělit celé IT na samostatné celky, u nichž výpadek jedné části neovlivní ty ostatní. Takto se ostatně klasicky stavěly výroby na výbušniny a střelivo (bylo možno vidět v Semtíně, současný stav neznám).

Problem je, ze cilem manazeru neni nejaka bezpecnost, ale odskrtnuti fajfky v ruznych certifikacnich/au­ditnich pozadavcich.
Takze chaoticky nakupuji ruzna reseni, lepi je jak vlastovka hnizdo a vysledkem je nepouzitelny koktejl, ktery realne nikdo nedokaze ani spravovat, natoz aby dohromady davaly nejaky smysl.
Dopad na produktivitu je ten mensi problem, vetsi je, ze v tom chaosu pak je tezke nejaky realny bezpecnostni problem vubec identifikovat.
Tenhle efekt bude jeste velmi zajimavy obzvlast v souvislosti s povinnostmi, ktere na IT chysta NUKIB skrz NIS2.

Norma by měla pokrýt oněch 100 %, nebo je k ničemu.
A tady šlo o vyslovený lapsus, kdy se bakteriemi prolezlý materiál "zabezpečoval" technologií, která ty bakterie neničí. Naštěstí ty saláty byly provzdušněné, jinak tam mohl být i "rybí" (= charakteristický pro kmeny Clostridium botulinum žijící na rybách) botulotoxin a mohlo těch mrtvých být daleko víc.
Jinak u této kauzy šlo jistě o to, že tak malému dítěti se rybí salát dávat nemá, ale opravdu zemřelo na infekci, na niž je člověk všeobecně vnímavý a která navíc nezanechává imunitu. Při trošce šikovnosti a smůly na to může zemřít i dospělý.

Nicméně je to na ilustraci, že ISO norma neznamená, že je vše v pořádku. Zatím jsem se nesetkal s odborníkem, který by tvrdil, že přechod z ČSN na ISO znamenal v jeho oboru zlepšení. Všichni si mysleli, že zhoršením v jeho oboru je zaplaceno zlepšení v oborech jiných (kam už patří i to IT).
Z podobných důvodů také podobným normám moc nedůvěřuji (a nejsem v tom sám) a ty články o "geniálním" zajištění IT bezpečnosti jejím zglajchšaltováním společnou legislativou (viz Lupa v posledních asi 2 týdnech) ve mě spíš vzbudily skepsi. Obávám se, že se i dobře míněné takovéto aktivity mohou zvrhnout v pravý opak.

Norma pokryvajici 100% pripadu je chimera :-) To neplati ani ve vasem oboru, aneb porad je jiste co objevovat. Navic norma vzdy stanovuje pouze nejake minimalni pozadavky... nerika vam, ze to nemuzete udelat lip. To jsme spise u te lidske lenosti - ktera udela jen to, co dostane befelem, ale nic nad ramec toho. A pokud neexistuje zadna regule, tak se na nektere veci jednoduse vykaslo. A zrovna co se bezpecnosti to je videt na kazdem kroku... v provozu spousta deravych aplikaci, ktere jsou nekdy - zcela bez vedomi jejich provozovatele - zneuzivany i k utokum. V lepsim pripade ty diry vedou "jen" k zesmesneni daneho chytraka.

To, co popisujete, by platilo a fungovalo v tržní ekonomice. Dnes máme státem řízenou ekonomiku, jako před rokem 1989, akorát se to řízení tváří trochu jinak. I na balík kancelářských papírů musíte mít výběrové řízení. A výběrové řízení dělají úředníci, jejichž jediným kritériem je cena, protože ničemu jinému nerozumějí. A v podstatě nechtějí koupit něco dražšího, ale kvalitnějšího, protože se právem bojí, že by negramotný soudce nemusel tu vyšší kvalitu jako ekvivalent rozdílu v ceně uznat. A dodavatelé šuntů jsou zpravidla nejvíce ochotni se soudit.
Takže tu vyšší bezpečnost neuděláte, nebo nebude jak ji zaplatit.
A pak ještě přijde nějaká nesmyslná bezpečnostní norma, a je to totálně v háji. Měli jsme v laboratoři nástropní germicidní lampu a k ní na zdi malý počítač, který ji ovládal. Stejně nesmyslný, jako třeba nastavování času na digitálkách. Teoreticky to mělo umět nastavovat od kdy do kdy to bude svítit který den v týdnu a podobné věci, v praxi to bylo naprosto nepoužitelné. Problém byl v tom, že návod byl asi automatický překlad z čínštiny, takže to byly jen takové skřeky a zcela zjevně to ani nikdo nepřekontroloval, protože v návodu se blekotalo o modrém červeném a zeleném knoflíku a fyzicky tam byly tři zcela stejně černé. Nakonec jsme laboratoř vyzařovali v případě potřeby ruční UV lampou, která fungovala tak, že se rozsvítila po zastrčení do zásuvky a vypla, když se z ní vytáhla. Protože s tím krámem se nic nedalo dělat a nějaký obskurní bezpečnostní předpis zakazoval výměnu toho nefunkčního IT ovládání za normální vypínač (žádali jsme o to).

Jaky houbicky si to v ty vasi laborce na Kamenici pestujete? ;-) To musi byt slusne halucinogeny. Nebo ze by to byly projevy pocinajici starecke demence? :-)

Vyssi bezpecnost je mnohdy treba jen o nastaveni, parametrizaci pouzivaneho software. Dost casto se to nedela, protoze je to prace navic a lidi jsou jen lini to resit (nebo na to nemaji cas). A pro priklady netreba fakt behat daleko, na internetu porad najdete hromadu sluzeb s deravym SSL2. Dost casto i na zarizenich, kde to... nekdy proste staci vypnout. A smyslem norem zrovna tady je ty lidi donutit to zacit nejak resit... a ne na to kaslat.

A kdyz jste takovy expert na breberky, tak jiste vite ze behem provozu primych germicidnich lamp by v prostoru nemel byt nikdo pritomen, protoze to poskozuje oci, kuzi, vlasy.... takze to neni omezeni jen tak z pleziru. Takze blabol s vypinacem si nechte od cesty.

Akorat ze penize jsou limitovany zdroj. Jisteze, s neomezenym mnozstvim penez vam zaridim libovolny zazrak... ale kde je vzit? Mimoto ani multivendor vas nutne zachranit nemusi, ono co se "low-level" veci tyce, casto narazite na obdobne knihovny. Viz treba takove openssl, ktere pouziva fakt kdekdo... a objevena chyba tam znamena problem napric vendory. Jo ono jaksi nestaci koukat jen na samolepky na krabicich... ono se musite podivat i na ty streva - a to fakt ne kazdy zvladne.

A to se pletete. Existuji i opensource reseni. A muzete si je nainstalovat a provozovat zcela zdarma. Samozrejme spoustu casu zabijete v ruznych slepych ulickach. Je spise otazkou, zda-li ten cas vubec mate, aneb cas rovna se penize, ze? ;-) Coz plati i u tech strategickych "multivendor" reseni obecne... proste potrebujete penize na lidi, co kolem toho budou skakat. A tech penez pak potrebujete vic, protoze nikdo neni super-admin, co ovlada vsechny technologie.... tedy musite tech specializovanych lidi zamestnat vic, a to jsou zase penize navic.

Prvni strategie zadny potencial rustu nema. A spis to je klasicka kapitalizace zisku a socializace ztrat... protoze uz jen ty davky zaplati ostatni na danich. To neni zadne riziko, ze nekdo skonci na davkach... kdyz teda neco "podela". Tech tikajicich bomb, kdy lide ochotne do internetu provozuji deravy software, protoze reseni bezpecnosti a nedejboze aktualizaci je obtezuje najdete kolem sebe hromadu.

Nemylim. Treba zrovna u elektroinstalaci (kde CSN take byly prisnejsi nez EN) jsou nejake minimalni pozadavky, ale nic vam nebrani to udelat lip, tzn. dal pokracovat v tom "lepsim" dle CSN... a u IT veci to plati obdobne, norma proste stanovuje nejake minimalni pozadavky... treba na bezpecnost a tak, ale nic vam nebrani to udelat jeste bezpecnejsi. Treba u sifrovani vam proste nic nebrani pouzivat robusnejsi algoritmy a ty, ktere povazujete za slabsi - byt normou povolene - pouzivat vubec nemusite.

"Použitý materiál musí mít atest" - a jsme u toho, že ten atest dostane od úředníků z EU jen někdo a desítky stejných nebo i lepších materiálů ne. A dtto firmy, které s tím materiálem budou pracovat.
Druhá věc je, že pokud zateplíte výstavbu z první republiky nebo konce Rakouska - Uherska, tak vám po čase spadnou stropy, protože uhnijí konce trámů v nosných - obvodových zdech. Zdroj informace - tchýně, která byla architektka se specializací na starší budovy.
V momentě, kdy budete bezhlavě následovat ISO, dostanete se prostě do průšvihu. Je to důvod, proč mít vůči ISO rezervovaný postoj. Ať už se týká čehokoli, tedy i IT.

Na Didaktiku ci PMD se zadna bezpecnost fakt neresila. Ani se moc neresila v devadesatkach. Takze to ze mate "leta" zkusenosti z doby, kdy se na bezpecnost kaslalo, akorat se toho dozadujete v dobe kdy tady okolo beha ponekud vic lidi s cilem uskodit. Vy holt mate problem reflektovat i menici se dobu... se divim, ze se neodstehujete do jeskyne, kdyz se vam tak styska po starych casech ;-)

A to ze se se neco okolo zmeni je zpravidla dusledek toho, ze se vam neinstaluji jen ty bezpecnostni aktualizace... ale fakticky novy release operacniho systemu a obvykle to o sobe da i vedet. Akorat vy jste roztekany, bezmyslenkovite odkliknete co to po vas chce, protoze tomu stejne ani nerozumite.... ale pak chodite nadavat, jak se vam to meni pod rukama. Ale ta skutecna zavada je v interface mezi zidli a pocitacem.

No aspon priznavate, ze vas rozhled je vcelku omezeny... :-)

Specialista na vyhledavani okrajovych pripadu opet promluvil ;-)

Ono je otazka, co vubec mate za telefon. Snazite se tu hejtit Android a pritom na vine muze byt ten superlevny cinsky vyrobce a software, co tam nacpal on sam... hlavne ze to byl vyhodnej kauf, ze? :-) Ne za vsechny prusvihy muze primo Android.

Ono bych klidne mohl konstatovat, ze na svem pristroji ty vase problemy proste nepozoruji :-)

Přístroj střední kategorie, těsně pod 10 000 Kč.
A Androidu nikdo nepřikazuje takový levný šunt, jaký popisujete, podporovat. Kdyby měl na srdci blaho uživatelů, tak by musel stanovit jakési minimální požadavky (standardy) a přístroje pod nimi nepodporovat.

"Dost často se to nedělá, protože je to práce navíc|"
A tu práci musí někdo zaplatit, a jsme u těch výběrových řízení. Právě na tomto musí zákonitě zhynout všechny snahy o nějaký bezpečnostní standard "navíc".

Germicidní lampy - jistěže vím, ale zdraví poškozují řádově desítky minut expozice. Nikoli situace, kdy zapnu germicidku a odejdu, jak jsme to měli léta na původním pracovišti. Když půjdete domů za slunného a teplého dne v košili s krátkými rukávy a krátkých kalhotách, vyrobíte si riziko, např. rakoviny kůže, řádově větší.
A pokud se germicidka nedá zapnout, protože je to jakýsi IT šunt, je bezcenná, přestože zcela jistě, jako jiné bezcenné věci, splňuje všechny ISO.

Houbičky jsme kdysi dávno analyzovali, dokonce je jeden čas šikulové prodávali na trhu, takže ta analytika byla potřebná (ony existují desítky druhů podobných, které halucinogenní nejsou). Průšvih je, že naše domácí houbičky jsou nepěstovatelné (vyroste jen mycelium, ale ne plodničky), na rozdíl např. od Psilocybe mexicana.
MMCH, moje úplně první tiskem vyšlá práce se jmenovala "Společenské nebezpečí z našich halucinogenních hub", takže o této problematice jsem docela dobře informovaný.

Jenomze vam systematicky unikaji naprosto bazalni veci. Kyberneticke bezpecnosti nerozumite, vymyslite pseudoargumenty fakticky obhajujici provoz nezabezpecenych systemu a jeste se u toho tvarite, ze se vlastne nic nedeje. Takovym lidem by se mel pocitac sebrat a vrazit do ruky maximalne lopata s krumpacem.

A zjevne to na vas nejake poskozeni zanechalo, kdyz tu tak krasne zcestne blabolite v diskuzi.. .:-) Asi to ovlivnilo nejen kozni bunky, ale melo to nejake dopady i na bunky mozkove. Mozna by se tomu mel nejaky specialista vice povenovat...

Vedecky pracovnik a ani neumi veci spravne pojmenovat ;-) Aktualizace vam cpe v tomto pripade tedy Samsung, nikoliv Android. No... kdyz to shrneme, tak vy od vyrobce ocekavate, ze se bude prizpusobovat vasim minoritnim potrebam... ale takhle to ve svete fakt nefunguje ;-) Zvlast kdyz vetsina uzivatelu ma zajem spise o ten novejsi system, ostatne proto si kupuji pristroj, kde vyrobce i slibuje, ze par novych major verzi pro dany produkt zajisti. Ve svem veku byste uz mohl chapat, ze udrzovat vice vetvi software stoji vic penez... vic, nez kolik vy jste ochotny dat.

To jste sto let za opicema, dnes uz se klic do dirky moc nestrka... :-)

Aktualizace vydava vyrobce telefonu. A ja bych rekl, ze co se tech ikon tyce to vetsine uzivatelu je proste putna a prizpusobi se. Jestli vy nebudete tak trosku neprispusobivy obcan.. :-)

V principu nechápu, proč by se z modrého balónku měla stát červená kytička. Jak to ovlivní bezpečnost systému, případně jeho lepší fungování. Vypadá to tak, že vývojáři vymýšlejí bezcenné nesmysly, aby nemuseli dělat na tom, co je skutečně významné, tedy funkčnosti a bezpečnosti.

12. 8. 2024, 09:36 editováno autorem komentáře

To je jako kdybyste si zabouch klíče uvnitř bytu, hodinu čekal na zámečníka a u toho brblal jestli to že zamykáte byt není přílišné omezování a jestli je to koncepčně OK.

Ostatně, pro tuto eventualitu si spousta lidí nechává další klíče od bytu u někoho spolehlivého. A ze stejných důvodů má někde schované i druhé klíče od auta.

aneb jak pejsek s kočičkou upekli dort. Když se řekne A, tak se musí říct i B.

Harmonizace norem měla za následek akceptaci výrobku pouze v jedné zemi namísto zvlášť ve všech zemích EU. Právě protože mají stejné normy.
Akceptováním přísnější normy by došlo k výrazným nákladům ve většině EU, což by politicky zkomplikovalo tu harmonizaci norem, že?

Nicméně proč to vadí? Tak firma bude prodávat lepší výrobek používáním přísnějších norem, ne? Oh, wait, že by do problému vstupovala 3. strana, tedy řeč peněz? Tedy firma nechce mít dražší výrobu na úkor svého zisku? Takže proto vlastně máme normy, že? Aby se třeba výrobky nešidily na úkor bezpečnosti. Ale to museli prosadit politici, protože obchodníci kašlou na techniky/odborníky, ehm.

Dotace na zateplení nejsou omezeny technickým řešením, takže klidně můžete zateplit slámou, ale použitý materiál musí mít atest. Nicméně to nijak nesouvisí s ISO normami. Použití fasádního EPS fakt není dražší, ten ty atesty má dávno, takže prosím nešiřte FUD. A nakonec - kdo platí, ten určuje podmínky a chce mít jistotu, že nejde o podvod. Což je zase v souladu se zásadami správného hospodaření, že?

Nicméně třeba ve stavebnictví nejsou právně závazné. Takže do čeho se to montují politici a co nám vlastně předepisují?

Jinak je vtipné, že požadujete, aby politici nekecali odborníkům do práce, ale zrovna normy jsou výsledkem odborníků a nikoli politiků. Takže kdo způsobil chybu v té vaší normě na uzení - politik nebo odborník?

Cena bez uvedeni znacky zadnou vypovidajici hodnotu nema. Android je jen software, ktery ma moznost kazdy vyrobce obohatit dle sveho uvazeni. Ruzne limity se samozrejme v case objevuji, typicky v reakci na nejaky realny problem. Ono sice se tu sam tvarite, ze jste chytrej jak radio (Jerevan), ale ty pozadavky (standardy) byste sam taky dohromady nedal.

Coz vam nepomuze, pokud nechate pootoceny klic v zamku zevnit... jasne, muzete pouzit vlozku, ktera snese klic z obou stran, ale to zas s sebou nese jine (bezpecnostni) problemy...

Prostě není to levný šunt. A požadavek jsem dal jasný: Aby bezpečnostní aktualizace řešila jen tu bezpečnost a nedrbala do ničeho dalšího, jak to dělají takovéto aktualizace na Linuxu.

Ano, i to se může stát, nicméně je to výrazně menší procento případů ze situací, kdy si obecně zabouchnete klíče někde vevnitř. A třeba u auta se snad klíče zevnitř v zámku zabouchnout nedají.

No tak je to proste sunt :-) Podle popisu to tak vypada, za znacku se viditelne stydite. Navic predpokladam, ze v UI Androidu ani nerozlisite, kdy jde o bezpecnosti aktualizaci a kdy o upgrade na novejsi verzi. Dost pochybuju, ze se vyrobce toho vaseho suntu crca s tim, aby udrzoval nekolik vetvi software jen kvuli vasim pozadavkum...

Pricetne auto se nenecha zamknout vubec, pokud je klic vevnitr. Ale to byste nesmel byt odpurcem modernich technologii, ze? :-)

I na těch osmibytech se dal ulovit nějaký malware.

Ne. Sice se instalují "bezpečnostní aktualizace", ale přeorán je celý systém, změní se GUI, rozhodí se jinak (Android) ikony na plochách apod., čili se dějí samé nesmysly, které s bezpečností nemají naprosto nic společného (a nemusím na to nic odklikávat). Lidský odpad od Androidu dokonce vyhrožuje dálkovým vypnutím mobilu, nebude-li ten jeho sajrajt "aktualizován".

Čili chci bezpečnostní aktualizace zcela oddělené od čehokoli jiného (jak je to na Linuxu), jenže něco takového lidský odpad od Windowsů a Androidů není s to zařídit.

Je to nějaký Samsung s poměrně velkou vnitřní pamětí a má být odolný mj. proti pádu do vody. A problém je, že Android vnucuje "upgrade", které nic nepřinášejí, jen rozhážou ikony po plochách jinak než byly a změní jejich vzhled. Opravdu bych uvítal situaci jako na Linuxu, kdy je možné instalovat jen bezpečnostní záplaty a jinak nic.
Nehledě k tomu, že některé aplikace se pomocí upgrade dokonce zhoršují - např. u WhatsApp byl takto omezen počet kontaktů, kterým může majitel mobilu současně poslat zprávu.
Dlouho se píše o mobilech s Linuxem, jakmile se něco takového objeví, přejdu na to.

"Příčetné" auto tomu zabrání jen tehdy, když je klíč v příslušné dírce, a ne když leží na sedadle.

Jenže aktualizace jsou Android a ne Samsung.
Na "většinu uživatelů" máte nějaký validní průzkum? Opravdu si většina uživatelů přeje, aby se jim co pár měsíců změnily ikony jednotlivých aplikací?

Zatím jsem auta, co se jim nestrká klíček do zapalování, neviděl.

Vsak vy take obohacujete diskuze o spoustu bezcennych prispevku :-) K vasemu uzasu ale jedinym smyslem vyvojaru neni opravovani (bezpecnostnich) chyb. Ze nekterym vecem nerozumite tu prokazujete celkem casto, porozumeni vecem jako je treba design bude jedna z dalsich, co si muzete pripsat na seznam toho, k cemu se nutkave vyjadrujete, i kdyz jim zjevne nerozumite.