Yn ddiweddar ar y blog Elastig , sy'n adrodd bod prif swyddogaethau diogelwch Elasticsearch, a ryddhawyd i'r gofod ffynhonnell agored fwy na blwyddyn yn ôl, bellach yn rhad ac am ddim i ddefnyddwyr.
Mae'r blogbost swyddogol yn cynnwys y geiriau “cywir” y dylai ffynhonnell agored fod yn rhad ac am ddim a bod perchnogion y prosiect yn adeiladu eu busnes ar swyddogaethau ychwanegol eraill y maent yn eu cynnig ar gyfer datrysiadau menter. Nawr mae'r adeiladau sylfaen o fersiynau 6.8.0 a 7.1.0 yn cynnwys y swyddogaethau diogelwch canlynol, a oedd ar gael yn flaenorol gyda thanysgrifiad aur yn unig:
- TLS ar gyfer cyfathrebu wedi'i amgryptio.
- Ffeil a thir brodorol ar gyfer creu a rheoli cofnodion defnyddwyr.
- Rheoli mynediad defnyddwyr i API a chlwstwr seiliedig ar rôl; Caniateir mynediad aml-ddefnyddiwr i Kibana gan ddefnyddio Kibana Spaces.
Fodd bynnag, nid yw trosglwyddo swyddogaethau diogelwch i'r adran rhad ac am ddim yn ystum eang, ond yn ymgais i greu pellter rhwng cynnyrch masnachol a'i brif broblemau.
Ac mae ganddo rai difrifol.
Mae'r ymholiad “Elastic Leaked” yn dychwelyd 13,3 miliwn o ganlyniadau chwilio ar Google. Yn drawiadol, ynte? Ar ôl rhyddhau swyddogaethau diogelwch y prosiect i ffynhonnell agored, a oedd unwaith yn ymddangos fel syniad da, dechreuodd Elastic gael problemau difrifol gyda gollyngiadau data. Mewn gwirionedd, trodd y fersiwn sylfaenol yn ridyll, gan nad oedd unrhyw un yn cefnogi'r un swyddogaethau diogelwch hyn mewn gwirionedd.
Un o'r gollyngiadau data mwyaf drwg-enwog o weinydd elastig oedd colli 57 miliwn o ddata o ddinasyddion yr Unol Daleithiau, y mae ym mis Rhagfyr 2018 (yn ddiweddarach daeth i'r amlwg bod 82 miliwn o gofnodion wedi'u gollwng mewn gwirionedd). Yna, ym mis Rhagfyr 2018, oherwydd problemau diogelwch gydag Elastic ym Mrasil, cafodd data 32 miliwn o bobl ei ddwyn. Ym mis Mawrth 2019, “dim ond” 250 o ddogfennau cyfrinachol, gan gynnwys rhai cyfreithiol, a ollyngwyd o weinydd elastig arall. A dim ond y dudalen chwilio gyntaf yw hon ar gyfer yr ymholiad y soniasom amdano.
Mewn gwirionedd, mae hacio yn parhau hyd heddiw a dechreuodd yn fuan ar ôl i'r swyddogaethau diogelwch gael eu tynnu gan y datblygwyr eu hunain a'u trosglwyddo i god ffynhonnell agored.
Gall y darllenydd ddweud: “Felly beth? Wel, mae ganddyn nhw broblemau diogelwch, ond pwy sydd ddim?”
Ac yn awr sylw.
Y cwestiwn yw, cyn y dydd Llun hwn, bod Elastic, gyda chydwybod glir, wedi cymryd arian gan gleientiaid am ridyll o'r enw swyddogaethau diogelwch, a ryddhawyd ganddo i ffynhonnell agored yn ôl ym mis Chwefror 2018, hynny yw, tua 15 mis yn ôl. Heb fynd i unrhyw gostau sylweddol i gefnogi'r swyddogaethau hyn, cymerodd y cwmni arian ar eu cyfer yn rheolaidd gan danysgrifwyr aur a premiwm o'r segment cleient menter.
Ar ryw adeg, daeth problemau diogelwch mor wenwynig i'r cwmni, a daeth cwynion cwsmeriaid mor fygythiol fel bod trachwant yn cymryd sedd gefn. Fodd bynnag, yn lle ailddechrau datblygu a “chlytio” tyllau yn ei brosiect ei hun, ac oherwydd hynny aeth miliynau o ddogfennau a data personol pobl gyffredin i fynediad cyhoeddus, taflodd Elastic swyddogaethau diogelwch i'r fersiwn am ddim o elasticsearch. Ac mae'n cyflwyno hyn fel budd a chyfraniad mawr i'r achos ffynhonnell agored.
Yng ngoleuni atebion “effeithiol” o'r fath, mae ail ran y post blog yn edrych yn rhyfedd iawn, ac oherwydd hynny fe wnaethom ni, mewn gwirionedd, roi sylw i'r stori hon. Mae'n ymwneud - gweithredwr swyddogol Kubernetes ar gyfer Elasticsearch a Kibana.
Mae'r datblygwyr, gyda mynegiant hollol ddifrifol ar eu hwynebau, yn dweud, oherwydd cynnwys swyddogaethau diogelwch yn y pecyn sylfaenol am ddim o swyddogaethau diogelwch elastigsearch, bydd y llwyth ar weinyddwyr defnyddwyr yr atebion hyn yn cael ei leihau. Ac yn gyffredinol, mae popeth yn wych.
“Gallwn sicrhau y bydd pob clwstwr sy’n cael ei lansio a’i reoli gan ECK yn cael ei amddiffyn yn ddiofyn rhag ei lansio, heb unrhyw faich ychwanegol ar weinyddwyr,” dywed y blog swyddogol.
Sut y bydd yr ateb, wedi'i adael ac nad yw'n cael ei gefnogi mewn gwirionedd gan y datblygwyr gwreiddiol, sydd dros y flwyddyn ddiwethaf wedi troi'n fachgen chwipio cyffredinol, yn darparu diogelwch i ddefnyddwyr, mae'r datblygwyr yn dawel.
Ffynhonnell: hab.com