Riċentement fuq il-blog Elastic , li tirrapporta li l-funzjonijiet ewlenin tas-sigurtà ta 'Elasticsearch, rilaxxati fl-ispazju open source aktar minn sena ilu, issa huma ħielsa għall-utenti.
Il-post tal-blog uffiċjali fih il-kliem "korrett" li s-sors miftuħ għandu jkun b'xejn u li s-sidien tal-proġetti jibnu n-negozju tagħhom fuq funzjonijiet addizzjonali oħra li joffru għal soluzzjonijiet tal-intrapriżi. Issa l-bini bażi tal-verżjonijiet 6.8.0 u 7.1.0 jinkludi l-funzjonijiet tas-sigurtà li ġejjin, li qabel kienu disponibbli biss b'abbonament tad-deheb:
- TLS għal komunikazzjoni kriptata.
- Fajl u qasam nattiv għall-ħolqien u l-ġestjoni tal-entrati tal-utent.
- Immaniġġja l-aċċess tal-utent għall-API u cluster ibbażat fuq ir-rwoli; Aċċess ta' diversi utenti għal Kibana huwa permess bl-użu ta' Kibana Spaces.
Madankollu, it-trasferiment tal-funzjonijiet tas-sigurtà għat-taqsima ħielsa mhuwiex ġest wiesa ', iżda tentattiv biex tinħoloq distanza bejn prodott kummerċjali u l-problemi ewlenin tiegħu.
U għandu xi wħud serji.
Il-mistoqsija "Elastic Leaked" tirritorna 13,3 miljun riżultat tat-tfittxija fuq Google. Impressjonanti, hux? Wara li ħarġet il-funzjonijiet tas-sigurtà tal-proġett għal sors miftuħ, li darba deher qisu idea tajba, Elastic beda jkollu problemi serji bil-ħruġ tad-dejta. Fil-fatt, il-verżjoni bażika nbidlet għarbiel, peress li ħadd ma verament appoġġja dawn l-istess funzjonijiet ta 'sigurtà.
Waħda mill-iktar tnixxijiet ta' dejta notorji minn server elastiku kien it-telf ta' 57 miljun dejta ta' ċittadini tal-Istati Uniti, li dwarhom f'Diċembru 2018 (aktar tard irriżulta li 82 miljun rekord fil-fatt inħarġu). Imbagħad, f'Diċembru 2018, minħabba problemi ta 'sigurtà ma' Elastic fil-Brażil, id-dejta ta '32 miljun ruħ insterqet. F'Marzu 2019, "biss" 250 dokument kunfidenzjali, inklużi dawk ta 'natura legali, nixxew minn server elastiku ieħor. U din hija biss l-ewwel paġna ta’ tfittxija għall-mistoqsija li semmejna.
Fil-fatt, il-hacking ikompli sal-lum u beda ftit wara li l-funzjonijiet tas-sigurtà tneħħew mill-iżviluppaturi nfushom u ġew trasferiti għal kodiċi open source.
Il-qarrej jista’ jirrimarka: “Mela xiex? Ukoll, għandhom problemi ta’ sigurtà, imma min le?”
U issa attenzjoni.
Il-mistoqsija hi li qabel dan it-Tnejn, Elastic, b’kuxjenza nadifa, ħa l-flus mingħand il-klijenti għal għarbiel imsejjaħ funzjonijiet ta’ sigurtà, li ħarġet f’sors miftuħ lura fi Frar tal-2018, jiġifieri madwar 15-il xahar ilu. Mingħajr ma ġarrbet xi spejjeż sinifikanti biex tappoġġja dawn il-funzjonijiet, il-kumpanija regolarment ħadet flus għalihom minn abbonati tad-deheb u premium mis-segment tal-klijenti tal-intrapriżi.
F'xi punt, il-problemi tas-sigurtà tant saru tossiċi għall-kumpanija, u l-ilmenti tal-klijenti saru tant ta 'theddida, li r-regħba ħadet post lura. Madankollu, minflok ma kompliet l-iżvilupp u "patching" it-toqob fil-proġett tagħha stess, li minħabba fiha miljuni ta 'dokumenti u data personali ta' nies ordinarji daħlu f'aċċess pubbliku, Elastic tefa 'funzjonijiet ta' sigurtà fil-verżjoni ħielsa ta 'elasticsearch. U jippreżenta dan bħala benefiċċju kbir u kontribut għall-kawża open source.
Fid-dawl ta 'soluzzjonijiet "effettivi" bħal dawn, it-tieni parti tal-post tal-blog tidher estremament stramba, li minħabba fiha aħna, fil-fatt, tajna attenzjoni għal din l-istorja. Huwa dwar - l-operatur uffiċjali ta' Kubernetes għal Elasticsearch u Kibana.
L-iżviluppaturi, b'espressjoni kompletament serja fuq wiċċhom, jgħidu li minħabba l-inklużjoni ta 'funzjonijiet ta' sigurtà fil-pakkett bażiku ħieles ta 'funzjonijiet ta' sigurtà elasticsearch, it-tagħbija fuq l-amministraturi tal-utenti ta 'dawn is-soluzzjonijiet se titnaqqas. U b'mod ġenerali, kollox huwa kbir.
"Nistgħu niżguraw li l-clusters kollha mnedija u ġestiti minn ECK se jkunu protetti awtomatikament mit-tnedija, mingħajr ebda piż addizzjonali fuq l-amministraturi," jgħid il-blog uffiċjali.
Kif is-soluzzjoni, abbandunata u mhux verament appoġġjata mill-iżviluppaturi oriġinali, li matul l-aħħar sena nbidel f'tifel universali whipping, se tipprovdi lill-utenti b'sigurtà, l-iżviluppaturi huma siekta.
Sors: www.habr.com