Onlangs op de Elastic blog
De officiële blogpost bevat de “juiste” woorden dat open source gratis moet zijn en dat de projecteigenaren hun bedrijf bouwen op andere aanvullende functies die zij aanbieden voor bedrijfsoplossingen. Nu bevatten de basisversies van versies 6.8.0 en 7.1.0 de volgende beveiligingsfuncties, voorheen alleen beschikbaar met een Gold-abonnement:
- TLS voor gecodeerde communicatie.
- Bestand en native realm voor het maken en beheren van gebruikersinvoer.
- Beheer gebruikerstoegang tot API en op rollen gebaseerd cluster; Toegang voor meerdere gebruikers tot Kibana is toegestaan met behulp van Kibana Spaces.
Het overbrengen van beveiligingsfuncties naar het vrije gedeelte is echter geen breed gebaar, maar een poging om afstand te scheppen tussen een commercieel product en de voornaamste problemen ervan.
En hij heeft een paar serieuze.
De zoekopdracht “Elastic Leaked” levert 13,3 miljoen zoekresultaten op Google op. Indrukwekkend, nietwaar? Nadat Elastic de beveiligingsfuncties van het project had vrijgegeven voor open source, wat ooit een goed idee leek, kreeg hij ernstige problemen met datalekken. In feite veranderde de basisversie in een zeef, omdat niemand echt dezelfde beveiligingsfuncties ondersteunde.
Een van de meest beruchte datalekken uit een elastische server was het verlies van 57 miljoen gegevens van Amerikaanse burgers, waarover
In feite gaat het hacken tot op de dag van vandaag door en begon kort nadat de beveiligingsfuncties door de ontwikkelaars zelf waren verwijderd en overgebracht naar open source-code.
De lezer zou kunnen opmerken: “En dan? Nou ja, ze hebben veiligheidsproblemen, maar wie niet?”
En nu aandacht.
De vraag is of Elastic vóór deze maandag met een zuiver geweten geld van klanten heeft aangenomen voor een zeef genaamd beveiligingsfuncties, die het in februari 2018, dat wil zeggen ongeveer 15 maanden geleden, in open source heeft vrijgegeven. Zonder noemenswaardige kosten te maken om deze functies te ondersteunen, nam het bedrijf er regelmatig geld voor aan van goud- en premium-abonnees uit het zakelijke klantensegment.
Op een gegeven moment werden de beveiligingsproblemen zo giftig voor het bedrijf en werden de klachten van klanten zo bedreigend dat hebzucht op de achtergrond kwam te staan. Maar in plaats van de ontwikkeling te hervatten en de gaten in zijn eigen project te ‘patchen’, waardoor miljoenen documenten en persoonlijke gegevens van gewone mensen openbaar toegankelijk werden, gooide Elastic beveiligingsfuncties in de gratis versie van elasticsearch. En hij presenteert dit als een groot voordeel en een bijdrage aan de open source-zaak.
In het licht van dergelijke ‘effectieve’ oplossingen ziet het tweede deel van de blogpost er buitengewoon vreemd uit, waardoor we in feite aandacht aan dit verhaal hebben besteed. Het gaat over
De ontwikkelaars zeggen met een volkomen serieuze uitdrukking op hun gezicht dat door de opname van beveiligingsfuncties in het gratis basispakket van elasticsearch-beveiligingsfuncties de belasting voor gebruikersbeheerders van deze oplossingen zal worden verminderd. En over het algemeen is alles geweldig.
“We kunnen ervoor zorgen dat alle clusters die door ECK worden gelanceerd en beheerd standaard vanaf de lancering worden beschermd, zonder extra lasten voor beheerders”, aldus de officiële blog.
Hoe de oplossing, verlaten en niet echt ondersteund door de oorspronkelijke ontwikkelaars, die het afgelopen jaar is veranderd in een universele zweepjongen, gebruikers veiligheid zal bieden, zwijgen de ontwikkelaars.
Bron: www.habr.com