Nylig på Elastic-bloggen
Det offisielle blogginnlegget inneholder de «riktige» ordene om at åpen kildekode skal være gratis og at prosjekteierne bygger sin virksomhet på andre tilleggsfunksjoner som de tilbyr for bedriftsløsninger. Nå inkluderer basisbyggene til versjon 6.8.0 og 7.1.0 følgende sikkerhetsfunksjoner, tidligere kun tilgjengelig med et gullabonnement:
- TLS for kryptert kommunikasjon.
- Fil og opprinnelig rike for å opprette og administrere brukeroppføringer.
- Administrer brukertilgang til API og rollebasert klynge; Flerbrukertilgang til Kibana er tillatt ved bruk av Kibana Spaces.
Å overføre sikkerhetsfunksjoner til gratisdelen er imidlertid ikke en bred gest, men et forsøk på å skape avstand mellom et kommersielt produkt og dets hovedproblemer.
Og han har noen seriøse.
Søket «Elastic Leaked» returnerer 13,3 millioner søkeresultater på Google. Imponerende, ikke sant? Etter å ha sluppet prosjektets sikkerhetsfunksjoner til åpen kildekode, noe som en gang virket som en god idé, begynte Elastic å få alvorlige problemer med datalekkasjer. Faktisk ble den grunnleggende versjonen til en sil, siden ingen virkelig støttet de samme sikkerhetsfunksjonene.
En av de mest beryktede datalekkasjene fra en elastisk server var tapet av 57 millioner data fra amerikanske statsborgere, om hvilke
Faktisk fortsetter hackingen til i dag og begynte kort tid etter at sikkerhetsfunksjonene ble fjernet av utviklerne selv og overført til åpen kildekode.
Leseren kan bemerke: «Hva så? Vel, de har sikkerhetsproblemer, men hvem har ikke det?»
Og nå oppmerksomhet.
Spørsmålet er at Elastic før denne mandagen, med god samvittighet, tok penger fra klienter for en sil kalt sikkerhetsfunksjoner, som den ga ut til åpen kildekode tilbake i februar 2018, det vil si for rundt 15 måneder siden. Uten å pådra seg noen betydelige kostnader for å støtte disse funksjonene, tok selskapet jevnlig penger for dem fra gull- og premiumabonnenter fra bedriftskundesegmentet.
På et tidspunkt ble sikkerhetsproblemene så giftige for selskapet, og kundeklager ble så truende at grådigheten tok seg tilbake. Men i stedet for å gjenoppta utviklingen og "lappe" hullene i sitt eget prosjekt, på grunn av hvilke millioner av dokumenter og personlige data fra vanlige mennesker ble offentlig tilgjengelig, kastet Elastic sikkerhetsfunksjoner inn i gratisversjonen av elasticsearch. Og han presenterer dette som en stor fordel og bidrag til åpen kildekode-saken.
I lys av slike "effektive" løsninger ser den andre delen av blogginnlegget ekstremt rart ut, på grunn av det vi faktisk ga oppmerksomhet til denne historien. Det handler om
Utviklerne, med et helt seriøst ansiktsuttrykk, sier at på grunn av inkluderingen av sikkerhetsfunksjoner i den grunnleggende gratispakken av elasticsearch-sikkerhetsfunksjoner, vil belastningen på brukeradministratorer av disse løsningene reduseres. Og generelt er alt flott.
"Vi kan sikre at alle klynger som lanseres og administreres av ECK vil være beskyttet som standard fra lansering, uten ekstra belastning for administratorer," heter det i den offisielle bloggen.
Hvordan løsningen, forlatt og egentlig ikke støttet av de originale utviklerne, som det siste året har blitt til en universell piskegutt, skal gi brukerne sikkerhet, er utviklerne tause.
Kilde: www.habr.com