Недавно на Еластиц блогу , који извештава да су главне безбедносне функције Еластицсеарцх-а, пуштене у простор отвореног кода пре више од годину дана, сада бесплатне за кориснике.
Званични блог пост садржи „тачне“ речи да отворени код треба да буде бесплатан и да власници пројекта граде своје пословање на другим додатним функцијама које нуде за корпоративна решења. Сада основне верзије верзија 6.8.0 и 7.1.0 укључују следеће безбедносне функције, које су раније биле доступне само уз златну претплату:
- ТЛС за шифровану комуникацију.
- Датотека и изворно подручје за креирање корисничких уноса и управљање њима.
- Управљајте приступом корисника АПИ-ју и кластеру заснованом на улогама; Вишекориснички приступ Кибани је дозвољен коришћењем Кибана Спацес-а.
Међутим, преношење безбедносних функција у бесплатни део није широк гест, већ покушај да се направи дистанца између комерцијалног производа и његових главних проблема.
И он има неке озбиљне.
Упит „Еластиц Леакед“ враћа 13,3 милиона резултата претраге на Гуглу. Импресивно, зар не? Након пуштања безбедносних функција пројекта у отворени код, што је некада изгледало као добра идеја, Еластиц је почео да има озбиљних проблема са цурењем података. У ствари, основна верзија се претворила у сито, пошто нико заиста није подржавао ове исте безбедносне функције.
Једно од најозлоглашенијих цурења података са еластичног сервера био је губитак 57 милиона података грађана САД, о чему децембра 2018. (касније се испоставило да је заправо процурило 82 милиона записа). Затим, у децембру 2018, због безбедносних проблема са Еластиц-ом у Бразилу, украдени су подаци 32 милиона људи. У марту 2019. „само“ 250 поверљивих докумената, укључујући и правне, процурило је са другог еластичног сервера. И ово је само прва страница за претрагу за упит који смо споменули.
У ствари, хаковање се наставља до данас и почело је убрзо након што су безбедносне функције уклонили сами програмери и пренели на отворени изворни код.
Читалац може приметити: „Па шта? Па, они имају безбедносних проблема, али ко их нема?"
А сада пажња.
Питање је да је Еластиц пре овог понедељка мирне савести узимао новац од клијената за сито звано безбедносне функције, које је пустио у опен соурце још у фебруару 2018. године, односно пре 15-ак месеци. Без икаквих значајних трошкова за подршку овим функцијама, компанија је редовно узимала новац за њих од златних и премиум претплатника из сегмента пословних клијената.
У неком тренутку, безбедносни проблеми су постали толико токсични за компанију, а притужбе купаца постале су толико претеће, да је похлепа отишла на позадину. Међутим, уместо да настави развој и „крпи” рупе у сопственом пројекту, због којих су милиони докумената и личних података обичних људи отишли у јавни приступ, Еластиц је бацио безбедносне функције у бесплатну верзију еластицсеарцх-а. И он то представља као велику корист и допринос циљу отвореног кода.
У светлу оваквих „ефикасних“ решења, други део блог поста изгледа крајње чудно, због чега смо, заправо, обратили пажњу на ову причу. Ради се о - званични Кубернетес оператер за Еластицсеарцх и Кибана.
Програмери, са потпуно озбиљним изразом лица, кажу да ће се због укључивања безбедносних функција у основни бесплатни пакет сигурносних функција еластицсеарцх смањити оптерећење корисничких администратора ових решења. И генерално, све је одлично.
„Можемо да осигурамо да ће сви кластери које покреће и којима управља ЕЦК бити подразумевано заштићени од покретања, без додатног оптерећења за администраторе“, наводи се на званичном блогу.
Како ће решење, напуштено и не баш подржано од оригиналних програмера, а које се током протекле године претворило у универзалног бичевог дечака, корисницима пружити сигурност, програмери ћуте.
Извор: ввв.хабр.цом