Lek in Kerberos

EnsconcE in 'nieuws: 'Kerberos-authenticatieprotocol van Windows is lek''

Volgens deze gebruiker is dat niet voldoende. Nu weet ik echter niet genoeg van de materie om te bepalen wie er gelijk heeft.

Hoi hAI, dank voor de feedback. In zijn blog spreekt de onderzoeker over mitigation en remediation. Het lek maakt verschillende aanvallen mogelijk, waarbij sommige wel tegen te gaan zijn en andere niet. Het onderliggende probleem wordt daardoor echter niet opgelost. Ik heb het dan ook zo verwoord dat de onderzoeker claimt dat er geen oplossing is.

jeez wat een enorm clickbait kop weer. Hier erger ik me het meest aan.

Kerberos is niet lek, de implementatie van MS is lek.
Verder is kerberos niet 'van windows' maar gewoon een MIT standaard (zie: Wikipedia: Kerberos (protocol))

Dus pas svp wat tekst aan want dit is goedkope journalistiek

Blog is trouwens ook aangepast met de volgende quote:

"MEDIA NOTE: This is not a new flaw, just a good write-up! I don’t know why media reporting this as a new flaw."

Misschien nuttig om dit ook in het Tweakers artikel op te nemen voordat er mensen gaan denken dat dit een nieuw gegeven is.

Het is gewoon geeneens een lek. Er werd in januari 2014 al over gepubliceerd, er waren in mei 2014 al exploits, en het is gewoon een generiek probleem van Kerberos, een open protocol van MIT dat naast Windows ook gebruikt wordt door onder meer FreeBSD, Apple's Mac OS X, Red Hat Enterprise Linux, Oracle's Solaris, IBM's AIX and Z/OS, HP's HP-UX en OpenVMS. En op de niet genoemde Linux distro's een installable package is.

Absoluut geen enkele vorm van nieuws dus, het originele artikel claimt dat ook niet, media hebben de sensatiemodus wat te lang aan gehad.

[ Voor 40% gewijzigd door curry684 op 16-12-2015 08:24 ]

Wat mij betreft zou het tweakers sieren om het artikel aan te vullen met in ieder geval de opmerking van de schrijver van het blog zelf. Dit is geen nieuw issue en om hierbij te komen heb je al behoorlijk vergaande toegang verkregen.

Zoals het nu geschreven is klopt het simpelweg niet, ik had gehoopt dat tweakers mbt dit soort artikelen iets meer onderzoek zou doen.

Bedankt voor het commentaar, allen. De titel was niet bedoeld als clickbait, ik interpreteerde de blogpost als een nieuwe bevinding, ook na het nodige onderzoek. Ik zie dat het gaat om een probleem dat al langer bestaat en ik zal het bericht een update geven met de nodige info.
Ik heb in ieder geval geleerd van deze opmerkingen en zal ervoor zorgen dat komende artikelen weer aan de gewoonde standaard voldoen.

duqu schreef op woensdag 16 december 2015 @ 09:36:
Ik heb in ieder geval geleerd van deze opmerkingen en zal ervoor zorgen dat komende artikelen weer aan de gewoonde standaard voldoen.

Kudo's

Sorry hoor, maar "'Windows-implementatie van Kerberos-protocol vertoont gebreken' - update"

...is nog altijd clickbait en domweg feitelijk onjuist. Er is niks lek, stuk of mis, niet in Kerberos, niet in Windows.

Dit artikel heeft nodeloos veel onrust en verwarring veroorzaakt. Deels op basis van het originele artikel, dat ook hier en daar verwarrend is, maar deels door de manier waarop eea op Tweakers is gebracht.

En het is echt slecht dat dit gebeurd is, want zoals in de comments te lezen is zijn nu mensen volstrekt willekeurig en onnodig hun krbtgt account aan het resetten.

"Onderzoeker publiceert aardige beschrijving van het Kerberos 'Golden Ticket' verhaal.", veel meer is er niet van te maken. En het zou wel zo professioneel zijn als titel en artikel alsnog worden aangepast.