Vista gebruikt ASLR in navolging van open-sourceprogramma's

is deze techniek zelf ook open-source, of niet?

"We hebben ASLR vrij laat toegevoegd, maar we vonden dat het toevoegen en standaard inschakelen van de techniek belangrijk was om te kunnen zien hoe goed het in de praktijk werkt"
Ehh is dat vrij laat er in geprakt want die vista/windows gebruikers zijn toch BetaTesters??

Klinkt weer heel doordacht

Ik vraag me af wat voor licentie ASLR onder uitgebracht is. Is dit GPL of BSD licentie of een andere?

Dit kan namelijk nogal veel invloed hebben op de manier waarop microsoft Vista uit moet brengen.

Leuk, zon'n linkje. Het onderhavige .doc filetje bevat echter geen enkele referentie naar ASLR. Misschien is het toch handiger om je echte bronnen te vermelden. Voor het geval dat er echt mensen zijn die het lezen.

Beste Lezers,

Blijkbaar gaat ms in hun sof(t)ware(z) nu zelfs openlijk Open_Source wares gebruiken. Zeg maar: wareZ en MISbruiken.
Indien software released is onder de GNU/GPL dan BLIJFT het onder die 'licentie' vallen en mag het niet voor restrictive of gesloten toepassingen worden gebruikt.
Het lijkt mij onvoorstelbaar dat ms zich aan deze licentie zou houden door de source-codes bij te leveren.
Maar het is zo gesteld dat er (nog) maar 1 ding telt: het grote geld !
Dat is de enige overgebleven "waarde" - waarbij de "norm" corruptie & graaien is.
Daarom wordt er door mij voorspeld dat ms hier gewoon mee wegkomt - en binnenkort de door ons (Open_Sourcerors) geschreven (beveiligings-) programs tegen onszelf "ge"bruikt zullen gaan worden.
Waardoor deze op Open_Source gebaseerde methode slechts onder ms-wareZ "ge"bruikt kan worden en onder niets anders.
Maar nu moet U vooral niet denken dat dit software-piraterij zou zijn - hoe komt U erbij - ms is inmiddels blijkbaar "onschendbaar" verklaard en behoeft zich dus niet langer aan enige wet te houden...
Het maakt tegenwoordig immers helemaal *niets* uit WAT iemand (of een firma, of een politicus/politica) uitspookt - maar WIE het doet.
En vooral: hoeveel *munten* de betreffende kan laten "rinkelen" en of de betreffende tot het bevoorrechte "ons-kent-ons-clubje" van "de betere mensen" behoort...
De wetten, de makers en de uitvoerders ervan (of wat daar vandaag de dag voor door wil gaan) zijn dus ook gewoon te koop...
Maar dat laatste wisten wij natuurlijk nog niet - wij allemaal zijn toch oliedom, nietwaar...??
Minstens zo dom als minister "dommer" - inderdaad, indien wij DIT zomaar toe zouden staan !

"Sic Transit Gloria Mundi"

Groeten van Diogenes.

Ik vraag me af wat voor licentie ASLR onder uitgebracht is. Is dit GPL of BSD licentie of een andere?
De titel van dit artikel is misleidend. Het gaat om een techniek die in Vista toegepast wordt die ook in een aantal OSS pakketten wordt toegepast, en daar mogelijk (weet ik niet) ook z'n oorsprong heeft. De code van de betreffende pakketten valt onder een OSS licentie type, de techniek niet. Ook al zou MS de betreffende code kunnen gebruiken in Windows (wat ik onwaarschijnlijk acht), dan zouden ze wel uitkijken om niet in de situatie te komen om Windows onder een dergelijke licentie uit te moeten brengen. Het enige dat er dan nog aan de orde is, is of de techniek misschien gepatenteerd is, in wel geval de patenthouder geld kan vragen aan Microsoft.

Het lijkt me overigens goed dat MS deze techniek nu ook gaat toepassen, aangezien het een systeem zeker veiliger maakt. En is dat niet waar de meeste kritiek op MS altijd over gaat?

uiterst suggestieven(en onjuiste)titel. Uit het verhaal blijkt nergens dat MS open-source code gebruikt.

Ms heeft er blijkbaar voor gekozen om iets op de zelfde manier op te lossen als ook al door andere pakketten wordt gedaan. (open-source is hier niet van belang)

Ze hebben een eigen implementatie gedaan om deze techniek toe te passen.(Is het zelfde als samba, openoffice etc gedaan hebben met micorsoft technieken)Of de gebruikte techniek echt dezelfde is is ook nog maar de vraag, er kan zelfs een heel andere techniek gebruikt zijn om het zelfde voor elkaar te krijgen.

Als microsoft dit niet mag, dan mag linux ook niet bestaan, er waren immers al andere operating systems.

@{hellknight,walter,diogenes}

ASLR is geen "software", en valt dus ook niet onder copyright. Het is gewoon een idee, niet eens een algorithme. (of ideeen patenteerbaar zijn is een andere
discussie)

Een redelijke beschrijving vond ik by Steve Gibson:
[url]http://pax.grsecurity.net/docs/aslr.txt[/url]

Dat is welliswaar linux, maar de loadmap van windoos zal niet struktureel verschillen.

Oeps. linkje was dus niet van Steve Gibson, maar van het PaX-team. My bad.
Dat je het maar weet.

Klinkt als security by obscurity?
Zo klint het zeker maar is een erg nuttige aanvulling, netzoals dat je in een database geen incrementalIdentifier moet gebruiken maar een GUID om evetuele programeer exploits tegen te gaan als het een webenabled database is.

Klinkt als security by obscurity?
Niet helemaal. "by obscurity" betekent dat je niet bekend maakt dat iets er is en het zo veilig hoopt te houden. Dit is meer "security by unpredictability".

Wat overigens wel van belang is voor zover ik de beschrijving van de techniek begrijp is dat de adressen van OS componenten die altijd geladen moeten zijn alleen veranderen als je een reboot doet... lekker handig voor een server.

@Diogenes_Isher

U moet zich eens serieus na laten kijken en eens lezen wat er staat. Niet gelijk op tilt slaan indien er M$ in het artikel voorkomt.

Daarnaast is ASLR geen code, maar een idee, een techniek, zoals AJAX een techniek is om asynchroon data op te halen. Dat kan op vele manieren en is niet onderhevig aan een licentie, in welke vorm dan ook.

Dat het idee wellicht gepatenteerd kan zijn, dat is een andere discussie. Zowat alles is mogelijk daar in de VS, dus het zou me niets verbazen. Is dat het geval, zouden alle Open Source pakketten dan ook even de techniek willen verwijderen...

Deze link had in het artikel moeten staan: http://blogs.msdn.com/michael_howard/archive/2006/05/26/608315.aspx

sjonge... hoe duf kun je zijn... kwestie van 2 processen opstarten, de eerste kijkt welke van de 256 mogelijkheden het is, door elke keer een nieuwe child op te starten en de tweede maakt dan het één-tweetje af door de gevonden geheugenallocatie te torpederen. Security by Microsoft... DOH!

@unique:
Als je zo redeneert slaat de hele ASLR techniek nergens op, aangezien het hoe je het ook doet ook bij andere systemen hierop neerkomt. Dus moeten we ook zeggen "Security by Pax, BSD... DOH!", want die hebben het immers ook geimplementeerd. Bovendien ga je ervan uit dat je "zomaar" een 2e procesje kan afvuren als hacker. Tegen de tijd dat een hacker dat direct zou kunnen moet 'ie echt al via een andere weg toegang hebben verkregen tot de machine.

"dat is toch helemaal geen probleem onder windhoos? dat moet toch al geregeld."
Als je 2 tot 3 per jaar "geregeld" vindt... (Windows 2003)

"dat is toch helemaal geen probleem onder windhoos? dat moet toch al geregeld."
Als je 2 tot 3 per jaar "geregeld" vindt... (Windows 2003)

Precies, dergelijke verhalen zijn achterhaald...(Maar desalniettemin erg hardnekkig ;-))