Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties
Bron: Downhill Battle

Downhill Battle, de groep van voorstanders van het filesharingprincipe waarover we onlangs berichtten wegens het aanbieden van Windows XP Service Pack 2 via BitTorrent, biedt SP2 nu niet langer aan op last van Microsoft zelf. Op de website die voor het project opgezet is, meldt de groep dat men door Microsoft gesommeerd is de acties te staken, dit op grond van de Digital Millennium Copyright Act-wet in de Verenigde Staten. Microsoft bezit namelijk de intellectuele rechten op het tweede Service Pack en zegt dat een legale versie ervan enkel op de Microsoft-site op te halen is. Naar eigen zeggen heeft Downhill Battle soortgelijke aanmaningen bij eerdere acties al genegeerd, maar geeft men er nu gevolg aan omdat de hele actie al succesvol genoeg wordt bevonden dankzij de uitgebreide media-aandacht.

Met het hele gebeuren wilde Downhill Battle aantonen dat filesharingtechnologie ideaal is om bestanden als dit Service Pack 2 op grote schaal te verspreiden. Microsoft staat zelf een beperkt aantal downloads per dag toe, om te vermijden dat de servers overbelast raken. Peer-to-peernetwerken zouden volgens de groep een oplossing kunnen brengen voor deze problemen, aangezien er weinig tot geen servercapaciteit nodig is om het bewuste bestand voor een breed publiek toegankelijk te maken. Microsoft gaf echter aan niet tevreden te zijn en heeft nu dus de daad bij het woord gevoegd. Het niet langer aanbieden door Downhill Battle betekent overigens niet dat SP2 verdwenen is van de P2P-netwerken. Onder meer de structuur van BitTorrent maakt het moeilijk om te controleren wat uitgewisseld wordt.

Microsoft sommeert Downhill Battle SP2 niet langer aan te bieden
De mededeling die op de website van de actie verschenen is
Moderatie-faq Wijzig weergave

Reacties (33)

Dit was al zover toen 'k de nieuwspost zelf las.

Is dit trouwens niet iets voor een 'update' van het laatste nieuws artikel?
Is dit trouwens niet iets voor een 'update' van het laatste nieuws artikel?
Had gekunnen, maar over het algemeen doen we dit enkel bij nieuwsberichten die dezelfde dag nog geplaatst zijn. Het is intussen bijna 48u geleden dat we de oorspronkelijke nieuwspost plaatsten, dus nu nog een update plaatsen zou niet echt handig zijn. Alleen al omdat amper iemand hem nog zou opmerken.
All versions of the Windows XP SP2 code distributed through Microsoft's site beginning Aug 9 have a genuine Microsoft digital signature that you can verify by right-clicking and viewing properties. The MD5 checksum of the file named WindowsXP-KB835935-SP2-ENU.exe is 59a98f181fe383907e520a391d75b5a7. A network-install version released to MSDN subscribers between August 6 - 8 did not include this certificate and yields a different MD5 checksum; however, to ensure you have the latest release, we recommend checking for the presence of a valid certificate before installing any network-installable version.

Bron:
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2top. mspx

Met andere woorden; er gaan verschillende SP2's de ronde. Eťntje die op de MSDN site stond zonder certificate en degene met certificate die iedereen op de site van Microsoft kan downloaden.

Daarom haal ik dit soort critische updates altijd van de oorspronkelijke bron (voor bedrijfstoepassingen) ook al heb ik hem eerder te pakken kunnen krijgen om mijn interesse te stillen.
Je zult maar 1000 PC's updaten met een niet officiŽle of kreupele servicepack die je van een duistere site geplukt hebt :D

/edit ik probeer hier aan te tonen dat een download via P2P niet legitiem de originele versie kan zijn. Microsoft wilt waarschijnlijk ook niet dat de verkeerde of beta servicepacks geÔnstelleerd worden. Wees er dus voorzichtig mee.
Het lijkt me nog steeds geen SP dat je direct op je productie servers/workstations. Dus ach ... maak je daar nu nog niet te dik over zou ik zeggen OF je moet een bleeding-edge user zijn. (8>
Verder ... had MS zelf net zogoed een tracker kunnen draaien en zelf de torrent kunnen distribueren. Het is een betrouwbaar systeem wat veel opensource producenten ook gebruiken. En die zouden het ook neit gebruiken als het niet een beproefd systeem is. (vooral RH die er geld mee verdient). Scheelt ze ook bandbreedte kopen natuurlijk.
Als de tracker op een MS ip-adres staat lijkt het me erg betrouwbaar ;)
(Dit is volgens mij een utopie dat MS het voordeel van p2p zou gebruiken).
P2P is niet betrouwbaar.

Simpelweg doordat ik als consument geen onderscheid kan maken tussen een goede versie die door MS op de P2P netwerk is gezet en een gehackte versie die door een hacker op het zelfde P2P netwerk is gezet.

Enkel nadat ik het product heb binnen gehaald kan ik controleren of het de goede versie is. Maar helaas is 90% van de P2P gebruikers geen tweaker en zal die zijn download niet controleren. Resultaat een gehacked systeem en wie krijgt de schuld Microsoft. Hetzelfde geldt trouwens ook voor Open Source producten via P2P. In Principe heb je geen enkele garantie dat hetgene dat je download ook precies is wat je wilt downloaden.

En MD5 checksums zijn prima na te maken dus zelfs dat is geen echte garantie dat het het origineel is.
Zo jij kan een MD5 checksum namaken??

Ok stel voor dat je het voor melkaar krijgt om een 128bit encryption key na te maken en aan een file toevoegt.
Hoe hou je dan tegen dat de P2P programma de hash controleert met het checksum?
Als deze 2 niet gelijk zijn wordt de file of een deel daarvan "Rejected" en probeert hij van iemand anders dat deel opnieuw te downloaden.

En dat van je weet niet of je van te voren de goeie file heb.
Is te danken aan microsoft zelf het is namelijk de bedoeling dat microsoft het torrent verspreidt (of een secure mirror) en dan het file via P2P laat downloaden.
Het is veiliger dan hun eigen servers omdat er niet 1 centrale punt is die kwetsbaar is maar een gehele netwerk die ervoor zorgt dat er niks tussen kan komen.

Er zijn trouwens veel bedrijven tegenwordig die naast het standaard download van hun software ook Bittorrent aanbieden als alternative manier van verspreiding.
Simple weg omdat het veiliger is en extra gratis bandbreedte oplevert die geen enkel provider ter wereld via 1 lijn kan leveren.
-nofi-, maar Ik heb smakelijk zitten lachen om je reactie. Blijkbaar weet je _niet_ hoe bittorrent werkt en mag je jezelf bij die eigengenoemde 90% rekenen. Op Google zijn er vast nog wel een aantal mooie referentie uitleggen te vinden.
Blijkbaar heeft NDB-K7 wel de nodige dingen gelezen en had ik het niet beter kunnen verwoorden dan dat. :Y)

Het systeem is niet bone-head proof en is ook zeker niet \[cr|h]ack proof, maar zo simpel als dit ligt het echt niet. Ik heb er met Open Source en andere projecten 100% vertrouwen in dat het _wel_ de goede distrobutie van bijv. CentOS opleverd of RH.

PS: als jij een MD5 sleutel kan namaken met een file die daarbij hoort en die als MD5 sleutel en file matched met de complete hash van het totaal en de opgegeven hash van die slice, [poker mode]dan wil ik je source code wel eens zien (8>[/poker mode]
/edit ik probeer hier aan te tonen dat een download via P2P niet legitiem de originele versie kan zijn.
Dat kun je toch gewoon controleren via die digitale handtekening?
Dat is dus geen reden om p2p te vermijden.
En ze zeggen het zelf.
Als je zeker wilt zijn dat je de goeie update heb is een simple MD5 check goed genoeg.
Er kunnen immers nooit 2 files het zelfde MD5 checksum hebben.
Dus als de versie die je download hetzelfde MD5 checksum heeft als degene die microsoft zelf aanbied kan je er gif op innemen dat het goed zit.
Bittorrent gebruikt namelijk de MD5 hash als controle methode en kan daarom nooit een hack,virus,trojan of wat dan ook erin zitten.

Microsoft is gewoon bang voor opensource programmas en verbied daarom verspreiding op deze manier.
Dit heeft voor de rest totaal niks te maken met veiligheid.
De kans is zelfs groter dat de update server van microsoft gehackt wordt en het SP2 aangepast wordt. Dan dat er corrupties voordoen in P2P downloads.
Als Microsoft een eDonkey link en een Torrent zou neer zetten van Service Pack 2 dan zou je zeker weten dat je de goeie hebt. Vanwege de hashes valt er dan niks te 'klooien' aan de bestanden.
In principe een aardig idee, maar dan krijg je onheroepelijk dat mensen ook op hun site die zogenaamd MS certified emule link of torrent gaan aanbieden. Het gevolg daarvan is dat newbies dan toch blind op dat soort links klikken en de binnengehaalde files gaan installeren zonder dat ze ooit checken of die hash wel hetzelfde is als de officiele SP2. Het risico dat grote groepen mensen zo toch weer virussen binnenhalen is groot. Dan is het verstandiger wat MS doet: zoveel mogelijk ervoor zorgen dat iedereen die updates alleen bij MS kan downloaden en benadrukken dat dat de enige veilige manier is om updates binnen te krijgen.

Overigens doet MS dat al langer en vinden we dat in andere gevallen wel heel verstandig. Denk aan mensen die per email patches van MS denken binnen te krijgen en die ook blind installeren. Daarvan hoort iedereen ook te weten dat MS die nooit per mail verstuurt en dat je die alleen op WindowsUpdate zou moeten downloaden. Dat is hopelijk iets wat je elke beginner op het hart drukt. Dan is het niet echt verstandig om het binnenhalen van servicepacks via P2P-netwerken juist wel aan te gaan moedigen...
Dan treedt Microsoft toch op tegen mensen die foutieve bestanden aanbieden? Dat is juridisch nog veel makkelijker.

Verder neem ik niet aan dat de mensen die updates uit e-mailtjes installeren het laatste nieuws omtrent Microsoft's service packs volgen, er op staan die voor de onbeperkte release te downloaden, of ueberhaupt weten wat een servicepack is. Dat diezelfde mensen dan met een foutieve BitTorrent-link voor het lapje gehouden zouden kunnen worden neem ik dan wel voor lief; aan elke technologie valt wel een nadeel te verbinden.
Het probleem is dat MS maar een beperkt aantal downloads toelaat en een emule hash of een torrent kan het gemakkelijk opvangen.

Het is niet dat het niet veilig is want MS bied tenslotte de link zelf aan en hoef je niet bij een derde te zijn. Het probleem is dat P2P netwerken een doorn in het oog zijn van MS daarom doen ze het niet. Het is meer een princiepe kwestie dan het niet veilig zijn van de links. MD5 hashes veranderen is nou niet een makkelijke opgave als het al te doen is op het moment.
feit blijft toch wel dat SP2 vol met beveiligingsupdate zit en als wij dit kunnen sharen op P2P netwerkjes wij zelf troep erin kunnen doen en microsoft voor niets al die aandacht aan beveiliging heeft besteed. dat is denk ik de reden dat microsoft dit verbied...
Vandaar dat we hier spreken van MD5 checksums, dan is het vrijwel onmogelijk om de boel te faken...
Fijn dat ze nu de md5 checksum publiceren (volgens mij eerste keer voor MS ?)

Nu weet ik tenminste zeker dat ik de goede SP2 heb, ook al haal ik hem via P2P binnen :9
Wat ook een belangrijke reden voor Microsoft is, is dat ze nog wel eens een snelle slipstream update uitvoeren op de SP die gedownload wordt.

De mensen die hem dan al gedownload hebben, kunnen dan gewoon de Post-SP2 updates downloaden, maar indien de periode kort is, dan wordt de feitelijke update nog wel eens geslipstreamed.

Dit was ook het geval met XP-SP1, waar ik een andere MD5 checksum had 3 dagen na de release toen ik hem nogmaals moest downloaden op een andere locatie.

[edit]
Starwolf, slipsteam is het samenvoegen van een software pakket met updates. Bijvoorbeeld, zeg je hebt een WindowsXP installatie CD, nu is er dus XP-SP2, je kan dan natuurlijk eerst de CD installeren en dan de update, maar je kan ook de WinXP installatie CD slipstreamen samen met de XP-SP2 update naar een nieuwe CD toe, zodat je direct WinXP SP2 installeerd. Hoe je dat moet doen wordt zelfs op de Microsoft website uitgelegt. Dit is erg handig als je software op meerdere machines moet installeren.
Zou je mij heel kort uit kunnen leggen, wat een "slipstream" is ? :?
Als je met een kleine auto vlak achter een grote vrachtauto gaat rijden, ga je ineens veel harder doordat je zelf bijna geen tegenwind meer hebt en 'meegezogen' wordt door de vrachtauto. Dat scheelt je benzine. Dat noemt met ook wel 'slipstreamen'.

Vertaling naar computer termen: het automatisch achter een kale Windows install aan installeren van alle servicepacks en hotfixes, door de install CD direkt te voorzien van de SP's en patches in de juiste dirs.

Even googlen en je weet hoe.
Goed dit was op zich dus een mooi initiatief. Ze hebben nu publiciteit voor het idee.

De uitwerking had dus anders gemoeten, door bijvoorbeeld met microsoft af te stemmen. Microsoft had dan mogelijk nee gezegd, maar wel het idee opgepakt.
En wie weet, gebruikt microsoft de de techniek later wel.

/edit zinsnede anders gemaakt. Was geloof ik 'n beetje flamerig. Is iig niet de bedoeling.
Kijk dat Microsoft er een probleem mee heeft lijkt me duidelijk. SP2 is copyrighted materiaal dus mag het alleen door Microsoft verspreid worden.
Dat ze niet zeggen, jongens van Downhill Battle kunnen jullie ons helpen om een P2P share op te zetten om zo een snelle en veilige overdracht te doen is kortzichtig.
Volgens mij is BitTorrent toch wel de aangewezen manier om zoiets te verspreiden, zeker als ze hun eigen servers niet willen overbelasten. Wordt er bij BitTorrent geen checksum uitgevoerd na het downloaden, dan kun je toch vrij zeker zijn van je download, maar inderdaad enkel als je de link van een officiŽle site als www.microsoft.com hebt. Spijtig, maar het is hun eigen netwerk natuurlijk en eigenlijk is SP2 nog maar RTM dus moet niet iedereen hem al hebben, dunkt me. Vraag een cd aan wanneer die uitkomen, moet je niets downloaden, ben je zeker dat je een juiste versie hebt EN je krijgt er nog een leuk hoesje bij.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True