Hostingprovider Antagonist wil websites klanten automatisch patchen

De Nederlandse hostingprovider Antagonist wil kwetsbaarheden in websites van klanten automatisch gaan patchen. Tot en met het eerste kwartaal van 2013 zal dat gratis zijn, daarna moeten klanten die de automatische patches willen inschakelen, gaan betalen.

De provider zal niet zozeer complete updates van software installeren op de websites van klanten, maar zal fixes doorvoeren voor kwetsbare stukken code in die software. Dat vertelt de oprichter van Antagonist, Wouter de Vries, tegenover Tweakers. Daardoor zou collateral damage van updates als plugins die opeens niet meer werken moeten worden voorkomen: alleen de kwetsbare code wordt gepatcht. "We wachten eventjes, en als de klant geen update uitvoert, ondernemen we zelf actie", aldus De Vries.

De automatische patchfunctionaliteit werkt ook als klanten zelf software installeren. Populaire content management-systemen als Wordpress en Drupal worden ondersteund, maar ook winkelsoftware als osCommerce en ZenCart en forumsoftware als phpBB. Maar ook andere software zal worden gepatcht als er regelmatig kwetsbaarheden in voorkomen, belooft De Vries.

Bestaande klanten kunnen de nieuwe functionaliteit aanvankelijk gratis gebruiken, in ieder geval tot en met het eerste kwartaal van 2013. Daarna zullen klanten voor de functionaliteit moeten gaan betalen; hoeveel precies, is nog niet besloten. De Vries claimt dat zijn hostingprovider de eerste wereldwijd is die de automatische patches zal uitrollen, en wil daarom niet al te veel details vrijgeven over de werking van het systeem. Duidelijk is wel dat de provider van plan is om de dienst aan andere providers te gaan aanbieden.

De hostingprovider zegt op het idee van de autopatches te zijn gekomen door de toename van beveiligingslekken. "Wij doen onze best om servers veiliger te maken. Maar vervolgens is de applicatielaag zo lek als een mandje. Dat is dweilen met de kraan open", aldus De Vries. "De meeste webmasters zijn te onwetend of te laks om patches uit te rollen." Hij noemt Diginotar daarbij als 'treurig voorbeeld'. Zondag werd bekend dat de hacker van die Nederlandse certificatenverstrekker zou zijn gehackt via een niet bijgewerkt cms.

Dit artikel is per abuis maandagavond korte tijd online geweest, terwijl het pas dinsdagmorgen online had moeten gaan.

Door Joost Schellevis

Redacteur

Feedback • 20-11-2012 08:00 94

20-11-2012 • 08:00

94

Lees meer

WordPress dicht 'kritiek' xss-lek
WordPress dicht 'kritiek' xss-lek Nieuws van 23 april 2015
Kwaadwillenden breken in op servers van forumsoftware phpBB
Kwaadwillenden breken in op servers van forumsoftware phpBB Nieuws van 15 december 2014
Facebook draait php negen keer sneller dankzij jit-compiler
Facebook draait php negen keer sneller dankzij jit-compiler Nieuws van 27 juli 2013
Vlaamse overheid kiest voor Drupal-as-a-service-aanbieder Kañooh
Vlaamse overheid kiest voor Drupal-as-a-service-aanbieder Kañooh Nieuws van 3 december 2012
'Hacker kwam door verouderde cms-software Diginotar binnen'
'Hacker kwam door verouderde cms-software Diginotar binnen' Nieuws van 18 november 2012
Hacker maakt gegevens 150.000 Adobe-klanten buit
Hacker maakt gegevens 150.000 Adobe-klanten buit Nieuws van 15 november 2012
Onderzoekers kraken ddos-software via sql-injectie
Onderzoekers kraken ddos-software via sql-injectie Nieuws van 15 augustus 2012
Gegevens deel Bol.com-klanten waren toegankelijk via sql-injectie
Gegevens deel Bol.com-klanten waren toegankelijk via sql-injectie Nieuws van 2 juli 2012
Loginformulier Kluwer Software te omzeilen via sql-injectie
Loginformulier Kluwer Software te omzeilen via sql-injectie Nieuws van 5 januari 2012
Developerforum Nokia gehackt via sql-injectie
Developerforum Nokia gehackt via sql-injectie Nieuws van 29 augustus 2011
Hacker kraakt Kaspersky-website met sql-injectie
Hacker kraakt Kaspersky-website met sql-injectie Nieuws van 9 februari 2009
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (94)

-Moderatie-faq
94
92
61
11
0
15
Wijzig sortering
paul999 20 november 2012 08:04
Zucht, dit is iets wat ik dus persoonlijk echt niet zo willen. Naast dat mijn site dan mogelijk aangepast wordt buiten het versie beheer, is de kans op fouten enorm door aanpassingen in code of afhankelijkheden van iets. Dit soort dingen wil je gewoonweg niet op een productie direct aanpassen, maar eerst fatsoenlijk kunnen testen voordat het daadwerkelijk online gezet wordt.
!null @paul99920 november 2012 08:45
Juist, jij zal ook niet onder de doelgroep vallen. En hoe dan ook, het is optioneel, dus je kunt er voor kiezen. In jouw geval zou het misschien wel handig zijn om alleen berichtgeving te krijgen als ze denken een lek ontdekt te hebben, en dus alleen een mailtje sturen en niks aanraken.

Maar feit is wel dat 90% van de tijd iemand een simpel Joomla/Wordpress/Drupal systeempje draait en daar niet naar omkijkt. Dus voor de meeste is dit systeem een hartstikke goed idee, goeie service juist.
mariowie @paul99920 november 2012 08:18
Jij hebt versie beheer dus ik denk niet echt dat jij in de doelgroep valt die ze hier voor ogen hebben. Denk dat het eerder een dienst is voor mensen die eigelijk niet weten wat ze doen,
en die denken patchen waarom zou ik dat doen.
Tuvow @mariowie20 november 2012 09:03
Medewerker van Antagonist hier.

De doelgroep is inderdaad mensen die niet weten hoe het werkt. Helaas zijn er daar heel veel van. Er wordt eerst een mailing gedaan dat er een gat gevonden is, inclusief informatie over hoe de klant het kan oplossen. De klant heeft dan 2 weken de tijd om het probleem zelfstandig op te lossen. Dat heeft ook onze voorkeur. Maar als een klant uiteindelijk niet reageert, dan repareren we het gat automatisch zonder verdere impact.
Pogostokje @Tuvow20 november 2012 09:36
Maar als een klant uiteindelijk niet reageert, dan repareren we het gat automatisch zonder verdere impact.
Dat KUN je niet garanderen.
paul999 @Tuvow20 november 2012 12:00
Hoe wil je dat, bijvoorbeeld bij phpBB (waarbij het nog steeds gebruikelijk is (Of dit nu wenselijk is of niet is een andere discussie, en dit zal opgelost in een volgende major release.) om bestanden aan te passen om MODs te installeren garanderen? Zelfs bij het gebruik van patches is de kans dat dit fout gaat aanwezig, wat er mogelijk voor zorgt voor al kinds of parse errors, en ik kan me bijna niet voorstellen dat jullie die allemaal met de hand gaan nalopen en oplossen, als je er al bij kan ;).
rvtk 20 november 2012 10:13
Het zou leuk zijn om hier over een tijdje (als de nieuwigheid eraf is) een artikel over te lezen op de frontpage waar de basale werking van het automatische patchsysteem uiteen wordt gezet.

Ik kan me voorstellen dat je adhv checksums op alle files kan controleren of een klant een 'stock' wordpress/drupal/cms/etc draait, vervolgens kan je die patchen omdat je dan weet dat er geen custom wijzigingen in de code zitten.

Het is dan wel de kunst voor Antagonist om niet het gedrag van de code te wijzigen (buiten het fixen van de bug).
eddyjohn 20 november 2012 10:24
Best een briljant idee, een bedragje vragen is redelijk, de meeste webhosts die gaan niet zo ver.

Wordpress heeft al een auto-update, maar af en toe maken cms'en er een puinhoop van, door mappenstructuur of andere wijzigingen in een nieuwe versie uit te voeren. Met joomla is het zelfs een compleet nieuwe inrichting met versie3.

Goed zo Antagonist, meer zouden dit voorbeeld moeten volgen, of jullie software aanschaffen om het in ieder geval te doen.
BeefHazard 19 november 2012 21:41
Lijkt allemaal heel mooi, maar je moet er na een half jaar wel mooi voor betalen. Mooi gebaar, maar maak het dan compleet en houd het gratis.
Cergorach @BeefHazard20 november 2012 10:28
Als jij het vertikt om je huis schoon te maken, moet de verhuurder dan ook opdraaien voor de kosten als zij de zwijnenstal komen uitmesten ivm. overlast? Zelfde geld ook voor websites, het is wel heel makkelijk om te gillen dat het een gratis 'service' moet zijn (bij een toch al goedkope dienst), maar het neemt extra kosten met zich mee waarvan niet iedereen gebruik kan en wil maken. Dus ik zou inderdaad zeggen, reken er extra voor de klanten die het willen.

Wat mij eerder zorgen baard is dat het klanten een niet correct gevoel van veiligheid krijgen door deze dienst te gebruiken. Pakken ze alle beveiligingsgaten voor de betreffende software mee? hoe zit het met software waarvan de ontwikkelaars de betreffende versie niet meer ondersteunen? Hoe zit het met de minder bekende plugins waar beveiligingsgaten in blijken te zitten?
Mocht er onverhoopt toch een hack plaatsvinden, dan wordt eventueel geplaatste malware automatisch opgeruimd.
Klinkt ook heel mooi. Maar zonder technische details en een onafhankelijke review ga ik toch echt niet opeens mijn klanten verhuizen naar Antagonist. het is een mooi verkoop praatje en klinkt eerder als een manier om onwetende klanten te trekken door ze snakeoil te verkopen. Ik zou graag zien dat ik ongelijk heb, maar dit is niet meer dan een pr stunt imho (zo komt het althans over, zeker met de coördinatie met Tweakers.net over het gelijktijdig plaatsen van het 'nieuwsartikel').

Edit:
@Tuvow:
Je beantwoord letterlijk geen één van mijn vragen, dat zijn namelijk:
- Pakken ze alle beveiligingsgaten voor de betreffende software mee?
- Hoe zit het met software waarvan de ontwikkelaars de betreffende versie niet meer ondersteunen?
- Hoe zit het met de minder bekende plugins waar beveiligingsgaten in blijken te zitten?
- technische details
- onafhankelijke review

Ik heb ook een batterij aan vragen wat verderop het draadje waarop ik en een hoop andere geïnteresseerden wel antwoorden op willen zien.

2.000 positieve reviews: “If a million people say a foolish thing, it is still a foolish thing.” en geeft geen enkel inzicht over deze nieuwe dienst. Wanneer komt deze trouwens beschikbaar? Wellicht dat we op een accountje even het één en ander kunnen testen...

[Reactie gewijzigd door Cergorach op 23 juli 2024 00:47]

Tuvow @Cergorach20 november 2012 11:02
Jammer dat het zo overkomt. Het is absoluut geen 'snake oil'. Natuurlijk is het geen wondermiddel dat alle problemen definitief de wereld uithelpt, maar het is een grote stap in de juiste richting. Ben het met je eens dat het klanten een verkeerd gevoel van veiligheid kan geven, daarom maken we ook altijd expliciet melding van hetgeen we detecteren, zodat klanten op de hoogte zijn van de situatie. We proberen ook eerst klanten 2 weken actief aan te sporen zélf het probleem op te lossen door een "normale" update van de software te doen.

Op sites als webhosters.nl en ISPGids.com kun je trouwens meer dan 2.000 positieve reviews over Antagonist vinden :-)

Ik hoop dat dit je vragen beantwoord.
JoeyPrr @Tuvow20 november 2012 12:33
En wat nu als de klant iets wat jullie als "kapot" zien, juist in zijn "voordeel" gebruikt? Ik ken genoeg onervaren beheerders die gaan kloten in bijv. phpBB om te bereiken wat ze willen, en tijdens dat kloten hier en daar kleine gaatjes achter laten. Stel jullie fixen die gaatjes, maar slopen daarmee juist hetgeen wat de klant wou bereiken.. wat dan?

Dus eigenlijk is mijn vraag; Zodra jullie de klant een mail sturen met de melding dat er gaten o.i.d zijn ontdekt, en hij heeft er een goede verklaring/reden voor, ondernemen jullie dan alsnog actie?

Indirecte vraag: hoe bepalen jullie wat goed en fout is? Ik kan jaren oude software draaien, juist omdat ik die versie prettig vind werken bijvoorbeeld.
Ma_rK @Cergorach20 november 2012 13:29
Ik ken Wouter nu dik een jaar en we hebben veel over deze techniek gesproken en als het iets niet is is het wel "een verkooppraatje". Een website eigenaar en een website bouwer zijn vaak niet dezelfde. Een website wordt neergezet en er wordt jaren niet naar gekeken, totdat er een Joomla of Wordpress install door scriptje wordt aangepast om mallware te verspreiden.

Wat Antagonist doet is zijn klant voor de meest voorkomende schadelijkheden van de meest gebruikte systemen beschermen. Daarmee blijven website veelal online zelfs als de versie van het CMS dat zij gebruiken kwetsbaar was. Het is een geweldig gebaar waar vooral de eindklant, maar indirect ook de websitebouwer baad bij heeft. Antagonist heeft 6 hele duidelijke kernwaarden (https://www.antagonist.nl/over-ons/) een zeer hoge klantwaardering en als Wouter iets centraal zet dan is het de klant en dat voor... € 30,- per jaar.

Ja onafhankelijke reviews zijn mooi, maar de bedrijfsgeschiedenis en reputatie (> 1500 klantreviews) zegt ook heel veel. Ik denk dat de mannen van Antagonist uiteindelijk gewoon met een lijst zullen komen van bugs die de auto patch functie aan kan passen, want voor iedere fout moet handmatig iets geschreven worden.

[Reactie gewijzigd door Ma_rK op 23 juli 2024 00:47]

psresource @BeefHazard20 november 2012 08:55
Hoe moet Antagonist hier geld op verdienen dan? Het blijft een commercieël bedrijf. Jij zou het ook wel op prijs stellen als je iedere maand betaald krijgt van je baas, zo wil de baas van Antagonist ook wel iedere maand eten op tafel.
gerwim @psresource20 november 2012 09:02
Ze moeten dit gewoon beschikbaar stellen voor hun eigen klanten, gratis en deze techniek licenseren aan andere hosting partijen.
Anoniem: 447082 @gerwim20 november 2012 10:35
Dat bestaat al een tijdje. Installatron (http://installatron.com) is een plugin voor webhosting controlepanelen en daar heb je al lang de mogelijkheid om Joomla, Wordpress, Drupal,... automatisch te laten updaten.

Copy paste van het installatie scherm:

Create a backup and update to new minor versions and security releases. (Recommended)

En dat is dus helemaal gratis buiten de eenmalige kost per server voor de plugin die echt goed meevalt (http://installatron.com/plugin/buy) en voor alle duidelijkheid, ik werk niet voor installatron :*)

[Reactie gewijzigd door Anoniem: 447082 op 23 juli 2024 00:47]

Tuvow @Anoniem: 44708220 november 2012 10:58
Het verschil zit hem hierin dat je met Installatron geforceerd bent om een complete versie update te doen. Dat veroorzaakt vaak problemen met third party plugins. De technologie die Antagonist vandaag bekend gemaakt heeft voorkomt deze randeffecten.
Anoniem: 447082 @Tuvow20 november 2012 11:14
Het verschil zit hem hierin dat je met Installatron geforceerd bent om een complete versie update te doen. Dat veroorzaakt vaak problemen met third party plugins. De technologie die Antagonist vandaag bekend gemaakt heeft voorkomt deze randeffecten.
Voor zover ik weet (en heb al heel veel CMS installaties onderhouden) zijn er bij minor version patches (bijvoorbeeld van joomla 2.5.7 naar 2.5.8) nooit problemen. De site werkt er meestal zelfs beter door. Van Joomla 2.5.x naar 3.0 is iets anders maar dat doet de plugin in dit geval ook niet.
Tuvow @Anoniem: 44708220 november 2012 12:14
De crux zit 'm in dat het "meestal" zo is, maar helaas niet altijd.
mrdemc @Tuvow20 november 2012 18:58
Ditzelfde geldt natuurlijk ook voor de updatefunctie van Antagonist. Ze kunnen nooit 100% garanderen dat alle plugins blijven werken na hun update. Als dat zo zou zijn dan zouden de minor updates van bekende pakketten dit ook moeten kunnen ;)
Mijn punt: Je veranderd ooit wel eens iets in de code door een beveiligingslek in die specifieke code waardoor een plugin zijn werking niet meer goed kan doen.
bomberboy @Anoniem: 44708220 november 2012 11:40
Antagonist maakt vandaag reeds al gebruik van Installatron, maar (net zoals bij elke upgrade) heb je geen garantie dat alles blijft werken achteraf. En verder moet je zelf ook nog steeds die taak handmatig gaan uitvoeren.

Zij bieden nu een "patch-dienst" aan die de risico's op "het niet werken na een update" zou moeten verkleinen.
Er is dus wel degelijk een verschil
mphilipp @Anoniem: 44708220 november 2012 14:48
Probleem met Installatron is dat je altijd Intallatron moet gebruiken voor je updates. Ik heb ook ooit gewerkt aan een site waar de host ook Installatron gebruikte, maar niet de laatste versie van WordPress had staan. Dus doe je het buiten Installatron om en dan gaat het mank.
bbob
@gerwim20 november 2012 10:29
Waarom gratis, ze hebben een idee, werken het uit, het kost geld het te ontwikkelen en natuurlijk kunnen ze er dan geld voor vragen.
Mr. Awesome @gerwim20 november 2012 09:04
Ze MOETEN natuurlijk niks.
i-chat @Mr. Awesome20 november 2012 10:20
true, maar wij moeten ook geen klant worden van deze verder totaal onbeduidende toko...

ik wil maar zeggen: moeten is misschien een groot woord, maar als je de gemiddelde tweaker of mensen in hun invloedssfeer wilt binnenhalen dan is het op zijn minst 'raadzaam'

daarom snap ik totaal jouw +1 niet, met enkel woordspelletjes kom je er niet...
Hakker @i-chat20 november 2012 14:58
Mowah zo onbeduidend is Antagonist niet i-Chat. Het is al geruime tijd 1 van de grotere hosters in Nederland met daarnaast een mooie prijs en goede support.

Daarnaast krijg je automatisch al netjes een mail wanneer er updates van pakketen zijn en via bv Installtron kan iedereen heel makkelijk updaten en kost het werkelijk misschien 5 minuten waarvan 3 het vinden van je wachtwoord is :D

Het is een leuke service maar als het updaten van je software al te moeilijk is vraag ik mij af waarom mensen dan zelf een website beginnen.
Want ja mensen die dat al moeilijk vinden weten al helemaal niet hoe je mods moet installeren op een forum die de boel zou kunnen ontregelen.
Dit is meer een service van lakheid van de gebruiker uit dan dat het iets is wat te moeilijk zou zijn.

Dit is natuurlijk gewoon een hele goede actie voor mensen die werkelijk 0,0 van websites afweten maar voor bv hun online shopje er wel 1 hebben en dat is precies de markt waar Antagonist nu op mikt.
Solinx @Hakker20 november 2012 16:29
"maar als het updaten van je software al te moeilijk is vraag ik mij af waarom mensen dan zelf een website beginnen."

Denk aan (kleine) bedrijven die het maken van een website uitbesteden en periodiek contact opnemen om de plugins, etc. bij te laten werken.

Het toevoegen van content is geen probleem. Het toepassen van een update is ook eenvoudig, zo lang als alles goed gaat. Treden er problemen op dan is al snel meer kennis vereist. Men heeft vaak liever dat er in dergelijk situaties meteen een technische persoon beschikbaar is om het probleem op te lossen, waardoor het doen van updates meteen ook aan deze wordt overgelaten.
bbob
@i-chat20 november 2012 10:31
Auto updates is natuurlijk maar 1ding verder kijk je bij hosting ook naar wie zit er achter welk platform hoe vol duwen ze server, hebben ze backups enz enz.
Dit soort auto-updates is dan 1 van de criteria waarop je een hoster kan kiezen.
freaky @i-chat20 november 2012 10:57
Ze bieden een dienst aan om je eigen friggin' laksheid te ondervangen en dan mogen ze daar geen geld voor vragen?

En nee, je hoeft geen klant te worden. Zoals reeds aangegeven is er geen enkele andere hoster die het doet. Dus blijf je lekker zelf verantwoordelijk. En bij de meeste betekend dat site gehacked? => Site op zwart. Niet oplossen? => Dag dag hosting (wel je contract uitbetalen).
26779 @psresource20 november 2012 09:30
Geld verdienen kan op meerdere manieren. Een ervan is een feature 'verhuren'

Ze kunnen er echter ook voor kiezen om die unieke en onderscheidende feature als service in hun pakket aan te bieden waardoor ze zich onderscheiden van de prijsvechters en daardoor klanten aantrekken.
Gropah @psresource20 november 2012 09:55
Ze verdienen er geld aan doordat de servers minder vatbaar zijn voor hacks ed waardoor ze zelf dus minder maintance hoeven te doen waardoor ze minder mensen hoeven in te huren
Zidane007nl @BeefHazard20 november 2012 09:40
En hoe worden de mensen hierachter betaald dan?
Ik vind als een klant een CMS wilt gebruiken dat hij gewoon verantwoordelijk blijft voor het up-to-date houden van het gebruikte CMS.
i-chat @Zidane007nl20 november 2012 10:25
dat is een kwestie van marktwerking

of je maakt de klant verantwoordelijk, = lage loon kosten, hoge risico's die je al dan niet aan je klanten doorberekend...

of je doet het gelijk goed, klanten blij risico's laag en de kosten maar marginaal omhoog...
Xenophoben @BeefHazard20 november 2012 14:11
Heel leuk natuurlijk maar, antagonist is echt een PRIMA hosting met hele schappelijke prijzen... Ze zijn al erg goedkoop... Het verbaasd me dan ook niets dat men hier geld voor wil vragen
Svennetjee 19 november 2012 22:49
Dit vind ik dus juist een verschrikkelijke ontwikkeling. Ik heb er absoluut geen behoefte aan dat een of ander geautomatiseerd script langs al mijn bestanden loopt te neuzen en waar nodig geacht de boel gaat lopen aanpassen.
mvdejong @Svennetjee20 november 2012 09:06
Ik denk dat de wat slordige bewoording in het artikel tot verwarring leidt. Als ik het een paar keer lees gaan ze niet de daadwerkelijke content van de websites patchen, maar bekende security-leaks in de gebruikte pakketten.

Ook daar is namelijk terughoudendheid nodig omdat soms de code is geschreven om bestaande beperkingen heen, en het (nodeloos) oplossen van die beperkingen zou ook de content kunnen breken. Vandaar dat ze alleen "kwetsbare code" aanpassen, wat een vage omschrijving is, maar zoals ik het interpreteer gaan ze niet de klant-specifieke sources aanpassen.
Tuvow @Svennetjee20 november 2012 09:02
Medewerker van Antagonist hier.

Er wordt eerst een mailing gedaan dat er een gat gevonden is, inclusief informatie over hoe de klant het kan oplossen. De klant heeft dan 2 weken de tijd om het probleem zelfstandig op te lossen. Dat heeft ook onze voorkeur. Maar als een klant uiteindelijk niet reageert, dan repareren we het gat automatisch zonder verdere impact.
Interfico @Tuvow20 november 2012 09:18
Je repareert het gat automatisch zonder verdere impact? Je draait dus ook even mijn testsuite met integratie en unit tests om te kijken of mijn site nog werkt?

Sorry, maar nee, automatisch mijn code lopen aanpassen heb ik liever niet.
Tuvow @Interfico20 november 2012 09:44
Als je binnen 2 weken op de melding reageert en het probleem zelfstandig oplost, grijpen we niet in.
morpheus @Interfico20 november 2012 09:57
Verplicht Antagonist je? Ze bieden een service die voor veel wordpress/drupal gebruikers erg handig kan zijn als ze niet zo technisch zijn en een site in elkaar gepluged hebben.
Foamy @Tuvow20 november 2012 09:10
Maar als een klant uiteindelijk niet reageert, dan repareren we het gat automatisch zonder verdere impact.
En hoe wil je garanderen dat daarbij de rest van de site correct blijft functioneren? Wie betaalt het als de site op deze manier om zeep word geholpen?
ultimasnake @Tuvow20 november 2012 09:20
En stel ren van de vereiste plugins (laten we zeggen een webshop plugin voor wordpress) is nog niet klaar voor de nieuwe versie? Controleren jullie dergelijke compatibility issues voor het updaten? Of maken jullie eerst een backup als fallback.

Ik kan me goed voorstellen dat het gros van website houders amper it kennis heeft en vind het idee ook erg goed maar ben net als de rest nogal benieuwd naar de haken/ogen. In ieder geval hebben jullie een hoop gratis tips/tricks ontvangen door dit nieuwsartikel ;)
Anoniem: 126717 @Tuvow20 november 2012 09:20
Maar als een klant uiteindelijk niet reageert, dan repareren we het gat automatisch zonder verdere impact.
Okay, dat heb je een keer of 4 gepost. Hoe wordt er gegarandeert dat er geen "verdere impact" is? Het kan best zijn dat een sjofel geschreven plugin of iets dergelijks niet meer werkt met de vernieuwde code. En dat kan impact hebben op de werking van de site.
Wat gaat er door Antagonist gedaan worden in dat geval? Een roll-back met verdere service?
PixelPhobiac @Svennetjee19 november 2012 22:53
"alleen de kwetsbare code wordt gepatcht" om "collateral damage" te voorkomen en de dienst zal optioneel zijn.
Korben 19 november 2012 22:44
Lijkt me niet echt iets waar goed over nagedacht is. Je kunt niet zomaar frameworks en/of de code die daar vanaf hangt gaan lopen patchen. Als ze dat is gelukt zonder dat er iets omvalt, hebben ze in essentie programmeurs overbodig gemaakt. Erg onwaarschijnlijk dus. Als ik mijn code daar zou hosten zou ik ze duidelijk maken dat ik eerst wil weten hoe het werkt en dat ze anders van m'n site af hebben te blijven.
XyritZz @Korben20 november 2012 09:25
Je kunt niet zomaar frameworks en/of de code die daar vanaf hangt gaan lopen patchen. Als ze dat is gelukt zonder dat er iets omvalt, hebben ze in essentie programmeurs overbodig gemaakt.
Lijkt mij dat ze toch een programmeur de patches laten schrijven. Misschien heb ik het mis, maar ik zie deze autopatch als volgt:

- Er wordt een probleem gevonden waardoor Drupal based sites vulnerable zijn.
- Een techneut bij Antagonist schrijft een patch.
- Antagonist doet periodiek een scan naar alle gevonden installaties van die software en waarschuwt de klanten.
- Nadat de reactieperiode van de klant voorbij is gaat Antagonist de patch automatisch doorvoeren op alle gevonden installaties die nog niet bijgewerkt zijn.

Programmeur is daardoor niet overbodig, die doet nog steeds z'n werk.
bbc @XyritZz20 november 2012 10:11
[...]


Lijkt mij dat ze toch een programmeur de patches laten schrijven. Misschien heb ik het mis, maar ik zie deze autopatch als volgt:

- Er wordt een probleem gevonden waardoor Drupal based sites vulnerable zijn.
- Een techneut bij Antagonist schrijft een patch.
Zelf een patch schrijven lijkt me moeilijk/onhaalbaar, tenzij je die gaat committen op de site van het project, in dit geval drupal zelf, waarbij je moet wachten tot die gevalideerd wordt. Anders ga je het produkt forken en kan je niet meer de release cycle volgen.

Toch wel steel balls om zoiets te gaan doorvoeren.Het idee is goed, maar ik denk niet dat het praktisch haalbaar is. Ze gaan inderdaad geld moeten vragen voor die service om zich in te dekken tegen hun eigen stommiteiten.
ennas7 @bbc20 november 2012 11:15
Hoezo?
Wanneer het gat is gedicht binnen de release cycle van Drupal dan pak je die toch gewoon weer?
Tuvow @Korben20 november 2012 09:08
Medewerker van Antagonist hier.

Er wordt eerst een mailing gedaan dat er een gat gevonden is, inclusief informatie over hoe de klant het kan oplossen. De klant heeft dan 2 weken de tijd om het probleem zelfstandig op te lossen. Dat heeft ook onze voorkeur. Maar als een klant uiteindelijk niet reageert, dan repareren we het gat automatisch zonder verdere impact of randeffecten.
mphilipp 20 november 2012 08:15
Op zich een lovenswaardig streven, maar ik denk dat Meneer Antagonist alleen maar reklame probeert te maken nu iedereen hiermee bezig is. In werkelijkheid gaat dit niet werken. Misschien werkt dit bij een patch voor IIS, Apache of PHP, maar ik zie het niet (altijd) goed gaan bij een CMS bijvoorbeeld. Als je (op de verkeerde plaatsen) aanpassingen maakt aan bv WordPress om jouw eigen layout voor elkaar te krijgen, heb je grote kans dat bepaalde zaken door een patch of nieuwe versie worden overschreven.

Misschien kan ie beter als dienst aanbieden dat ie herinneringen stuurt als er belangrijke patches zijn. Als ze hun zaken goed voor elkaar hebben, heeft ie er zelf geen hinder van als er iets naars op het systeem terecht komt. Mijn host heeft de zaak goed dicht zitten met monitoring, en als er iets opvallends gebeurt, wordt de boel geisoleerd en krijg ik een seintje.
Anoniem: 132385 @mphilipp20 november 2012 09:14
@mphilipp

Heb je het systeem al in werking gezien? Weet je precies wat er aangepast word? Je weet helemaal niks en dat is nu juist het probleem. Zeker bij beveiligingsissues zouden ze niet zo mysterieus te werk moeten gaan maar duidelijkheid moeten geven. Helaas is geld meestal de reden waarom dat niet het geval is.

De Vries claimt dat zijn hostingprovider de eerste wereldwijd is die de automatische patches zal uitrollen, en wil daarom niet al te veel details vrijgeven over de werking van het systeem.
mphilipp @Anoniem: 13238520 november 2012 14:45
Maakt niet uit welk systeem er gebruikt wordt. Als ik in WordPress dingen aanpas in een script dat door de patch wordt aangeraakt, werkt mijn spul mogelijk niet meer.
bbc @mphilipp20 november 2012 10:27
Op zich een lovenswaardig streven, maar ik denk dat Meneer Antagonist alleen maar reklame probeert te maken nu iedereen hiermee bezig is. In werkelijkheid gaat dit niet werken. Misschien werkt dit bij een patch voor IIS, Apache of PHP, maar ik zie het niet (altijd) goed gaan bij een CMS bijvoorbeeld.
Het hoeft zelfs geen CMS te zijn denk ik. Er zijn al patches geweest waar bij stuff niet meer werkt zoals voorheen, oa. in php dacht ik. Je hebt ook de problematiek van het versie beheer. Wat indien er geen support meer is voor een bepaalde versie en je moet overschakelen naar een nieuwere versie. Dan zijn de risico's veel groter.

Dan heb je een dilemma waarbij je mensen laat betalen voor een dienst die je misschien helemaal niet kan waarmaken, of waarbij het je zeer veel tijd kan kosten om de boel te patchen. De andere optie is te gaan dreigen om de site offline te halen.

By the way, twee weken een lek laten zitten waar een exploit voor is vind ik wel erg lang.
Tuvow @mphilipp20 november 2012 09:11
Medewerker van Antagonist hier.

Er wordt eerst een mailing gedaan dat er een gat gevonden is, inclusief informatie over hoe de klant het zelf kan oplossen. De klant heeft dan 2 weken de tijd om het probleem zelfstandig op te lossen. Dat heeft ook onze voorkeur. Maar als een klant uiteindelijk niet reageert, dan repareren we het gat automatisch zonder verdere impact of randeffecten.
Jochem_ @mphilipp20 november 2012 10:11
Op zich een lovenswaardig streven, maar ik denk dat Meneer Antagonist alleen maar reklame probeert te maken nu iedereen hiermee bezig is.
Sterker nog, dit is overduidelijk door ze ingestuurd, en kennelijk met afspraken over moment van plaatsing:
Dit artikel is per abuis maandagavond korte tijd online geweest, terwijl het pas dinsdagmorgen online had moeten gaan.
Als dit een gewoon nieuwsberichtje was geweest (en inhoudelijk is het niet meer dan dat) had het gewoon maandagavond kunnen blijven staan.
Gomez12 19 november 2012 22:12
Ik ben toch benieuwd naar de garanties die ze gaan afgeven dat ze de boel niet slopen...

Ik bedoel het klinkt allemaal hardstikke mooi, maar veel php-plugins etc zijn niet op de meest nette manier gemaakt en kunnen best afhankelijk zijn van net zo'n stukje code wat hun willen gaan patchen.
idef1x @Gomez1220 november 2012 08:44
Helemaal mee eens. Voor mijn hobbie achtige sites zou het niet zo'n catafostrale ramp zijn als er iets niet meer werkt, maar als je het als professioneel gebruikt, zou ik met automatisch patchen toch terughoudener zijn...
gooos @idef1x20 november 2012 23:13
Yep, precies. Ik ben zelf al een aantal jaren zeer tevreden klant bij Antagonist MAAR dit zou serieus een reden kunnen gaan worden om bij hen weg te gaan.

Voor mijn eigen site - lekker boeien, die draait sowieso de laatste dev versie dus daar zal ik geen problemen mee hebben maar ik hou ook 8 commerciele websites in de lucht en daar test ik alles grondig voordat ik naar een nieuwe versie van WordPress of van plugins upgrade. Kom af en toe zelfs bij kleine updates verrassingen tegen waarbij je toch net even beter over na moet denken of een tussenversie moet overslaan om een website niet onbruikbaar te maken.

Ik hoop dan ook dat ze hier een opt-in voor maken, of desnoods een opt-out. Als je weet wat je doet en je houdt de boel zelf met regelmaat bij dan lekker aan de klant overlaten. Wil je geen omkijken ernaar hebben dan lekker aan Antagonist overlaten, desnoods tegen betaling en de kans dat je website voor een deel niet meer werkt...
Aesculapius 19 november 2012 22:14
Prima service lijkt me zo die iedereen veel leed bespaart. Heb al jaren lang meerdere sites gehost bij hen en het is een opluchting als je afkomt van een rits hosting providers die hun klant niet centraal zetten...

Ik heb overigens altijd mijn vraagtekens gehad bij die automatische software. Leuk dat het aangeboden wordt, maar als je als website bouwer niet eens een kant en klaar CMS zelf kan installeren, moet je dan misschien niet een ander vak kiezen?
Neomess @Aesculapius20 november 2012 09:03
Veel mensen/bedrijven die websites laten bouwen hebben wel geld over voor het opzetten, maar onderhouden word soms echt compleet niet gedaan omdat de klant het geld niet wil uitgeven "omdat de site toch goed werkt".
KoalaBear84 19 november 2012 22:05
Heb inmiddels meerdere domeinen naar Antagonist verhuist, ten eerste omdat er qua prijs geen concurrentie is, en ten tweede omdat de servers en service prima is. Zeker voor kleinere sites.

Voor een van die sites heb ik al een keer mails gehad dat er bekende beveiligingslekken aangetroffen waren, met extra informatie over waar de fout zich bevindt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq