| |
 |
| Security by Obscurity die Zweite |
|
|
Veröffentlicht durch DawnRazor am Freitag 09. November, 16:45
Aus der unsere-software-ist-sicher Abteilung
|
|
|
|
|
|
|
|
|
|
|
"Die Unternehmen werden entsprechende Informationen erst 30 Tage nach dem die Hersteller Patches (!) bereitgestellt haben veröffentlichen. Überraschend, dass insbesondere @stake da mitzieht."
Und nikee schreibt "Es gebe zwei Wege, IT-Sicherheit zu betreiben, schrieb Stephen K. Gielda am 3. November 2001 auf cotse: "Was würdest du machen, wenn ich unsichere Software produzieren würde? Würdest du Arbeit investieren, um sie sicherer zu machen? Oder würdest du stattdessen den Leuten verbieten, darüber zu sprechen? Es scheint, dass Microsoft das letzere wählt."
Heute hat Microsoft zusammen mit fünf grossen Security-Firmen eine Organistion gegründet (siehe SecurityFocus), die Sicherheitslücken erst nach 30 Tagen im gesamten bekannten Umfang (inklusive Exploits) publizieren wollen. Zuvor soll nur eine vage Beschreibung der Lücke erhältlich sein. Das Problem dabei ist, dass eine solche Regel erstens den Mitgliedern dieser neu gegründeten Organisation Vorteile durch Wissensvorsprung verschafft (da das Detail-Wissen sicherlich innerhalb dieses Zusammenschlusses weitergegeben wird) und zweitens, dass damit den blackhats hilft, dieses Wissen im Untergrund zu halten.
So kann Microsoft damit in Zukunft peinliche & zahlreiche Sicherheitslöcher (wie die, welche im IIS in letzter Zeit gefunden wurden) im Detail geheimhalten, und schadet damit nur dem mitleiderregenden Windows-Administrator, der nicht weiss, wie er eine Lücke schliessen könnte..."
|
|
|
|
< AMDs Planung | Druckausgabe | Mit Peilsender und Observation gegen AKW-Gegner > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
|
Wenn die Computerwoche recht hat, beginnt die Zählung der 30 Tage erst ab dann, wenn ein Patch verfügbar ist.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
toll... dann werden bugs, die nur mit grossem auwand gefixt werden können, auf die lange bank geschoben. besonders dieses zitat der computerwoche gefällt mir: "Culp entgegnet dem, das Systemadministratoren keine Details zu wissen brauchten. Es reiche, wenn sie die Bugfixes einspielten"
der admin, der trottel! das zeigt doch eindeutig, was microsoft von ihren anwendern hält!
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 09. November, 19:12 MET (#4)
|
|
|
|
|
30 Tage nachdem ein patch verfügbar ist sind zweimal zuviel
- Erstens muss das patchen schneller geschehen. Innert einer Woche. Gut, für MS-Systeme vielleicht zwei Wochen.
- Aber vorallem dauert es maximal eine Woche um einen
Patch herzustellen.
ich würde also für 2 Wochen insgesamt plädieren. Das erscheint eine vernünftige Zeitspanne. Aber nicht unlimited+30 Tage.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich finde das OK :-).
Es soll nur noch länger gehen. Dann haben die Linux Benutzer wenigstens ein paar Argumente in den Händen.
Ich finde die Windows Benutzer werden sowieso je länger je mehr für doof verkauft.
Microsoft liefert je immer die besten Gegenargumente für dijenigen die die Marketingabteilung hinausposaunt.
Abgesehen davon würde es mich nicht wundern, wenn Microsoft intern nicht alle Patches rechtzeitig eingespielt werden.
Ansonsten hätten diese schon längst eine Möglichkeit geschaffen dies zu erledigen.
Was mich wundern würde, ob das Sicherheitsloch nicht auch durch dritte offiziell verbreitet werden kann.
Wenn das so ist, hat M$ sowieso eine zwei am Rücken.
|
|
|
|
|
|
|
|
|
|
|
|
|
Nehmen wir an, es gibt einen neuen Wurm im Stil von Code Red. Microsoft merkt so nach einer Woche, dass es einen neuen Wurm gibt. Nach einer weiteren Woche gibt einen Fix für den neuen Wurm und dieser wird auf dem FTP-Server der Microsoft veröffentlicht.
Dieser Patch kann aber nicht bekannt gemacht werden. Weil, wenn man einen Fix bekannt gibt, gibt man doch auch automatisch auch den Bug bekannt. Folglicherweise dürfte Microsoft erst 1.5 Monate nach dem erscheinen des Wurms das Loch bekannt geben und den dazugehörigen Fix.
Ich frag mich wirklich, wie das in der Praxis funktionieren soll. In den 1.5 Monaten, dürften sich vermutlich einige Leute überlegen, ob sie nicht auf etwas Anderes umsteigen möchten.
Die ganze Sache ist aus meiner Sicht eigentlich gar nicht so schlimm. Zum einen betrifft es micht nicht und zum anderen ist das tolle Werbung für Linux.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ich glaube, die Rechnung stimmt nicht ganz (sorry ;) - *dass* es einen Bug gibt wird spätestens mit dem Erscheinen des Patches bekannt. Nur *was für* ein Bug es ist will MS erst 30 Tage nach Erscheinen publiziert haben.
In den meisten Fällen denke ich, dass das in der Praxis einigermassen brauchbar ist. Dem grössten Teil der Admins von MS-Systemen blieb vermutlich nie etwas anderes übrig, als auf die Patches zu warten, weil sie gar keine Möglichkeiten hatten, das Loch vorher selbst zu stopfen.
Trotzdem sieht die Sache sehr nach einem Beweis für die Vermutung aus, dass MS-Software eine so hohe Anzahl von Bugs hat, dass es dem Ruf der Firma schaden könnte. Schliesslich war die Veröffentlichungspraxis, die MS abstellen will, nie auf Microsoft-Produkte beschränkt.
Grüsse vom Knochen
|
|
|
|
|
|
