Microsoft will Quellcode offen legen

[Velius 10]

Ja und bei Linux erzählt gleich Jeder den Bug herum damit auch gleich alle diesen fixen könnnen, blos weil der Code offen ist.... :wink2:

 

Wer einen persöhnlichen Nutzen aus Lücken ziehen will kommt mit Linux genau gleich weit wie bei MS. Er braucht blos die Lücke nicht zu publizieren.

[FLOST 10]

Mir ist bewust, das der Begriff Monopol negativ besetzt ist. deswegen habe ich ja Monopolartig geschrieben.

 

Warum auch Fehler (gratis) bei Microsoft melden, solang MS für seine Betriebssysteme Geld verlangt und auch für CALs?

 

Wiso denn nicht? Willst du lieber mit dem Risiko leben? Es geht ja nicht darum, dass du aus Spaß an der Freude die Produkte von MS besser machst. Es geht ja um die Sicherheit deiner Umgebung. Es geht um die Daten die du Schützen willst.

 

man zero-day-exploit

 

Das beschreibt doch nur die ReaktionszeitWie lange es dauert, bis ein Exploit nach bekanntwerden der Lücke auftritt. Das hat nichts mit der anzahl der Lücken zu tun.

 

Schreib das mal MS, die machen "security-by-obscurity". (die sicherheitslücke, die ich wegen geschlossener Augen nicht sehe, exisitiert nicht). Beispiel WMF-Lücke.

 

Das ist auch nur ein Problem, wenn die Lücken nicht allgemein Bekannt sind. Je eher Lücken bekannt werden, desdo mehr Druck gibt es, dass die Lücke geschlossen wird.

 

Außerdem kannst du auch Schritte unternehmen, um Gefahren zu minimieren. Bei einem Fehler in einem Dienst hilft es schon diesen zu deaktivieren um die Gefahr zu beseitigen. da brauchst du nicht warten, bis ein Patch da ist. du kannst aktiv was machen.

 

Fg

 

fLOST

[dauerpraktikant 10]

Wer einen persöhnlichen Nutzen aus Lücken ziehen will kommt mit Linux genau gleich weit wie bei MS. Er braucht blos die Lücke nicht zu publizieren.

Ein Linux'er muss aber damit rechnen, dass andere genauso schlau sind wie er und einen Bugreport machen. Linux hat man gratis bekommen, und da ist die Neigung grösser auch sich zu "bedanken" als bei bezahlten Leistungen. Ich empfehle die Lektüre von http://www.catb.org/~esr/writings/cathedral-bazaar/cathedral-bazaar/ geschrieben von Eric Steven Raymond.

Außerdem beziehe ich mich auf die ehrlichen Kunden (Unternehmenseinsatz in D.).

[substyle 20]

Mein Punkt war ehr der folgende:

 

Eine Software die bisher "non OpenSource" ist jetzt auf "OpenSource" umzuswitchen

beinhaltet das man dies sehr langsamm machen muss.

 

Der Patchday ist ein sehr gutes Beispiel dafür. Im Schnitt hat ein Angreifer schon jetzt

14 Tage Zeit einen exlpoit zu nutzen! Bevor es einen Patch gibt. Danke Microsoft !

Was würde passieren , wenn man den "gesammten" Quelltext offenlegt. Es gäbe hunderte

Exlpoits und entsprechend potenziell viele Schädlinge.

 

Anders bei Linuxderivaten. Hier sind die Codeentwicklungen vergleichsmäßig klein.

Man bleibt bei einem "alten" System und patcht dies bis man auf ein neues Umsteigt.

 

Das auch Windows nach einem veröffentlichen der Sources mit Sicherheit sicherer werden

wird, habe ich nie von der Hand gewiesen. Das "viele Augen" Prinzip ist gut und hat sich

meiner Meinung nach auch bewährt. Doch hier bracuht es Zeit.

Genau dort ist der Punkt an dem ich befürchte, wenn man MS zwingt den Code offen

zu legen das zu wenig Recources zum schnellen Fixen zur verfügung stehen.

 

Zugegeben, große Computernetze sind seltenst rein Windows basiert - oder ?

Microsoft Firewall oder Antiviren Produkte ? Leider alles Fehlazeige oder Fremdeinkauf.

Den ISA lasse ich außen vor. Er entbehrt sich jeder Firewall, schon allein deswegen weil

ich nicht verstehe warum man ihn nicht auf seine "kernfunktion" reduziert und als

standalone system vertreibt.

 

Für mich bleibt es auch weiter schwer vorstellbar, das MS damit Preise senken oder

Funktionalität erweitern kann.

 

Linux tut derweil nämlich beides. Es bleibt kostenlos und gewinnt täglich an Funktion.

Ich installiere nur was ich brauche und erhöhe durch dedizierung die Sicherheit.

Der Rahmen bleibt üerbschaubar und klein - ich kenne das System.

 

Alles Punkte die ich bei MS vermisse, aber mit einer gezwungenen Offenlegung wird

das nicht funktionieren, und bei einer freiwilligen, wird der wirtschaftliche Profit im

Vordergrund stehen. Ist nur natürlich - es würden alle so machen.

 

subby

[BuzzeR 10]

Komisch, immer kommt dann Linux auf den Tisch - witzig irgendwie. Nun, es ist

schon auch so wie velius sagt, doch die Wahscheinlichkeit das 1 unterbezahlter

Microsoft-Programmierer einen Fehler in seinen Code findet ist weitaus geringer

als wenn sich tausende unterbezahlte Programmierer den Code anschauen. :D

 

Das Linux so viel sicherer ist, kann man pauschal auch nicht sagen, auch wenn

ich ein begeisterter Linux - Anhänger bin. Die herangehensweise bei der

Entwicklung der verschiedenen Betriebssysteme ist grundlegend verschieden und

die herangehensweise von Microsoft war ja lobenswert, aber halt aus

sicherheitstechnischen Gesichtspunkten mehr als fragwürdig.

 

Linux, oder Unix - Derivate an sich, kennen von je her den Betrieb von mehreren

Nutzern und das arbeiten als root war schon immer etwas, was man unter diesen

OS möglichst vermeiden wollte und will.

 

Microsoft wollte ein einfach zu nutzendes und einfach zu administrierendes System

schaffen, dass wirklich von jedem genutzt werden kann. Ist also ein lobenswerter

Gedanke, doch Microsoft glaubte anscheinend an das Gute im Menschen - etwas naiv

vielleicht, aber irgendwo ehrt es sie doch, oder war das auch nur ein Weg um die

Marktakzeptanz und die Verbreitung zu fördern?! ;)

 

Auch dauerpraktikant hat Recht, denn die Einstellung der Nutzer und Entwickler

unter Linux ist eine ganz andere. Man identifiziert sich mit diesem OS einfach

mehr und der Philosophie, die dahinter steckt. Auch haben sich bis vor einigen

Jahren die User von Linux ganz massiv von den Windows-Nutzer unterschieden.

Sie waren etwas bewandeter in der Materie, haben Ersatz gesucht und gefunden.

 

Wenn man sich jedoch alles mal sachlich anschaut, so stellt man doch fest, dass

Microsoft sein Bestreben zu mehr Sicherheit in den letzten Jahren stärker forciert

hat und das nicht nur auf Ebene des OS, sondern auch im Bereich der Entwicklung

zu mehr Code-Sicherheit und das mit sehr großem Aufwand. Ich denke da nicht

nur an die Webcasts, oder die ganz vorzügliche, kostenlose DVD aus dem Hause

Microsoft mit dem Titel "Developer Security Training". Nein, auch das .NET-Framework

an sich bietet den Enwicklern mehr Code-Sicherheit und Buffer-Overflows gehören

damit wahrscheinlich auch schon bald der Vergangenheit an, aber das ist alles

Programmierer-Latein und soll hier nicht weiter beleuchtet werden.

 

Auch andere Produkte aus dem microsoftschen Portfolio sind in Punkto Sicherheit

eine hoch interessante Sache. Da der ISA - Server schon angesprochen wurde,

kann ich ihn hier auch gleich aufgreifen. Es gibt ihn sehr wohl auch als Appliances

von diversen Herstellern, wo das Backend dementsprechend reduziert wurde.

Selbst Microsoft hat sich dazu aufgerufen gefühlt, innerhalb von Webcasts auf

diese Appliances aufmerksam zu machen und die diversen Hersteller zu interviewen

und die Produkte vorzustellen. Gut, oder? :cool: ;)

 

Ich kann nur für mich sprechen, aber die Frage ob nun Windows, Linux, Zeta,

BSD, oder was auch immer ich nutzen soll stellt sich mir nicht. Ich nutze einfach

alle und ich möchte mich nur ungern in Glaubenskriegen beteiligen. Alles hat

seinen Platz und friedliche Koexistenz ist doch ein erstrebenswertes Ziel, oder?

 

LG

Marco

[substyle 20]

Buzzer, danke für dieses Statement .. Click click the wizz and u're done :suspect:

 

Die angesprochene "Developer Security Training" DVD

liegt überigens neben mir auf dem Schreibtisch .. :D

 

Ich wollte auch keinen Glaubenskrieg austragen !

Das ist nicht meine Intention gewesen .. sorry ..

 

Beides zu nutzen ist eine gute Lösung, wobei ich pers., bis

auf den SQL Server im Backoffice gerne Linux einsetzte.

 

Für mich bleibt es alles offen .. mal schauen wohin die

Entwicklung geht, nur man sollte dabei die Risiken nicht

außer acht lassen.

 

Off-Topic:

 

Ich finde es lobenswert das MS an Sicherheit gedacht hat.

"Besser spät als nie", das hab ich schon von meiner Mutter

gelernt, da war ich noch im Kindergarten - :cool:

 

Irgendwie kenne ich Anwendungsentwicklung aus einem anderen

Gesichtspunkt.

[BuzzeR 10]

@substyle

 

Nee, nee ich meinte nicht Dich mit Glaubenskriege anfangen, war eher pauschal

gemeint. Es ist total seltsam, dass Diskussionen zu den diversen OS immer mit

so viel Herzblut und Emotion geführt werden - was auch nicht unbedingt schlecht ist,

aber es hemmt manchmal schon die "Lösungsfindung". ;)

 

Ich sage mir immer, für jedes Problem gibt es geeignete Werkzeuge - that's it.

 

Es ist auch ziemlich blauäugig zu meinen, dass offener Code vieles schlimmer macht,

denn die wirklich gefährlichen Leute brauchen sowas nicht. Sie kennen bereits

Interna, sei es durch Reverse-Engineering, Try-and-Error, oder dergleichen mehr.

Gefährlich werden sie dann, wenn sie ihr KnowHow dazu benutzen illegale Aktionen

durchzuführen. :D

 

Nehmen wir mal einen polymorphen Stealthvirus von gerade mal einem kB Umfang, oder

einen mit 4kB. Gut, 4kB Assembler-Code ist schon eine Menge - muß man ja sagen, aber

der leistet folgendes:

 

• Detektiert Virenscanner
  
• Versteckt sich vor ihnen durch Tarnkappentechnik, indem er seine Signatur ändert
  
• Infiziert Files
  
• Gibt Meldungen aus
  
• Schaltet die diversen Modi des Monitors durch, bis das Ding anfängt zu pfeifen :)
  
• Positioniert die Schreib- / Leseköpfe zwischen 2 Tracks auf der HD um einen Headcrash zu provozieren
  
• ET CETERA
  

 

Nun und das alles ohne Kenntnis der Windows - Interna. Stramme Leistung. ;) :suspect:

Zum Beispiel war Tremor von Neurobasher so'n Kandidat. Hab gedacht mir fliegt der

Monitor und der Rechner um die Ohren und das schon in den frühen neunzigern.

 

Wie man sieht, man kann aufgrund der Komplexität und möglicher Seiteneffekte

von Betriebssystemkomponenten schon eine Menge Unsinn veranstalten und Schaden

anrichten und das auch ohne Teile des Quelltextes von MS.

 

Aber darüber kann man viel lesen und schreiben ... gib mal Information Warfare bei

google ein und schau Dir mal die Ergebnisse an, da sind Dokumente dabei, die

Szenarien schildern, bei denen bekommt man als Admin graue Haare. Habe solche

Sachen bei der Bundeswehr durchgekaut, da ich ja Fernmeldeunteroffizier war und

mich dadurch mit Datensicherheit und sichere Kommunikation beschäftigen mußte.

Hat zwar eher militärische Charakter, aber kann 1:1 auf die freie Wirtschaft

übernommen werden.

 

Was die DVD angeht so muß ich sagen, cooles Ding das und der Herr Fischer ist mir

schon ein ganz smarter. ;) Hat mir irrsinnig Spaß gemacht den Silberling durchzukauen

und ich wünsche mir mehr davon von Microsoft und Herrn Fischer.

 

LG

Marco

[Velius 10]

Es ist total seltsam, dass Diskussionen zu den diversen OS immer mit

so viel Herzblut und Emotion geführt werden - was auch nicht unbedingt schlecht ist,

aber es hemmt manchmal schon die "Lösungsfindung". ;)

 

 

:suspect:

Ich vertrete meine Meinung, nicht ein OS. Ausserdem ist das bei mir zumindest kein Herzblut dahinter - ich kann noch ganz anders.

[BuzzeR 10]

@velius

Schön das Du Deine Meinung vertrittst und Dich der sachlichen Auseinandersetzung

zur Sache widmest, ohne dabei ... noch anders ... zu werden. Da kann man sich 'ne

Scheibe von abschneiden. :D

 

Ich meinte das weder ausschließlich auf diesen Thread, noch auf Dich bezogen, sondern

die Diskussion bezgl. Windows / Linux / OpenSource im allgemeinen, daher habe ich auch

im Plural gesprochen (Diskussionen) - wie man unschwer erkennt. Empfindest Du

das nicht so, dass sich viele wegen diesem Thema in vielen Foren an die Karre urinieren?

 

Wenn ich Dich persönlich ansprechen würde, dann würdest Du das schon mitbekommen,

denn dann steht das bei mir meistens in der TopLine, oder ich nenne den Nick im Text,

wenn ich mich auf wen beziehe. :suspect:

 

LG

Marco

[Velius 10]

Empfindest Du

das nicht so, dass sich viele wegen diesem Thema in vielen Foren an die Karre urinieren?

 

 

Ja schon, na und? Ich finde das geht hier noch gesittet ab - was so bei Heisse los ist beispielswiese kommt ja nicht gerade vom selben Stern, oder?

 

 

Persöhnlich nehm ich's übrigens nicht. Aber wenn's jetzt schon heftig ist, dann kann man's auch sein lassen - Niemand ist verpflichtet zu posten. :D

[BuzzeR 10]

@velius

 

Stimmt, ich finde solche Diskussionen nur kontraproduktiv und daher würde ich in

solchen Foren nicht posten.

 

Deshalb bin ich ja auch hier, weil das so ein friedliches Fleckchen Internet ist. ;) :D