Velius 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Ja und bei Linux erzählt gleich Jeder den Bug herum damit auch gleich alle diesen fixen könnnen, blos weil der Code offen ist.... :wink2: Wer einen persöhnlichen Nutzen aus Lücken ziehen will kommt mit Linux genau gleich weit wie bei MS. Er braucht blos die Lücke nicht zu publizieren. Zitieren Link zu diesem Kommentar
FLOST 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Mir ist bewust, das der Begriff Monopol negativ besetzt ist. deswegen habe ich ja Monopolartig geschrieben. Warum auch Fehler (gratis) bei Microsoft melden, solang MS für seine Betriebssysteme Geld verlangt und auch für CALs? Wiso denn nicht? Willst du lieber mit dem Risiko leben? Es geht ja nicht darum, dass du aus Spaß an der Freude die Produkte von MS besser machst. Es geht ja um die Sicherheit deiner Umgebung. Es geht um die Daten die du Schützen willst. man zero-day-exploit Das beschreibt doch nur die ReaktionszeitWie lange es dauert, bis ein Exploit nach bekanntwerden der Lücke auftritt. Das hat nichts mit der anzahl der Lücken zu tun. Schreib das mal MS, die machen "security-by-obscurity". (die sicherheitslücke, die ich wegen geschlossener Augen nicht sehe, exisitiert nicht). Beispiel WMF-Lücke. Das ist auch nur ein Problem, wenn die Lücken nicht allgemein Bekannt sind. Je eher Lücken bekannt werden, desdo mehr Druck gibt es, dass die Lücke geschlossen wird. Außerdem kannst du auch Schritte unternehmen, um Gefahren zu minimieren. Bei einem Fehler in einem Dienst hilft es schon diesen zu deaktivieren um die Gefahr zu beseitigen. da brauchst du nicht warten, bis ein Patch da ist. du kannst aktiv was machen. Fg fLOST Zitieren Link zu diesem Kommentar
dauerpraktikant 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Wer einen persöhnlichen Nutzen aus Lücken ziehen will kommt mit Linux genau gleich weit wie bei MS. Er braucht blos die Lücke nicht zu publizieren. Ein Linux'er muss aber damit rechnen, dass andere genauso schlau sind wie er und einen Bugreport machen. Linux hat man gratis bekommen, und da ist die Neigung grösser auch sich zu "bedanken" als bei bezahlten Leistungen. Ich empfehle die Lektüre von http://www.catb.org/~esr/writings/cathedral-bazaar/cathedral-bazaar/ geschrieben von Eric Steven Raymond. Außerdem beziehe ich mich auf die ehrlichen Kunden (Unternehmenseinsatz in D.). Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Mein Punkt war ehr der folgende: Eine Software die bisher "non OpenSource" ist jetzt auf "OpenSource" umzuswitchen beinhaltet das man dies sehr langsamm machen muss. Der Patchday ist ein sehr gutes Beispiel dafür. Im Schnitt hat ein Angreifer schon jetzt 14 Tage Zeit einen exlpoit zu nutzen! Bevor es einen Patch gibt. Danke Microsoft ! Was würde passieren , wenn man den "gesammten" Quelltext offenlegt. Es gäbe hunderte Exlpoits und entsprechend potenziell viele Schädlinge. Anders bei Linuxderivaten. Hier sind die Codeentwicklungen vergleichsmäßig klein. Man bleibt bei einem "alten" System und patcht dies bis man auf ein neues Umsteigt. Das auch Windows nach einem veröffentlichen der Sources mit Sicherheit sicherer werden wird, habe ich nie von der Hand gewiesen. Das "viele Augen" Prinzip ist gut und hat sich meiner Meinung nach auch bewährt. Doch hier bracuht es Zeit. Genau dort ist der Punkt an dem ich befürchte, wenn man MS zwingt den Code offen zu legen das zu wenig Recources zum schnellen Fixen zur verfügung stehen. Zugegeben, große Computernetze sind seltenst rein Windows basiert - oder ? Microsoft Firewall oder Antiviren Produkte ? Leider alles Fehlazeige oder Fremdeinkauf. Den ISA lasse ich außen vor. Er entbehrt sich jeder Firewall, schon allein deswegen weil ich nicht verstehe warum man ihn nicht auf seine "kernfunktion" reduziert und als standalone system vertreibt. Für mich bleibt es auch weiter schwer vorstellbar, das MS damit Preise senken oder Funktionalität erweitern kann. Linux tut derweil nämlich beides. Es bleibt kostenlos und gewinnt täglich an Funktion. Ich installiere nur was ich brauche und erhöhe durch dedizierung die Sicherheit. Der Rahmen bleibt üerbschaubar und klein - ich kenne das System. Alles Punkte die ich bei MS vermisse, aber mit einer gezwungenen Offenlegung wird das nicht funktionieren, und bei einer freiwilligen, wird der wirtschaftliche Profit im Vordergrund stehen. Ist nur natürlich - es würden alle so machen. subby Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Komisch, immer kommt dann Linux auf den Tisch - witzig irgendwie. Nun, es ist schon auch so wie velius sagt, doch die Wahscheinlichkeit das 1 unterbezahlter Microsoft-Programmierer einen Fehler in seinen Code findet ist weitaus geringer als wenn sich tausende unterbezahlte Programmierer den Code anschauen. :D Das Linux so viel sicherer ist, kann man pauschal auch nicht sagen, auch wenn ich ein begeisterter Linux - Anhänger bin. Die herangehensweise bei der Entwicklung der verschiedenen Betriebssysteme ist grundlegend verschieden und die herangehensweise von Microsoft war ja lobenswert, aber halt aus sicherheitstechnischen Gesichtspunkten mehr als fragwürdig. Linux, oder Unix - Derivate an sich, kennen von je her den Betrieb von mehreren Nutzern und das arbeiten als root war schon immer etwas, was man unter diesen OS möglichst vermeiden wollte und will. Microsoft wollte ein einfach zu nutzendes und einfach zu administrierendes System schaffen, dass wirklich von jedem genutzt werden kann. Ist also ein lobenswerter Gedanke, doch Microsoft glaubte anscheinend an das Gute im Menschen - etwas naiv vielleicht, aber irgendwo ehrt es sie doch, oder war das auch nur ein Weg um die Marktakzeptanz und die Verbreitung zu fördern?! ;) Auch dauerpraktikant hat Recht, denn die Einstellung der Nutzer und Entwickler unter Linux ist eine ganz andere. Man identifiziert sich mit diesem OS einfach mehr und der Philosophie, die dahinter steckt. Auch haben sich bis vor einigen Jahren die User von Linux ganz massiv von den Windows-Nutzer unterschieden. Sie waren etwas bewandeter in der Materie, haben Ersatz gesucht und gefunden. Wenn man sich jedoch alles mal sachlich anschaut, so stellt man doch fest, dass Microsoft sein Bestreben zu mehr Sicherheit in den letzten Jahren stärker forciert hat und das nicht nur auf Ebene des OS, sondern auch im Bereich der Entwicklung zu mehr Code-Sicherheit und das mit sehr großem Aufwand. Ich denke da nicht nur an die Webcasts, oder die ganz vorzügliche, kostenlose DVD aus dem Hause Microsoft mit dem Titel "Developer Security Training". Nein, auch das .NET-Framework an sich bietet den Enwicklern mehr Code-Sicherheit und Buffer-Overflows gehören damit wahrscheinlich auch schon bald der Vergangenheit an, aber das ist alles Programmierer-Latein und soll hier nicht weiter beleuchtet werden. Auch andere Produkte aus dem microsoftschen Portfolio sind in Punkto Sicherheit eine hoch interessante Sache. Da der ISA - Server schon angesprochen wurde, kann ich ihn hier auch gleich aufgreifen. Es gibt ihn sehr wohl auch als Appliances von diversen Herstellern, wo das Backend dementsprechend reduziert wurde. Selbst Microsoft hat sich dazu aufgerufen gefühlt, innerhalb von Webcasts auf diese Appliances aufmerksam zu machen und die diversen Hersteller zu interviewen und die Produkte vorzustellen. Gut, oder? :cool: ;) Ich kann nur für mich sprechen, aber die Frage ob nun Windows, Linux, Zeta, BSD, oder was auch immer ich nutzen soll stellt sich mir nicht. Ich nutze einfach alle und ich möchte mich nur ungern in Glaubenskriegen beteiligen. Alles hat seinen Platz und friedliche Koexistenz ist doch ein erstrebenswertes Ziel, oder? LG Marco Zitieren Link zu diesem Kommentar
substyle 20 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Buzzer, danke für dieses Statement .. Click click the wizz and u're done :suspect: Die angesprochene "Developer Security Training" DVD liegt überigens neben mir auf dem Schreibtisch .. :D Ich wollte auch keinen Glaubenskrieg austragen ! Das ist nicht meine Intention gewesen .. sorry .. Beides zu nutzen ist eine gute Lösung, wobei ich pers., bis auf den SQL Server im Backoffice gerne Linux einsetzte. Für mich bleibt es alles offen .. mal schauen wohin die Entwicklung geht, nur man sollte dabei die Risiken nicht außer acht lassen. Off-Topic: Ich finde es lobenswert das MS an Sicherheit gedacht hat. "Besser spät als nie", das hab ich schon von meiner Mutter gelernt, da war ich noch im Kindergarten - :cool: Irgendwie kenne ich Anwendungsentwicklung aus einem anderen Gesichtspunkt. Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 @substyle Nee, nee ich meinte nicht Dich mit Glaubenskriege anfangen, war eher pauschal gemeint. Es ist total seltsam, dass Diskussionen zu den diversen OS immer mit so viel Herzblut und Emotion geführt werden - was auch nicht unbedingt schlecht ist, aber es hemmt manchmal schon die "Lösungsfindung". ;) Ich sage mir immer, für jedes Problem gibt es geeignete Werkzeuge - that's it. Es ist auch ziemlich blauäugig zu meinen, dass offener Code vieles schlimmer macht, denn die wirklich gefährlichen Leute brauchen sowas nicht. Sie kennen bereits Interna, sei es durch Reverse-Engineering, Try-and-Error, oder dergleichen mehr. Gefährlich werden sie dann, wenn sie ihr KnowHow dazu benutzen illegale Aktionen durchzuführen. :D Nehmen wir mal einen polymorphen Stealthvirus von gerade mal einem kB Umfang, oder einen mit 4kB. Gut, 4kB Assembler-Code ist schon eine Menge - muß man ja sagen, aber der leistet folgendes: Detektiert Virenscanner Versteckt sich vor ihnen durch Tarnkappentechnik, indem er seine Signatur ändert Infiziert Files Gibt Meldungen aus Schaltet die diversen Modi des Monitors durch, bis das Ding anfängt zu pfeifen :) Positioniert die Schreib- / Leseköpfe zwischen 2 Tracks auf der HD um einen Headcrash zu provozieren ET CETERA Nun und das alles ohne Kenntnis der Windows - Interna. Stramme Leistung. ;) :suspect: Zum Beispiel war Tremor von Neurobasher so'n Kandidat. Hab gedacht mir fliegt der Monitor und der Rechner um die Ohren und das schon in den frühen neunzigern. Wie man sieht, man kann aufgrund der Komplexität und möglicher Seiteneffekte von Betriebssystemkomponenten schon eine Menge Unsinn veranstalten und Schaden anrichten und das auch ohne Teile des Quelltextes von MS. Aber darüber kann man viel lesen und schreiben ... gib mal Information Warfare bei google ein und schau Dir mal die Ergebnisse an, da sind Dokumente dabei, die Szenarien schildern, bei denen bekommt man als Admin graue Haare. Habe solche Sachen bei der Bundeswehr durchgekaut, da ich ja Fernmeldeunteroffizier war und mich dadurch mit Datensicherheit und sichere Kommunikation beschäftigen mußte. Hat zwar eher militärische Charakter, aber kann 1:1 auf die freie Wirtschaft übernommen werden. Was die DVD angeht so muß ich sagen, cooles Ding das und der Herr Fischer ist mir schon ein ganz smarter. ;) Hat mir irrsinnig Spaß gemacht den Silberling durchzukauen und ich wünsche mir mehr davon von Microsoft und Herrn Fischer. LG Marco Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Es ist total seltsam, dass Diskussionen zu den diversen OS immer mitso viel Herzblut und Emotion geführt werden - was auch nicht unbedingt schlecht ist, aber es hemmt manchmal schon die "Lösungsfindung". ;) :suspect: Ich vertrete meine Meinung, nicht ein OS. Ausserdem ist das bei mir zumindest kein Herzblut dahinter - ich kann noch ganz anders. Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 @velius Schön das Du Deine Meinung vertrittst und Dich der sachlichen Auseinandersetzung zur Sache widmest, ohne dabei ... noch anders ... zu werden. Da kann man sich 'ne Scheibe von abschneiden. :D Ich meinte das weder ausschließlich auf diesen Thread, noch auf Dich bezogen, sondern die Diskussion bezgl. Windows / Linux / OpenSource im allgemeinen, daher habe ich auch im Plural gesprochen (Diskussionen) - wie man unschwer erkennt. Empfindest Du das nicht so, dass sich viele wegen diesem Thema in vielen Foren an die Karre urinieren? Wenn ich Dich persönlich ansprechen würde, dann würdest Du das schon mitbekommen, denn dann steht das bei mir meistens in der TopLine, oder ich nenne den Nick im Text, wenn ich mich auf wen beziehe. :suspect: LG Marco Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 Empfindest Dudas nicht so, dass sich viele wegen diesem Thema in vielen Foren an die Karre urinieren? Ja schon, na und? Ich finde das geht hier noch gesittet ab - was so bei Heisse los ist beispielswiese kommt ja nicht gerade vom selben Stern, oder? Persöhnlich nehm ich's übrigens nicht. Aber wenn's jetzt schon heftig ist, dann kann man's auch sein lassen - Niemand ist verpflichtet zu posten. :D Zitieren Link zu diesem Kommentar
BuzzeR 10 Geschrieben 26. Januar 2006 Melden Teilen Geschrieben 26. Januar 2006 @velius Stimmt, ich finde solche Diskussionen nur kontraproduktiv und daher würde ich in solchen Foren nicht posten. Deshalb bin ich ja auch hier, weil das so ein friedliches Fleckchen Internet ist. ;) :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.