Respekt

> Dazu John Pescatore: "Was passiert, ist, dass die bösen Jungs Fuzzing-Werkzeuge > benutzen, um Schwachstellen in Office zu finden. Jetzt sagt Microsoft, 'Okay, > wir können unmöglich alle Lücken finden, geschweige denn schließen. Also stecken wir die Lücken in eine Sandbox.'"

Software Engineering at its finest!
Diese Geschichte veranlasst mich doch tatsaechlich mich auf professioneller Ebene "fremd-zu-schaemen". Ein schwarzer Tag fuer meinen Berufsstand an dem miesen Code zu schreiben salonfaehig geworden ist solange er nur in ner Sandbox laeuft...

kudos M$!

Aehm ich sags mal so: du musst ja irgend einen Kompromiss finden aus _makros die alles duerfen_ und _doc files die irgendwoher kommen und macros haben die alles duerfen_.

Ganz zu schweigen von diesen nervigen Powerpointsachen die man von irgendwelchen Arbeitskollegen bekommt...

So wie ich das lese geht es dabei nicht darum normale Makros die halt erweiterte Zugriffsrechte brauchen. Das liegt ja im Bereich der durchaus gewollten Funktionen und wenn du ein Doc mit Makros oeffnest und dann die Sicherheitswarnung ignorierst die dich vor potentiell schaedlichem Code warnt einfach weg clickst dann is das nicht die Schuld von Office.
Aber worum es hier geht sind random input Angriffe die in Office irgend eine Art von Assertion ausloesen und somit Gefahr darstellen. DAS ist dann ganz einfach schlecht programmiert da der input einfach nicht gescheit validiert wurde und das ist vermeidbar.

> Software Engineering at its finest!

Das IST gutesSoftware Engineering! Die Anzahl der gefundenen Fehler wurde bereits drastisch reduziert (30 Sicherheitslücken in Office in drei Jahren ... vor 10 Jahren war das ein Patchday eines Monats!)

Aber zum guten Software Engineering gehört auch, dass die Architektur der Software dafür sorgt, dass wenn irgendwas auch welchem Grund auch immer schief geht, dass die Folgen davon so gering wie möglich bleiben. Genau das tut Microsoft hier.

Das es vor 10 Jahren noch schlechter gewesen ist als heute bedeutet nicht das es heute gut ist.
Und einfach jede Software in einen Sandkasten zu stecken ist KEIN gutes Software Engineering.

Recht hat er!
Gute Software hat wenige Sicherheitslücken, die man ausnützen könnte, zudem sitzt der größte Fehler VOR dem Bildschirm...
Wer öffnet schon unbekannte Dateien, deren Absender man nicht kennt? Nur DAUs...

Und noch dazu sollte man Macros eh nur benutzen, wenn es unbedingt sein muss, ich versuche weitestgehend darauf zu verzichten.

Es ist echt traurig zu sehen, dass M$ jetzt schon eine Sandbox um Office drum zu bauen muss, damit die ganzen Bugs keine Chance haben das System lahm zu legen, nur weil User X gerne das lustige Powerpoint Video sehen möchte, was Kollege Y geschickt hat (natürlich Viren verseucht versteht sich), und User X natürlich zu dämlich war VORHER die Macros abzuschalten oder wenigstens bei der Warnung, dass Macros drin sind auf "Nicht ausführen" zu klicken.

Im Idealfall würde nichts passieren, weil kein Bug drin ist -> M$ Schuld -> besser programmieren..

Im derzeitigen Zustand -> Selber Schuld -> bitte ein wenig nachdenken!

Meine Güte, es geht hier nicht um irgendein Hinterhofkackprogrämmchen, sondern um eine umfassende Suite, die auch noch abwärtskompatibel sein muss, weil sonst die ganzen Geschäftskunden weinen würden.

Ich seh das Problem nicht. Was stört dich daran? Der Benutzer merkt es wahrscheinlich eh nicht.

Nicht die Anwender müssen sich anpassen, sondern der Entwickler sollte sich nach dem Anwender richten...

Hallo Kasper,

Würde ja gerne wissen, in welchen Umgebungen Du Dein Können auf professioneller Ebene hast ausleben können.

Wenn nicht gerade spezielle Sicherheitsaspekte auf der Wunschliste der Kunden stehen, so wird von meinen bisherigen Auftraggebern schnell gehackter Code, der einigermaßen funktioniert, gegenüber sorgsam entwickelten Code eindeutig bevorzugt.

> ...auf professioneller Ebene...

> ...so wird von meinen bisherigen Auftraggebern schnell
> gehackter Code, der einigermaßen funktioniert,
> gegenüber sorgsam entwickelten Code eindeutig
> bevorzugt.

Und genau DAS ist das Problem. Wenn Professionalität heute nur noch bedeutet, schön verpackten Sondermüll abzuliefern, weil der Schlipsträger es so verlangt, muß sich allerdings niemand wundern, warum in diesem Land einfach nichts mehr läuft wie es soll. Oder glubst Du etwa, das wäre in anderen Branchen besser? Verkauft halt euer unausgegorenes Zeug so lange, wie ihr einen Deppen findet der euch den Krempel abkauft, und dafür Preise akzeptiert, die nur ANSTÄNDIG gemachten Sachen vorbehalten sind.

Ich sag's mal ganz drastisch: Was da heute oft abgeliefert wird, ist eines Ingenieurs unwürdig. Das kann jeder Hobby-möchtegern-bastler besser.

Und die Konkurrenz im Ausland überholt auf diese Weise spielend. Denn BILLIG können die anderswo auch besser, einfach weil sie es konsequent machen, ohne irgendwelche "altmodischen" Rücksichten zu nehmen.

Nicht-Debian-Benutzer schrieb:
-------------------------------------------------------
> Hallo Kasper,
>
> Würde ja gerne wissen, in welchen Umgebungen Du
> Dein Können auf professioneller Ebene hast
> ausleben können.

Bereich IT Security. Legitimiert mich das zu einer Professionellen Antwort?

> Wenn nicht gerade spezielle Sicherheitsaspekte auf
> der Wunschliste der Kunden stehen, so wird von
> meinen bisherigen Auftraggebern schnell gehackter
> Code, der einigermaßen funktioniert, gegenüber
> sorgsam entwickelten Code eindeutig bevorzugt.

Also meiner Erfahrung nach sind es nicht die Auftraggeber, sondern die Firmen selbst, die so vorgehen. Das war auch ein Grund, warum ich meinen alten Arbeitgeber verlassen habe.
Absolute Fehlplanung, Selbst die "Chefentwickler" haben sich nicht an Code-Designvorgaben gehalten, und das Typische Todesurteil für Qualitative Software: Erst einmal einen Prototypen in möglichst kurzer Zeit hinschmieren, der dann der GF präsentiert werden kann. Und dann den Prototypen einfach zu der richtigen Anwendung weiterentwickeln.
Natürlich geht das schneller. Aber die Zeit, die man da einspart, bekommt man im weiteren Software-Pflege-Prozess wieder vielfach raus. Und ich mache dann lieber am Anfang eines Projektes Überstunden, brauche dann aber wesentlich weniger in die Pflege und Wartung zu stecken, als dauernd gestresst auf Fehlersuche zu sein.

Dazu kommt noch, dass viele Entwickler nicht motiviert sind, sich auf dem laufenden zu halten. Und das schließt die höheren Positionen ein. Statt neuer Designprozesse, neuer sich als gut erwiesener Patterns wird auf das Altbewährte von anfang der 90'er gesetzt. Fehler inclusive !

Hier herrscht eindeutig ein Missmanagement.

Das haben die Entwickler jahrelang getan, das Ergebnis siehst du jetzt.

Die Benutzer wollten die ganze Sch..ße und haben auf Sicherheit gepfiffen...

> Die Benutzer wollten die ganze Sch..ße und haben auf Sicherheit gepfiffen...

ALLE Anwender, die ich kenne (das ist mehr als einer) wollen:
- Stabile Anwendungen
- Sichere Systeme, die auch bei versehentlicher Fehlbedienung wie dem Öffnen von bösenartigen Anhängen geschützt sind
- keinen Fun- und Unterhaltungs-Fummelkram, der sich permanent einmischt und bei der Arbeit nervt

Alles andere sind Marketing-Lügen, die Du hier unreflektiert weitertratschst.

Zingel schrieb:
> ...sondern die Firmen selbst, die so
> vorgehen. Das war auch ein Grund, warum ich meinen
> alten Arbeitgeber verlassen habe.
> Absolute Fehlplanung...
>
> ...Hier herrscht eindeutig ein Missmanagement.
>

Die Erfahrungen musste ich in meinem anfänglichen Traumjob (SysAdmin) auch machen.
Traurig, aber das scheint ja kein Einzelfall zu sein.

Nach vielen Versuchen, Missstände aus der Welt zu schaffen, bleibt mir nur die Suche nach einem neuen Arbeitgeber, denn ich habe keine Lust mich weiterhin mit einer Wand zu unterhalten. :-(

> Ich sag's mal ganz drastisch: Was da heute oft
> abgeliefert wird, ist eines Ingenieurs unwürdig.
> Das kann jeder Hobby-möchtegern-bastler besser.


dann sag mir, warum du linux verwendest? :)
frickler *sind* hobbybastler!