Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

... kann man in einem professionellen Umfeld doch nicht ernsthaft einsetzen!?

Außerdem wird das doch nun alle paar Monate umbenannt ;-)

Benutzer wird von Ihnen ignoriert. Anzeigen

Bernie78 schrieb:
--------------------------------------------------------------------------------
> ... kann man in einem professionellen Umfeld doch nicht ernsthaft
> einsetzen!?
>
> Außerdem wird das doch nun alle paar Monate umbenannt ;-)

Leider schon das sieht man an der Menge der Leute die Ahnungslos darüber sind und es trozdem verwenden. Damit meine ich nicht Linux sondern Windows !.

Benutzer wird von Ihnen ignoriert. Anzeigen

und genau aus diesem Grund soll ich eine Software einsetzen, die laufend in Sicherheitskritischen Objekten Probleme hat?
SSL, SSH, FAT
In diesen drei Bereichen sind doch montalich neue Sicherheitslöcher veröffentlicht.

Es gibt keine sichere Software, aber Prozesse, die mich schützen.

Und genau das funktioert mit Windows in einem Unternehmen. Denn mein Rechner wird vor der bösen Außenwelt geschützt. Daher merkt ein Benutzer auch nicht, das in einem Produkt ein Sicherheitsloch ist. Wenn ich aber für das Schützen meiner internen Infrastruktur die unsicheren SSL und SSH Implementationen verwenden soll, verstehe ich diese Behauptung nicht.

Gruss
michael

Benutzer wird von Ihnen ignoriert. Anzeigen

Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes Beispiel für) CSS ist doch genau bei den Fehlern zu finden:

CSS:
- Fehler werden durch Unternehmen gesucht und an die entsprechenden Unternehmen verkauft
- Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder belassen.
- Der User kennt den Fehler nicht.

OSS:
- Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und veröffentlicht / reportet.
- Stunden bis Tage später ist der Fix dafür da.
- Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst Gegenmaßnahmen zu unternehmen.

Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil des Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt man anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für die Fehler interessiert. Und genau da habe ich für mich festgestellt sind kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und schneller als die großen Fische. Leider gibt es auch _große_ OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe und auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben sind. Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen. :/

Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Hallo,

"Stunden bis Tage später ist der Fix dafür da."
Nicht unbedingt. Es gab mal als Beispiel vor einiger Zeit einen Trojaner im Original Quellcode der SSL Server, ich glaube das war sogar irgendwie ein mastercode, wo alle Distributionen zugegriffen haben.Dieser Trojaner war unbemerkt über ein halbes Jahr fleissig verteilt worden...

"- Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst Gegenmaßnahmen zu unternehmen."
Wirklich "alle" Nutzer? Wieviele Nutzer können denn tatsächlich, wenn sie sich das erste mal einen PC kaufen und nachdem sie auf die "Gemeinde" gehört haben, denn tatsächlich ihren Linux Installation ersteinmal auf Sicherheitsupdates untersuchen und diese dann anschließend installieren... Ach nee, geht ja nicht. Man muss ja kompilieren.. Und wenn das schief geht, weil man irgendwie nicht jede Fehlermeldung gespeichert hat, läuft gar nix mehr.
Ein neuer Benutzer unter Linux weiß bestimmt wie das geht, denn er kann ja bei einem nicht laufenden PC mal so eben ins Internet um Hilfe bitten...
Sorry für das bischen Ironie, aber ich hoffe, ich wurde verstanden ;-)

So einfach ist das eben nicht. man hat mir schon vor Jahren versucht zu erzählen, die Community ist ja da und bei so vielen usern ist ein Fehler schnell behoben.
Die Praxis hat gezeigt, nein, dem ist nicht so. Es gibt halt nicht mehr die Scharren an Menschen die nur auf Linux Probleme warten um diese sofort zu lösen, diese Menschen müssen hart arbeiten, um sich um das Hobby kümmern zu können.
Heute sind inzwischen so viele verschiedene Versionen auf dem Markt (weil halt jeder irgendwie eine bauen kann) und keine ist perfekt. Und von Kompatibilität von Code untereinander (also z.B, eine simple Sendmail Implementation mit IMAP und Webmail) ist auf fast jeder Disti anders... das merkt man aber manchmal erst, wenn die Fehlermeldungen auftauchen und bestimmte Abhängigkeiten hier und dort nicht stimmen und dann noch dieses oder jenes kompimiliert werden muss.

Sorry, aber für den einfachen Menschen ohne Erfahrung ist das alles noch nichts. Dazu müssen einige erst sich darauf einigen, nicht alle Nase lang die Oberfläche zu wechseln oder sonstwas.

Gruss
michael

Benutzer wird von Ihnen ignoriert. Anzeigen

ANKBS schrieb:
--------------------------------------------------------------------------------
> Hallo,
>
> "Stunden bis Tage später ist der Fix dafür da."
> Nicht unbedingt. Es gab mal als Beispiel vor einiger Zeit einen Trojaner im
> Original Quellcode der SSL Server, ich glaube das war sogar irgendwie ein
> mastercode, wo alle Distributionen zugegriffen haben.Dieser Trojaner war
> unbemerkt über ein halbes Jahr fleissig verteilt worden...
>

Das hatte ich bereits eingeräumt. Der deutlich größere Teil fixt schnell. Schwarze Schafe gibt es aber immer. Und selbstverständlich treffen meine Aussagen nicht auf wirklich "alle" zu.

> "- Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst
> Gegenmaßnahmen zu unternehmen."
> Wirklich "alle" Nutzer? Wieviele Nutzer können denn tatsächlich, wenn sie
> sich das erste mal einen PC kaufen und nachdem sie auf die "Gemeinde"
> gehört haben, denn tatsächlich ihren Linux Installation ersteinmal auf
> Sicherheitsupdates untersuchen und diese dann anschließend installieren...
> Ach nee, geht ja nicht. Man muss ja kompilieren.. Und wenn das schief geht,
> weil man irgendwie nicht jede Fehlermeldung gespeichert hat, läuft gar nix
> mehr.
> Ein neuer Benutzer unter Linux weiß bestimmt wie das geht, denn er kann ja
> bei einem nicht laufenden PC mal so eben ins Internet um Hilfe bitten...
> Sorry für das bischen Ironie, aber ich hoffe, ich wurde verstanden ;-)
>
Können - also rein technisch die Möglichkeit haben - Jeder.
Können - also in der Lage sein - wenige "User"... Da hast du Recht.

> So einfach ist das eben nicht. man hat mir schon vor Jahren versucht zu
> erzählen, die Community ist ja da und bei so vielen usern ist ein Fehler
> schnell behoben.
> Die Praxis hat gezeigt, nein, dem ist nicht so. Es gibt halt nicht mehr die
> Scharren an Menschen die nur auf Linux Probleme warten um diese sofort zu
> lösen, diese Menschen müssen hart arbeiten, um sich um das Hobby kümmern zu
> können.
> Heute sind inzwischen so viele verschiedene Versionen auf dem Markt (weil
> halt jeder irgendwie eine bauen kann) und keine ist perfekt. Und von
> Kompatibilität von Code untereinander (also z.B, eine simple Sendmail
> Implementation mit IMAP und Webmail) ist auf fast jeder Disti anders... das
> merkt man aber manchmal erst, wenn die Fehlermeldungen auftauchen und
> bestimmte Abhängigkeiten hier und dort nicht stimmen und dann noch dieses
> oder jenes kompimiliert werden muss.
>
> Sorry, aber für den einfachen Menschen ohne Erfahrung ist das alles noch
> nichts. Dazu müssen einige erst sich darauf einigen, nicht alle Nase lang
> die Oberfläche zu wechseln oder sonstwas.
>
Dem kann ich nur zustimmen. Insbesondere die mittlerweile sehr starke Fragmentierung (vor allem die ohne Rückfluss) ist nicht wirklich ein Heilsbringer.

Danke für die Ergänzungen :)

> Gruss
> michael

Auch von mir noch Grüße.

Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

Benutzer wird von Ihnen ignoriert. Anzeigen

delaytime0 schrieb:
--------------------------------------------------------------------------------
> Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes
> Beispiel für) CSS ist doch genau bei den Fehlern zu finden:
>
> CSS:
> - Fehler werden durch Unternehmen gesucht und an die entsprechenden
> Unternehmen verkauft
> - Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder
> belassen.
> - Der User kennt den Fehler nicht.
Doch die kennt man, meldet die aber weniger und versucht die zu umschiffen. Ist ja nicht so, dass man belohnt wird, wenn man Fehler findet.
>
> OSS:
> - Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und
> veröffentlicht / reportet.
Bei größeren Projekten stehen häufig Firmen dahinter.
> - Stunden bis Tage später ist der Fix dafür da.
Schau dir mal die Bug Tracker an, keine Spur von Stunden später.
> - Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst
> Gegenmaßnahmen zu unternehmen.
Wenn du kompetente Leute findest, die erstens programmieren können und zweitens bei diesen großen Projekten noch durchsteigen und drittens zu viel Zeit haben.
> Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil des
> Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt man
> anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für
> die Fehler interessiert.
Eher so, dass man hofft das es reproduzierbar ist und nicht ein OS-/Konfigurationsproblem.
> Und genau da habe ich für mich festgestellt sind
> kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und
> schneller als die großen Fische.
Es gibt leider alles. Generell hab' das Gefühl, da wo kommerz. Interessen dahinterstecken, werden die Bugs auch versucht nachzuvollziehen. Pampige Antworten nur weil man die falsche Distro benutzt hat, gibts auch hier und da.
> Leider gibt es auch _große_
> OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe und
> auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben sind.
> Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen. :/

--
http://www.heise.de/open/meldung/Linux-auf-dem-Desktop-Europa-fuehrt-1243708.html
http://www.heise.de/newsticker/meldung/Immer-mehr-Linux-auf-dem-Desktop-1404775.html

Benutzer wird von Ihnen ignoriert. Anzeigen

bstea schrieb:
--------------------------------------------------------------------------------
> delaytime0 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes
> > Beispiel für) CSS ist doch genau bei den Fehlern zu finden:
> >
> > CSS:
> > - Fehler werden durch Unternehmen gesucht und an die entsprechenden
> > Unternehmen verkauft
> > - Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder
> > belassen.
> > - Der User kennt den Fehler nicht.
> Doch die kennt man, meldet die aber weniger und versucht die zu umschiffen.
> Ist ja nicht so, dass man belohnt wird, wenn man Fehler findet.
> >
Genau da liegt der Fehler in Ihren Ansichten. Es gibt eigens Unternehmen, die nichts anderes machen als Fehler finden. Reports werden natürlich auch durch User erteilt (oder umschifft) von diesen Spreche ich aber nicht. Ein Fehler in MS wird erst dann bekannt, wenn entweder MS ihn behebt oder irgendwer geschafft hat ihn auszunutzen und das publik wird.
Bei OSS sieht das ein wenig anders aus.

> > OSS:
> > - Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und
> > veröffentlicht / reportet.
> Bei größeren Projekten stehen häufig Firmen dahinter.

FEHLER und nicht Software... Ja, bei OSS stehen hinter vielen Projekten große Unternehmen, die Fehler werden aber sehr viel häufiger durch Personen wie Sie und mich reportet. Und davon redete ich.

> > - Stunden bis Tage später ist der Fix dafür da.
> Schau dir mal die Bug Tracker an, keine Spur von Stunden später.

Ich bin in einigen Mail-Listen von Debian, Gnome und Co. und sehe sehr häufig wie schnell auf Fehler geantwortet wird und, dass es bei kleineren Problemen oder Sicherheitskritischen Fehlern sehr schnell gehen kann, bis ein Update da ist. Gerade Debian oder CentOS werden hier an vielen Stellen gelobt.

> > - Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf.
> selbst
> > Gegenmaßnahmen zu unternehmen.
> Wenn du kompetente Leute findest, die erstens programmieren können und
> zweitens bei diesen großen Projekten noch durchsteigen und drittens zu viel
> Zeit haben.

Um einen Fehler zu sehen benötige ich keine Programmierkenntnisse. Das Beheben ist eine andere Sache. Und ich spreche von Möglichkeit, nicht von Kompetenz. Wissen ist ja etwas, was sich jeder aneignen kann, wenn er es für nötig befindet.
Im Übrigen:
Es gibt nicht nur große Projekte... viele sind sogar aufgeteilt in viele kleine Teams mit jeweiligen Bereichen. Um Python-Fehler unter Debian zu warten benötige ich keinerlei Kenntnisse vion Debian oder Gnome, sondern eben von Python, dito für KDE. Um einen offensichtlichen QT-Fehler zu Warten muss ich nichtmal wissen, was KDE ist.

> > Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil
> des
> > Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt
> man
> > anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für
> > die Fehler interessiert.
> Eher so, dass man hofft das es reproduzierbar ist und nicht ein
> OS-/Konfigurationsproblem.

Selbige werden zum Glück bei OSS und CSS ähnlich schnell behandelt oder sind dokumentiert.

> > Und genau da habe ich für mich festgestellt sind
> > kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und
> > schneller als die großen Fische.
> Es gibt leider alles. Generell hab' das Gefühl, da wo kommerz. Interessen
> dahinterstecken, werden die Bugs auch versucht nachzuvollziehen. Pampige
> Antworten nur weil man die falsche Distro benutzt hat, gibts auch hier und
> da.

Volle Zustimmung.

> > Leider gibt es auch _große_
> > OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe
> und
> > auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben
> sind.
> > Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen.
> :/

Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

Benutzer wird von Ihnen ignoriert. Anzeigen