1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücken: Google gibt…

Kampfansage und eine Chance

  1. Thema

Neues Thema Ansicht wechseln


  1. Kampfansage und eine Chance

    Autor: Wurzelgnom 30.05.13 - 09:06

    Wenn das keine Kampfansage seitens Google an MS ist?

    Kommt jetzt nach dem Patenttrolling der Schwachstellenkrieg? Jeder sucht in dem des anderen Systems nach Fehlern. Darin sehe ich aber auch die Chance, dass mehr Sicherheitslücken entdeckt und geschlossen werden können als bei der alten Vorgehensweise - es steht auch der gute Ruf des jeweiligen Betriebssystems auf dem Spiel.

    (Nebenbei, ist das überhaupt legal in MS Code reinzusehen?).

  2. Legalität: Code ansehen

    Autor: Anonymer Nutzer 30.05.13 - 09:13

    Wurzelgnom schrieb:
    --------------------------------------------------------------------------------
    > (Nebenbei, ist das überhaupt legal in MS Code reinzusehen?).

    Also ich glaube nicht, dass die Windows reverse-engineeren, wenn du das meinst ;)
    Eher Blackbox-Testen und dergleichen.

  3. Re: Kampfansage und eine Chance

    Autor: Knarzi 30.05.13 - 09:29

    Es bringt aber auch nichts, dann andere unter Druck zu setzen. Was bringt ein mit heißer Nadel gestrickter Patch, wenn dieser nicht ausreichend getestet wurde und er zig Millionen Rechner lahm legt, so wie letztens erst ein Windowspatch für Probleme sorgte, weil trotz langwierigen Tests nicht alle Eventualitäten berücksichtigt wurden. Sollte Google dem nachkommen, so spielt Google verdammt leichtfertig mit der Sicherheit der Nutzer. Zum einen, weil sie das Ausnutzen ermöglichen, zum anderen aber dafür sorgen, das unsauber getestet wird. Ich finde es frech.

  4. Re: Legalität: Code ansehen

    Autor: Flexor 30.05.13 - 09:32

    Ich persönlich finde es gut, so ist wenigstens endlich mal ein Fortschreiten gesichert.

    Ich meine wenn große Hersteller ein Problem haben Updates nachzuliefern sollten sie sich mal gedanken machen warum.
    Nehmen wir mal Samsung und Android.
    Wir sind bei 4.1.2 und die meisten älteren Handys Gurken noch mit 2.2 - 2.3 rum.

    Wenn die Sicherheitslücken nicht geschlossen werden, suchen sich Kunden die etwas Ahnung haben beim nächsten mal einen anderen Hersteller.
    So sind die Hersteller im Zugzwang die Updates durchzuziehen.

    Bei Microsoft und Oracle ist das ähnlich.
    Besonders im Zeitalter des Online Banking und co, wo viele Gelder über das Internet verschoben werden ist es wirklich wichtig das die Systeme Sicher sind.
    Selbiges gilt natürlich auch für Android Handys und iOS geräte.

    Klar ist das auch ein risiko wie mein vorsprecher sagte aber vllt werden Unternehmen dann endlich mal dazu animiert wieder besser zu Programmieren.
    Das solche Sicherheitslücken gar nicht erst entstehen bzw wesentlich weniger vorhanden sind.



    1 mal bearbeitet, zuletzt am 30.05.13 09:35 durch Flexor.

  5. Re: Kampfansage und eine Chance

    Autor: tomate.salat.inc 30.05.13 - 09:33

    > Nach Ansicht von Evans und Hintz sollten von sieben Tage aber dafür ausreichen, dass Hersteller ihren eigenen Kunden erklären, wie sie sich gegen entsprechende Angriffe schützen können, beispielsweise, indem sie bestimmte Dienste deaktivieren.

    Aber ja, es ist ein doppelseitiges Schwert: soll man die Lücke unentdeckt lassen und dem Hersteller soviel Zeit geben wie man braucht oder doch lieber die Lücke veröffentlichen und hoffen, dass es ein schnelles Workarround gibt gefolgt von einem getesteten Update.
    Letzteres kann imho i.d.T wirklich besser für den Schutz des Anwenders sein.

  6. Re: Legalität: Code ansehen

    Autor: Anonymer Nutzer 30.05.13 - 09:42

    Flexor schrieb:
    --------------------------------------------------------------------------------
    > Klar ist das auch ein risiko wie mein vorsprecher sagte aber vllt werden

    Dein direkter Vorsprecher erwähnte davon nichts ;)

    Tipp: Die Baumansicht ist bei Golem wirklich sehr, sehr empfehlenswert!

  7. Re: Legalität: Code ansehen

    Autor: koflor 30.05.13 - 10:01

    Der Selberdenker schrieb:
    --------------------------------------------------------------------------------
    > Tipp: Die Baumansicht ist bei Golem wirklich sehr, sehr empfehlenswert!

    Leider kann man die Baumstruktur mobil nicht sehen.

  8. Re: Legalität: Code ansehen

    Autor: Anonymer Nutzer 30.05.13 - 10:03

    koflor schrieb:
    --------------------------------------------------------------------------------
    > Der Selberdenker schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Tipp: Die Baumansicht ist bei Golem wirklich sehr, sehr empfehlenswert!
    >
    > Leider kann man die Baumstruktur mobil nicht sehen.

    Ah, danke für die Info.

    Dann einfach beim richtigen Beitrag auf "Antworten" klicken? Oder sieht die Oberfläche ganz anders aus?



    1 mal bearbeitet, zuletzt am 30.05.13 10:04 durch Der Selberdenker.

  9. Re: Kampfansage und eine Chance

    Autor: Tantalus 30.05.13 - 11:02

    Knarzi schrieb:
    --------------------------------------------------------------------------------
    > so
    > spielt Google verdammt leichtfertig mit der Sicherheit der Nutzer. Zum
    > einen, weil sie das Ausnutzen ermöglichen, zum anderen aber dafür sorgen,
    > das unsauber getestet wird. Ich finde es frech.

    Die 7-Tage-Frist gilt ja offenbar nur für Lücken, die bereits aktiv ausgenutzt werden. Wie lange würdest Du da warten wollen?

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  10. Re: Kampfansage und eine Chance

    Autor: Nephtys 30.05.13 - 11:28

    Wurzelgnom schrieb:
    --------------------------------------------------------------------------------
    > Wenn das keine Kampfansage seitens Google an MS ist?
    >
    > Kommt jetzt nach dem Patenttrolling der Schwachstellenkrieg? Jeder sucht in
    > dem des anderen Systems nach Fehlern. Darin sehe ich aber auch die Chance,
    > dass mehr Sicherheitslücken entdeckt und geschlossen werden können als bei
    > der alten Vorgehensweise - es steht auch der gute Ruf des jeweiligen
    > Betriebssystems auf dem Spiel.
    >
    > (Nebenbei, ist das überhaupt legal in MS Code reinzusehen?).


    Was viele nicht verstehen: 7 Tage sind kurz. SEHR kurz.
    7 Tage trifft auch die Linux-Gemeinde hart, denn da gibt es zum Teil auch schon Sicherheitslücken die 2-3 Wochen - aufgrund fehlender Arbeitskräfte - ungefixxt bleiben können.
    Weniger als bei Windows... aber erheblich kritischere.

  11. Re: Kampfansage und eine Chance

    Autor: JohnD 30.05.13 - 11:32

    Nephtys schrieb:
    --------------------------------------------------------------------------------
    > Wurzelgnom schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn das keine Kampfansage seitens Google an MS ist?
    > >
    > > Kommt jetzt nach dem Patenttrolling der Schwachstellenkrieg? Jeder sucht
    > in
    > > dem des anderen Systems nach Fehlern. Darin sehe ich aber auch die
    > Chance,
    > > dass mehr Sicherheitslücken entdeckt und geschlossen werden können als
    > bei
    > > der alten Vorgehensweise - es steht auch der gute Ruf des jeweiligen
    > > Betriebssystems auf dem Spiel.
    > >
    > > (Nebenbei, ist das überhaupt legal in MS Code reinzusehen?).
    >
    > Was viele nicht verstehen: 7 Tage sind kurz. SEHR kurz.
    > 7 Tage trifft auch die Linux-Gemeinde hart, denn da gibt es zum Teil auch
    > schon Sicherheitslücken die 2-3 Wochen - aufgrund fehlender Arbeitskräfte -
    > ungefixxt bleiben können.
    > Weniger als bei Windows... aber erheblich kritischere.

    Wenn die Lücke bereits ausgenutzt wird ist das doch vollkommen egal.
    Da geht es doch nur noch darum, den Anwendern die Möglichkeit zu geben sich zu schützen.

  12. Re: Kampfansage und eine Chance

    Autor: violator 30.05.13 - 11:36

    JohnD schrieb:
    --------------------------------------------------------------------------------
    > Wenn die Lücke bereits ausgenutzt wird ist das doch vollkommen egal.

    Stimmt, ob jetzt 1 Hacker oder 1 Mio Hacker die Lücke ausnutzen ist ja egal.

  13. Re: Kampfansage und eine Chance

    Autor: M. 30.05.13 - 11:41

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Die 7-Tage-Frist gilt ja offenbar nur für Lücken, die bereits aktiv
    > ausgenutzt werden. Wie lange würdest Du da warten wollen?
    Dem Argument kann ich mich nur voll anschliessen. Die Ueberschrift des Artikels ist in der Hinsicht leicht missverstaendlich, es geht nur um Luecken, die bereits aktiv ausgenutzt und daher zumnindest einigen Angreifern bereits bekannt sind: [googleonlinesecurity.blogspot.ch]. Die dort genannte Begruendung
    > Based on our experience, however, we believe that more urgent action -- within 7
    > days -- is appropriate for critical vulnerabilities under active exploitation. The reason
    > for this special designation is that each day an actively exploited vulnerability
    > remains undisclosed to the public and unpatched, more computers will be
    > compromised.
    kann ich sehr gut nachvollziehen. Durch die Veroeffentlichung gleicht man das Wissensdefizit von Administratoren gegenueber den Angreifern aus.

    Entwickler muessen auch verstehen, dass das Beheben von Schwachstellen, gerade dann, wenn sie kritisch sind und bereits aktiv ausgenutzt werden, immer *absolute* Prioritaet hat. Notfalls stoppt man die gesamte weitere Entwicklung fuer ein paar Tage, um den Patch zeitnah fertigstellen zu koennen. Oder man veroeffentlich einen Workaround, der die betroffene Funktion temporaer deaktiviert, bis man eine echte Loesung hat. Selbst ein durch einen Patch teilweise nicht verfuegbares System ist in praktisch allen Faellen einem angreifbaren oder kompromittierten System vorzuzuziehen.

  14. Re: Kampfansage und eine Chance

    Autor: Tantalus 30.05.13 - 11:43

    violator schrieb:
    --------------------------------------------------------------------------------
    > Stimmt, ob jetzt 1 Hacker oder 1 Mio Hacker die Lücke ausnutzen ist ja
    > egal.

    Wenn eine Lücke schon aktiv ausgenutzt wird, dann *hat* sie sich in Hackerkreisen schon herumgesprochen, dann macht die Veröffentlichung in der Hinsicht den Kohl auch nicht mehr fett. Und eine Woche sollte genügend Zeit sein, um zumindest einen Workaround anbieten zu können. Oder wie lange würdest Du warten wollen?

    Gruß
    Tantalus

    Edit: Typo

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.



    1 mal bearbeitet, zuletzt am 30.05.13 11:45 durch Tantalus.

  15. Re: Kampfansage und eine Chance

    Autor: Nephtys 30.05.13 - 18:53

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > violator schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Stimmt, ob jetzt 1 Hacker oder 1 Mio Hacker die Lücke ausnutzen ist ja
    > > egal.
    >
    > Wenn eine Lücke schon aktiv ausgenutzt wird, dann *hat* sie sich in
    > Hackerkreisen schon herumgesprochen

    Ja, aber bei den Script-Kiddies ohne wirkliches Wissen oder Kontakte nicht.
    Und die sind erheblich größer in der Anzahl.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Bonn
  2. MOTUL Deutschland GmbH, Köln
  3. procilon IT-Solutions GmbH, Berlin
  4. BSH Hausgeräte GmbH, Traunreut

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Persona 4 Golden: Deluxe Edition für 14,99€, Alien: Isolation - The Collection für 9...
  2. (u. a. Train Sim World 2020 für 9,99€, Train Simulator 2021 für 12,75€, Fishing Sim World...
  3. 7,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Googles Alphabet: Bei Project Loon ist die Luft raus
Googles Alphabet
Bei Project Loon ist die Luft raus

Mit Project Loon wollte Google hoch hinaus und die ganze Welt mit Internet versorgen. Was fehlte: das Geschäftsmodell - und am Ende auch der Bedarf.
Eine Analyse von Werner Pluta

  1. Google Balloninternet Loon wird eingestellt
  2. Balloninternet Project Loon kooperiert mit AT&T

Samsung QLED 8K Q800T im Test: 8K im Fernseher reicht nicht aus
Samsung QLED 8K Q800T im Test
8K im Fernseher reicht nicht aus

Samsungs Q800T-Fernseher stellt viele Pixel auf einem großen Bildschirm dar. Der relativ preisgünstige Einstieg in 8K hat aber Schwächen.
Ein Test von Oliver Nickel

  1. Samsung-Smartwatches EKG und Blutdruckmessung kommt nach Deutschland
  2. Anzeige Angebote der Woche - Galaxy S21, Speichermedien und mehr
  3. Korea Samsung-Chef erneut wegen Korruption verurteilt

Clubhouse: Plaudern in der Wohlfühl-Langeweile
Clubhouse
Plaudern in der Wohlfühl-Langeweile

Gute Inhalte muss man bei Clubhouse momentan noch suchen. Fraglich ist, ob das Konzept - sinnvoll angewendet - wirklich so neu ist und ob es dafür eine neue App braucht.
Ein IMHO von Tobias Költzsch

  1. CES 2021 So geht eine Messe in Pandemie-Zeiten
  2. USA Die falsche Toleranz im Silicon Valley muss endlich aufhören
  3. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona