Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Linux in Unternehmen: "Die Zeit der…

Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: Anonymer Nutzer 24.05.12 - 11:58

    ... kann man in einem professionellen Umfeld doch nicht ernsthaft einsetzen!?

    Außerdem wird das doch nun alle paar Monate umbenannt ;-)

  2. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: Ampel 24.05.12 - 12:11

    Bernie78 schrieb:
    --------------------------------------------------------------------------------
    > ... kann man in einem professionellen Umfeld doch nicht ernsthaft
    > einsetzen!?
    >
    > Außerdem wird das doch nun alle paar Monate umbenannt ;-)

    Leider schon das sieht man an der Menge der Leute die Ahnungslos darüber sind und es trozdem verwenden. Damit meine ich nicht Linux sondern Windows !.

  3. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: ANKBS 24.05.12 - 13:15

    und genau aus diesem Grund soll ich eine Software einsetzen, die laufend in Sicherheitskritischen Objekten Probleme hat?
    SSL, SSH, FAT
    In diesen drei Bereichen sind doch montalich neue Sicherheitslöcher veröffentlicht.

    Es gibt keine sichere Software, aber Prozesse, die mich schützen.

    Und genau das funktioert mit Windows in einem Unternehmen. Denn mein Rechner wird vor der bösen Außenwelt geschützt. Daher merkt ein Benutzer auch nicht, das in einem Produkt ein Sicherheitsloch ist. Wenn ich aber für das Schützen meiner internen Infrastruktur die unsicheren SSL und SSH Implementationen verwenden soll, verstehe ich diese Behauptung nicht.

    Gruss
    michael

  4. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: delaytime0 24.05.12 - 13:35

    Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes Beispiel für) CSS ist doch genau bei den Fehlern zu finden:

    CSS:
    - Fehler werden durch Unternehmen gesucht und an die entsprechenden Unternehmen verkauft
    - Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder belassen.
    - Der User kennt den Fehler nicht.

    OSS:
    - Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und veröffentlicht / reportet.
    - Stunden bis Tage später ist der Fix dafür da.
    - Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst Gegenmaßnahmen zu unternehmen.

    Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil des Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt man anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für die Fehler interessiert. Und genau da habe ich für mich festgestellt sind kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und schneller als die großen Fische. Leider gibt es auch _große_ OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe und auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben sind. Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen. :/

    Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

  5. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: ANKBS 24.05.12 - 14:48

    Hallo,

    "Stunden bis Tage später ist der Fix dafür da."
    Nicht unbedingt. Es gab mal als Beispiel vor einiger Zeit einen Trojaner im Original Quellcode der SSL Server, ich glaube das war sogar irgendwie ein mastercode, wo alle Distributionen zugegriffen haben.Dieser Trojaner war unbemerkt über ein halbes Jahr fleissig verteilt worden...

    "- Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst Gegenmaßnahmen zu unternehmen."
    Wirklich "alle" Nutzer? Wieviele Nutzer können denn tatsächlich, wenn sie sich das erste mal einen PC kaufen und nachdem sie auf die "Gemeinde" gehört haben, denn tatsächlich ihren Linux Installation ersteinmal auf Sicherheitsupdates untersuchen und diese dann anschließend installieren... Ach nee, geht ja nicht. Man muss ja kompilieren.. Und wenn das schief geht, weil man irgendwie nicht jede Fehlermeldung gespeichert hat, läuft gar nix mehr.
    Ein neuer Benutzer unter Linux weiß bestimmt wie das geht, denn er kann ja bei einem nicht laufenden PC mal so eben ins Internet um Hilfe bitten...
    Sorry für das bischen Ironie, aber ich hoffe, ich wurde verstanden ;-)

    So einfach ist das eben nicht. man hat mir schon vor Jahren versucht zu erzählen, die Community ist ja da und bei so vielen usern ist ein Fehler schnell behoben.
    Die Praxis hat gezeigt, nein, dem ist nicht so. Es gibt halt nicht mehr die Scharren an Menschen die nur auf Linux Probleme warten um diese sofort zu lösen, diese Menschen müssen hart arbeiten, um sich um das Hobby kümmern zu können.
    Heute sind inzwischen so viele verschiedene Versionen auf dem Markt (weil halt jeder irgendwie eine bauen kann) und keine ist perfekt. Und von Kompatibilität von Code untereinander (also z.B, eine simple Sendmail Implementation mit IMAP und Webmail) ist auf fast jeder Disti anders... das merkt man aber manchmal erst, wenn die Fehlermeldungen auftauchen und bestimmte Abhängigkeiten hier und dort nicht stimmen und dann noch dieses oder jenes kompimiliert werden muss.

    Sorry, aber für den einfachen Menschen ohne Erfahrung ist das alles noch nichts. Dazu müssen einige erst sich darauf einigen, nicht alle Nase lang die Oberfläche zu wechseln oder sonstwas.

    Gruss
    michael

  6. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: delaytime0 24.05.12 - 14:57

    ANKBS schrieb:
    --------------------------------------------------------------------------------
    > Hallo,
    >
    > "Stunden bis Tage später ist der Fix dafür da."
    > Nicht unbedingt. Es gab mal als Beispiel vor einiger Zeit einen Trojaner im
    > Original Quellcode der SSL Server, ich glaube das war sogar irgendwie ein
    > mastercode, wo alle Distributionen zugegriffen haben.Dieser Trojaner war
    > unbemerkt über ein halbes Jahr fleissig verteilt worden...
    >

    Das hatte ich bereits eingeräumt. Der deutlich größere Teil fixt schnell. Schwarze Schafe gibt es aber immer. Und selbstverständlich treffen meine Aussagen nicht auf wirklich "alle" zu.

    > "- Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst
    > Gegenmaßnahmen zu unternehmen."
    > Wirklich "alle" Nutzer? Wieviele Nutzer können denn tatsächlich, wenn sie
    > sich das erste mal einen PC kaufen und nachdem sie auf die "Gemeinde"
    > gehört haben, denn tatsächlich ihren Linux Installation ersteinmal auf
    > Sicherheitsupdates untersuchen und diese dann anschließend installieren...
    > Ach nee, geht ja nicht. Man muss ja kompilieren.. Und wenn das schief geht,
    > weil man irgendwie nicht jede Fehlermeldung gespeichert hat, läuft gar nix
    > mehr.
    > Ein neuer Benutzer unter Linux weiß bestimmt wie das geht, denn er kann ja
    > bei einem nicht laufenden PC mal so eben ins Internet um Hilfe bitten...
    > Sorry für das bischen Ironie, aber ich hoffe, ich wurde verstanden ;-)
    >
    Können - also rein technisch die Möglichkeit haben - Jeder.
    Können - also in der Lage sein - wenige "User"... Da hast du Recht.

    > So einfach ist das eben nicht. man hat mir schon vor Jahren versucht zu
    > erzählen, die Community ist ja da und bei so vielen usern ist ein Fehler
    > schnell behoben.
    > Die Praxis hat gezeigt, nein, dem ist nicht so. Es gibt halt nicht mehr die
    > Scharren an Menschen die nur auf Linux Probleme warten um diese sofort zu
    > lösen, diese Menschen müssen hart arbeiten, um sich um das Hobby kümmern zu
    > können.
    > Heute sind inzwischen so viele verschiedene Versionen auf dem Markt (weil
    > halt jeder irgendwie eine bauen kann) und keine ist perfekt. Und von
    > Kompatibilität von Code untereinander (also z.B, eine simple Sendmail
    > Implementation mit IMAP und Webmail) ist auf fast jeder Disti anders... das
    > merkt man aber manchmal erst, wenn die Fehlermeldungen auftauchen und
    > bestimmte Abhängigkeiten hier und dort nicht stimmen und dann noch dieses
    > oder jenes kompimiliert werden muss.
    >
    > Sorry, aber für den einfachen Menschen ohne Erfahrung ist das alles noch
    > nichts. Dazu müssen einige erst sich darauf einigen, nicht alle Nase lang
    > die Oberfläche zu wechseln oder sonstwas.
    >
    Dem kann ich nur zustimmen. Insbesondere die mittlerweile sehr starke Fragmentierung (vor allem die ohne Rückfluss) ist nicht wirklich ein Heilsbringer.

    Danke für die Ergänzungen :)

    > Gruss
    > michael

    Auch von mir noch Grüße.

    Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

  7. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: bstea 24.05.12 - 15:39

    delaytime0 schrieb:
    --------------------------------------------------------------------------------
    > Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes
    > Beispiel für) CSS ist doch genau bei den Fehlern zu finden:
    >
    > CSS:
    > - Fehler werden durch Unternehmen gesucht und an die entsprechenden
    > Unternehmen verkauft
    > - Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder
    > belassen.
    > - Der User kennt den Fehler nicht.
    Doch die kennt man, meldet die aber weniger und versucht die zu umschiffen. Ist ja nicht so, dass man belohnt wird, wenn man Fehler findet.
    >
    > OSS:
    > - Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und
    > veröffentlicht / reportet.
    Bei größeren Projekten stehen häufig Firmen dahinter.
    > - Stunden bis Tage später ist der Fix dafür da.
    Schau dir mal die Bug Tracker an, keine Spur von Stunden später.
    > - Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst
    > Gegenmaßnahmen zu unternehmen.
    Wenn du kompetente Leute findest, die erstens programmieren können und zweitens bei diesen großen Projekten noch durchsteigen und drittens zu viel Zeit haben.
    > Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil des
    > Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt man
    > anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für
    > die Fehler interessiert.
    Eher so, dass man hofft das es reproduzierbar ist und nicht ein OS-/Konfigurationsproblem.
    > Und genau da habe ich für mich festgestellt sind
    > kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und
    > schneller als die großen Fische.
    Es gibt leider alles. Generell hab' das Gefühl, da wo kommerz. Interessen dahinterstecken, werden die Bugs auch versucht nachzuvollziehen. Pampige Antworten nur weil man die falsche Distro benutzt hat, gibts auch hier und da.
    > Leider gibt es auch _große_
    > OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe und
    > auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben sind.
    > Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen. :/

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  8. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: delaytime0 24.05.12 - 16:58

    bstea schrieb:
    --------------------------------------------------------------------------------
    > delaytime0 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes
    > > Beispiel für) CSS ist doch genau bei den Fehlern zu finden:
    > >
    > > CSS:
    > > - Fehler werden durch Unternehmen gesucht und an die entsprechenden
    > > Unternehmen verkauft
    > > - Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder
    > > belassen.
    > > - Der User kennt den Fehler nicht.
    > Doch die kennt man, meldet die aber weniger und versucht die zu umschiffen.
    > Ist ja nicht so, dass man belohnt wird, wenn man Fehler findet.
    > >
    Genau da liegt der Fehler in Ihren Ansichten. Es gibt eigens Unternehmen, die nichts anderes machen als Fehler finden. Reports werden natürlich auch durch User erteilt (oder umschifft) von diesen Spreche ich aber nicht. Ein Fehler in MS wird erst dann bekannt, wenn entweder MS ihn behebt oder irgendwer geschafft hat ihn auszunutzen und das publik wird.
    Bei OSS sieht das ein wenig anders aus.

    > > OSS:
    > > - Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und
    > > veröffentlicht / reportet.
    > Bei größeren Projekten stehen häufig Firmen dahinter.

    FEHLER und nicht Software... Ja, bei OSS stehen hinter vielen Projekten große Unternehmen, die Fehler werden aber sehr viel häufiger durch Personen wie Sie und mich reportet. Und davon redete ich.

    > > - Stunden bis Tage später ist der Fix dafür da.
    > Schau dir mal die Bug Tracker an, keine Spur von Stunden später.

    Ich bin in einigen Mail-Listen von Debian, Gnome und Co. und sehe sehr häufig wie schnell auf Fehler geantwortet wird und, dass es bei kleineren Problemen oder Sicherheitskritischen Fehlern sehr schnell gehen kann, bis ein Update da ist. Gerade Debian oder CentOS werden hier an vielen Stellen gelobt.

    > > - Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf.
    > selbst
    > > Gegenmaßnahmen zu unternehmen.
    > Wenn du kompetente Leute findest, die erstens programmieren können und
    > zweitens bei diesen großen Projekten noch durchsteigen und drittens zu viel
    > Zeit haben.

    Um einen Fehler zu sehen benötige ich keine Programmierkenntnisse. Das Beheben ist eine andere Sache. Und ich spreche von Möglichkeit, nicht von Kompetenz. Wissen ist ja etwas, was sich jeder aneignen kann, wenn er es für nötig befindet.
    Im Übrigen:
    Es gibt nicht nur große Projekte... viele sind sogar aufgeteilt in viele kleine Teams mit jeweiligen Bereichen. Um Python-Fehler unter Debian zu warten benötige ich keinerlei Kenntnisse vion Debian oder Gnome, sondern eben von Python, dito für KDE. Um einen offensichtlichen QT-Fehler zu Warten muss ich nichtmal wissen, was KDE ist.

    > > Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil
    > des
    > > Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt
    > man
    > > anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für
    > > die Fehler interessiert.
    > Eher so, dass man hofft das es reproduzierbar ist und nicht ein
    > OS-/Konfigurationsproblem.

    Selbige werden zum Glück bei OSS und CSS ähnlich schnell behandelt oder sind dokumentiert.

    > > Und genau da habe ich für mich festgestellt sind
    > > kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und
    > > schneller als die großen Fische.
    > Es gibt leider alles. Generell hab' das Gefühl, da wo kommerz. Interessen
    > dahinterstecken, werden die Bugs auch versucht nachzuvollziehen. Pampige
    > Antworten nur weil man die falsche Distro benutzt hat, gibts auch hier und
    > da.

    Volle Zustimmung.

    > > Leider gibt es auch _große_
    > > OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe
    > und
    > > auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben
    > sind.
    > > Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen.
    > :/

    Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Universitätsklinikum Münster, Münster
  2. Techniker Krankenkasse, Hamburg
  3. Rolf Weber KG, Schauenstein
  4. Awinta GmbH, Bietigheim-Bissingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 12,99€
  2. 22,49€
  3. 3,40€
  4. 0,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

  1. Quartalsbericht: Netflix erneut mit rückläufigem Kundenwachstum
    Quartalsbericht
    Netflix erneut mit rückläufigem Kundenwachstum

    Netflix kann ein weiteres Mal die selbstgesteckten Ziele bei der Gewinnung neuer Abonnenten nicht ganz erreichen. Doch Gewinn und Umsatz legen stark zu.

  2. Ex-Mars Cube: LED-Zauberwürfel bringt Anfängern das Puzzle bei
    Ex-Mars Cube
    LED-Zauberwürfel bringt Anfängern das Puzzle bei

    Der Ex-Mars Cube hat wie ein herkömmlicher Zauberwürfel sechs Seiten mit je neun Farbkacheln - das System kann allerdings auch als Brettspielwürfel oder Dekolicht genutzt werden und Anfängern die Logik dahinter erklären.

  3. FWA: Huawei verspricht schnellen Glasfaserausbau ohne Spleißen
    FWA
    Huawei verspricht schnellen Glasfaserausbau ohne Spleißen

    Huawei hat Komponenten für den Glasfaserausbau entwickelt, die das Spleißen überflüssig machen sollen. Statt in 360 Minuten könne mit End-to-End-Plug-and-Play der Prozess in nur 36 Minuten erfolgen.


  1. 22:46

  2. 17:41

  3. 16:29

  4. 16:09

  5. 15:42

  6. 15:17

  7. 14:58

  8. 14:43