Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Linux in Unternehmen: "Die Zeit der…

Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

  1. Thema

Neues Thema Ansicht wechseln


  1. Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: Anonymer Nutzer 24.05.12 - 11:58

    ... kann man in einem professionellen Umfeld doch nicht ernsthaft einsetzen!?

    Außerdem wird das doch nun alle paar Monate umbenannt ;-)

  2. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: Ampel 24.05.12 - 12:11

    Bernie78 schrieb:
    --------------------------------------------------------------------------------
    > ... kann man in einem professionellen Umfeld doch nicht ernsthaft
    > einsetzen!?
    >
    > Außerdem wird das doch nun alle paar Monate umbenannt ;-)

    Leider schon das sieht man an der Menge der Leute die Ahnungslos darüber sind und es trozdem verwenden. Damit meine ich nicht Linux sondern Windows !.

  3. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: ANKBS 24.05.12 - 13:15

    und genau aus diesem Grund soll ich eine Software einsetzen, die laufend in Sicherheitskritischen Objekten Probleme hat?
    SSL, SSH, FAT
    In diesen drei Bereichen sind doch montalich neue Sicherheitslöcher veröffentlicht.

    Es gibt keine sichere Software, aber Prozesse, die mich schützen.

    Und genau das funktioert mit Windows in einem Unternehmen. Denn mein Rechner wird vor der bösen Außenwelt geschützt. Daher merkt ein Benutzer auch nicht, das in einem Produkt ein Sicherheitsloch ist. Wenn ich aber für das Schützen meiner internen Infrastruktur die unsicheren SSL und SSH Implementationen verwenden soll, verstehe ich diese Behauptung nicht.

    Gruss
    michael

  4. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: delaytime0 24.05.12 - 13:35

    Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes Beispiel für) CSS ist doch genau bei den Fehlern zu finden:

    CSS:
    - Fehler werden durch Unternehmen gesucht und an die entsprechenden Unternehmen verkauft
    - Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder belassen.
    - Der User kennt den Fehler nicht.

    OSS:
    - Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und veröffentlicht / reportet.
    - Stunden bis Tage später ist der Fix dafür da.
    - Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst Gegenmaßnahmen zu unternehmen.

    Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil des Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt man anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für die Fehler interessiert. Und genau da habe ich für mich festgestellt sind kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und schneller als die großen Fische. Leider gibt es auch _große_ OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe und auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben sind. Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen. :/

    Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

  5. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: ANKBS 24.05.12 - 14:48

    Hallo,

    "Stunden bis Tage später ist der Fix dafür da."
    Nicht unbedingt. Es gab mal als Beispiel vor einiger Zeit einen Trojaner im Original Quellcode der SSL Server, ich glaube das war sogar irgendwie ein mastercode, wo alle Distributionen zugegriffen haben.Dieser Trojaner war unbemerkt über ein halbes Jahr fleissig verteilt worden...

    "- Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst Gegenmaßnahmen zu unternehmen."
    Wirklich "alle" Nutzer? Wieviele Nutzer können denn tatsächlich, wenn sie sich das erste mal einen PC kaufen und nachdem sie auf die "Gemeinde" gehört haben, denn tatsächlich ihren Linux Installation ersteinmal auf Sicherheitsupdates untersuchen und diese dann anschließend installieren... Ach nee, geht ja nicht. Man muss ja kompilieren.. Und wenn das schief geht, weil man irgendwie nicht jede Fehlermeldung gespeichert hat, läuft gar nix mehr.
    Ein neuer Benutzer unter Linux weiß bestimmt wie das geht, denn er kann ja bei einem nicht laufenden PC mal so eben ins Internet um Hilfe bitten...
    Sorry für das bischen Ironie, aber ich hoffe, ich wurde verstanden ;-)

    So einfach ist das eben nicht. man hat mir schon vor Jahren versucht zu erzählen, die Community ist ja da und bei so vielen usern ist ein Fehler schnell behoben.
    Die Praxis hat gezeigt, nein, dem ist nicht so. Es gibt halt nicht mehr die Scharren an Menschen die nur auf Linux Probleme warten um diese sofort zu lösen, diese Menschen müssen hart arbeiten, um sich um das Hobby kümmern zu können.
    Heute sind inzwischen so viele verschiedene Versionen auf dem Markt (weil halt jeder irgendwie eine bauen kann) und keine ist perfekt. Und von Kompatibilität von Code untereinander (also z.B, eine simple Sendmail Implementation mit IMAP und Webmail) ist auf fast jeder Disti anders... das merkt man aber manchmal erst, wenn die Fehlermeldungen auftauchen und bestimmte Abhängigkeiten hier und dort nicht stimmen und dann noch dieses oder jenes kompimiliert werden muss.

    Sorry, aber für den einfachen Menschen ohne Erfahrung ist das alles noch nichts. Dazu müssen einige erst sich darauf einigen, nicht alle Nase lang die Oberfläche zu wechseln oder sonstwas.

    Gruss
    michael

  6. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: delaytime0 24.05.12 - 14:57

    ANKBS schrieb:
    --------------------------------------------------------------------------------
    > Hallo,
    >
    > "Stunden bis Tage später ist der Fix dafür da."
    > Nicht unbedingt. Es gab mal als Beispiel vor einiger Zeit einen Trojaner im
    > Original Quellcode der SSL Server, ich glaube das war sogar irgendwie ein
    > mastercode, wo alle Distributionen zugegriffen haben.Dieser Trojaner war
    > unbemerkt über ein halbes Jahr fleissig verteilt worden...
    >

    Das hatte ich bereits eingeräumt. Der deutlich größere Teil fixt schnell. Schwarze Schafe gibt es aber immer. Und selbstverständlich treffen meine Aussagen nicht auf wirklich "alle" zu.

    > "- Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst
    > Gegenmaßnahmen zu unternehmen."
    > Wirklich "alle" Nutzer? Wieviele Nutzer können denn tatsächlich, wenn sie
    > sich das erste mal einen PC kaufen und nachdem sie auf die "Gemeinde"
    > gehört haben, denn tatsächlich ihren Linux Installation ersteinmal auf
    > Sicherheitsupdates untersuchen und diese dann anschließend installieren...
    > Ach nee, geht ja nicht. Man muss ja kompilieren.. Und wenn das schief geht,
    > weil man irgendwie nicht jede Fehlermeldung gespeichert hat, läuft gar nix
    > mehr.
    > Ein neuer Benutzer unter Linux weiß bestimmt wie das geht, denn er kann ja
    > bei einem nicht laufenden PC mal so eben ins Internet um Hilfe bitten...
    > Sorry für das bischen Ironie, aber ich hoffe, ich wurde verstanden ;-)
    >
    Können - also rein technisch die Möglichkeit haben - Jeder.
    Können - also in der Lage sein - wenige "User"... Da hast du Recht.

    > So einfach ist das eben nicht. man hat mir schon vor Jahren versucht zu
    > erzählen, die Community ist ja da und bei so vielen usern ist ein Fehler
    > schnell behoben.
    > Die Praxis hat gezeigt, nein, dem ist nicht so. Es gibt halt nicht mehr die
    > Scharren an Menschen die nur auf Linux Probleme warten um diese sofort zu
    > lösen, diese Menschen müssen hart arbeiten, um sich um das Hobby kümmern zu
    > können.
    > Heute sind inzwischen so viele verschiedene Versionen auf dem Markt (weil
    > halt jeder irgendwie eine bauen kann) und keine ist perfekt. Und von
    > Kompatibilität von Code untereinander (also z.B, eine simple Sendmail
    > Implementation mit IMAP und Webmail) ist auf fast jeder Disti anders... das
    > merkt man aber manchmal erst, wenn die Fehlermeldungen auftauchen und
    > bestimmte Abhängigkeiten hier und dort nicht stimmen und dann noch dieses
    > oder jenes kompimiliert werden muss.
    >
    > Sorry, aber für den einfachen Menschen ohne Erfahrung ist das alles noch
    > nichts. Dazu müssen einige erst sich darauf einigen, nicht alle Nase lang
    > die Oberfläche zu wechseln oder sonstwas.
    >
    Dem kann ich nur zustimmen. Insbesondere die mittlerweile sehr starke Fragmentierung (vor allem die ohne Rückfluss) ist nicht wirklich ein Heilsbringer.

    Danke für die Ergänzungen :)

    > Gruss
    > michael

    Auch von mir noch Grüße.

    Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

  7. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: bstea 24.05.12 - 15:39

    delaytime0 schrieb:
    --------------------------------------------------------------------------------
    > Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes
    > Beispiel für) CSS ist doch genau bei den Fehlern zu finden:
    >
    > CSS:
    > - Fehler werden durch Unternehmen gesucht und an die entsprechenden
    > Unternehmen verkauft
    > - Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder
    > belassen.
    > - Der User kennt den Fehler nicht.
    Doch die kennt man, meldet die aber weniger und versucht die zu umschiffen. Ist ja nicht so, dass man belohnt wird, wenn man Fehler findet.
    >
    > OSS:
    > - Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und
    > veröffentlicht / reportet.
    Bei größeren Projekten stehen häufig Firmen dahinter.
    > - Stunden bis Tage später ist der Fix dafür da.
    Schau dir mal die Bug Tracker an, keine Spur von Stunden später.
    > - Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf. selbst
    > Gegenmaßnahmen zu unternehmen.
    Wenn du kompetente Leute findest, die erstens programmieren können und zweitens bei diesen großen Projekten noch durchsteigen und drittens zu viel Zeit haben.
    > Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil des
    > Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt man
    > anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für
    > die Fehler interessiert.
    Eher so, dass man hofft das es reproduzierbar ist und nicht ein OS-/Konfigurationsproblem.
    > Und genau da habe ich für mich festgestellt sind
    > kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und
    > schneller als die großen Fische.
    Es gibt leider alles. Generell hab' das Gefühl, da wo kommerz. Interessen dahinterstecken, werden die Bugs auch versucht nachzuvollziehen. Pampige Antworten nur weil man die falsche Distro benutzt hat, gibts auch hier und da.
    > Leider gibt es auch _große_
    > OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe und
    > auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben sind.
    > Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen. :/

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  8. Re: Eine Software für die über ein Jahr bekannte Sicherheitslücken nicht geschlossen werden ...

    Autor: delaytime0 24.05.12 - 16:58

    bstea schrieb:
    --------------------------------------------------------------------------------
    > delaytime0 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der große Unterschied zwischen OSS und (nehmen wir mal MS als gutes
    > > Beispiel für) CSS ist doch genau bei den Fehlern zu finden:
    > >
    > > CSS:
    > > - Fehler werden durch Unternehmen gesucht und an die entsprechenden
    > > Unternehmen verkauft
    > > - Fehler wird eingestuft und nach Wirtschaftsfaktoren behoben oder
    > > belassen.
    > > - Der User kennt den Fehler nicht.
    > Doch die kennt man, meldet die aber weniger und versucht die zu umschiffen.
    > Ist ja nicht so, dass man belohnt wird, wenn man Fehler findet.
    > >
    Genau da liegt der Fehler in Ihren Ansichten. Es gibt eigens Unternehmen, die nichts anderes machen als Fehler finden. Reports werden natürlich auch durch User erteilt (oder umschifft) von diesen Spreche ich aber nicht. Ein Fehler in MS wird erst dann bekannt, wenn entweder MS ihn behebt oder irgendwer geschafft hat ihn auszunutzen und das publik wird.
    Bei OSS sieht das ein wenig anders aus.

    > > OSS:
    > > - Fehler wird meist durch Freizeit- / Hobbyentwickler gesucht und
    > > veröffentlicht / reportet.
    > Bei größeren Projekten stehen häufig Firmen dahinter.

    FEHLER und nicht Software... Ja, bei OSS stehen hinter vielen Projekten große Unternehmen, die Fehler werden aber sehr viel häufiger durch Personen wie Sie und mich reportet. Und davon redete ich.

    > > - Stunden bis Tage später ist der Fix dafür da.
    > Schau dir mal die Bug Tracker an, keine Spur von Stunden später.

    Ich bin in einigen Mail-Listen von Debian, Gnome und Co. und sehe sehr häufig wie schnell auf Fehler geantwortet wird und, dass es bei kleineren Problemen oder Sicherheitskritischen Fehlern sehr schnell gehen kann, bis ein Update da ist. Gerade Debian oder CentOS werden hier an vielen Stellen gelobt.

    > > - Alle Nutzer haben die Möglichkeit diese Fehler zu sehen und ggf.
    > selbst
    > > Gegenmaßnahmen zu unternehmen.
    > Wenn du kompetente Leute findest, die erstens programmieren können und
    > zweitens bei diesen großen Projekten noch durchsteigen und drittens zu viel
    > Zeit haben.

    Um einen Fehler zu sehen benötige ich keine Programmierkenntnisse. Das Beheben ist eine andere Sache. Und ich spreche von Möglichkeit, nicht von Kompetenz. Wissen ist ja etwas, was sich jeder aneignen kann, wenn er es für nötig befindet.
    Im Übrigen:
    Es gibt nicht nur große Projekte... viele sind sogar aufgeteilt in viele kleine Teams mit jeweiligen Bereichen. Um Python-Fehler unter Debian zu warten benötige ich keinerlei Kenntnisse vion Debian oder Gnome, sondern eben von Python, dito für KDE. Um einen offensichtlichen QT-Fehler zu Warten muss ich nichtmal wissen, was KDE ist.

    > > Sicherlich gibt es beide Szenarien auf beiden Seiten. Ein großer Teil
    > des
    > > Bugreportings läuft jedoch so. Allein, wenn man Reports schreibt merkt
    > man
    > > anhand der Antworten (oder eben nicht), ob und inwiefern sich jemand für
    > > die Fehler interessiert.
    > Eher so, dass man hofft das es reproduzierbar ist und nicht ein
    > OS-/Konfigurationsproblem.

    Selbige werden zum Glück bei OSS und CSS ähnlich schnell behandelt oder sind dokumentiert.

    > > Und genau da habe ich für mich festgestellt sind
    > > kleine Unternehmen und OpenSource sehr viel "Kunden"freundlicher und
    > > schneller als die großen Fische.
    > Es gibt leider alles. Generell hab' das Gefühl, da wo kommerz. Interessen
    > dahinterstecken, werden die Bugs auch versucht nachzuvollziehen. Pampige
    > Antworten nur weil man die falsche Distro benutzt hat, gibts auch hier und
    > da.

    Volle Zustimmung.

    > > Leider gibt es auch _große_
    > > OSS-Communities wo ich bis heute keinerlei Rückmeldungen bekommen habe
    > und
    > > auch anhand kleinerer Stichproben Fehlerchen bis heute nicht behoben
    > sind.
    > > Das reicht von Übersetzungs-fauxpas bis hin zu replizierbaren Abstürzen.
    > :/

    Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. THE BRETTINGHAMS GmbH, Berlin
  2. PUREN Pharma GmbH & Co. KG, München
  3. Allianz Deutschland AG, München-Unterföhring
  4. Stadt Pforzheim, Pforzheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Seasonic Focus Gold 450 W für 46,99€ statt über 60€ im Vergleich)
  2. 92,60€
  3. (aktuell u. a. Notebooks)
  4. 999€ (Vergleichspreis 1.111€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
    Doom Eternal angespielt
    Die nächste Ballerorgie von id macht uns fix und fertig

    E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

    1. Sigil John Romero setzt Doom fort

    DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
    DIN 2137-T2-Layout ausprobiert
    Die Tastatur mit dem großen ß

    Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
    Von Andreas Sebayang und Tobias Költzsch

    1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
    2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
    3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

    1. Freier Videocodec: Realtek stellt ersten SoC mit AV1-Decoder vor
      Freier Videocodec
      Realtek stellt ersten SoC mit AV1-Decoder vor

      Der Chiphersteller Realtek hat ein SoC für Set-Top-Boxen vorgestellt, das einen AV1-Decoder enthält. Es ist der erste Chip mit Hardware-Unterstützung für den freien Videocodec. Geräte damit sollten 2020 verfügbar sein.

    2. Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
      Timex Data Link im Retro-Test
      Bill Gates' Astronauten-Smartwatch

      Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.

    3. Prozessor: Intel, Qualcomm und Xilinx wollen Huawei wieder beliefern
      Prozessor
      Intel, Qualcomm und Xilinx wollen Huawei wieder beliefern

      Führende Chiphersteller in den USA bestreiten den Sinn des US-Embargos gegen Huawei. Standardkomponenten für Smartphones und Server berührten nicht die nationale Sicherheit, sagten die Hersteller.


    1. 12:30

    2. 12:04

    3. 11:34

    4. 11:22

    5. 11:10

    6. 11:01

    7. 10:53

    8. 10:40