hagge hat geschrieben:Ein Exploit ist und bleibt ein Exploit, ob ihn nur einer oder zehn oder 100 Leute einsetzen. Insofern wird man, wie ich schon sagte, in gefährlicher Sicherheit gewogen, wenn man dies nicht veröffentlicht. Auch der eine Bösewicht kann viel Schaden anrichten.
In diesem Falle war es jedoch etwas anders:
Die Lücke war ja nicht dem Hersteller gemeldet worden, sondern es wurde Exploit-Code entwickelt und illegal verkauft, um Benutzer zu schädigen. Es ging dem Entdecker der Lücke niemals darum, den Hersteller von dem Problem zu unterrichten, denn dann hätte er ja sein eigenes Geschäftsmodell ad absurdum geführt. Kann man z.B.
hier nachlesen.
Dagegen kann kein Hersteller etwas machen, ausser vollkommen fehlerfreie Software schreiben, was nach heutigem Wissensstand nicht möglich ist.
Stell Dir vor, jemand fängt sich das Ding ein, *obwohl* intern schon bekannt war, dass die Nutzung von Firefox statt IE das hätte verhindern können? Was meinst Du, wie sauer so jemand ist.
Warum ist denn der Firefox nicht betroffen von der Lücke? Hast Du Dir darüber schon mal Gedanken gemacht?
Er enthält die betroffene Funktion gar nicht. Die Funktion könnte man im IE auch abschalten (siehe Workarounds in dem Advisory). Nur das kann keiner der Kunden machen, denn dann können sie nicht mehr arbeiten. Sie brauchen diese Funktionalität. Das ist auch der Grund, warum diese Sicherheitslücke so schwerwiegend ist: Es gibt zwar mehrere Workarounds, aber alle verursachen so starke Funktionseinbußen, dass sie nicht wirklich durchführbar sind. Das macht die Kunden sauer, aber deswegen ist nicht einer umgestiegen auf einen anderen Browser. Und wenn die anderen Browser auch funktionell so weit wären, dann hätten sie die gleichen Probleme, glaub' mir.
Irgendwann kommt doch mal einer auf die Idee und fragt Microsoft, was das denn soll. Warum die so einen Murks programmieren.
Bitte nicht wieder diese Leier. Das ist einfach Stammtischniveau, wenn Du behauptest, dass die Codequalität bei Microsoft schlechter wäre als bei anderen. Auf diesem Niveau möchte ich nicht weiterdiskutieren. Ich behaupte nämlich genau das Gegenteil.
Meinst Du nicht, dass Microsoft hier ziemlich schnell mal an ihrem Geschäftsmodell drehen müssten? Sprich mehr Sicherheit von vorneherein einbauen, auch wenn das den Einkaufspreis der Software in die Höhe treibt? Oder dass von den Betroffenen alternativ wirklich mal andere Betriebssysteme in Erwägung gezogen würden? Und dann würde sich ziemlich schnell zeigen, wer hier wirklich am schnellsten reagiert oder von vorneherein am sichersten ist, weil man dann diese Sicherheit in Euro und Cent ausdrücken kann.
Genau das funktioniert leider nicht, wie man am Beispiel Vista sehen kann.
Vista trennt Lichtjahre in Punkto Sicherheit von allen anderen Betriebssystemen und was passiert:
Alle schieben die Schuld auf Vista, wenn eine Anwendung nicht läuft, die so ziemlich alle Vorgaben ignoriert, wie man gute und sichere Software programmiert.
Und dann schalten die Benutzer noch immer schön die UAC ab (die Computerbild hat's ja empfohlen) und wundern sich, wenn sie wieder als Admin unterwegs sind.
Wie viele Jahre hat Microsoft versucht den ISV klar zu machen, wie man Anwendungen programmiert und nix hat es genützt. Jetzt hat man mal versucht, den bösen Jungs das Leben ein bisschen schwerer zu machen und was ist: Keiner will es hören.
Nur mal so als Gedankenspiel:
Ich habe Vista und fühle mich nicht ernsthaft bedroht. Warum auch? Ich bin kein Admin, mein IE läuft im Protected-Mode und darf nix ausser im Temp-Verzeichnis schreiben.
Selbstverständlich werde ich heute abend trotzdem das Update einspielen, aber wenn ich Firmenkunde wäre und hätte immer noch XP, dann würde ich mír schon langsam mal Gedanken machen...
Sprich eine frühe Veröffentlichung würde sich endlich mal dahingehend auswirken, dass von vorneherein die Software besser geschrieben würde, und nicht immer nur billig billig schnell schnell mit haufenweise Fehlern (kleiner Wink in Richtung Topfield) und erst hinterher mit Patches notdürftig geflickt wird.
Komm zurück in die Realität, irgendwann will eine Firma auch mal Geld verdienen. Vista hat 6 Jahre gebraucht und ist immer noch nicht perfekt. Auch mit dem Service Pack 99 wird es nicht "perfekt" sein. Das ist das Leben in der Software-Branche.
Es gibt keinen Exploit-Code, den niemand kennt, es sei denn, der Fehler würde tatsächlich bei einem Code-Review oder Sicherheitsaudit gefunden. Das wiederum fällt dann ja auch nicht unter diese Kategorie, weil es meist im Auftrag geschieht. Insofern ist es doch fatal, wenn es einen Exploit gibt und niemand davon weiß! Je mehr davon wissen, desto schneller gibt es Workarounds und desto schneller passiert was gegen das Problem.
Wie oben bereits ausgeführt: Wir leben leider nicht in der idealen Welt. Du hast die bösen Jungs vergessen, die den Code im Geheimen verkauft haben.
Nun, das kann ich nicht ganz so rosig sehen wie Du. Es ist bekannt, dass es manchmal jahrelang offene Löcher gibt, wo es Microsoft nicht für nötig hält, sie zu schließen. Auch andere sehr gefährliche Lücken werden nicht sofort geschlossen, oder waren die in diesem
heise-online-Artikel genannten weiteren zwei Lücken auch "zufällig" in die Öffentlichkeit geraten?
Nein, jemand hat sie leider öffentlich gemacht und musste sich mal wieder profilieren. Was ich davon halte, habe ich bereits ausgeführt.
Das Ziel müsste aber sein, von vorneherein sicherere Software zu haben. Und das kann man meines Erachtens nur erreichen, indem man den Hersteller in die Haftung nimmt, oder indem der Hersteller Gefahr läuft, dass man zur Konkurrenz abwandert. Also indem insgesamt der Druck auf den Hersteller steigt, sich zu bessern. Nicht indem man alles so weiterplätschern lässt wie bisher.
Wenn dann alle Hersteller gleichermassen in die Haftung genommen werden, sehe ich dem gelassen entgegen.
Kleine ketzerische Frage:
Wen willst Du dann bei Open Source in die Haftung nehmen?
Gruß,
Stefan