Internet-Explorer Benutzer aufgepasst

[Maliboy]

Ganz schon komplexe Lektüre für den Abend, aber das könnte erklären, warum ich auf einmal Probleme habe. Wobei angeblich im SP3 die Richtige urlmon.dll drin ist (also die, die das Feature 'FEATURE_RESPECT_ZONEMAP_FOR_MAPPED_DRIVES_KB929798' unterstürtzt, während die IE7 Installation eine alte Version mitbringt. Ich schaue mir das morgen noch mal in Ruhe an und muss mir dann ein Bugfix überlegen.

Trotzdem ärgert mich so etwas. Ich will eigentlich nur installationspakete für Sicherheitsupdates erstellen und stolpere dann über solche Dinge. In meinen Augen sollte sich ein HTML-Browser nicht in den Explorer einmischen.

[Sabre]

In meinen Augen sollte sich ein HTML-Browser nicht in den Explorer einmischen.

Aber das ist doch dasselbe. Gib mal im Explorer in das Adressfeld eine Internetadresse ein.

[Stefan Heße]

Ganz schon komplexe Lektüre für den Abend, aber das könnte erklären, warum ich auf einmal Probleme habe. Wobei angeblich im SP3 die Richtige urlmon.dll drin ist (also die, die das Feature 'FEATURE_RESPECT_ZONEMAP_FOR_MAPPED_DRIVES_KB929798' unterstürtzt, während die IE7 Installation eine alte Version mitbringt.

Eigentlich entscheidet der Installer, ob Du die GDR oder die QFE-Version installiert bekommst, ganz von allein. Wenn man allerdings Updates nicht über den Installer verteilt, sondern seine Update-Funktion selbst strickt, dann darf man sich auch nicht wundern, wenn man plötzlich wieder alte dlls auf dem System hat.

Um Missverständnissen gleich vorzubeugen:
Ich will damit nicht sagen, dass Du das warst mit dem "selbst stricken". Es gibt genügend Anwendungen, die einfach eiskalt in das system32-Verzeichnis schreiben und hunderte von DLLs austauschen. Ein Kollege hat mir sogar von einer Anwendung erzählt, die das komplette system32-Verzeichnis austauscht. Einfach nur, weil die Anwendungsentwickler meinen, sie müssten so einen konsistenten Zustand herstellen. Dass dabei alle Aktualisierungen flöten gehen ist denen Schnuppe.
Wie gut, dass Vista das nicht mehr zulässt. Vista lügt die Installer-Routine dann eiskalt an und sagt: "Habe ich geschrieben, das hast Du toll gemacht lieber Installer". In Wahrheit kann niemand ausser dem System ins system32 schreiben. Die Anwendung denkt dann nur sie hätte da rein geschrieben. Ein geiles Feature, das auch Registry-Zweige schützt u.s.w..
Hier noch die Erklärung vom Kernel-Papst persönlich: http://technet.microsoft.com/en-us/maga ... 6.uac.aspx

Ich würde daher an Deiner Stelle morgen einfach mal auf einer Testmaschine die QFE-Version des Hotfixes installieren und testen, ob das Dein Problem behebt. Wie das geht steht in dem o.g. KB-Artikel.

Gruß,
Stefan

[jk]

jetzt hat die advance notification bei mir aufgeschlagen!

[hagge]

In diesem Falle war es jedoch etwas anders:
Die Lücke war ja nicht dem Hersteller gemeldet worden, sondern es wurde Exploit-Code entwickelt und illegal verkauft, um Benutzer zu schädigen. Es ging dem Entdecker der Lücke niemals darum, den Hersteller von dem Problem zu unterrichten, denn dann hätte er ja sein eigenes Geschäftsmodell ad absurdum geführt. Kann man z.B. hier nachlesen.

Hmm, ich lese das etwas anders. Ja stimmt, in diesem Fall war Microsoft nicht informiert. Aber ob der Grund dafür war, dass der Entdecker durch das Melden sein eigenes Geschäftsmodell unterwandert hätte, das kann ich daraus nicht ablesen. Vielmehr sehe ich hier das allgemeine Problem, dass sich momentan niemand dafür verantwortlich fühlt, diese Meldung zu machen, weil jeder denkt, der andere hätte es ja schon gemacht. Und so kann dieser absurde Zustand entstehen, dass eine solche fatale Lücke fast 2 Monate frei rumlaufen kann. Wenn jeder alles immer gleich veröffentlichen würde, könnte sowas nicht passieren.

Dagegen kann kein Hersteller etwas machen, ausser vollkommen fehlerfreie Software schreiben, was nach heutigem Wissensstand nicht möglich ist.

Ich weiß was Du meinst, und auch ich bin der Meinung, dass fehlerfreie Software sehr schwer ist. Aber sie ist nicht unmöglich. Sie kostet nur mehr Entwicklungsaufwand und damit mehr Geld. Ich bin selbst Software-Entwickler und auch wenn ich denke, dass ich halbwegs guten Code schreibe, passieren auch mir hin und wieder Fehler. Aber einen sehr sehr großen Teil dieser Fehler könnte man sehr wohl durch Codereviews, mehr Tests und allgemein mehr Sicherheitsverfahren bei der Entwicklung finden. Aber es wird nicht gemacht, weil es Zeit und damit Geld kostet. Das liegt eben daran, weil mit unseren Produkten im Grunde nichts Schlimmes passieren kann und mit besserem Code auch nicht mehr verdient wird.

Aber sobald mal etwas mehr dranhängt, z.B. große Geldsummen, oder wenn es gar um Menschenleben geht, dann werden tatsächlich solche Tests gemacht, egal was es kostet. Denke nur mal an die Software einer Bank. Oder eines ABS-Bremssystems. Oder eines Flugzeugs oder Atomkraftwerks. Und solche Software ist dann schon so ziemlich frei von Fehlern. Vielleicht nicht so ganz 100%, aber schon verdammt gut. Es ist also nur eine Frage des Preises. Unmöglich ist es nicht.

Also muss man dafür sorgen, dass für die Hersteller mehr auf dem Spiel steht, damit es hier mal wieder einen Schritt in Richtung mehr Sicherheit geht.

Warum ist denn der Firefox nicht betroffen von der Lücke? Hast Du Dir darüber schon mal Gedanken gemacht?
Er enthält die betroffene Funktion gar nicht. Die Funktion könnte man im IE auch abschalten (siehe Workarounds in dem Advisory). Nur das kann keiner der Kunden machen, denn dann können sie nicht mehr arbeiten. Sie brauchen diese Funktionalität.

Brauchen sie die wirklich? Ich habe mich mit dem konkreten Problem nicht befasst, insofern kann ich nichts Konkretes sagen. Aber grundsätzlich sieht es doch so aus: entweder es ist eine Funktion, die ins Web gehört. Dann kann sie auch jeder andere Browser benutzen. Schon alleine die Tatsache, dass das Abschalten dieser Funktion so viele Seiten nutzlos macht, die bei anderen Browsern noch funktionieren, zeigt doch, dass diese Funktion bei den anderen Browsern sehr wohl auch vorhanden ist, dort aber fehlerfrei funktioniert.

Oder es ist eine Funktion, die nur der IE kennt. Dann frage ich mich, warum die anscheinend so viele User brauchen. Eine Webseite, die nur der IE anzeigen kann, ist aus meiner Sicht völlig falsch konzipiert.

Oder es ist eine Funktion, die mit dem World Wide Web nichts zu tun hat, dann gehört sie auch nicht in den Internetbrowser.

Das macht die Kunden sauer, aber deswegen ist nicht einer umgestiegen auf einen anderen Browser.

Das sei mal noch dahin gestellt... Meine Frau ist z.B. auf den Firefox umgestiegen, also ist diese Aussage schon mal falsch. Und ich wette jeden Betrag der Welt, dass sie damit nicht alleine ist. Hältst Du da echt dagegen?

Und wenn die anderen Browser auch funktionell so weit wären, dann hätten sie die gleichen Probleme, glaub' mir.

Sorry, aber das ist mal wieder die typische Aussage eines Users, der komplett MS-orientiert ist und selten über den Tellerrand hinausschaut. So wie ich mitbekomme, bist Du ja MS-Mitarbeiter, insofern ist das nicht weiter verwunderlich und bis zu einem gewissen Grad verzeihlich. Nur mal ein paar Fakten: der IE7 hat seinerzeit mal so langsam wieder den Stand der anderen Browser eingeholt, nachdem der IE6 jahrelang stagniert hatte, während ihn die anderen Browser technisch weit überholt hatten. Wobei die W3C-Konformität immer noch stark zu wünschen übrig lässt. Der IE8 in der Beta kommt hier so langsam mal in akzeptable Regionen. Aber den bisherigen offiziellen IE7 als weiter fortgeschritten als die anderen großen Browser (Firefox, Opera, Safari) zu bezeichnen ist schlicht lächerlich.

Bitte nicht wieder diese Leier. Das ist einfach Stammtischniveau, wenn Du behauptest, dass die Codequalität bei Microsoft schlechter wäre als bei anderen. Auf diesem Niveau möchte ich nicht weiterdiskutieren. Ich behaupte nämlich genau das Gegenteil.

Ich habe laut und deutlich gesagt, dass ich Microsoft hier nicht alleine an den Pranger stellen will, weil es in anderen Softwarefirmen genauso aussieht. Ja, das konkrete Beispiel ist momentan Microsoft, aber auf was ich abziele ist die Denkweise und die schlechte Softwarequalität bei praktisch allen Softwarefirmen heutzutage. Das gehört geändert, aber das geht nur, wenn mal mehr Druck auf die Hersteller aufgebaut wird. Das momentane Verfahren, den Herstellern alle Zeit der Welt zu geben, bringt uns hier nicht mehr weiter, weil diese es sich so viel zu bequem machen können und der Standard in Bezug auf Fehlerfreiheit nicht mehr steigt. Im Gegenteil, die Kunden akzeptieren es immer mehr, Software auf Beta oder Alpha-Niveau oder noch schlechter als Final Release vorgesetzt zu bekommen. Siehe TF7700HDPVR. Eine aus meiner Sicht untragbare Entwicklung.

Genau das funktioniert leider nicht, wie man am Beispiel Vista sehen kann.
Vista trennt Lichtjahre in Punkto Sicherheit von allen anderen Betriebssystemen

Halt halt halt, so kann man das nicht stehen lassen. Es trennt vielleicht Lichtjahre in Punkto Sicherheit von allen anderen Microsoft-Betriebssystemen, aber schon wenn Du Linux nimmst, z.B. in einer SE-Linux-Variante, kann Vista nicht mehr mithalten. So fein wie dort gliedert Vista die Sicherheit nicht auf. Oder ist Vista EAL4+-zertifiziert für militärische Anwendungen? Manche Linux-Varianten sind es sehr wohl!

und was passiert:
Alle schieben die Schuld auf Vista, wenn eine Anwendung nicht läuft, die so ziemlich alle Vorgaben ignoriert, wie man gute und sichere Software programmiert.
Und dann schalten die Benutzer noch immer schön die UAC ab (die Computerbild hat's ja empfohlen) und wundern sich, wenn sie wieder als Admin unterwegs sind.

Nein, das letzte hat damit zu tun, dass Vista die Zugriffsrechte nicht sinnvoll verwaltet. Wenn ich als User das Startmenü selbst anpassen will und dazu für jede Verschiebung jedes einzelnen Menüeintrags immer wieder neu das Administratorpasswort eingeben muss und beim Umbenennen der Einträge gleich wieder (ich musste sage und schreibe 9x das Passwort eingeben, um 3 Einträge zu verschieben und umzubenennen), dann ist das keine sinnvolle Tätigkeit mehr, sondern es ist nur noch nervig. Und dann ist es völlig natürlich, wenn man dies ablehnt und alles tut, damit das einfacher wird. Da hat MS einfach die Hausaufgaben nicht richtig gemacht. Ich arbeite schon jahrelang auch parallel zu Windows mit Linux und da gab es solche Passwortorgien noch nie.

Vista mag vielleicht sicher sein, aber es ist dadurch komplizierter zu benutzen geworden, in manchen Bereichen nahezu unbrauchbar. Und das wollen die Leute nicht.

Wie viele Jahre hat Microsoft versucht den ISV klar zu machen, wie man Anwendungen programmiert und nix hat es genützt. Jetzt hat man mal versucht, den bösen Jungs das Leben ein bisschen schwerer zu machen und was ist: Keiner will es hören.

Weil es MS mit jedem neuen Release sowieso wieder komplett anders macht. Jetzt endlich wissen die Leute, wie man den Programme-Ordner aus einer Environmentvariable ausliest, weil MS in Win95 auf die Idee kam, diese Ordner nicht global eindeutig zu benennen, sondern diese zu lokalisieren. Und dann kommen sie bei Vista auf die glorreiche Idee, den Ordner doch wieder überall gleich zu nennen, nämlich "Program Files", es aber im Explorer so aussehen zu lassen als ob er immer noch "Programme" heißt. Nur mit dem kleinen Defekt, dass hier und da, wo eben der Explorer nicht beteiligt ist, eben doch wieder der eigentliche Name "Program Files" durchkommt, z.B. wenn man Software installiert. Ja wer macht denn so einen Blödsinn? Das ist doch komplett daneben. Wenn man solche Inkonsistenzen sieht, dann ist doch ganz klar, dass das zu Problemen führt, auch bei der Sicherheit. Weil wenn ich nie weiß, ob ich den einen oder den anderen Namen angeben muss, dann *muss* das doch für Unsicherheit und im dummsten Fall für Sicherheitsprobleme sorgen.

Nur mal so als Gedankenspiel:
Ich habe Vista und fühle mich nicht ernsthaft bedroht. Warum auch? Ich bin kein Admin, mein IE läuft im Protected-Mode und darf nix ausser im Temp-Verzeichnis schreiben.

Och, lass solche Beispiele, damit kannst Du mich nicht beeindrucken. Ich nutze Linux, und dort habe ich nicht mal einen Antivirusschutz drauf und fühle mich nicht ernsthaft bedroht. So unbedroht wirst Du Dich unter Windows nie fühlen können.

Selbstverständlich werde ich heute abend trotzdem das Update einspielen, aber wenn ich Firmenkunde wäre und hätte immer noch XP, dann würde ich mír schon langsam mal Gedanken machen...

Das machen sich die Firmen ja. Und als Folge kaufen sie zum zwangsverordneten Vista wann immer möglich gleich den XP-Downgrade dazu. Und das hat schon seinen Grund. *So* viele Firmen können nicht irren. Ich denke vielmehr, Microsoft sollte sich da mal Gedanken machen, nicht die Firmen.

Komm zurück in die Realität, irgendwann will eine Firma auch mal Geld verdienen. Vista hat 6 Jahre gebraucht und ist immer noch nicht perfekt. Auch mit dem Service Pack 99 wird es nicht "perfekt" sein. Das ist das Leben in der Software-Branche.

Richtig. Darum sagte ich ja auch, die Kosten für die Sicherheit müssen sich bei den Usern zwangsweise erhöhen, damit sie bereit sind, für sicherere Software mehr Geld auszugeben. Und eine Möglichkeit hierzu wäre die frühere Veröffentlichung von Sicherheitslöchern.

Wie oben bereits ausgeführt: Wir leben leider nicht in der idealen Welt. Du hast die bösen Jungs vergessen, die den Code im Geheimen verkauft haben.

Aber es war ja gar nicht geheim. Es gab mindestens eine Sicherheitsfirma, die das seit Oktober beobachtet. Es ist nur das bisherige Meldeverfahren nicht in Ordnung. Sowas darf es einfach nicht geben, dass eine solche Firma das nicht meldet. Auch hier sollte es eine Haftung geben, wenn eine solche Firma solche Vorgänge nicht weitermeldet. Das ist ebenfalls kriminell, weil sie damit die Sicherheit von Millionen Usern aufs Spiel setzt.

Nein, jemand hat sie leider öffentlich gemacht und musste sich mal wieder profilieren. Was ich davon halte, habe ich bereits ausgeführt.

Nochmal, das interpretierst nur Du so in den Text hinein. So wie ich es verstehe, ging die Firma davon aus, dass Microsoft Bescheid wusste und mit den Patches am letzten Patchday die Löcher gestopft hat und somit die Geheimhaltung nicht mehr gewahrt bleiben muss. Das ist was völlig anderes, als sich profilieren zu wollen. Es bleibt die Frage, wie es zu so einer fatalen Fehlkommunikation kommen kann. Also warum die Firma stillschweigend davon ausgeht, dass Microsoft Bescheid weiß, obwohl sie selbst es nicht gemeldet hat (warum nicht?) und obwohl ja in den Security Bulletins immer beschrieben wird, welche Lücke behoben wurde. Insofern ist der Schwarze Peter schon eindeutig bei dieser Firma, aber aus anderen Gründen, als Du ihnen unterstellst.

Wenn dann alle Hersteller gleichermassen in die Haftung genommen werden, sehe ich dem gelassen entgegen.
Kleine ketzerische Frage:
Wen willst Du dann bei Open Source in die Haftung nehmen?

Tja, bei Geschenken gibt es leider keine Garantie. Und damit auch keine Haftung. Eine Garantie muss gegeben werden, damit niemand abgezockt wird mit einem Produkt, das sein Geld nicht wert ist. Ein kostenloses Produkt ist immer sein Geld wert, selbst dann, wenn es absolut nichts taugt. Und wenn es um die Versionen geht, die tatsächlich verkauft werden, z.B. Red Hat Enterprise Linux, dann gibt es da mit Red Hat sehr wohl jemand, den man in Haftung nehmen kann.

Gruß,

Hagge

[Maliboy]

So, zuerst möchte ich mich mal bei Stefan bedanken, der mich mit seinen Tipp, das es zwei Versionen (GDR und QFE) gibt auf die Richtige Fährte geschickt hat.
Es ist augenscheinlich so, das KB929798 nur im QFE Zweig vorhanden ist (genaueres weiß ich in 10 Minunten, wenn der Testlauf mit der VMware durch ist).

Auch muss ich mich bei Microsoft entschuldigen (auch, wenn die es wahrscheinlich gar nicht mitbekommen haben), das ich sie als Idioten bezeichnet habe. Mann sollte aus Unwissenheit nicht solche Kommentare abgeben.

Das ein zigste was ich noch nicht ganz verstehe ist die 'Inkonsequenz' der update.exe. Auf meinen Rechner hat nämlich die MS08-054 den QFE Pfad installiert. Auf der VMware wird aber der GDR Pfad installiert. Irgendwie scheint das ganze von irgendeinen 'alten' Paket (Evtl. MS08-031, das habe ich nämlich entfernt) abhängig zu sein. Aber, da ich das ganze mit der Option '/b:SP2QFM' umschiffen kann, sehe ich da zur zeit auch kein großes Problem.

[quote="Stefan Heße"]Um Missverständnissen gleich vorzubeugen:
Ich will damit nicht sagen, dass Du das warst mit dem "selbst stricken".[/quote]
Da ich aber der Typ dafür bin, habe ich das nicht persönlich genommen. Im gegenteil. Genau das mache ich nämlich. Ich habe in der Setuproutine vom IE7 schon die Dateien von MS08-024 integriert (ausgetauscht), damit nach dem Neustart das Problem, welches mit KB929798 gefixt wird sofort aktiv ist. Ich meine, das ich sogar damals MS08-024 noch einmal installiert habe (man will ja, das die Registry stimmt). Evtl. ist das auch der Grund, warum evtl. unsere Alt System (die alle Zwischenupdates mitbekommen haben) den QFE Pfad wählen, während in der VMware natürlich nur die überarbeiteten Pakete installeirt werden.

Trotzdem vielen Dank für die Hilfe. Ich hoffe, das der Test gleich Positiv verläuft und wir so endlich die IE7 Updates alle installieren können (ich hänge da noch ein wenig hinterher, aber MS08-078 will ich so schnell wie möglich auf die Rechner bringen).

[Stefan Heße]

Hmm, ich lese das etwas anders. Ja stimmt, in diesem Fall war Microsoft nicht informiert. Aber ob der Grund dafür war, dass der Entdecker durch das Melden sein eigenes Geschäftsmodell unterwandert hätte, das kann ich daraus nicht ablesen.

OK, dann will ich das mal mit einem Beispiel erklären:
Wenn ein Betrüger eine neue Methode entwickelt hat, wie er Leute um ihr Geld betrügt, meinst Du er würde zur Polizei gehen und denen von der Methode erzählen, damit die Polizei die Leute warnen kann?
Die Hacker wollten die Lücke ausnutzen, um Geld zu verdienen. Die waren nicht daran interessiert, dass die Lücke gestopft wird, darum haben sie auch niemals Microsoft Bescheid gegeben, dass diese Lücke existiert.
Woher die chinesische Firma, die schließlich das Sicherheitsloch veröffentlicht hat, ihre Informationen her hat, darüber möchte ich nicht spekulieren. Da mag sich jeder seinen Teil denken.

Wenn jeder alles immer gleich veröffentlichen würde, könnte sowas nicht passieren.

Ja, und wenn sich jeder an die Gesetze halten würde, dann bräuchten wir keine Gefängnisse mehr. Wie wäre das schön auf dieser Welt...

Aber einen sehr sehr großen Teil dieser Fehler könnte man sehr wohl durch Codereviews, mehr Tests und allgemein mehr Sicherheitsverfahren bei der Entwicklung finden. Aber es wird nicht gemacht, weil es Zeit und damit Geld kostet. Das liegt eben daran, weil mit unseren Produkten im Grunde nichts Schlimmes passieren kann und mit besserem Code auch nicht mehr verdient wird.

Da bist Du falsch informiert. Zumindest bei Microsoft wird SEHR viel Geld ausgegeben, um sichere Software zu schreiben. Die Trustworthy Computing Initiative wird auch heute noch gelebt. Der von den Entwicklern geschriebene Code wird über ein mehrstufiges System teilweise automatisiert, teilweise aber auch von Menschen auf Fehler hin überprüft. Jeder Entwickler, der bei Microsoft Software schreibt, muss durch ein spezielles Training, das ihn lehrt, worauf man bei Softwareentwicklung zu achten hat. Was soll man noch machen?
Menschen machen nun mal Fehler, wir sind nicht perfekt. Das wird sich auch mit viel Geldeinsatz nicht ändern. Selbst die extra geschriebenen Programme, die automatisiert Code auf Vulnerabilities prüfen, finden nicht alles. Es wird immer einen genialen Hacker geben, der auf Ideen kommt, wie man Software angreifen könnte, an die vorher nie jemand gedacht hat.

Denke nur mal an die Software einer Bank. Oder eines ABS-Bremssystems. Oder eines Flugzeugs oder Atomkraftwerks. Und solche Software ist dann schon so ziemlich frei von Fehlern. Vielleicht nicht so ganz 100%, aber schon verdammt gut. Es ist also nur eine Frage des Preises. Unmöglich ist es nicht.

Du widersprichst Dir hier selbst, indem Du zugibst, dass selbst die Software nicht 100% fehlerfrei ist.
Wenn ich Hello World programmiere, dann würde ich Dir vielleicht zustimmen, dass es fehlerfrei machbar ist, aber bei einer Komplexität, die ein heutiges OS hat, ist das leider unbezahlbar. Man muss einen Kompromiss finden zwischen den drei Eckpunkten Funktion, Sicherheit und Kosten. Kennst Du das Dreiecksmodell aus dem Projektmanagement?

Brauchen sie die wirklich? Ich habe mich mit dem konkreten Problem nicht befasst, insofern kann ich nichts Konkretes sagen. Aber grundsätzlich sieht es doch so aus: entweder es ist eine Funktion, die ins Web gehört. Dann kann sie auch jeder andere Browser benutzen. Schon alleine die Tatsache, dass das Abschalten dieser Funktion so viele Seiten nutzlos macht, die bei anderen Browsern noch funktionieren, zeigt doch, dass diese Funktion bei den anderen Browsern sehr wohl auch vorhanden ist, dort aber fehlerfrei funktioniert.

Es gibt bei vielen Kunden ein Intranet, das nix mit dem Internet zu tun hat. Viele Mitarbeiter meiner Kunden dürfen nicht mal im Internet surfen. Traurig, aber leider Realität. Und im Intranet werden viele Dinge genutzt, die nur der IE kann. Da kann man nicht mal so eben auf einen anderen Browser wecheln.

Oder es ist eine Funktion, die nur der IE kennt. Dann frage ich mich, warum die anscheinend so viele User brauchen. Eine Webseite, die nur der IE anzeigen kann, ist aus meiner Sicht völlig falsch konzipiert.

Du kannst es ja besser machen. Meist sind diese Seiten von den Firmen selbst programmiert, also bewirb Dich bei einem großen Unternehmen und zeig' ihnen, wie es besser geht. Glaub mir, da arbeiten auch heute schon keine dummen Leute. Manchmal muss man jedoch Kompromisse eingehen.

Das sei mal noch dahin gestellt... Meine Frau ist z.B. auf den Firefox umgestiegen, also ist diese Aussage schon mal falsch. Und ich wette jeden Betrag der Welt, dass sie damit nicht alleine ist. Hältst Du da echt dagegen?

Deine Frau ist aber nicht gerade repräsentativ für große Firmen, sorry.
Ich kenne nicht einen meiner Kunden, der den Firefox oder einen anderen Browser einsetzt. Abgesehen davon, dass der Firefox (um bei dem Beispiel zu bleiben) auch seine Sicherheitslücken hat (siehe hier)
Hast Du mal versucht einen Firefox auf 10.000 Maschinen zu installieren? Einer meiner Kunden hat das versucht. Nur so viel: Er ist wieder zum IE zurückgekehrt.

Aber den bisherigen offiziellen IE7 als weiter fortgeschritten als die anderen großen Browser (Firefox, Opera, Safari) zu bezeichnen ist schlicht lächerlich.

Habe ich das getan? Das habe ich von Vista behauptet, aber nicht vom IE, das musst Du verwechselt haben.
Selbst wenn ich das getan hätte, dann kommt es immer auf die Betrachtungsweise an:
Nur die Acid-Kompatibilität macht noch keinen guten Browser aus. Das ist ein rein synthetischer Test mit keinerlei praktischem Nutzen. Und ob mein Browser jetzt Tabs anzeigen kann oder nicht, macht in einer Firma auch nicht wirklich viel her.
In einem Großunternehmen zählen folgende Dinge (Die Reihenfolge der Prioritäten legt jedes Unternehmen selbst fest):
1. Funktionalität bildet das ab, was das Unternehmen benötigt und am besten nicht mehr
2. Einfache Anpassbarkeit
3. Schnelles und einfaches Deployment
4. Zuverlässiger Support
5. Vorausplanbarer Lifecycle
In den Punkten 3-5 sehe ich den IE auf jeden Fall vorn. Die Punkte 1 und 2 hängen von den Anforderungen des Kunden ab. Somit kann ich jedem Kunden nur empfehlen, den IE einzusetzen. Wenn Mozilla im Bereich Deployment, Support und Lifecycle noch nachlegt, dann müsste man neu überlegen, aber im Moment kommt Firefox nicht in Frage.

Halt halt halt, so kann man das nicht stehen lassen. Es trennt vielleicht Lichtjahre in Punkto Sicherheit von allen anderen Microsoft-Betriebssystemen, aber schon wenn Du Linux nimmst, z.B. in einer SE-Linux-Variante, kann Vista nicht mehr mithalten. So fein wie dort gliedert Vista die Sicherheit nicht auf. Oder ist Vista EAL4+-zertifiziert für militärische Anwendungen? Manche Linux-Varianten sind es sehr wohl!

Die Zertifizierung ist nocht nicht abgeschlossen, wird aber kommen.
Für mich ist das allerdings überhaupt nicht ausschlaggebend. Nur das ein OS EAL4+ zertifiziert ist, heißt nicht, dass es automatisch sicher ist. Es gibt zu jeder Zertifizierung eine genaue Anleitung, wie das System aufgebaut und betrieben werden muss, um diese Sicherheit auch zu gewährleisten.
Hast Du Dir mal ansatzweise durchgelesen, was da alles gemacht werden muss?
Total Realitätsfremd. Das setzt kein Kunde so ein. Also wieder mal alles zu synthetisch, keinerlei praktischen Nutzen.

Vista mag vielleicht sicher sein, aber es ist dadurch komplizierter zu benutzen geworden, in manchen Bereichen nahezu unbrauchbar. Und das wollen die Leute nicht.

Ja, Du hast Recht. In der RTM hat man es mit der UAC etwas übertrieben, aber in der SP1 Version hat man nachgebessert. Jetzt demnächst mit SP2 wird es wieder weiter verbessert werden. Trotzdem ist das Einführen der UAC mehr als sinnvoll.

Weil es MS mit jedem neuen Release sowieso wieder komplett anders macht. Jetzt endlich wissen die Leute, wie man den Programme-Ordner aus einer Environmentvariable ausliest, weil MS in Win95 auf die Idee kam, diese Ordner nicht global eindeutig zu benennen, sondern diese zu lokalisieren.

Also die Variable %ProramFiles% gab es schon bei Windows 95, evtl. sogar noch länger. Nur hat sie leider niemand genutzt, obwohl es so vorgeschrieben war.
Wenn ein Programmierer seit Windows 95 die Variable %ProgramFiles% genutzt hat, dann konnte er seine Software auf allen Betriebssystemen in allen Sprachen installieren und musste sich nie Gedanken machen, wie der Ordner nun wirklich heisst.

Und dann kommen sie bei Vista auf die glorreiche Idee, den Ordner doch wieder überall gleich zu nennen, nämlich "Program Files", es aber im Explorer so aussehen zu lassen als ob er immer noch "Programme" heißt.

Ja, wenn man ein multilinguales Betriebssytem schreiben will, dann geht es leider nicht anders.

Nur mit dem kleinen Defekt, dass hier und da, wo eben der Explorer nicht beteiligt ist, eben doch wieder der eigentliche Name "Program Files" durchkommt, z.B. wenn man Software installiert. Ja wer macht denn so einen Blödsinn? Das ist doch komplett daneben.

Das liegt daran, dass man die Anzeige, wie aus dem Program Files dann wieder Programme wird, über einen Weg gewählt hat, den es auf der Shell nicht gibt. Ob das geschickt war, weiß ich nicht, aber man hat wohl zu dem Zeitpunkt keine bessere Variante gefunden.

Wenn man solche Inkonsistenzen sieht, dann ist doch ganz klar, dass das zu Problemen führt, auch bei der Sicherheit. Weil wenn ich nie weiß, ob ich den einen oder den anderen Namen angeben muss, dann *muss* das doch für Unsicherheit und im dummsten Fall für Sicherheitsprobleme sorgen.

Wie schon gesagt: Als Entwickler solltest Du niemals den richtigen Namen nehmen, sondern die Variable %ProgramFiles%. Ein Endanwender sieht den Namen auch nie, der kommt nie in die Dos-Box. Meist ist es ihm gar nicht möglich, diese zu öffnen.

Och, lass solche Beispiele, damit kannst Du mich nicht beeindrucken. Ich nutze Linux, und dort habe ich nicht mal einen Antivirusschutz drauf und fühle mich nicht ernsthaft bedroht. So unbedroht wirst Du Dich unter Windows nie fühlen können.

Soll ich Dir mal was verraten:
Ich habe auch nur deshalb seit kurzem einen Antivirenschutz, weil ich den von meiner Firma gestellt bekomme. Wenn ich den kaufen müsste, dann würde ich es ebenfalls sein lassen. 30? im Jahr für die Leistung?

Das machen sich die Firmen ja. Und als Folge kaufen sie zum zwangsverordneten Vista wann immer möglich gleich den XP-Downgrade dazu. Und das hat schon seinen Grund. *So* viele Firmen können nicht irren. Ich denke vielmehr, Microsoft sollte sich da mal Gedanken machen, nicht die Firmen.

Zum Ersten: Firmenkunden haben ein Downgrade-Recht, d.h. sie brauchen sich nicht XP dazukaufen, sondern sie kaufen einfach die neueste Lizenz (Vista oder Server 2008) und installieren dann wenn sie wollen ein älteres System (XP oder Server 2003). Das geht bei Volumenlizenzverträgen.
Zum Zweiten: Firmenkunden migrieren deswegen nur langsam auf Vista, weil viele ihrer Anwendungen derart schlecht geschrieben sind, dass sie nicht mehr laufen. Das kann z.B. daran liegen, dass sie ins %ProgramFiles%-Verzeichnis schreiben wollen, was jetzt nicht mehr geht oder dass sie Windows-DLLs austauschen wollen, was nicht mehr geht. Oder weil im einfachsten Fall der Installer nur fragt, ob das Zielsystem == XP ist und nicht >=XP.
Ich wiederhole mich mal: Jede Software, die korrekt für Windows 2000 nach den Software Guidelines geschrieben wurde, die läuft auch heute einwandfrei unter Vista.
Warum läuft wohl selbst Office 97 unter Vista und andere deutlich neuere Software auch heute noch nicht?

Sowas darf es einfach nicht geben, dass eine solche Firma das nicht meldet. Auch hier sollte es eine Haftung geben, wenn eine solche Firma solche Vorgänge nicht weitermeldet. Das ist ebenfalls kriminell, weil sie damit die Sicherheit von Millionen Usern aufs Spiel setzt.

Hier sind wir absolut einer Meinung.
Hast Du einen Vorschlag, wie man die chinesiche Firma zur Verantwortung zieht?
Bitte schicke diesen Vorschlag an "secure@microsoft.com". Danke.

Tja, bei Geschenken gibt es leider keine Garantie. Und damit auch keine Haftung. Eine Garantie muss gegeben werden, damit niemand abgezockt wird mit einem Produkt, das sein Geld nicht wert ist. Ein kostenloses Produkt ist immer sein Geld wert, selbst dann, wenn es absolut nichts taugt.

Ich werde mal den CIOs meiner Kunden diese These präsentieren und fragen, ob sie nicht hierauf ihr Geschäft aufbauen wollen.
Nee, mache ich lieber nicht, dann fliege ich wohl raus...

Gruß,
Stefan

[Stefan Heße]

So, zuerst möchte ich mich mal bei Stefan bedanken, der mich mit seinen Tipp, das es zwei Versionen (GDR und QFE) gibt auf die Richtige Fährte geschickt hat.
Es ist augenscheinlich so, das KB929798 nur im QFE Zweig vorhanden ist (genaueres weiß ich in 10 Minunten, wenn der Testlauf mit der VMware durch ist).

Auch muss ich mich bei Microsoft entschuldigen (auch, wenn die es wahrscheinlich gar nicht mitbekommen haben), das ich sie als Idioten bezeichnet habe. Mann sollte aus Unwissenheit nicht solche Kommentare abgeben.

Das erste Bier geht auf Dich, falls wir uns irgendwann mal treffen, damit passt es dann.

Das ein zigste was ich noch nicht ganz verstehe ist die 'Inkonsequenz' der update.exe. Auf meinen Rechner hat nämlich die MS08-054 den QFE Pfad installiert. Auf der VMware wird aber der GDR Pfad installiert. Irgendwie scheint das ganze von irgendeinen 'alten' Paket (Evtl. MS08-031, das habe ich nämlich entfernt) abhängig zu sein. Aber, da ich das ganze mit der Option '/b:SP2QFM' umschiffen kann, sehe ich da zur zeit auch kein großes Problem.

Das hört sich abenteuerlich an.
Warum baust Du nicht ein Paket, dass nach den Guidelines erstellt wird?
Dann hast du nie wieder Ärger und brauchst auch nix zu "umschiffen".
Nimm den IE und integriere da per Slipstream die Updates rein, die wirklich benötigt werden.
Welche das sind kannst Du auf der Seite http://www.microsoft.com/technet/security/current.aspx ganz einfach rausfinden. Einfach Dein System auswählen und den Haken bei "Show only bulletins that contain updates that have not been replaced by a more recent update" nicht vergessen. Wenn Du ein halbwegs aktuelles System (Windows XP mit SP2) hast, dann sind das genau 4: MS07-050, MS08-45, MS08-73 und MS08-78.
Ist doch wirklich nicht schwer, oder?
Lass den Installer die Updates integrieren und fummel nicht selbst an den Dateien rum. Dann nimmt der Installer später auch immer den richtigen Zweig.
Das gilt auch für den einen Hotfix, den Du da noch reingebaut hast. Auch den über den Installer rein und fertig.

Da ich aber der Typ dafür bin, habe ich das nicht persönlich genommen. Im gegenteil. Genau das mache ich nämlich. Ich habe in der Setuproutine vom IE7 schon die Dateien von MS08-024 integriert (ausgetauscht), damit nach dem Neustart das Problem, welches mit KB929798 gefixt wird sofort aktiv ist. Ich meine, das ich sogar damals MS08-024 noch einmal installiert habe (man will ja, das die Registry stimmt). Evtl. ist das auch der Grund, warum evtl. unsere Alt System (die alle Zwischenupdates mitbekommen haben) den QFE Pfad wählen, während in der VMware natürlich nur die überarbeiteten Pakete installeirt werden.

Das wäre eine mögliche Erklärung.
Also: mach es einmal richtig und Du hast Ruhe.

Trotzdem vielen Dank für die Hilfe. Ich hoffe, das der Test gleich Positiv verläuft und wir so endlich die IE7 Updates alle installieren können (ich hänge da noch ein wenig hinterher, aber MS08-078 will ich so schnell wie möglich auf die Rechner bringen).

Sehr löblich

Gruß,
Stefan

[Maliboy]

Das hört sich abenteuerlich an.

Finde ich jetzt nicht, da ich die update.exe sowieso schon mit den Parametern '/u /n /z /q' aufrufe.

Warum baust Du nicht ein Paket, dass nach den Guidelines erstellt wird?
Dann hast du nie wieder Ärger und brauchst auch nix zu "umschiffen".
Nimm den IE und integriere da per Slipstream die Updates rein, die wirklich benötigt werden.

Wenn Du mir genau sagen kannst, wie das geht. Im Internet habe ich damals nämlich nur die Anleitung mit den Reinkopieren gefunden. Hat mir auch nicht gefallen, aber es hat funktioniert. Und da mich die Sache damals schon 2 Tage länge beschäftigt hat, als geplant, und es funtkioniert hat, habe ich so weiter gemacht. Vor allem gehen die Updates relativ schnell. HotFix Runterladen. Auspacken. In den Script Ordner kopieren. Installationsskript Anpassen. Evtl. altes HotFix entfernen und gut ist (so lief es auf jedenfall bis jetzt immer).
Der 'Trick' ist ja auch, das ich eigentlich zwei Skripte habe. Ein Installations und ein Update Skript. Das Updateskript wird halt immer ausgeführt, wenn ich ein Sicherheitsupdate einspiele, das Instalaltionsskript nur, wenn der IE7 installiert werden muss (und die Softwareverteilung führt das Updateskript danach automatisch aus).

Welche das sind kannst Du auf der Seite http://www.microsoft.com/technet/security/current.aspx ganz einfach rausfinden. Einfach Dein System auswählen und den Haken bei "Show only bulletins that contain updates that have not been replaced by a more recent update" nicht vergessen. Wenn Du ein halbwegs aktuelles System (Windows XP mit SP2) hast, dann sind das genau 4: MS07-050, MS08-45, MS08-73 und MS08-78.
Ist doch wirklich nicht schwer, oder?

Hmm, beim IE7 installiere ich zur Zeit KB928089, MS07-050_IE7, MS08-073_IE7, MS08-078_IE7. MS08-045 installiere ich gar nicht (und der Base Line Security Analyzer hat das auch nie an gemosert).

Lass den Installer die Updates integrieren und fummel nicht selbst an den Dateien rum. Dann nimmt der Installer später auch immer den richtigen Zweig.
Das gilt auch für den einen Hotfix, den Du da noch reingebaut hast. Auch den über den Installer rein und fertig.

Wie gesagt. Mein Problem war ja nur, das direkt nach der Installation vom IE7 ich die Updates nicht installieren konnte. Also habe ich einfach ein Bugfix integriert damit ich nach der Installation weiter arbeiten kann. Jetzt fahre ich wieder normal über die Installer.

Aber wie gesagt, wenn Du mir sagst, wie ich das korrekt integriere, mache ich das gerne.[/QUOTE]

[steve]

FF scheint leider auch nicht viel besser......

[Maliboy]

Diese Liste hat aber einen Fehler: Programme, die Microsoft direkt updaten kann, kommen erst gar nicht auf die Liste:

Unterdessen führt Firefox nach Angaben des Herstellers Bit9, einem Spezialisten für Application Whitelisting und Application Control, die Liste der am meisten verwundbaren Anwendungen (PDF-Datei) unter Windows an. Dicht darauf folgen Adobe Reader, Adobe Flash, VMware, Java und QuickTime. Auf die Liste gelangten jedoch nur solche Anwendungen, die sich nicht durch Softwareverteilungs- und Update-Tools wie Microsoft SMS und WSUS aktualisieren lassen.

Und wenn Du Dir die Liste anschaust, sind das alles Applikationen, die man tag täglich im Internet verwendet (und zwar, egal mit welchen Browser man surft).

[nollipa]

FF scheint leider auch nicht viel besser......

Das ist ja genau das Problem: Es gibt keinen 100% sicheren Browser. Wir hatten bei uns gestern auch Alternativen diskutiert, aber das scheitert dann schon wieder an einfachen Sachen: Microsoft liefert ja mit seinem WSUS ein wichtiges Tool um den PC Bestand aktuell zu halten. Bei einem Firefox hingegen muss ich mich selbst drum kümmern, dass die Updates auf den PCs gemacht werden. Da unsere User natürlich nur sehr eingschränkte Rechte haben, muss die Softwareverteilung selbst organisiert werden. Beim WSUS sind es wenige Klicks, dann ist alles aktuell.

[jk]

wsus ist ne feine sache...!

[steve]

wsus ist ne feine sache...!

auf deutsch?

[Sabre]

Ist der MS08-78 nicht in MS08-73 (cumulative patch) enthalten?

Geht nicht, weil die Nummer höher ist, oder?

[Maliboy]

Wenn schon umgekehrt. Ist der MS08-073 nicht im MS08-078 enthalten. Antwort: Nein.

Der MS08-073 installiert die mshtml.dll 7.0.6000.16762 (bei der GDR). Der MS08-078 dann die 7.0.6000.16788.

@steve0564
WSUS ist ein Updateserver von Microsoft für das lokale Netz. Soweit ich weiß, kann sich WSUS direkt seine Dateien von Microsoft holen und die Clients im Netz greifen dann nicht auf das Internet sondern auf den WSUS Server zu. IMHO ist WSUS sogar kostenfrei (wenn nicht, Sorry, wir arbeiten halt von Hand mit OPSI).

[nollipa]

auf deutsch?

Windows
Security
Update
Service

Macht aber nur in größeren Netzwerken Sinn. Der WSUS lädt alle verfügbaren Updates für das Betriebssystem und Office (auch andere MS Produkte?), der Admin entscheidet dann, was wann bei wem installiert wird.

Ich weiß zwar, auf welchem Server das bei uns installiert ist, überlasse das aber unserer EDV Firma was wann gepatched wird.

[steve]

Danke!

[hagge]

OK, dann will ich das mal mit einem Beispiel erklären:
Wenn ein Betrüger eine neue Methode entwickelt hat, wie er Leute um ihr Geld betrügt, meinst Du er würde zur Polizei gehen und denen von der Methode erzählen, damit die Polizei die Leute warnen kann?
Die Hacker wollten die Lücke ausnutzen, um Geld zu verdienen. Die waren nicht daran interessiert, dass die Lücke gestopft wird, darum haben sie auch niemals Microsoft Bescheid gegeben, dass diese Lücke existiert.

Das versteht sich ja von selbst.

Woher die chinesische Firma, die schließlich das Sicherheitsloch veröffentlicht hat, ihre Informationen her hat, darüber möchte ich nicht spekulieren. Da mag sich jeder seinen Teil denken.

Also mir klang das nach einer Sicherheitsfirma, so wie Avira oder Kaspersky hier. Vielleicht war es auch sowas wie ein CERT, keine Ahnung. Bei Dir klingt es aber zwischen den Zeilen schon fast so, als ob die selbst für den Hack verantwortlich ist. Ich will da nicht länger drüber spekulieren, es war ja schließlich nur der Anlass für meine Überlegung: schnell veröffentlichen oder lieber nur inoffiziell warnen und warten, bis Patches zur Verfügung stehen.

Da bist Du falsch informiert. Zumindest bei Microsoft wird SEHR viel Geld ausgegeben, um sichere Software zu schreiben. Die Trustworthy Computing Initiative wird auch heute noch gelebt. Der von den Entwicklern geschriebene Code wird über ein mehrstufiges System teilweise automatisiert, teilweise aber auch von Menschen auf Fehler hin überprüft. Jeder Entwickler, der bei Microsoft Software schreibt, muss durch ein spezielles Training, das ihn lehrt, worauf man bei Softwareentwicklung zu achten hat. Was soll man noch machen?

Damit willst Du also sagen, dass jede Software jede Menge Fehler enthält, weil es gar nicht anders geht. Dass also auch sicherheitsrelevante Software an massenhaft Stackoverflows leidet und locker flockig vom erstbesten Hacker ausgehebelt werden kann, wie es bei Microsoft nun mal tagtäglich der Fall ist? Sorry, aber das glaube ich nicht.

Es wird immer einen genialen Hacker geben, der auf Ideen kommt, wie man Software angreifen könnte, an die vorher nie jemand gedacht hat.

Das ist in der Tat wahr. Aber das Ziel müsste dann sein, zumindest die bekannten Verfahren halbwegs dicht zu kriegen.

Du widersprichst Dir hier selbst, indem Du zugibst, dass selbst die Software nicht 100% fehlerfrei ist.

In dem Sinne, wie ich es eben sagte. Genial neue Hackmethoden kann wohl niemand vorhersehen, und auch die sicherste Software wird hier und da noch ein paar wenige Bugs enthalten (mit ein Grund, warum ich auf die hierzulande so hoch gelobte Sicherheit in Kernkraftwerken gar nicht allzu viel gebe, wenn ich weiß, was da alles über Software geschieht.) Aber es sieht bei gut geschriebener Software definitiv nicht so aus, dass jeden Monat eine Reihe von Patches kommen muss, weil wieder Löcher gefunden wurden.

Wir sind Zulieferer für Firmen, die medizinische Geräte herstellen. Da müsste mit jedem Patch und jeder Korrektur der ganze Zertifizierungsprozess neu los gehen, was mehrere Wochen dauern kann. Das können die sich gar nicht leisten. Da muss von Anfang an schon mit höchster Präzision gearbeitet werden, damit die Zertifizierung klappt und dann muss das Ding funktionieren, auf Teufel komm raus. Da sind z.B. Windows CE und Linux ein absolutes No-Go, weil man deren Verhalten überhaupt nicht abschätzen kann, ja nicht mal eine Risikoberechnung dafür angeben kann.

Wenn ich Hello World programmiere, dann würde ich Dir vielleicht zustimmen, dass es fehlerfrei machbar ist, aber bei einer Komplexität, die ein heutiges OS hat, ist das leider unbezahlbar.

Ist es wirklich unbezahlbar? Oder ist uns diese Sicherheit heute einfach nur noch nicht mehr Geld wert? Was passiert, wenn mal wirklich millionenfach Leute geschädigt werden? Nimm mal den Fall, jemand würde ein Schadprogramm schreiben, das sich erst mal vermehrt und dann nach einer gewissen Zeit die Festplatte löscht. Der Schaden, der dadurch angerichtet würde, wäre immens. Da wäre im Vergleich dazu ein 10x so teures Windows ein Pappenstiel.

Ich bin fest davon überzeugt, wenn wirklich mal ein Schädling nennenswert Schaden anrichtet, dass dann genau diese Rechnung aufgemacht wird und sich die Softwarefirmen fragen lassen müssen, ob nicht doch etwas mehr machbar gewesen wäre, auch wenn's dadurch teurer geworden wäre. Und dann werden ein paar Köpfe rollen.

Es gibt bei vielen Kunden ein Intranet, das nix mit dem Internet zu tun hat. Viele Mitarbeiter meiner Kunden dürfen nicht mal im Internet surfen.

Aber die sind doch dann durch dieses Problem gar nicht tangiert, weil der Schädling doch gar nicht ins Intranet gelangen kann. Für die ist dieses eilige Handeln also gar nicht gedacht, sondern nur für die Internet-Leute. Und da gilt das von mir Gesagte.

Traurig, aber leider Realität. Und im Intranet werden viele Dinge genutzt, die nur der IE kann. Da kann man nicht mal so eben auf einen anderen Browser wecheln.

Ja, aber das ist dann eigentlich firmeninterne Software und die interessiert den Kunden auf der Straße überhaupt nicht.

Manchmal muss man jedoch Kompromisse eingehen.

Da stimme ich Dir zu, aber ein Kompromiss gilt ja nur so lange, wie alle Seiten damit zufrieden sind. Wenn sich aber die Gewichtung verschiebt, z.B. weil immer mehr Schaden durch solche Lücken angerichtet wird, dann muss sich auch der Kompromiss verschieben. Und genau das ist ja mein Gedankengang, dass man vielleicht durch eine schnellere Veröffentlichung hier das bisherige Gleichgewicht, das zwar den Firmen gefällt, aber den Usern eine stagnierende Sicherheit auf mäßigem Niveau bringt, ein klein wenig verschieben kann, um endlich mal wieder die Firmen zu einer neuen Initiative zu zwingen. Klar gefällt das den Firmen nicht. Aber ich will keine Lösung, die billig ist und niemand weh tut, sondern ich will eine Lösung, die *jetzt* mehr Sicherheit bringt, um in Zukunft dann besser gewappnet zu sein. Denn dann wären die Kosten definitiv höher.

Deine Frau ist aber nicht gerade repräsentativ für große Firmen, sorry.

OK, wenn Du nur Firmenkunden meintest, dann sieht das anders aus. Andererseits bleiben solche Fälle, wo man wegen dem Vendor Lock-in zwangsweise bei einem Produkt (hier IE) bleiben musste, durchaus in Erinnerung und können bei späteren Entscheidungsfindungen durchaus eine Rolle spielen, z.B. wenn mal wieder das nächste größere OS-Update ansteht.

Ich kenne nicht einen meiner Kunden, der den Firefox oder einen anderen Browser einsetzt. Abgesehen davon, dass der Firefox (um bei dem Beispiel zu bleiben) auch seine Sicherheitslücken hat (siehe hier)

Stimme ich zu, auch der Firefox hat Lücken. Aber hier gilt eben wieder der Vorteil des kostenlosen. Wo ich nichts zahlen muss, darf ich auch keine Ansprüche stellen. Mir steht es ja frei, das Produkt zu nehmen oder nicht. Aber mal ganz abgesehen davon, dafür, dass ein solches kostenloses Produkt also theoretisch gar nicht so toll sein müsste, steht es in der Praxis erstaunlicherweise dem kostenpflichtigen Produkt von Microsoft nicht wirklich nach.

Hast Du mal versucht einen Firefox auf 10.000 Maschinen zu installieren? Einer meiner Kunden hat das versucht. Nur so viel: Er ist wieder zum IE zurückgekehrt.

Das Installieren auf 10.000 Systemen ist nicht die Aufgabe des Internetbrowsers, sondern die Aufgabe des Betriebssystems oder sogar eines speziellen Installationsprogramms. Und warum klappt das mit Firefox unter Windows nicht? Weil Microsoft sich weigert, diesen Browser in den dort verfügbaren Verteil- und Update-Mechanismus einzubinden. Da kann aber Firefox nichts dafür. Nimm ein anderes System wie Linux, wo Firefox anständig unterstützt wird, dort geht das mit dem Firefox auf 10.000 Maschinen butterleicht, genauso wie der Rest des Systems. Also nicht aus einem Mangel von Windows auf einen Mangel von Firefox schließen. Das ist unfair!

Habe ich das getan? Das habe ich von Vista behauptet, aber nicht vom IE, das musst Du verwechselt haben.

Du hast gesagt: "Und wenn die anderen Browser auch funktionell so weit wären, dann hätten sie die gleichen Probleme, glaub' mir." Das impliziert für mich, dass Du glaubst, der IE sei weiter als andere Browser. Und das habe ich angezweifelt.

Selbst wenn ich das getan hätte, dann kommt es immer auf die Betrachtungsweise an:
Nur die Acid-Kompatibilität macht noch keinen guten Browser aus.

Sondern? Mit diesem Test wird nachgeprüft, wie gut sich der Browser an den Standard hält. Und das ist für mich ein sehr praxisrelevanter Test. Denn wie soll man Webseiten schreiben, wenn man sich nicht an den Standard halten kann? Wenn man jedesmal für den IE eine Extrawurst braten muss? Das nervt doch nur.

Und ob mein Browser jetzt Tabs anzeigen kann oder nicht, macht in einer Firma auch nicht wirklich viel her.

Komischerweise hat der IE7 das aber gleich mal als erstes nachimplementiert. Und ich nutze Tabbed-Browsing sehr oft, *auch* in der Firma.

In einem Großunternehmen zählen folgende Dinge (Die Reihenfolge der Prioritäten legt jedes Unternehmen selbst fest):
1. Funktionalität bildet das ab, was das Unternehmen benötigt und am besten nicht mehr

Dann ist aber der IE nicht das beste Mittel der Wahl, denn er bildet viel mehr ab, als die meisten Firmen benötigen. Und viel der Funktionen, die Du für die Firmen als so wichtig bezeichnest, sind einfach die Folge davon, wenn man sich einmal auf die MS-Schiene eingelassen hat. Dann wird man eben gezwungen, mit gewissen Mechanismen zu arbeiten. Und dadurch wird man als weitere Folge eben gezwungen, den IE zu benutzen, weil der diese Features wie ASP u.ä. alleine nur kann. Ob das aber insgesamt notwendig ist, oder ob man nicht auf einem anderen Wege mit weiter verbreiteten und standardisierten Methoden, die auch andere Tools/Browser können, auch auskäme, ist noch sehr fraglich.

2. Einfache Anpassbarkeit

Also da kann der Firefox mit seinen Add-ons locker mithalten.

3. Schnelles und einfaches Deployment

Wie gesagt, das ist Aufgabe des Betriebssystems, nicht des Browsers. Dieser Punkt fällt für mich also komplett weg.

4. Zuverlässiger Support

Sehe ich bei Microsoft auch keinen Vorteil. Großunternehmen würden beispielsweise bei einem Linux auch ein supportetes Produkt kaufen, z.B. von IBM oder Red Hat oder Montavista oder Sun oder wem auch immer und dann haben sie genau die gleichen Vorteile. Und selbst wenn es nur um den Internetbrowser ginge, frage ich mich, ob man da bei Microsoft tatsächlich schneller und zuverlässiger Support bekommt als bei einem OpenSource-Projekt wie Firefox. Da geht so ein Bugfix meist auch ratzfatz.

5. Vorausplanbarer Lifecycle

Auch hier sehe ich den Lifecycle der OpenSource-Produkte eher im Vorteil. Im Gegenteil, wenn MS was abkündigt, dann kann man sich drehen und wenden wie man will, man kann es nicht mehr weiter benutzen. Das heißt der Lifecycle ist dort sehr streng zeitlich begrenzt. Bei Open-Source gilt diese Beschränkung nicht. Und bei neuen Versionen ist der Prozess bei OpenSource mindestens genauso überschaubar wie bei Micorsoft, ja ich würde sogar behaupten, man weiß noch mehr darüber als bei einem Closed-Source-Produkt wie dem IE. Bei Firefox wird jetzt schon diskutiert, was in Version 4 und zukünftigen Versionen eingebaut werden soll. Und man kann sogar aktiv mit eigenen Vorschlägen teilnehmen oder gar mit Manpower aktiv daran mitwirken. Bei MS bekommt man hingegen irgendwann ein fertiges Produkt vor die Nase geknallt und das muss man nehmen. Einfluss hat man da recht wenig drauf. Und da willst Du mir nun erzählen, dass dennoch der MS-Prozess vorausplanbarer ist? Das kann ich beim besten Willen nicht nachvollziehen.

Die Zertifizierung ist nocht nicht abgeschlossen, wird aber kommen.
Für mich ist das allerdings überhaupt nicht ausschlaggebend. Nur das ein OS EAL4+ zertifiziert ist, heißt nicht, dass es automatisch sicher ist. Es gibt zu jeder Zertifizierung eine genaue Anleitung, wie das System aufgebaut und betrieben werden muss, um diese Sicherheit auch zu gewährleisten.
Hast Du Dir mal ansatzweise durchgelesen, was da alles gemacht werden muss?
Total Realitätsfremd. Das setzt kein Kunde so ein. Also wieder mal alles zu synthetisch, keinerlei praktischen Nutzen.

Das sei dahingestellt. Ich will da jetzt auch nicht tiefer drauf eingehen, es sollte nur zeigen, dass es mit der um Lichtjahre besseren Sicherheit von Vista bezüglich anderer Betriebssysteme nicht so weit her ist, wie Du im ersten Moment behaupten wolltest.

Ja, Du hast Recht. In der RTM hat man es mit der UAC etwas übertrieben, aber in der SP1 Version hat man nachgebessert. Jetzt demnächst mit SP2 wird es wieder weiter verbessert werden.

Wie war das doch gleich nochmal mit der Einführung von Software im Beta-Stadium als Final Release, was ich in meinem letzten Beitrag monierte?

Trotzdem ist das Einführen der UAC mehr als sinnvoll.

Auch hier bei der Userverwaltung war nebenbei bemerkt Linux dem Windows schon Jahrzehnte lang voraus, weil es von Anfang an als Multiuser-System konzipiert war. Insofern ist das nur ein Aufholen von Windows, und nichts weltbewegend Neues, mit dem sich Microsoft nun nennenswert brüsten kann.

Das macht aber Microsoft ganz gerne, also alte Hüte als Weltneuheit zu verkaufen. Als vor ein paar Jahren der Terminalserver von Microsoft raus kam, war mir zuerst nicht ganz klar, was das soll. Dann fragte ich einen Kollegen, was das eigentlich ist. Und er erklärte mir es lang und breit und immer mehr verstand ich dann endlich, dass damit Microsoft nun etwas als super duper neues Feature verkaufte, was unter Unix schon seit 30 Jahren und bei Linux dann auch Gang und Gäbe war: dort gibt es schon seit Anbeginn X-Terminals und jeder X-Server hat diese Funktion so ganz nebenbei eingebaut, was bei Microsoft mit einem Terminalserver teuer gekauft werden muss. Das habe ich in den 80er-Jahren schon an der Uni ganz alltäglich genutzt. Das musste ich darum erst mal verdauen, dass es bis dahin mit Windows gar nicht möglich war, auf dem einen Arbeitsplatz die Ausgabe eines Programmes zu sehen, das auf einem anderen Rechner ausgeführt wurde.

Also die Variable %ProramFiles% gab es schon bei Windows 95, evtl. sogar noch länger.

Sag ich ja. Und es dauerte Jahre, bis sie genutzt wurde. Immer wieder gab es Programme, die nach "Program Files" installieren wollten. Also war man aufmerksam, und sobald dieser Name bei der Installation auftauchte, war Vorsicht geboten und das Ändern des Zielordners angesagt. Und jetzt, unter Vista, taucht der Name auch ständig wieder auf. Wollen Sie nach "Program Files" installieren? Aus alter Gewohnheit denke ich nein, und will mit dem Fileselektor ein anderes Verzeichnis suchen. Ich wähle "Programme" aus und kehre zurück und wieder fragt mich die Installation, ob ich nach "Program Files" installieren möchte. Hallo? Ich habe doch gerade "Programme" gesagt, wieso werde ich nun schon wieder nach "Program Files" gefragt? Wie kommt das? Nun, weil an dieser Stelle der Systemname durchkommt. Wenn ich "Programme" auswähle, dann sieht das Programm intern "Program Files" und liest mir das dann auch so vor. Das ist doch völlig verwirrend und alles andere als intuitiv.

Ja, wenn man ein multilinguales Betriebssytem schreiben will, dann geht es leider nicht anders.

Doch, Du hast es doch gerade selbst gesagt, über die entsprechende Environmentvariable oder einen anderen sinnvolleren Mechanismus. Aber eine Datei anders anzuzeigen, als sie tatsächlich heißt, das öffnet doch allen möglichen fiesen Tricks Tür und Tor, wie z.B. Rootkits, die damit locker ihre Namen verbergen können. Und wenn man von einem anderen System aus auf diese Files zugreift, sieht man auch wieder nur die Systemnamen. Also das ist gelinde gesagt eine der dummsten Ideen, die sich Microsoft in den letzten Jahren hat einfallen lassen. Das ist Security-Risk-by-Design.

Zum Ersten: Firmenkunden haben ein Downgrade-Recht, d.h. sie brauchen sich nicht XP dazukaufen, sondern sie kaufen einfach die neueste Lizenz (Vista oder Server 2008) und installieren dann wenn sie wollen ein älteres System (XP oder Server 2003). Das geht bei Volumenlizenzverträgen.

Du siehst das immer aus der Großkundensicht. Die haben viele Probleme nicht, die kleinere Firmen oder Privatleute aber sehr wohl haben. Diese Großkunden sind aber nicht die Durchschnittsuser.

Zum Zweiten: Firmenkunden migrieren deswegen nur langsam auf Vista, weil viele ihrer Anwendungen derart schlecht geschrieben sind, dass sie nicht mehr laufen. Das kann z.B. daran liegen, dass sie ins %ProgramFiles%-Verzeichnis schreiben wollen, was jetzt nicht mehr geht oder dass sie Windows-DLLs austauschen wollen, was nicht mehr geht.

Ja und? Wer muss sich dann Gedanken machen? 1000 Firmen oder Microsoft? Ich bin fest davon überzeugt, dass die Vista-Statistik für Firmen eigentlich furchtbar aussieht, weil kaum eine Firma wirklich Vista einsetzt und stattdessen den Downgrade nutzt. In die Vista-Verkaufszahlen sind diese Rechner aber sehr wohl eingegangen. Aber da lügt sich Microsoft in die eigene Tasche. Nun gut, das kann mir ja egal sein.

Ich wiederhole mich mal: Jede Software, die korrekt für Windows 2000 nach den Software Guidelines geschrieben wurde, die läuft auch heute einwandfrei unter Vista.
Warum läuft wohl selbst Office 97 unter Vista und andere deutlich neuere Software auch heute noch nicht?

Office 97 ist ein ganz schlechtes Beispiel. Das nutzte jede Menge inoffizieller Features, die für andere Software mangels Dokumentation Tabu waren. Dadurch hat es mir seinerzeit schon so manchmal einen Win98-PC zum Komplettabsturz gebracht, wo bei anderen Programmen sich nur der Prozess aufgehängt hätte.

Und was die Guidelines angeht. Microsoft hält sich doch selbst oft nicht an die Gepflogenheiten, die unter Windows üblich sind. Wenn mich irgendeine Software nicht nach einem Zielverzeichnis fragt, sondern schnurstraks nach C: installiert, dann sind das Microsoft-Programme. Wenn es irgendwelche Programme gibt, die sich zwar installieren, aber nicht mehr deinstallieren lassen, dann sind das Microsoft-Programme. Stichwort DirectX. Steht das auch so in den Installations-Guidelines drin? Kann ich mir nicht vorstellen. Also nicht mit Steinen werfen, wenn man selbst im Glashaus sitzt.

Hier sind wir absolut einer Meinung.
Hast Du einen Vorschlag, wie man die chinesiche Firma zur Verantwortung zieht?

Ob das nun eine chinesische Firma ist oder eine russische oder eine deutsche, das ist letzendlich egal. Es gibt keine Vorschrift, wie sich so eine Firma verhalten soll, sondern es sind sozusagen nur Gentlemen-Agreements, dass man sich ruhig verhält und den Bug an den Hersteller meldet. Und das scheint nicht zuverlässig zu funktionieren. Klar kann ich auch niemand dazu zwingen, etwas zu veröffentlichen. Aber schau Dir mal den Unterschied im Prozess an:

Auf der einen Seite: ich finde ein Problem, ich veröffentliche das Problem.

Auf der anderen Seite: ich finde ein Problem, ich schaue, ob schon jemand anderes das Problem gefunden hat. Wenn nein, an wen muss ich mich wenden? Wenn ja, wie ist der aktuelle Stand der Bearbeitung. Und ist schon eine angemessene Zeit vergangen, seit der Fehler gemeldet wurde? Wie bekomme ich das überhaupt raus, wenn es doch im Geheimen gemeldet wird? Darf ich schon veröffentlichen? Oder soll ich mal beim Hersteller nachmahnen? Oder bei dem nachfragen, der die ursprünglichen Meldung gemacht hat? Eventuell muss ich es dann doch irgendwann veröffentlichen, spätestens, wenn der Hersteller einen Patch parat hat. Oder wenn der Hersteller sich nicht rührt. Denke ich dann aber überhaupt noch an das Problem?

Mal ehrlich, welches dieser beiden Verfahren bietet mehr Chancen für Fehler?

Ich werde mal den CIOs meiner Kunden diese These präsentieren und fragen, ob sie nicht hierauf ihr Geschäft aufbauen wollen.
Nee, mache ich lieber nicht, dann fliege ich wohl raus...

Nun, das ist eben ein anderes Geschäftsmodell. Jedes hat seine Vor- und Nachteile. Die Verpflichtungen, die man eingeht, wenn man etwas gegen Geld verkauft, sind eben anders als bei einem Produkt, das verschenkt wird.

Mir geht es hier aber gar nicht darum, Microsoft so an den Karren zu fahren, eigentlich verteidige ich nur die Objektivität und relativiere ein paar aus meiner Sicht zu MS-lastige Aussagen. Ich könnte aber vergleichbare Listen mit Mängeln auch in anderen Produkten oder in Linux aufzählen. Ich nutze Windows und Linux parallel und finde beides nicht schlecht. Letztendlich bin ich da eher emotionslos, ich will einfach nur gerne gut funktionierende Software einsetzen, und das darf auch gerne was kosten, wenn es dann entsprechend besser ist. Wenn in Linux was nicht tut, rege ich mich genauso drüber auf und verfluche es, wie bei Windows.

Ich finde jeder, der ordentliche Software abliefert, soll seinen Marktanteil bekommen. Nur muss sich eben eine Firma, die Geld für ihre Produkte verlangt, schon andere Fragen stellen lassen, als eine Firma, die das Produkt für lau hergibt. Auch was die Sicherheit angeht.

Mein Frage ist mit diesen Beiträgen hier, wie das in der Zukunft weiter gehen soll. Die Anzahl der Exploits nimmt zu, gleichzeitig wird die Schadsoftware immer besser gemacht und selbst Profis haben manchmal Probleme, Virenmails zu erkennen oder können genauso wenig den Phishing-Versuchen entgegensetzen wie jeder andere auch. Man folgt nun mal einem Link durch draufklicken und gibt ihn nicht jedes Mal neu in die Adresszeile ein. Und wenn da irgendwo ein Nicht-ASCII-Zeichen drin steckt und man dadurch auf der falschen Webseite landet, dann kann das jedem passieren. Oder wenn man auf einer seriösen, aber dennoch durch SQL-Injection infizierten Webseite surft, dann ist da niemand vor Schaden gefeit.

Sollen wir das weiterhin akzeptieren und alles so weiter laufen lassen wie bisher? Oder muss man sich nicht mal so langsam überlegen, ob man nicht was ändern kann. Und darum habe ich ja diese Frage, Exploits schnell veröffentlichen oder nicht, zur Diskussion gestellt. Weil dies wäre aus meiner Sicht ein Weg, hier mal etwas Bewegung in die Sache zu bringen. Klar gefällt das den Herstellern erst mal nicht, aber wem muss es objektiv gesehen nützen? Den Herstellern oder den Endusern? Ich denke doch eher den Endusern.

Sorry für das lange Posting, aber bei so interessanten Themen kann ich mich nicht bremsen.

Gruß,

Hagge

[Stefan Heße]

Damit willst Du also sagen, dass jede Software jede Menge Fehler enthält, weil es gar nicht anders geht. Dass also auch sicherheitsrelevante Software an massenhaft Stackoverflows leidet und locker flockig vom erstbesten Hacker ausgehebelt werden kann, wie es bei Microsoft nun mal tagtäglich der Fall ist? Sorry, aber das glaube ich nicht.

Leider ist es so. Schau mal hier

Ist es wirklich unbezahlbar? Oder ist uns diese Sicherheit heute einfach nur noch nicht mehr Geld wert? Was passiert, wenn mal wirklich millionenfach Leute geschädigt werden?

Vielleicht solltest Du in den Vertrieb gehen. Bei den Kunden ist selten jemand bereit für Sicherheit Geld in die Hand zu nehmen.

Ich bin fest davon überzeugt, wenn wirklich mal ein Schädling nennenswert Schaden anrichtet, dass dann genau diese Rechnung aufgemacht wird und sich die Softwarefirmen fragen lassen müssen, ob nicht doch etwas mehr machbar gewesen wäre, auch wenn's dadurch teurer geworden wäre. Und dann werden ein paar Köpfe rollen.

Die Realität sieht leider etwas anders aus:
Ja, Software ist nicht 100% sicher, aber wenn die Firmen wenigstens halbwegs aktuelle Patches einspielen würden, dann wären wir wenigstens da schon mal ein ganzes Stück weiter.
Kleines Beispiel gefällig?
Ich musste mir die letzten Tage von einem meiner Kunden ziemlich deutliche Worte anhören, warum wir denn für das IE-Problem "immer noch keinen Fix" haben.
Gestern Abend um 19:00 Uhr deutscher Zeit kam ja der Fix raus und ich habe alle Kunden darüber informiert. Heute nachmittag habe ich dann alle meine Kunden abtelefoniert und nach dem Status gefragt. Jetzt darfst Du mal raten:
Hat der Kunde, der mich gestern ausgezählt hat, warum wir das Update immer noch nicht haben, das Update heute nachmittag installiert gehabt? Nein, hatte er nicht. Da kommt richtig Freude auf, oder?

Aber die sind doch dann durch dieses Problem gar nicht tangiert, weil der Schädling doch gar nicht ins Intranet gelangen kann. Für die ist dieses eilige Handeln also gar nicht gedacht, sondern nur für die Internet-Leute. Und da gilt das von mir Gesagte.

Das ist ein Trugschluß, den leider viele begehen. Ich nenne das immer "Firewall-Hörigkeit".
Es gibt eine Studie von Gartner, die aufzeigt, dass ca. 70% der Angriffe auf ein Unternehmen von innen erfolgen. Und da nützt mir meine Firewall gar nix. Daher halte ich es für sehr gefährlich, sich nur auf eine Firewall zu verlassen. Nur 30% fange ich damit ab.

Ja, aber das ist dann eigentlich firmeninterne Software und die interessiert den Kunden auf der Straße überhaupt nicht.

Mit der Art von Software wird aber das Geld von den Kunden verdient und da hängen tausende Arbeitsplätze dran. Ob Lieschen Müller bei einem Virus ihre privaten Fotos verliert ist vielleicht schade, aber nicht schlimm.
Bei den Firmenkunden spielt die Musik. Wenn die Daten weg sind, dann ist auch das nicht schlimm, schließlich hat man ja ein Backup. Was aber, wenn die Daten in falsche Hände geraten?
Frag mal bei der WestLB an, wie begeistert die sind.

Und genau das ist ja mein Gedankengang, dass man vielleicht durch eine schnellere Veröffentlichung hier das bisherige Gleichgewicht, das zwar den Firmen gefällt, aber den Usern eine stagnierende Sicherheit auf mäßigem Niveau bringt, ein klein wenig verschieben kann, um endlich mal wieder die Firmen zu einer neuen Initiative zu zwingen. Klar gefällt das den Firmen nicht. Aber ich will keine Lösung, die billig ist und niemand weh tut, sondern ich will eine Lösung, die *jetzt* mehr Sicherheit bringt, um in Zukunft dann besser gewappnet zu sein. Denn dann wären die Kosten definitiv höher.

Wo ist denn das mäßige Niveau?
Das definierst Du für Dich. Kennst Du eine einzige Firma, die aufgrund des IE-Loches Probleme hatte? Und wenn der Fix nicht an die Öffentlichkeit gelangt wäre und erst im Januar gefixt worden wäre, dann hätte das auch nichts daran geändert.
Die reale Gefahr bestand erst als es veröffentlicht wurde und kein Fix da war. Das war kritisch. Die letzten Sicherheitslöcher sind alle schnell gefixt worden, ohne dass auch nur jemand etwas davon gemerkt hat. Da haben die Entdecker der Lücken auch verantwortungsvoll gehandelt.
Übrigens war Microsoft am Anfang des Prozesses ziemlich allein auf weitem Feld mit dieser Meinung. Inzwischen halten es auch alle anderen großen und namhaften Softwarehersteller so und haben sich für diese Vorgehensweise entschieden: Oracle, Apple, SAP, Cisco etc.

Stimme ich zu, auch der Firefox hat Lücken. Aber hier gilt eben wieder der Vorteil des kostenlosen. Wo ich nichts zahlen muss, darf ich auch keine Ansprüche stellen. Mir steht es ja frei, das Produkt zu nehmen oder nicht.

Jetzt sei doch mal wirklich ehrlich:
Würdest Du auf diese Basis Dein Geschäft aufbauen? So ein Produkt käme bei mir nicht mal in die erste Ausschreibungsrunde.

Das Installieren auf 10.000 Systemen ist nicht die Aufgabe des Internetbrowsers, sondern die Aufgabe des Betriebssystems oder sogar eines speziellen Installationsprogramms.

Falsch, das ist die Aufgabe einer Softwareverteilung. Die kann z.B. SCCM heißen oder LANDesk oder Tivoli oder wie auch immer.
Der Hersteller der Anwendung sollte seine Pakete nur so bauen, dass diese möglichst effektiv so paketiert werden können, dass sie einfach ausgerollt werden können. Und da liegt das Problem bei vielen Anwendungen. Das ist die Stärke von Microsoft.

Und warum klappt das mit Firefox unter Windows nicht? Weil Microsoft sich weigert, diesen Browser in den dort verfügbaren Verteil- und Update-Mechanismus einzubinden. Da kann aber Firefox nichts dafür.

Microsoft ist nicht dafür zuständig, die Anwendungen von Fremdanbietern auszurollen. WSUS ist eine kostenlose Software, die dabei hilft Microsoft Technologien mit Updates zu aktualisieren. Für Firefox gibt es ja nicht mal Updates. Da darfst Du jedes Mal die ganze Anwendung neu verteilen. Das soll Mozilla mal schön selbst machen.

Nimm ein anderes System wie Linux, wo Firefox anständig unterstützt wird, dort geht das mit dem Firefox auf 10.000 Maschinen butterleicht, genauso wie der Rest des Systems.

Das wäre mir neu. Wie verteilst Du denn RedHat oder Suse auf 10.000 Clients per Zero-Touch?

Wie gesagt, das ist Aufgabe des Betriebssystems, nicht des Browsers. Dieser Punkt fällt für mich also komplett weg.

Aus den oben genannten Gründen ist das nicht die Aufgabe des OS sondern einer Softwareverteilung. Und solange der Firefox nicht sauber verteilt werden kann wird der bei Enterprisekunden nicht eingesetzt.

Auch hier sehe ich den Lifecycle der OpenSource-Produkte eher im Vorteil. Im Gegenteil, wenn MS was abkündigt, dann kann man sich drehen und wenden wie man will, man kann es nicht mehr weiter benutzen. Das heißt der Lifecycle ist dort sehr streng zeitlich begrenzt.

Der Lifecycle bei MS sieht folgendermassen aus: http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle
Kurz zusammengefasst:
Mindestens 5 Jahre vollen Support
Mindestens 10 Jahre Security Updates. Bei Windows XP als Beispiel werden es voraussichtlich sogar 12,5 Jahre sein.
Wer länger als 10 Jahre Security-Updates benötigt, der kann ein Custom Support Agreement abschließen. Es gibt noch einige wenige Kunden, die das z.B. für NT4 haben. Und das ist bereits 13 Jahre auf dem Markt.
Red Hat als Beispiel bietet 4+1+2= 7 Jahre.
Das halte ich für schlechter, siehst Du das anders?

Bei Open-Source gilt diese Beschränkung nicht.

Wieso nicht?
Weil Du selbst Hand anlegen kannst wegen Open Source?
Das ist eine theoretische Möglichkeit, die wohl kein Firmenkunde nutzen wird.

Bei MS bekommt man hingegen irgendwann ein fertiges Produkt vor die Nase geknallt und das muss man nehmen. Einfluss hat man da recht wenig drauf. Und da willst Du mir nun erzählen, dass dennoch der MS-Prozess vorausplanbarer ist? Das kann ich beim besten Willen nicht nachvollziehen.

Ich gebe Dir Recht: Ein Privatanwender wie Du wird da nicht gefragt, was in die neue Version rein kommt.
Für Firmenkunden gibt es Betaprogramme, TAPs (Technical Adoption Program) und RDPs (Rapid Depolyment Program). Da wird sehr genau darauf geachtet, was als nächstes in das neue Produkt kommt. Schließlich will man damit Geld verdienen und das geht nur, wenn der Kunde genau das erhält, was er haben will.

Du siehst das immer aus der Großkundensicht. Die haben viele Probleme nicht, die kleinere Firmen oder Privatleute aber sehr wohl haben. Diese Großkunden sind aber nicht die Durchschnittsuser.

Damit verdient Microsoft aber sein Geld. Und wer zahlt, der bestimmt wo es lang geht. So funktioniert Marktwirtschaft.

Ja und? Wer muss sich dann Gedanken machen? 1000 Firmen oder Microsoft? Ich bin fest davon überzeugt, dass die Vista-Statistik für Firmen eigentlich furchtbar aussieht, weil kaum eine Firma wirklich Vista einsetzt und stattdessen den Downgrade nutzt. In die Vista-Verkaufszahlen sind diese Rechner aber sehr wohl eingegangen. Aber da lügt sich Microsoft in die eigene Tasche. Nun gut, das kann mir ja egal sein.

Meine Kunden werden fast alle auf Vista migrieren so sie es denn nicht schon getan haben. Einer wird wohl auf Windows 7 warten müssen, aber das hat andere Gründe.

Und was die Guidelines angeht. Microsoft hält sich doch selbst oft nicht an die Gepflogenheiten, die unter Windows üblich sind. Wenn mich irgendeine Software nicht nach einem Zielverzeichnis fragt, sondern schnurstraks nach C: installiert, dann sind das Microsoft-Programme.

Nenn mir nur ein einziges Beispiel, bitte. Und keine Uralt-Software rausholen, das sind olle Kamellen. Alles was jünger ist als 1995 installiert sich mit Sicherheit nicht in C:

Wenn es irgendwelche Programme gibt, die sich zwar installieren, aber nicht mehr deinstallieren lassen, dann sind das Microsoft-Programme. Stichwort DirectX. Steht das auch so in den Installations-Guidelines drin? Kann ich mir nicht vorstellen. Also nicht mit Steinen werfen, wenn man selbst im Glashaus sitzt.

DirectX ist kein Programm, sondern ein Systemupdate. Es gibt leider Updates, die man nicht deinstallieren kann. Das hat auch Gründe. Diese Gründe sind in dem zugehörigen KB-Artikel beschrieben.

Aber schau Dir mal den Unterschied im Prozess an:

Nur weil ein Prozess einfacher ist und daher weniger fehleranfällig muss er vom Ergebnis her nicht besser sein. Diesen falschen Schluss ziehst Du hier jedoch.

Ich finde jeder, der ordentliche Software abliefert, soll seinen Marktanteil bekommen. Nur muss sich eben eine Firma, die Geld für ihre Produkte verlangt, schon andere Fragen stellen lassen, als eine Firma, die das Produkt für lau hergibt. Auch was die Sicherheit angeht.

Ich stimme Dir zu. Dann muss man aber die Antworten auch objektiv bewerten und seine Meinung manchmal auch revidieren können.
Maliboy hat es ja auch schon getan.
Viele Vorurteile lösen sich in Luft auf, wenn man sich beide Seiten anhört und dann seine Meinung trifft. Wenn man aber immer nur alles glaubt, was die total verborten Linux-Jünger so erzählen, dann begibt man sich leider auf dünnes Eis.
Viele der Mythen, die heute immer noch verbreitet werden, stammen aus NT4 Zeiten. Das ist aber 13 Jahre her. Vor 13 Jahren sah ein Suse auch noch ganz anders aus als heute.
Ich muss also eine heutige Linux-Distri mit Server 2008 oder Vista vergleichen und nicht mit NT4.
Wenn man das objektiv macht, dann kommt man auch zu einem Ergebnis, das sicher nicht dem entspricht, wie es manche gerne hätten.

Sollen wir das weiterhin akzeptieren und alles so weiter laufen lassen wie bisher? Oder muss man sich nicht mal so langsam überlegen, ob man nicht was ändern kann. Und darum habe ich ja diese Frage, Exploits schnell veröffentlichen oder nicht, zur Diskussion gestellt. Weil dies wäre aus meiner Sicht ein Weg, hier mal etwas Bewegung in die Sache zu bringen. Klar gefällt das den Herstellern erst mal nicht, aber wem muss es objektiv gesehen nützen? Den Herstellern oder den Endusern? Ich denke doch eher den Endusern.