Stefan Heße hat geschrieben:Leider ist es so. Schau mal
hier
Ich weiß jetzt nicht, was Du mir mit dieser Liste zeigen willst. Was ich hier sehe sind Vulnerabilities für PC und Mac-Betriebssysteme und -Programme. Vielleicht noch Datenbanken (Oracle) und Router (Cisco). Was ich hier nicht sehe sind irgendwelche Schwächen bei sicherheitsrelevanten Systemen. Sieht man hier ein Problem von einer Umgebung, in der Ada-Software läuft? Z.B der NASA? Oder einer Bank? Ich denke nicht.
Bei den Kunden ist selten jemand bereit für Sicherheit Geld in die Hand zu nehmen.
Das gilt doch immer nur so lange, bis mal wirklich was passiert. Die Leute sind auch nicht bereit, Geld für ein Backup auszugeben, bis mal wirklich Daten abhanden kommen. Viele müssen eben erst am eigenen Leib spüren, was passieren kann, bevor sie Geld zur Prävention ausgeben. Und bist Du Dir sicher, dass die momentane Infrastruktur wirklich dazu geeignet ist, einen groß angelegten Angriff in den Griff zu kriegen? Meinst Du, man könnte so einen Exploit weiter geheim halten, wenn so nach und nach die Lichter bei den Rechnern ausgehen? Das momentane Konzept funktioniert doch sowieso nur, solange der Schaden gering ist. Sobald der Schaden größer wird, wird die Problematik sowieso publik.
Die Gefahr sehe ich aber darin, dass in der Schweigezeit, in der der Exploit zwar bekannt ist und die Hersteller Patches entwickeln, aber noch nichts wirklich veröffentlicht ist, dass in dieser Zeit eben im Geheimen Schadsoftware auf die verletzlichen Rechner installiert werden könnte, die zwar zuerst noch ruhig ist, aber auf Kommando oder zu einem bestimmten Zeitpunkt automatisch losschlägt und dann großen Schaden anrichtet. Für mich ist das nur eine Frage der Zeit, bis das passiert.
Und jetzt kann man sich hinsetzen und abwarten, bis das passiert, oder man kann sich Gedanken machen, was man dagegen tun kann. Und da sehe ich halt beim aktuellen Vorgehen keine Chance der Verbesserung. Das wird nur besser, wenn der gesamte Entwicklungsprozess verbessert wird und die Software von Hause aus sicherer wird. Von selbst passiert das aber nicht, weil niemand von selbst den höheren Aufwand auf sich nimmt. Also muss eine Art Zwang da sein, so dass der Mehraufwand der sichereren Entwicklung am Ende die preiswertere Variante ist.
Ich denke sehr lange wird das mit dem Geheimhalten sowieso nicht mehr funktionieren. Stell Dir vor, die Ganoven werden etwas weniger egoistisch und wollen mit dem Verkauf ihrer Exploits nicht mehr Geld verdienen, sondern verbreiten diese selbst in großem Umfang im Untergrund. Zum Beispiel wenn sich mafiöse oder terroristische Netze bilden, die solche Informationen locker flockig untereinander austauschen, um möglichst großen Schaden anzurichten. Auch dann wird das mit dem Geheimhalten nicht mehr funktionieren, weil dann *immer* gleich der Zustand herrscht, wie jetzt nach der Veröffentlichung, nämlich dass große Wellen an Angriffen folgen, sobald eine Lücke irgendwo im Untergrund bekannt wird. Was dann?
Das Flicken von Löchern kann meiner Meinung nach auf Dauer nicht die Lösung sein. Es muss darauf hinaus laufen, dass die Software *grundsätzlich* sicherer wird und von vorneherein keine oder zumindest deutlich weniger Löcher aufweist. Wie auch immer das erreicht werden kann. Auch ich habe da jetzt keine Patentlösung parat, das wird sich eben finden, wenn der Zwang dazu da ist. Aber ich finde, man muss es *jetzt* so langsam angehen, und darf nicht viel länger warten und auf die Dummheit der Ganoven hoffen.
Die Realität sieht leider etwas anders aus:
Ja, Software ist nicht 100% sicher, aber wenn die Firmen wenigstens halbwegs aktuelle Patches einspielen würden, dann wären wir wenigstens da schon mal ein ganzes Stück weiter.
Kleines Beispiel gefällig?
Ich musste mir die letzten Tage von einem meiner Kunden ziemlich deutliche Worte anhören, warum wir denn für das IE-Problem "immer noch keinen Fix" haben.
Gestern Abend um 19:00 Uhr deutscher Zeit kam ja der Fix raus und ich habe alle Kunden darüber informiert. Heute nachmittag habe ich dann alle meine Kunden abtelefoniert und nach dem Status gefragt. Jetzt darfst Du mal raten:
Hat der Kunde, der mich gestern ausgezählt hat, warum wir das Update immer noch nicht haben, das Update heute nachmittag installiert gehabt? Nein, hatte er nicht. Da kommt richtig Freude auf, oder?
Klar, glaube ich sofort. Und natürlich sträuben sich einem da die Haare.
Das ist ein Trugschluß, den leider viele begehen. Ich nenne das immer "Firewall-Hörigkeit".
Es gibt eine Studie von Gartner, die aufzeigt, dass ca. 70% der Angriffe auf ein Unternehmen von innen erfolgen. Und da nützt mir meine Firewall gar nix. Daher halte ich es für sehr gefährlich, sich nur auf eine Firewall zu verlassen. Nur 30% fange ich damit ab.
Jetzt müssen wir aber zwischen dem aktuellen Fall und generellen Statistiken unterscheiden. Ja, es mag sein, dass viele Angriffe von innen erfolgen. Aber kann hier ein Hersteller wirklich einen Patch liefern? Kann hier eine Phase der Geheimhaltung eingehalten werden? Nein, bei so einem Angriff muss die Firmenleitung sofort handeln und den Übeltäter suchen und Schutzmaßnahmen ergreifen, und sei es, dass sie für einen kompletten Tag die Nutzung eines Programms wie dem IE verbietet, bis alles abgesucht ist. Für so einen Fall greift also der bisherige Mechanismus gar nicht.
Insofern geht es bei solchen Angriffen wie dem aktuellen eben doch in den allermeisten Fällen *nicht* um das Intranet.
Mit der Art von Software wird aber das Geld von den Kunden verdient und da hängen tausende Arbeitsplätze dran. Ob Lieschen Müller bei einem Virus ihre privaten Fotos verliert ist vielleicht schade, aber nicht schlimm.
Bei den Firmenkunden spielt die Musik. Wenn die Daten weg sind, dann ist auch das nicht schlimm, schließlich hat man ja ein Backup. Was aber, wenn die Daten in falsche Hände geraten?
Halt stopp, ich habe nicht nur von den Privatusern gesprochen. Ich habe von Usern gesprochen, die keine Großkunden sind. Das ist ein gewaltiger Unterschied! Auch eine kleine Firma, die wie wir z.B. einen Small Business Server von MS haben, sind für MS wichtig. Auch hier fließt Geld. Vielleicht macht MS mit den ganzen klein- und mittelständischen Unternehmen (KMUs) in der Summe weit mehr Geld, als mit den paar wenigen Großkunden. Und auch hier ist es wichtig, dass alles sicher ist. Aber wir haben all diese Vorteile eines Großkunden nicht! Wir dürfen kein kostenloses Downgrade machen. Wir dürfen nicht an der Entscheidungsfindung von Microsoft für neue Programmfeatures mitwirken.
Und das mit den Arbeitsplätzen ist zwar ein gerne gegebenes Argument, aber es ist deswegen trotzdem nicht richtig, auch nicht in der Politik. Es ist nur eben leichter, eine Firma mit 10.000 Arbeitsplätzen zu retten, als 100 Firmen mit nur jeweils 100 Arbeitsplätzen. Aber dort sind die Arbeitsplätze genauso gefährdet. Und wie gesagt, es täte MS genauso weh, wenn diese KMUs wegfallen würden. Die schwenken nämlich viel leichter auf eine andere Software um und sind darum nicht so leicht zu halten wie eine große Firma, die sich einmal für so einen Weg wie Microsoft (oder SAP oder ...) entschieden hat und dann nur sehr sehr schwer wieder davon weg kommt. Insofern müssten gerade die KMUs für euch wichtig sein.
Wo ist denn das mäßige Niveau?
Das definierst Du für Dich. Kennst Du eine einzige Firma, die aufgrund des IE-Loches Probleme hatte? Und wenn der Fix nicht an die Öffentlichkeit gelangt wäre und erst im Januar gefixt worden wäre, dann hätte das auch nichts daran geändert.
Das mag für diesen Fall gelten. Das mag auch noch solange gelten, so lange die Ganoven halbwegs dumm sind. Aber Du weißt selbst, dass die Qualität der Angriffe zunimmt. Und dass die Kriminalität immer organisierter wird. Wie gesagt, ich sehe das nur als eine Frage der Zeit, bis das bisherige System der Geheimhaltung einfach nicht mehr funktioniert.
Die letzten Sicherheitslöcher sind alle schnell gefixt worden, ohne dass auch nur jemand etwas davon gemerkt hat. Da haben die Entdecker der Lücken auch verantwortungsvoll gehandelt.
Das ist es doch, was ich sage. Solange kein Schaden entsteht, klappt das bisherige System ja auch. Aber wie lange geht das so noch gut? Und erst *dann* anzufangen, sicherere Software zu entwickeln, wenn das bisherige System versagt, ist definitiv zu spät.
Übrigens war Microsoft am Anfang des Prozesses ziemlich allein auf weitem Feld mit dieser Meinung. Inzwischen halten es auch alle anderen großen und namhaften Softwarehersteller so und haben sich für diese Vorgehensweise entschieden: Oracle, Apple, SAP, Cisco etc.
Sag ich doch. Es ist das Bequemste für die
Hersteller, also warum sollten sie es anders machen? Es ist auch
momentan noch OK für die Benutzer. Aber ist es auch
für die Zukunft noch OK für die Benutzer? Das bezweifele ich und mahne an, dass sich hier dringendst was ändern müsste.
Jetzt sei doch mal wirklich ehrlich:
Würdest Du auf diese Basis Dein Geschäft aufbauen? So ein Produkt käme bei mir nicht mal in die erste Ausschreibungsrunde.
OK, für das kostenlose Produkt magst Du vorerst mal Recht haben. Aber es gibt ja wie gesagt die kommerziellen Versionen. Und ab dem Moment gilt natürlich wieder das Gleiche wie für sonstige kostenpflichtige Produkte. Da es sich aber letztendlich um die gleiche Software handelt, kommen die dabei gewonnenen Verbesserungen sofort und direkt auch den kostenlosen Varianten zugute. Und so kommt durch die Hintertür eben doch eine ähnliche Sicherheit für die kostenlose Variante, wie in einem sonstigen kommerziellen Produkt auch. Darum ist der Firefox auf ähnlichem Sicherheitsniveau, wie der IE. Er ist vermutlich nicht besser, aber vermutlich auch nicht schlechter.
Falsch, das ist die Aufgabe einer Softwareverteilung. Die kann z.B. SCCM heißen oder LANDesk oder Tivoli oder wie auch immer.
Sagte ich ja: "oder eines Installationsprogramms".
Der Hersteller der Anwendung sollte seine Pakete nur so bauen, dass diese möglichst effektiv so paketiert werden können, dass sie einfach ausgerollt werden können. Und da liegt das Problem bei vielen Anwendungen. Das ist die Stärke von Microsoft.
Mal ehrlich, hast Du Dir mal die Paketverwaltung und die Paketierung eines Linux angekuckt? Wie fein da die Pakete unterteilt sind? Da kommt der Firefox in ca. 10 Einzelpaketen an. Grundpaket, Language Packs, Extension Packs, usw. Wenn die das schaffen, warum dann nicht auch die Firmen, die die von Dir genannte Verteilungssoftware für Windows entwickeln?
Microsoft ist nicht dafür zuständig, die Anwendungen von Fremdanbietern auszurollen. WSUS ist eine kostenlose Software, die dabei hilft Microsoft Technologien mit Updates zu aktualisieren. Für Firefox gibt es ja nicht mal Updates. Da darfst Du jedes Mal die ganze Anwendung neu verteilen. Das soll Mozilla mal schön selbst machen.
Eben nicht. Das gilt unter Linux wie eben schon ausgeführt gerade nicht. Und auch unter Windows macht Firefox mit seiner internen Updatefunktion ebenfalls inkrementelle Updates. Hier bist Du also falsch informiert.
Und selbst wenn es nur ein einzelnes großes Paket wäre, das ist ja in diesem Fall nun nicht so groß, dass es ein nennenswertes Problem wäre, das jedes Mal neu zu installieren. Dauert auch nicht länger als das Installieren eines durchschnittlichen Microsoft-Patches.
Das wäre mir neu. Wie verteilst Du denn RedHat oder Suse auf 10.000 Clients per Zero-Touch?
Was heißt Zero-Touch? Bei einem komplett leeren Rechner muss man auch bei Windows eine CD einlegen. Und genauso passiert es unter Linux. Man legt ein entsprechend bootfähiges Medium mit einem kleinen Installerprogramm ein und dann wird der komplette Rechner vom Netz her installiert.
Und später während des regulären Betriebs schaut der Rechner regelmäßig nach, ob es Updates gibt und spielt diese dann ein. Das kann für den privaten Anwender das offizielle Repository der Distribution sein, aber bei Firmen kann das sehr wohl auch ein firmeneigenes Repository sein, wo der Administrator entscheidet, was eingespielt werden darf bzw. muss und was nicht.
Das ist aber keine spezielle Software, die hierfür notwendig ist, sondern das ist das ganz normale Paket- und Updatesystem von Linux.
Aus den oben genannten Gründen ist das nicht die Aufgabe des OS sondern einer Softwareverteilung. Und solange der Firefox nicht sauber verteilt werden kann wird der bei Enterprisekunden nicht eingesetzt.
Soll heißen: solange diesen Firmen, die diese Verteilungssoftware schreiben, nicht alles auf dem Präsentierteller überreicht wird, wird eine Software nicht bei Enterprisekunden eingesetzt. Komisch, woanders wird hierfür Geld gezahlt, bei freier Software muss sowas immer auch frei sein.
Aber sei's drum, wenn sich hier mal jemand dransetzen würde, wäre das in wenigen Tagen passiert.
Der Lifecycle bei MS sieht folgendermassen aus:
http://support.microsoft.com/default.aspx?scid=fh;[ln];lifecycle
Kurz zusammengefasst:
Mindestens 5 Jahre vollen Support
Mindestens 10 Jahre Security Updates. Bei Windows XP als Beispiel werden es voraussichtlich sogar 12,5 Jahre sein.
Wer länger als 10 Jahre Security-Updates benötigt, der kann ein Custom Support Agreement abschließen. Es gibt noch einige wenige Kunden, die das z.B. für NT4 haben. Und das ist bereits 13 Jahre auf dem Markt.
Red Hat als Beispiel bietet 4+1+2= 7 Jahre.
Das halte ich für schlechter, siehst Du das anders?
Das ist die Denkweise von Herstellern von kostenpflichtiger Software. Du vergisst hier einen ganz ganz entscheidenden Punkt: weil bei Microsoft jedes Update richtig Geld kostet, bleibt eine Firma oft sehr lange auf einem bestimmten Stand stehen. Insofern ist es überhaupt erst relevant, dass es Support für alte Produkte gibt. Bei Linux kostet das Update aber primär mal kein Geld, also kann man inkrementell und regelmäßig immer auf die neueste Version wechseln. Das ist ein ganz wichtiger Vorteil von kostenloser Software. Da gibt es gar keine solchen Lifecycles. Und somit ist Support alter Software schon von vorneherein gar nicht so gefragt.
Und dennoch wird alte Software durchaus gepflegt. So gibt es auch jetzt noch Sicherheitsupdates für den 2.4-er Kernel. Klar, hier steht und fällt es eben damit, ob jemand Lust hat (oder dafür bezahlt wird), so eine alte Version auf Vordermann zu halten. Wenn nicht, dann eben nicht. Aber das sollte für eine Firma kein nennenswertes Problem sein. Anstatt einer Firma wie Microsoft Geld für den Support zu zahlen, können sie das Geld genausogut einem solchen Menschen geben, der für die Pflege der alten Software sorgt. Der gravierende Unterschied ist aber, dass wenn Microsoft mal irgendwann sagt, nein, jetzt ist die Supportzeit endgültig abgelaufen, dann ist es wirklich vorbei. Dann ist nichts mehr zu machen. Für den Support der alten Linux-Software kann die Firma aber im Fall des Falles bis zum Sankt-Nimmerleins-Tag unendlich lang weiter selbst aufkommen. Ob das vor kommt, ist eine andere Frage. Aber es wäre zumindest bei Linux möglich, bei Microsoft jedoch nicht.
Wieso nicht?
Weil Du selbst Hand anlegen kannst wegen Open Source?
Das ist eine theoretische Möglichkeit, die wohl kein Firmenkunde nutzen wird.
Aus den oben genannten Gründen, weil diese Firma gar keine so alte Software einsetzen wird, weil sie jederzeit ja kostenlos die neue haben kann. Wenn man aber jedes Mal Geld zahlen muss, um die neue Software zu bekommen, dann bleibt man eben doch oft bei der alten Version. Und nur dann ist Support für alte Versionen wirklich relevant.
Ich gebe Dir Recht: Ein Privatanwender wie Du wird da nicht gefragt, was in die neue Version rein kommt.
Und auch nicht die KMUs!
Damit verdient Microsoft aber sein Geld. Und wer zahlt, der bestimmt wo es lang geht. So funktioniert Marktwirtschaft.
Wie gesagt, das glaube ich nicht, dass MS nur an den Großkunden verdient. Auch die Privatkunden und die KMUs bringen haufenweise Geld rein. Es ist nur mühseliger, sich um die alle zu kümmern, insofern sind die Großkunden natürlich die Goldesel, auf die man besonders achtet.
Meine Kunden werden fast alle auf Vista migrieren so sie es denn nicht schon getan haben. Einer wird wohl auf Windows 7 warten müssen, aber das hat andere Gründe.
Wieder nur die Sicht auf die Großkunden. Die haben sich nun mal für Microsoft entschieden, da wäre ein Wechsel auf ein anderes System so aufwendig, dass sie eben den Weg von Microsoft weiter mitgehen. Und viele sind ja auch zufrieden damit, was kein Wunder ist, wenn sich Microsoft so sorgsam um sie kümmert. Aber wie gesagt, bei den KMUs sieht das ganz anders aus.
Nenn mir nur ein einziges Beispiel, bitte. Und keine Uralt-Software rausholen, das sind olle Kamellen. Alles was jünger ist als 1995 installiert sich mit Sicherheit nicht in C:
Ich kann's Dir jetzt nicht mehr genau sagen, es kann evtl. Office 97 gewesen sein. Ich hatte bis vorletztes Jahr einen Rechner mit Triple-Boot: Win98, WinNT und Linux. Booten musste WinNT von einer FAT16-Partition. Die durfte maximal 2GB groß sein. Dort lag also dann das WinNT und das Win98. Die nächsten Partitionen waren auch FAT16, da zwar WinNT NTFS konnte und Win98 FAT32, was beides größere Partitionen erlaubt hätte, aber wenn man Daten austauschen wollte, war FAT16 der größte gemeinsame Teiler, da jeweils das andere Fileformat nicht verstanden wurde. Also Win98 konnte kein NTFS und WinNT kein FAT32. (Das ist schon wieder so ein Punkt für sich, der mir seinerzeit viel Ärger bereitet hat und über den man lang und breit diskutieren könnte. Aber sei's drum.)
Fakt ist, dass die C-Partition durch die beiden Systeme und die 2GB-Beschränkung immer extrem knapp und voll war. So habe ich meine Software eigentlich grundsätzlich nach D: installiert. Durch die ganzen DLLs, die dann trotzdem noch in C: gelandet sind, wurde es dennoch immer enger dort. Und da hat es mich ein paar mal verflucht aufgeregt, dass sich Software einfach ohne zu fragen nach C: installiert hat. Manchmal ist diese Software dann einfach wieder runtergeflogen, weil es schlicht und einfach nicht ging, wenn der freie Platz irgendwo bei 200MB war. Und da war definitiv Microsoft-Software dabei!
Und Win98 war definitiv nach 1995.
DirectX ist kein Programm, sondern ein Systemupdate.
Na und? Dennoch gab es immer wieder Probleme damit, so dass man sich eine Deinstallation durchaus gewünscht hätte.
Es gibt leider Updates, die man nicht deinstallieren kann. Das hat auch Gründe. Diese Gründe sind in dem zugehörigen KB-Artikel beschrieben.
Sorry, da schaue ich jetzt nicht nach, denn es ist völlig irrelevant. Egal wie diese Gründe aussehen, das sind nur Ausreden. Es gibt *immer* einen Weg, die Files wieder zu entfernen, man muss sich nur merken, was dazu gehört. Es gab ja durchaus auch Deinstallationsanleitungen für DirectX im Internet, insofern war es nicht unmöglich. Unter Linux kann man *jedes* Paket wieder entfernen, egal wie tief es ins System eingreift.
Nur weil ein Prozess einfacher ist und daher weniger fehleranfällig muss er vom Ergebnis her nicht besser sein. Diesen falschen Schluss ziehst Du hier jedoch.
Hmm, überlegen wir mal gemeinsam. Deiner eigenen Aussage zufolge kam beim gerade aktuellen Anlass niemand zu Schaden. Das war nun eine Aktion, die nach der Veröffentlichung in sagen wir mal 5 Tagen zu einem befriedigenden Ergebnis kam.
Der andere Prozess wusste (oder wusste auch nicht) seit Oktober von der Problematik und es ist nichts geschehen. Welches Verfahren war im Endeffekt das bessere, das dem User schneller einen Schutz brachte?
Ich stimme Dir zu. Dann muss man aber die Antworten auch objektiv bewerten und seine Meinung manchmal auch revidieren können.
Ich habe kein Problem damit, einen Fehler zuzugestehen, wenn man mich widerlegt. Ich habe auch kein Problem damit, Microsoft zu loben, wenn sie was schönes machen. Es gibt viele Dinge, die ich bei Windows und Microsoft klasse finde. Zum Beispiel entwickeln wir viel mit Windows CE, oder besser gesagt wir portieren Windows CE auf unsere Embedded-Plattformen. Die Tatsache, wie man da über den Catalog im Platform-Builder sein Systemimage konfigurieren kann, ist große Klasse. Nur wird sowas Schönes dann wieder getrübt durch ein furchtbares und nur sehr schwer zu durchschauendes Build-System, das dahinter steht. Und neue Komponenten für den Catalog zu erzeugen ist auch nicht ganz einfach. Das sind dann eben wieder die Dinge, die den ersten schönen Eindruck relativieren.
Und wenn ich mir demnächst meinen Netbook kaufe, dann werde ich auch keine reine Linux-Lösung wählen, sondern eine, wo WinXP darauf ist. Wie gesagt, ich habe keine Vorurteile gegen Windows oder Microsoft und nutze WinXP gerne. Linux kann ich mir ja dann immer noch dazu installieren.
Die AERO-Oberfläche von Vista ist auch toll gelungen, keine Frage. Überhaupt sind die optischen Gimmicks in Windows immer sehr schön. Es kränkelt dann hin und wieder unter der Oberfläche. Aber diese Vista-Oberfläche ist andererseits auch nicht so weltbewegend, wie gerne gesagt wird. Wenn man sich hier mal die Oberfläche von MacOS-X anschaut, oder Compiz Fusion unter Linux, dann relativiert sich der Fortschritt sofort wieder. Warum es beispielsweise Microsoft immer noch nicht schafft, mehrere virtuelle Desktops einzubinden, ist mir rätselhaft.
Wenn man aber immer nur alles glaubt, was die total verborten Linux-Jünger so erzählen, dann begibt man sich leider auf dünnes Eis.
Viele der Mythen, die heute immer noch verbreitet werden, stammen aus NT4 Zeiten. Das ist aber 13 Jahre her. Vor 13 Jahren sah ein Suse auch noch ganz anders aus als heute.
Ich muss also eine heutige Linux-Distri mit Server 2008 oder Vista vergleichen und nicht mit NT4.
Das geht aber in beide Richtungen. Auch die Linux-Vergleiche, die die "verbohrten Windows-Jünger" anführen, sind meist uralt, und auch diese schauen sich keine aktuellen Linux-Distributionen oder Mac-Systeme an, um mal etwas objektiver zu argumentieren.
Ich kenne beides, Windows seit Win95, Linux seit etwa ReadHat 6.0. Auch die aktuellen Versionen sind mir bekannt. Meine Eltern haben Vista-Premium auf ihrem Rechner, den ich dann pflegen muss, ich selbst habe WinXP-Home-SP3 und Fedora 10 auf meinem privaten Rechner, in der Firma WinXP-Prof-SP3 und Fedora 10. Ich kenne also beide Seiten halbwegs gut.
Ändern ja, aber bitte nicht auf die Art und Weise wie vorgeschlagen.
Wie denn dann? Wie ändert sich hier in naher Zukunft was, wenn nicht mal was geschieht? Die Bedrohung nimmt zu, aber die Abwehr bleibt irgendwie auf dem aktuellen Stand stehen.
Wenn es nach mir geht, dann müsste das OS jede Software, die nicht mit einem vertrauenswürdigen Zertifikat versehen ist, knallhart killen.
Bei Treibern hat man es ja versucht: Vista 64 akzeptiert keine unsignierten Treiber. Wozu das führt, können wir hier im Forum nachlesen.
Jetzt sind wir wieder an einem Punkt, der was mit Kosten zu tun hat. Wenn Microsoft diese Zertifizierung kostenlos anbieten würde, dann sähe das ganz anders aus. Die damit verbundenen Kosten sind aber sofort das K.O. für freie, kostenlose Software. Und ob Du's glaubst oder nicht, die Leute *wollen* solche Software. Solange dieser Konflikt nicht gelöst werden kann, wird Microsoft mit Systemen, die nur mit zertifizierten Komponenten arbeiten können, nicht durchkommen. Außer vielleicht bei Deinen Firmengroßkunden.
Und bei Treibern, die im Kernel laufen macht es noch viel mehr Sinn als bei Anwendungen.
Vielleicht muss sich diese Denke auch erst durchsetzen.
Auch hier könnte Microsoft vielleicht mal wieder was von Linux lernen. Jeder nicht-zertifizierte Treiber, der also nicht aus der Distribution stammt oder für diese gezielt übersetzt wurde, "verschmutzt" den Kernel. Das heißt sobald dieser Treiber als Kernelmodul eingebunden wird, wird der Kernel als "tainted" markiert. Support, egal ob freiwillig oder kommerziell, gibt es i.a. nur für untainted Kernel. D.h. sobald eine Fehlermeldung kommt und der Kernel ist tainted markiert, bekommt man als Antwort allerhöchstens, man solle mal seinen Kernel säubern und dann die Anfrage nochmal neu stellen, falls dann der Fehler überhaupt noch auftritt.
Das ist dann ein gesunder Mittelweg. Man *kann* fremde unzertifizierte Module einbinden, aber man weiß genau, dass man damit ein Risiko eingeht, und es gibt eben keinen Support mehr dafür. Meines Wissens kann man den Kernel auch sperren, dass er solche Module gar nicht zulässt. Das ist dann für Firmen interessant.
Das Problem von Microsoft in diesem Fall ist, dass es den einen oder anderen Weg erzwingen will. Und das lassen die Leute nicht immer mit sich machen. Und in Zukunft immer weniger, wenn es eben qualitativ ebenbürtige Alternativen gibt.
