Apple-Patch

[thom45]

Das Freitagsbit von Onkel Thom

An die hochehrenwerten Programmier-Gurus: Waere es im Prinzip moeglich, so intelligent zu programmieren, dass ueberhaupt keine "Loecher" entstehen koennen?

Wenn ja, dann vermute ich, dass es zwischen den "normalen" Programmierern und der Sicherheitsfirmen, welche u.a. Loecher-Detektive sind, eine Art von Konspirativmechanismus gibt. Ja warum denn auch nicht, falls man damit Kohle verdienen kann.

Das ist doch ganz aehnlich wie bei den Pharmaindustrien. Da geben die Milliarden aus fuer die Erforschung von Krebsmittel (Zytostatika). Da muss sicher gestellt sein, dass es stets ausreichend genug Krebskranke gibt. Jaja, da wird einem auch schnell klar, warum in der Schweiz nur Selentabletten mit maximal 50 Mikrogramm, und keine mit 200 Mikrogramm verkauft werden duerfen.

Aber das ist nur grad eine Sache. Eine andere hat mit dem Alzheimer zu tun. Laeuft ganz aehnlich! Ehrlich. Das wurde erst am letzten Sonntag im ARTE gezeigt. Ueberhaupt mehr ARTE und 3-SAT schauen und schlau werden!
:) :) :)

Gruss
Onkel Thom

 

[romansvillage]

An die hochehrenwerten Programmier-Gurus: Waere es im Prinzip moeglich, so intelligent zu programmieren, dass ueberhaupt keine "Loecher" entstehen koennen?

Theoretisch: Ja.
Praktisch: Jein.

Auch Programmier sind nur Menschen ;)

Ein Programm bei einem ersten Release wird wohl kaum ganz Fehlerfrei sein. Dazu sind vermutlich auch die Testmöglichkeiten zu begrenzt. Wie aber zum Beispiel an SQL Server 2005 von Microsoft zu sehen ist ("Secunia has issued a total of 0 Secunia advisories in 2003-2008 for Microsoft SQL Server 2005. Currently, 0% (0 out of 0) are marked as Unpatched."), ist es durchaus möglich nach einigen Patches keine (bzw. keine zu findenden ;)) Sicherheitslöcher mehr zu haben.

 

[thom45]

Patch von Patch von Patch von...

Theoretisch: Ja.
Praktisch: Jein.

Auch Programmierer sind nur Menschen ;)

Ein Programm bei einem ersten Release wird wohl kaum ganz Fehlerfrei sein. Dazu sind vermutlich auch die Testmöglichkeiten zu begrenzt.

Das weiss ich natuerlich alles auch. Nur ist es so, dass es WinXP schon sehr lange gibt und schon so lange wie es das gibt, solange gibt jeden Monat meist auch fuer dieses XP Flickereien, welche oft auch wieder Flickereien benoetigen, wobei diese dann auch wieder....
Und dazu kommt, so viel ich erfahren habe, dass es in dieser extremen Form nur bei M$ so ist.

Daher stellt sich schon die berechtigte Frage nach dem Warum?

Es koennte mal ein Typ von M$-Schweiz mitlesen und etwas dazu sagen...

Gruss
Onkel Thom

 

[Adriano]

Das weiss ich natuerlich alles auch. Nur ist es so, dass es WinXP schon sehr lange gibt und schon so lange wie es das gibt, solange gibt jeden Monat meist auch fuer dieses XP Flickereien, welche oft auch wieder Flickereien benoetigen, wobei diese dann auch wieder....
Und dazu kommt, so viel ich erfahren habe, dass es in dieser extremen Form nur bei M$ so ist.

Daher stellt sich schon die berechtigte Frage nach dem Warum?

Es koennte mal ein Typ von M$-Schweiz mitlesen und etwas dazu sagen...

Gruss
Onkel Thom

Zum Glück bist so ein Experte!
Würdest du mal die Analyse von diese Systeme sehen, würdest du sehen, dass M$ am schnellsten die Löcher zudeckt.
Wenn Linux perfekt ist, warum gibt es dann 10 verschiedene Linux-Varianten, und warum kommt alle 2 Monaten eine neue Linux-Version heraus?
Beantworte zuerst solche Fragen, bevor dich über ein OS blöd darstellst...

 

[Gaby Salvisberg]

Würdest du mal die Analyse von diese Systeme sehen, würdest du sehen, dass M$ am schnellsten die Löcher zudeckt.

Was sie bei SQL-Servern machen, weiss ich nicht. Beim Betriebssystem patchte Microsoft tatsächlich im letzten Jahr schneller als vergleichbare Hersteller (Apple, HP UX, Sun usw.). Aber in Sachen Webbrowser sieht es bei Microsoft ganz und gar nicht nach "schnellem Patchen" aus.
Folgende Zahlen stammen aus einem kürzlich erschienenen Bericht von Symantec. Durchschnittliche Dauer, bis kritische Sicherheitslücken im Browser gestopft wurden:

Apple Safari: 1 Tag
Opera: 2 Tage
Firefox: 3 Tage
MS IE: 11 Tage

Und 79% der im 2. Halbjahr 2007 gefundenden Browsersicherheitslücken steckten in ActiveX (das es nur im IE gibt). Das sagt doch auch etwas aus.

Gaby

 

[Adriano]

Was sie bei SQL-Servern machen, weiss ich nicht. Beim Betriebssystem patchte Microsoft tatsächlich im letzten Jahr schneller als vergleichbare Hersteller (Apple, HP UX, Sun usw.). Aber in Sachen Webbrowser sieht es bei Microsoft ganz und gar nicht nach "schnellem Patchen" aus.
Folgende Zahlen stammen aus einem kürzlich erschienenen Bericht von Symantec. Durchschnittliche Dauer, bis kritische Sicherheitslücken im Browser gestopft wurden:

Apple Safari: 1 Tag
Opera: 2 Tage
Firefox: 3 Tage
MS IE: 11 Tage

Und 79% der im 2. Halbjahr 2007 gefundenden Browsersicherheitslücken steckten in ActiveX (das es nur im IE gibt). Das sagt doch auch etwas aus.

Gaby

Danke für den Link :D
Ich suche immer solche Berichte, nur finde ich sie nie...
Da sehe ich auch, dass Firefox viel sicherer ist! Es gab nur 88 Lücken, und M$, der viel viel schlechter ist und unsicherer hatte 18 Sicherheitslücken! Wieder ein mal ein Beweis, wie FF viel viel sicherer ist als MS :P Opera natürlich unschlagbar mit nur 12!!! :D

Dazu möchte ich auch sagen, dass ActiveX wie ein EXE ist... Man führt ja auch nicht jedes Programm aus, oder?

 

[Gaby Salvisberg]

Da sehe ich auch, dass Firefox viel sicherer ist! Es gab nur 88 Lücken, und M$, der viel viel schlechter ist und unsicherer hatte 18 Sicherheitslücken!

Du vergisst, dass im besagten halben Jahr für jede in FF gefundene Sicherheitslücke eine Belohnung ausgelobt wurde. Darum haben sich natürlich alle auf FF gestürzt. Das müsste auch irgendwo im Bericht stehen. Hab aber jetzt keine Zeit zum Suchen.

Gaby

 

[BlackIceDefender]

Hinzu kommt, dass AktiveX verschrien ist, seit Microsoft die Technologie angekuendigt hat. Das teil ist vom Design her schon unsicher.

Aber: wieviele Webseiten haben die technik links liegen lassen? Eben. Und der Durchschnitssanwender muss sich mit Patchdownloads herumschlagen weil die Entwicklergemeinde geschlampt hat. Dabei meine ich nicht nur MS, sondern alle Webdesigner, die diese Technologie auf ihrer Site benutzen.

 

[Gaby Salvisberg]

Aber: wieviele Webseiten haben die technik links liegen lassen? Eben.

Ich weiss nicht, welche Sites Du besuchst... aber: Eigentlich alle! ActiveX-Zwang kenne ich eigentlich nur noch von Windows-Update und von diversen "Direkt-ab-Web-Virenscannern". Aber sonst?

Sämtliche mir bekannten Webmails, meine Online-Bank, Youtube, LeShop, alle mir bekannten Kartendienste (z.B. map.search.ch), Streaming-Portale (auch SFDRS), eigentlich fast alle Webseiten abseits von Microsoft und Antivirus-Herstellern haben eine Lösung ohne ActiveX gefunden.

Wer braucht noch ActiveX? Klar gibt es stattdessen Java, JavaScript, Flash... was alles auch nicht ganz unproblematisch ist. Darum soll man den Browser, Flashplayer, die Java Runtimes usw. aktuell halten. Aber jene Verwundbarkeiten kommen im IE doch noch dazu.

Gaby

 

[thom45]

Loecher ohne Ende...

Zum Glück bist so ein Experte!

Wenn ich einen waere, haette ich wohl kaum das Initialposting geschrieben, oder?

Würdest du mal die Analyse von diese Systeme sehen, würdest du sehen, dass M$ am schnellsten die Löcher zudeckt.

Klar, mit der Zeit bekommt man Uebung.

Wenn Linux perfekt ist, warum gibt es dann 10 verschiedene Linux-Varianten, und warum kommt alle 2 Monaten eine neue Linux-Version heraus?

Zeig mir bitte die Textstelle, wo ich behauptet habe, dass irgend etwas perfekt ist.

Beantworte zuerst solche Fragen, bevor dich über ein OS blöd darstellst...

Ich tu ganz bestimmt nicht, was Du mir vorschreiben willst. Ich stelle noch einmal folgenden Inhalt zur Diskussion, der grundsaetzlicher Art ist:

Nur ist es so, dass es WinXP schon sehr lange gibt und schon so lange wie es das gibt, solange gibt jeden Monat meist auch fuer dieses XP Flickereien, welche oft auch wieder Flickereien benoetigen, wobei diese dann auch wieder....

Ob M$, Apple oder eine Linux-Distri: Warum koennen Programmierer mit der vielen Loecherflickereien nicht daraus lernen mit der Zeit besser zu programmieren, so dass die Menge der Loecher, quasi als Fortschritt, sich reduzieren?

Meine (vorlaeufige) Antwort ist die: Warum sollten die Programmierer besser werden, wenn ihnen die Mega-Usergemeinde als Experimentierfeld gratis zur Verfuegung steht.

Gruss
Onkel Thom

 

[Adriano]

Meine (vorlaeufige) Antwort ist die: Warum sollten die Programmierer besser werden, wenn ihnen die Mega-Usergemeinde als Experimentierfeld gratis zur Verfuegung steht.

Was du verlangst, ist wie ein 20'000-Seitiges Buch schreiben ohne Schreibfehler und ohne Grammatik-Fehler!
Das kann niemand! Klar gibt es Tools die mehr oder weniger solche Fehler behindern können... Sollte mal ein "," oder ein Doppel-Punkt fehlen, kann es sein, dass mehrere Funktionen nicht mehr richtig funktionieren. Und wenn das Buch fertig geschrieben hast, gibt es immer noch Kapiteln die dazu geschrieben werden können. So wie die Unendliche Geschichte. Ein OS ohne Fehler ist Utopie!
Solltest du mal eine Webseite programmieren oder ein kleines Spiel, siehst du, dass schon dort immer was besser programmiert werden kann...

Und noch eine Überlegung, die Wenig mit dem Thema zu tun hat (für alle Microsoft-hasser, und ich bin nicht ein MS fan!):
- Wenn Intel heutzutage so gut ist, ist es dank die Viele Windows (PC) die verkauft worden sind
- Wenn die Grafikkarte so gut sind, ist es dank DirectX (nicht OpenGL), die immer weiterentwickelt wird, und DX ist von Microsoft
- Wenn Apple, Intel und NVidia benutzen, ist es weil Intel und NVidia gute Produkte sind... Ehm, wer hat diese beide Produkte immer eingesetzt? Ah ja... Windows-PC!
- Wenn Linux nicht mehr 8Stunden um zu installieren braucht, ist es weil die PC-Komponenten immer mehr kompatibel geworden sind... dank wem? Ah ja, schon wieder Microsoft!
- Wenn es auf der ganze Welt, 80'000 Arbeitsloser weniger gibt, ist es dank MS! Die Firma alleine hat schon so viele Mitarbeiter, und dank MS können Hunderte von andere Firmen existieren.
- Linux muss jeder mit den Steuergeld finanzieren! MS-Produkten werden von Käufer finanziert!

Sind nur wenige Punkte, aber wie gesagt, ein MS-hasser kann solche Punkte gar nicht verstehen... Weil es gegen seine Prinzipien ist, solche sachen zu verstehen... Bei ihm es es viel Wichtiger, dass MS Konkurs geht, damit er seine ruhe hat... Dabei zwingt niemand jemand MS zu kaufen... Es sind nur Linux-User die die ganze Zeit die Windows-User angreifen!

 

[romansvillage]

- Wenn Intel heutzutage so gut ist, ist es dank die Viele Windows (PC) die verkauft worden sind

Naja... Gäbe es Windows nicht, oder wäre ein anderes Betriebssystem so verbreitet, oder hätte gar kein Betriebssystem so einen hohen Marktanteil wäre Intel auch so weit wie heute. Mit Windows hat das wenig zu tun.

- Wenn die Grafikkarte so gut sind, ist es dank DirectX (nicht OpenGL), die immer weiterentwickelt wird, und DX ist von Microsoft

DirectX ist besser als OpenGL. Aber die Grafikkarten sind nicht wegen solchen Dingen so gut. Die sind so gut wegen dem Grafikprozessor und der funktioniert auch ohne OpenGL oder DirectX.

- Wenn Apple, Intel und NVidia benutzen, ist es weil Intel und NVidia gute Produkte sind... Ehm, wer hat diese beide Produkte immer eingesetzt? Ah ja... Windows-PC!

Ja, Intel und nVidia haben gute Produkte. AMD (inkl. ATI) ebenfalls. Aber das ist nicht wegen Windows so.

- Wenn Linux nicht mehr 8Stunden um zu installieren braucht, ist es weil die PC-Komponenten immer mehr kompatibel geworden sind... dank wem? Ah ja, schon wieder Microsoft!

Nicht die PC-Komponenten sind kompatibler geworden, die Treiber sind besser entwickelt. Ok. Vielleicht auch weils teilweise einfacher geworden ist. Das hat wieder nichts mit Microsoft zu tun.

- Wenn es auf der ganze Welt, 80'000 Arbeitsloser weniger gibt, ist es dank MS! Die Firma alleine hat schon so viele Mitarbeiter, und dank MS können Hunderte von andere Firmen existieren.

Naja... Wenn es nun statt Microsoft mehrere andere Firmen gäbe, die sich den Marktanteil von Microsoft teilen, wären vielleicht noch weniger Arbeitslos.

- Linux muss jeder mit den Steuergeld finanzieren! MS-Produkten werden von Käufer finanziert!

Was? Wieso Steuergeld? Was hat das mit Linux zu tun?

 

[Adriano]

Naja... Wenn es nun statt Microsoft mehrere andere Firmen gäbe, die sich den Marktanteil von Microsoft teilen, wären vielleicht noch weniger Arbeitslos.


Was? Wieso Steuergeld? Was hat das mit Linux zu tun?

Siehst du, dass du es nicht verstehen kannst? Für Forschungen, braucht es Geld! Seit wann gibt es der PC-Boom? Seit Windows95 rausgekommen ist! Seit dem Punkt, konnte sich jeder ein PC leisten!

Dazu profitierten natürlich Intel und seit 2000 auch NVidia! Microsoft hat die Grafikkarten pusht. siehe mal nach ;)

Gäbe es Windows nicht, gäbe es Heute ein Unix mit vielleicht eine GUI... Also würden wir Heute noch mit Commando-Zeile arbeiten... Und die wenige die es sich leisten könnten, hätten ein Mac!
Das musst du leider zugeben! Microsoft hat den PC an die Welt erschafft! Nicht Mac, nicht Commodore und vor allem nicht Unix oder Sun! PC musste einfacher zum bedienen werden und billiger! Nur Microsoft hat es geschafft!

Wer finanziert Linux? IBM, Sun... UNIVERSITÄTEN!!!! Wer muss diese Unis bezahlen? Wir!

 

[romansvillage]

Gäbe es Windows nicht, gäbe es Heute ein Unix mit vielleicht eine GUI... Also würden wir Heute noch mit Commando-Zeile arbeiten... Und die wenige die es sich leisten könnten, hätten ein Mac!
Das musst du leider zugeben! Microsoft hat den PC an die Welt erschafft! Nicht Mac, nicht Commodore und vor allem nicht Unix oder Sun! PC musste einfacher zum bedienen werden und billiger! Nur Microsoft hat es geschafft!

Ähm... Du weisst schon wer das GUI für Betriebssysteme erfunden hat? Und wer die hübschen Fensterchen erfunden hat?

Wer finanziert Linux? IBM, Sun... UNIVERSITÄTEN!!!! Wer muss diese Unis bezahlen? Wir!

Linux wird finanziert von Institutionen welche sich für Linux einsetzen, Firmen welche unter anderem auch Enterprise Versionen verkaufen (schweineteuer) und sonstigen Firmen.
Wie genau die Unis drin stecken weiss ich auch nicht. Aber vom finanziellen her wird kaum eine Uni Linux-Entwicklern viel Geld zustecken.

Microsoft wird von Regierungen gesponsert. Das wird ja auch von deinem Steuergeld bezahlt.

 

[thom45]

Was beisst es mich...

Was du verlangst, ist wie ein 20'000-Seitiges Buch schreiben ohne Schreibfehler und ohne Grammatik-Fehler!
Das kann niemand! Klar gibt es Tools die mehr oder weniger solche Fehler behindern können... Sollte mal ein "," oder ein Doppel-Punkt fehlen, kann es sein, dass mehrere Funktionen nicht mehr richtig funktionieren. Und wenn das Buch fertig geschrieben hast, gibt es immer noch Kapiteln die dazu geschrieben werden können. So wie die Unendliche Geschichte. Ein OS ohne Fehler ist Utopie!

Das ist klar, weil es gibt grundsaetzlich keine Vollkommenheiten, nirgends im ganzen Kosmos. Alles untersteht evolutionaeren Mechanismen.

Ich frage ja auch nicht, ob es moeglich ist alle Fehler in irgendwelchen OS zu beseitigen. Ich frage, ob es nicht durch Langzeiterfahrung moeglich ist, sogenannte Schlupfloecher drastisch zu reduzieren?

Okay, Du hast jetzt geantwortet. Ich moechte daher andere fragen, die sich spezieller auskennen und diese Frage auch speziell und allgemeinverstaendlich beantworten koennen. Vielleicht von Leuten, die nicht computer-dogmatisch fixiert sind, - womit ich nicht behaupte, dass Du das bist.

Dazu naemlich die Frage, was genau ist eigentlich eigentlich ein Schlupfloch, in das irgend ein Hacker sich einschleusen kann? Vieleicht dumm gefragt, sind das vielleicht irgendwelche offene Adressen welche eine Zugang von aussen moeglich machen?
Einen geoeffneten Datenkanal, der "danach" nicht geschlossen wurde...?

Solltest du mal eine Webseite programmieren oder ein kleines Spiel, siehst du, dass schon dort immer was besser programmiert werden kann...

Was kann man hier falsch machen, dass ein "Schlupfloch" entsteht?

Sind nur wenige Punkte, aber wie gesagt, ein MS-hasser kann solche Punkte gar nicht verstehen...

Hassen tu ich eh nichts. Hat auch hier nichts zu suchen, weil sonst degeneriert dieses Forum ganz schnell in Richtung iregend einer Weltanschauungs- oder noch schlimmer Religions-Newsgruppe im UseNet.

Weil es gegen seine Prinzipien ist, solche sachen zu verstehen... Bei ihm es es viel Wichtiger, dass MS Konkurs geht, damit er seine ruhe hat... Dabei zwingt niemand jemand MS zu kaufen... Es sind nur Linux-User die die ganze Zeit die Windows-User angreifen!

Ich bin sehr dankbar, wenn M$ sogar massiv zulegt, weil dann sind die andern Systeme
wesentlich weniger von Schaedlingen gefaerdet. Knallharte rationale und emotionslose Ueberlegungen meinerseits.

Wenn Du mir jetz vorwerfen willst, dass dies moralisch schaebig ist, meine coole Antwort: Ja, Du hast voellig recht. Mir ist das aber egal und warum soll mir das denn nicht egal sein? Was haette ich davon, wenn es mir nicht egal waere?

Ich denke, viele andere denken eben so, koennen eine solche Haltung als Gutmenschen jedoch selbstverstaendlich nicht zugeben.

Gruss
Onkel Thom

 

[Adriano]

WEBSEITE:

Was kann man hier falsch machen, dass ein "Schlupfloch" entsteht?

Auf die andere Frage werde ich nicht Antworten... Bei einer Webseite kann ich sehr einfach Antworten... Schreib mal eine Login-Seite. Wenn du es noch nie geschrieben hast, komme ich zu 80% rein, ohne, dass ich das Passwort kenne.
Wenn du auf deiner Seite deine email-Adresse angibst (ohne eine Verschlüssung), hast du schon ein Fehler gemacht, und du wirst dann mit viele Spam-Mail bestraft!
Ein Eingabefeld ist genug (forum, chat, guestbook), um die Seite nicht mehr zu sehen... Oder den Inhalt zu ändern.
Noch blöder währe, wenn du ein Upload ermöglichst, für z.B. Fotos. Dann könnte jemand, eine PHP-Seite uploaden, und sie dann ausführen, und alle Daten vom Server löschen.

Sind nur 3 Beispiele (und nur für eine 50-Zeilige Webseite).

 

[thom45]

Der Schrecken hockt staendig im Nacken!

WEBSEITE:
Wenn du auf deiner Seite deine email-Adresse angibst (ohne eine Verschlüssung), hast du schon ein Fehler gemacht, und du wirst dann mit viele Spam-Mail bestraft!

Das ist mir klar.

Ein Eingabefeld ist genug (forum, chat, guestbook), um die Seite nicht mehr zu sehen... Oder den Inhalt zu ändern.

Das heisst aber, es muss doch eine Methode geben Eingabefelder zu realisieren, die keine solchen Schupfloecher bieten, denn wenn das nicht moeglich waere, duerfte man logischerweise gar keine Foren etc. realisieren. Frage: Worauf muss der Programmierer von so etwas drauf achten, dass er keine "Loecher" produziert?

Noch blöder währe, wenn du ein Upload ermöglichst, für z.B. Fotos. Dann könnte jemand, eine PHP-Seite uploaden, und sie dann ausführen, und alle Daten vom Server löschen.

Ich sehe, der Schrecken hockt staendig im Nacken.

Gruss
Onkel Thom

 

[romansvillage]

Worauf muss der Programmierer von so etwas drauf achten, dass er keine "Loecher" produziert?

Dass nur eingaben zugelassen werden die gewollt sind. Also zum Beispiel bei einem Formular das etwas in eine Datenbank abspeichert oder von da abruft, unter keinen Umständen das Zeichen ' ohne weitere Massnahmen benutzen. Als erstes muss ein Programmierer sicher verstehen was man mit falscheingaben alles machen kann --> XSS / SQL-Injection usw.