Gepubliceerd: Vrijdag 14 augustus 2009
Een van de gaten die Microsoft deze week plakte, blijkt al 2,5 jaar geleden te zijn gemeld door Peter Vreugdenhil. Pas toen er een exploit opdook kwam Microsoft in actie.
Toon volledig artikel
Volgens mij is het patchen pas nadat een bug openbaar is geworden policy bij microsuf.
Het probleem is dat die bug eerst misbruikt moet worden, en ten tweede bekend moet worden bij microsoft voordat er iets aan gedaan word.
Conclusie, Microsoft kan het geen moer schelen dat hun software als onveilig bekend staat.
Conclusie twee, geef MS een deadline bv. drie maanden en maak daarna openbaar.
Vreugdenhil kan er maar moeilijk bij dat Microsoft er zo lang over heeft gedaan om het gat te dichten.
Eigenlijk kan ik niet veel meer dan Krak's bijdrage te bevestigen. Het is zonneklaar dat Microsoft zich reeds jaren geen ruk meer van de eindgebruiker aan trekt. Microsoft's klanten zijn de OEM's en niet de eindgebruiker.
Dit is niet de eerste keer, dat er een gapend gat in MSware zit en het zal ook zeker niet de laatste keer zijn.
Ik vraag me toch af, waarom mensen nog geld aan de crapware verspillen?
Wie zegt dat de mensen echt keuze hebben. Een PC is een gebruiksartiekl, en je loopt de BCC in en zegt ik wil een PC. Wat je krijgt is een PC met Windows voorgeinstalleerd. En je zet hem thuis aan, en je kunt er op werken.
Dat er andere oplossingen zijn komt niet bij de gebruiker op, en "het werkt toch gewoon" is vaak het tegencommentaar wat ik hoor als ik ernaar informeer of ze niet iets anders willen.
Wie zijn PC zo ziet, moet dat lekker doen. Alleen niet huilen als het allemaal stuk gaat. Dat geldt ook voor zo'n Chinese namaak-Hummer die je tegen de eerste de beste lantaarnpaal al in gruzelementen rijdt. Goedkoop is 'ie wel. Ik maak persoonlijk andere keuzes. Zowel qua vervoermiddel als voor mijn computers.
Neemt niet weg dat microsoft hier best flink voor op zijn lazer mag krijgen. Zij hebben de wereld qua OS veroverd en beweren een OS te hebben dat iedereen (zelfs de grootste digibeet) kan gebruiken. Je mag dan problemen met veiligheid niet afwentelen op diezelfde gebruiken. Klik Klak Klaar moet ook gelden voor de updates.
Dat is tegenwoordig een stuk beter dan vroeger. Ik hield destijds mijn hart vast als er weer eens een update geweest was, want eens in de zoveel tijd had je een duivelsupdate binnen die je hele systeem om zeep hielp. Dat is de laatste tijd eigenlijk niet meer voorgekomen (hoewel ik na iedere herstart weer blij bent als het systeem up is, maar dat zullen wel de oude angsten zijn).
Er is ook een tijd geweest dat MS problemen op de gebruiker afwentelde omdat er ergens in de diepe krochten van het systeem een vinkje geset kon worden, die misschien uit stond. Dat doen ze nu niet zo snel meer.
Van zo'n beredenering wordt ik nou echt simpel he.
Het is ook diezelfde consument die er voor zorgt dat er geen keuze is.
Als wij als consument eens duidelijk maken aan verkopers/fabrikanten dat we andere OS-sen willen, dan gaan ze dat echt wel verkopen.
Maar nee, we(meerderheid) zijn gewoon naieve en luie gebruikers, we accepteren een crapware OS als windows.
Herrinner maar eens die paar computer bouwers die met Linux begonnen als OS, en dat er door eind users de uber zielige reactie was: die wil ik niet want de gui is niet hetzelfde als windows.
"Wie zijn billen brandt moet op de blaren zitten"
Wat vervelender is, is dat het gat nu weliswaar gedicht is, maar het bij een volgende versie net zo makkelijk weer terug kan komen. Ze hebben misschien het gat in de huidige versies gedicht, maar als de nieuwe software net buiten die patchronde is gevallen, zit de fout er weer gewoon in.
In had in de jaren 80 een QL. Dat waren een aantal versies van, waarvan de laatste drie typen bekend stonden als JM, JS en MG (ze werden genoemd naar medewerkers van Sinclair. De JM had problemen met een geheugenlek. Lokale variabelen lieten op een gegeven moment het geheugen vollopen. Bij de JS was dat probleem opgelost, maar bij de MG, die na de JS kwam zat hij er gewoon weer in. JS en MG waren dus blijkbaar naast elkaar ontwikkeld, waarbij de ontwikkelaars weinig met elkaar overlegden.
Je moet echt ene perfecte bug-database hebben om dit soort problemen voor te zijn. het feit dat MS er zo lang over doet om deze bug te herstellen, is een indicatie dat ze niet over een perfecte bugadministratie beschikken.
Lezen is moeilijk zeker?
Het verschil zit hem er in dat het ene artikel een lek noemt en dat het 860 dagen duurt voordat het gemaakt is, en het andere artikel een lek noemt wat met een paar dagen nadat het gevonden is gemaakt wordt. Die 8 jaar is de tijd die het lek bestaan heeft zonder gevonden te zijn. Hoeveel jaar zat het lek er wat 860 dagen duurde voordat het gepatched werd na rapportage?
Uhm, wie zegt dat die bug niet eerder gevonden is? Dat niemand het gemeld heeft zegt nog niet dat bepaalde mensen er geen 2920 misbruik van gemaakt hebben... Lezen is i.d.d. moeilijk, nadenken nog meer...
En dat geldt niet voor lekken in andere OS'en?
Waar het om gaat is, hoelang duurt het voordat een lek gerepareerd wordt vanaf dat het ontdekt wordt.
Hoe kun je iets of iemand verantwoordelijk houden voor een lek als het niet bekend is?
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
