Gepubliceerd: Vrijdag 5 februari 2010
Microsoft zal volgende week dinsdag maar liefst 13 updates uitbrengen, waarmee 26 gaten worden gedicht in Windows en Office.
Toon volledig artikel
Beetje flauwe reaktie, ook Linux staat stijf vd. patches. Geen enkel OS is 100% stabiel/veilig. Programmeren blijft mensenwerk, waarbij fouten er altijd erin kunnen sluipen.
ook Linux staat stijf vd. patches
Wanneer is een patch een patch?
Een patch waarmee je een programmafout oplost is een patch.
Het komt mij voor dat op zijn minst een deel van de patches zijn bedoeld om problemen op te lossen die voortkomen uit design flaws, en dat is andere koek.
Er is een heel groot verschil tussen het herstellen van een programmafout of een programmeerfout en het met allerlei gekunstelde constructies "oplossen" van ontwerpfouten.
We zien dat inmiddels bij IE. Er zijn door de vervlechting van de IE in het OS telkens opnieuw opduikende lekken, soms heten die zelfs "features". Microsoft heeft met die vervlechting conceptueel te scheiden zaken in spaghetti software-ontwerp geimplementeerd, het is een niet meer te ontwarren kluwen met allerlei voorziene en onvoorziene "features".
Het is de doodzonde van Microsoft dat ze er ook nog eens voor hebben gezorgd dat je ook met een alternatieve browser altijd vastzit aan IE die als verstekeling meelift.
Kom op, je kunt toch wel met betere argumenten komen dan de definitie van een patch?
Heb jij ooit ontwerpdocumenten onder ogen gezien van Windows, waarmee je die 'vervlechting' kan onderbouwen?
In Linux zijn er ook vergissingen in het ontwerp naar voren gekomen. Ik gebruik ook Linux, maar niet omdat ik ze heilig verklaar.
Heb jij ooit ontwerpdocumenten onder ogen gezien van Windows, waarmee je die 'vervlechting' kan onderbouwen?
Hallo!
Microsoft heeft zelf bij herhaling en luidkeels geroepen dat zij IE in Windows heeft "geintegreerd". In hun bezwaar tegen deeiss van loskoppeling van IE uit het OS hebben ze zelfs bij de EU bij hoog en bij laag beweerd dat het onmogelijk is om het OS los te zien van IE.
Dit hoef ik dus niet te bewijzen. Ik vind het wel een interessante gedacht dat Microsoft de ontwerp documenten publiceert.
Microsoft heeft zelf bij herhaling en luidkeels geroepen dat zij IE in Windows heeft "geintegreerd".
Microsoft heeft geroepen (en gedocumenteerd) dat er in Windows een HTML render engine zit. Dit is gewoon een onderdeel van de API's in Windows. Internet Explorer is slechts een applicatie die gebruik maakt van die API's. En zo zijn er nog duizenden andere applicaties die er gebruik van maken (omdat ze geen zin hebben om zelf een render engine te ontwikkelen).
Apple heeft dezelfde weg gekozen door de WebKit engine in OS X te integreren (WebCore).
Internet Explorer is slechts een applicatie die gebruik maakt van die API's.
Misschien is dat in Windows 7 nu zo, maar tot Windows 7 was Internet Explorer toch echt een volstrekt onmisbaar onderdeel wat onmogelijk te verwijderen was.
Misschien met de eerste versies van IE niet, maar minimaal sinds IE4 is dit al de architectuur (maar ik denk ook al in IE3). Dat je IE niet kan verwijderen (of hernoemen) komt voornamelijk omdat het onder Windows File Protection valt. Als je dat uitschakelt zou je IE gewoon moeten kunnen verwijderen.
Voor veel IE haters is dat echter niet genoeg. Die zouden graag ook de render engine willen deinstalleren maar dat kan dus niet omdat het een gedocumenteerd onderdeel van de Windows API's is.
Voor veel IE haters is dat echter niet genoeg. Die zouden graag ook de render engine willen deinstalleren maar dat kan dus niet omdat het een gedocumenteerd onderdeel van de Windows API's is.
Als systeembeheerder streef ik ernaar om in control te zijn waar het gaat om de systemen waarvoor ik verantwoordelijk ben.
Wat betekent dat?
Als een systeem of een onderdeel van ee systeem onveilig is dan wil ik dat uitzetten, zonder pardon. Er zijn vaak alternatieven genoeg. Je hoeft geen IE hater te zijn om dat te willen, anders lig je maar wakker.
Als ik dus een systeem heb als Windows met of zonder IE, maar met allerlei lekken in een rendering engine, soms "features" genoemd, dan wil ik dat uitzetten.
Ik draai hier servers voor centrale logging, versiebeheer en bewaking, wat moet ik op die dozen met een IE rendering engine? Waarom zit het er dan op? Een gouden regel op het gebied van security is: haal alle onnodige software van het systeem en beperki de toegang tot de bedoelde functionaliteit.
omdat het onder Windows File Protection valt.
Ergo, Microsoft vindt dat het niet verwijderd kan worden. Je kan 600 excuses verzinnen, maar dat is gewoon het feit.
Als je dat uitschakelt zou je IE gewoon moeten kunnen verwijderen.
Als ik Windows File Protection uitschakel kan ik misschien ook User32.dll verwijderen.
En als je iets documenteert dan is het nog niet per definitie onmisbaar, dus dat argument gaat wat mij betreft sowieso niet op.
Ik verzet me trouwens tegen die denigrerende typering van IE hater. Ik noem jouw toch ook geen vrijheid hater?
En als je iets documenteert dan is het nog niet per definitie onmisbaar, dus dat argument gaat wat mij betreft sowieso niet op.
Als ik een programma schrijf voor Windows waarbinnen ik een stukje HTML (dat in een resource zit van het programma) wil renderen (zonder een los browserproces/venster te starten) dan is het belangrijk dat ik er op kan rekenen dat de OS API's die dat mogelijk maken niet uit het OS zijn verwijderd door een overijverige systeembeheerder.
Overigens: zelfs als er lekken zouden zitten in die render engine zou dat scenario geen security issue opleveren. De te renderen content wordt bepaald door het programma en komt niet van internet.
Het installeren van een andere browser vervangt wel het browser programma maar niet de html render API's.
Deze verwijten worden keer op keer herhaald, maar ze zijn gewoon onterecht. Programma's moeten erop kunnen rekenen dat een gedocumenteerde basis set Windows API's aanwezig zijn, als Microsoft deze API verwijderd dan kunnen bestaande programma's daarop crashen.
Als ik een programma schrijf voor Windows waarbinnen ik een stukje HTML (dat in een resource zit van het programma) wil renderen (zonder een los browserproces/venster te starten) dan...
... dan download je (gratis) een HTML-render bibliotheek en die compileer je mee in je programma. Qt en bijna elke andere fatsoenlijke programmeer omgeving biedt HTML-rendering aan. Zo niet, dan download je gratis webkit en voila. Het is pure onzin om een HTML-bibliotheek als vast onderdeel van een OS te maken, zodanig dat ontwikkelaars daar afhankelijk van worden.
Flamebait maar ik reageer toch maar even.
Aantal security advisories voor Debian in 2009: 212
Aantal security advisories voor Ubuntu in 2009: 97
Aantal security advisories voor XP in 2009: 35
Nu jij weer...
Ik heb er voor Debian een paar uit gepikt die ernstig leken.
Debian update for xulrunner
Als je dat wil vergelijken met Windows, dan moet je misschien ook alle software voor Windows meetellen. Ik denk dat we beide wel weten wat er dan gebeurt. :)
Debian update for firefox-sage
Debian update for webkit
Debian update for php-net-ping
Debian update for nspr (Netscape Portable Runtime)
Debian update for graphicsmagick
Debian update for nginx (a lightweight, high performance web server/reverse proxy and e-mail (IMAP/POP3) proxy)
Appels met peren dus.
Dan moet je bij Windows ook niet de gaten in Internet Explorer, tekst- en grafische filters, Wordpad, Media Player, IIS, etc. meerekenen. Want die zijn strikt genomen ook geen onderdeel van de kernel. Fijn dat je zo objectief bent Peter!
Waarom niet? Het wordt toch allemaal door microsoft gemaakt?
Daarnaast, de engine van IE kan niet verwijderd worden dus waarom mogen we die niet mee tellen?
Als er een lek zit in Adobe Reader dan geven we microsoft toch ook niet de schuld? Waarom dan wel bij een linux-distro?
Waarom niet? Het wordt toch allemaal door microsoft gemaakt?
De kernel van het Debian OS wordt niet door het Debian team zelf gemaakt. Dus volgens jouw redenatie heeft Debian geen security issues. Fijn om te weten.
Inderdaad. We zeggen toch ook niet dat er een lek "in Debian" zit. Nee, er zit een lek in Linux (kernel) of een applicatie.
Fijn dat je zo objectief bent Peter!
Dan is hier in elk geval nog iemand objectief. Je wil die paar stukjes software van Windows vergelijken met de vele duizenden pakketten die met een Debian meekomen?
Eigenlijk moet je alle bugs in alle pakketten van Microsoft optellen. Dus Exchange, Frontpage, IIS, CRM, Messenger, een paar games, Office, OneCare, Sharepoint. Want daarvoor worden allemaal pakketten aangeboden via de Debian repo.
Maar als je alleen naar de kernel wil kijken. Prima.
Voor de kernel heb ik er in Debian 7 geteld. Zoek jij even uit hoeveel het er zijn voor Windows?
Flamebait maar ik reageer toch maar even.
Aantal security advisories voor Debian in 2009: 212
Aantal security advisories voor Ubuntu in 2009: 97
Aantal security advisories voor XP in 2009: 35
Nu jij weer...
Aantal security advisories voor OSX in 2009: 12
Aantal security advisories voor OpenSUSE 11.2 in 2009: 4
Aantal security advisories voor Ubuntu 9.10 in 2009: 12
What's your point????????
What's your point????????
OSX geeft weinig waarschuwingen uit en laat het gat gewoon zitten.
Wil je voorbeelden?
Nee, OS X doet dat anders. Die brengen 1 of 2 keer per jaar een stuk of 50 patches onder 1 advisory uit.
Desondanks is OSX in de praktijk veiliger en probleemlozer in gebruik dan windows. Al was het alleen maar omdat er geen tienduizenden, zoniet honderduizenden virussen/trojans/mallware/whatever voor de Mac rondwaren op het internet.
De kans dat een windows-pc besmet raakt is in de praktijk duizenden malen groter dan bij een Mac.
Niet zo hoog van de toren blazen SEDje....
MS moet duidelijk geen lessen geven aan anderen, maar duidelijk EERST eens echt deftig voor EIGEN deur vegen DAAR zit duidelijk het echte probleem....
De flagrante veiligheidsproblemen houden gewoonweg niet op de laatste maanden :
Weeral een leuke : een securitygat van zomaar eventjes 17jaar oud deze week... Kan tellen ;-)
news.bbc.co.uk/...ogy/8499859.stm
Aantal security advisories voor OSX in 2009: 12
Zie de reactie van Blieb
Aantal security advisories voor OpenSUSE 11.2 in 2009: 4
OpenSUSE 11.2 werd half november gereleased. 4 in anderhalve maand is dus 32 per jaar.
Aantal security advisories voor Ubuntu 9.10 in 2009: 12
Ubuntu 9.10 werd eind oktober gereleased. 12 in twee maanden is dus 72 per jaar.
Snap je nu wat ik wil zeggen?
Ik heb niet de indruk dat het Fedde gaat om de feiten. Bijvoorbeeld, die vier van Opensuse waren voor pakketten als Firefox, Opera, Flash-player, Bind, Jetty, Kde en CUPS. Allemaal keuze pakketten op misschien CUPS na. Maar dat zijn nuances die Fedde liever niet hoort, die hoort liever dat het allemaal net zo gaat als bij Windows waar je verplicht een schip vol rotzooi mee krijgt.
Ja, ik lees wel waar hij heen wil. Hij wil dat jij in jouw telling uitsluitend Windows kernel patches telt en hij alle pplicatie patches mag meetellen. Maar laten we zijn rekenmodellen eens ter hand nemen: 13 windows patches sinds vorige maand is op jaarbasis 156 patches. Hij kwam uit op 72 voor Ubuntu.
Dat schema is een moment opname. Om een trend te zien zou ik wat meer van die opnames moeten zien. Aan een moment opname is op geen enkele wijze een trend te herkennen.
Microsoft zelf spreekt ook niet van een "duidelijke trend". Ze zeggen zlleen "We encourage customers to upgrade to the latest versions of both Windows and Office. As this bulletin release shows, the latest versions are less impacted overall due to the improved security protections built in to these products."
De enige die een "duidelijke trend" ziet, is volgens mij de auteur van dit artikel.
Dat schema is een moment opname.
Dat klopt, maar de vorige keren meen ik me ook al dit patroon te herinneren. Vista en Windows 7 hadden ook daar minder 'kritieke pleisters'. Het artikel van Sander zal waarschijnlijk daarop voortborduren.
Het is nog vroeg om van een duidelijke trend te spreken misschien, maar voor een optimist zijn de tekenen wel gunstig. :)
Het regelmatig uitbrengen van patches wordt nogal eens verward met goed kwaliteitsbeheer. Iets zegt mij dat wanneer niet Microsoft maar Toyota een maandelijkse patchdag zou moeten invoeren, er nog maar heel weinig Toyota's verkocht zouden worden..
veel en dan bedoel ik heel veel! Auto's krijgen in het begin bij de dealer zonder overleg met de klant updates voor de BSI, dat is puur software waarvan de reden ook niet altijd gemeld wordt. Beetje de Google manier van patchen dus.. (vrag maar eens na bij je garage!)
Toyota heeft er kennelijk een gemist en die haalt het nieuws voordat ze de rommel konden ruimen. Dus je verhaal gaat niet op.
Wel wonderlijk dat Microsoft met dit soort dingen zo'n beetje wekelijks het nieuws haalt, en dat is nota bene het grootste softwarebedrijf ter wereld! Het universum verhoede dat ze ooit auto's gaan maken!
Grappig dat je in een zin je eigen vraag aan het beantwoorden bent ;)
Wel wonderlijk dat Microsoft met dit soort dingen zo'n beetje wekelijks het nieuws haalt, en dat is nota bene het grootste softwarebedrijf ter wereld!
Dus alleen al daarom helemaal niet wonderlijk ;)
Het grootste softwarebedrijf ter wereld maakt blijkbaar kwalitatief minderwaardige software, getuige de frequentie waarmee het spul gerepareerd moet worden. Juist het feit dat het de grooste softwaremaker ter wereld is, zou anders doen vermoeden.
als je even adem haalt en je grijze massa ook gebruikt dan weet je da thet aantal mogleijk hardware combo's groter is dan het aantal linux en Apple gebruiker sop de hele wereld. De mogelijke problem,en die daar uit voort komen moeten ook aangepakt worden en dat doet men. Niet iedere patch is een beveiligingslek dat gerepareerd wordt en niet iedere patch is een kwetsbaarheid die men aanpakt. Daar zitten performance patches bij, aanpassingen aan nieuwe hardware, aanpassingen aan zeer exotische combo's enz enz enz..
Kortom pure kwaliteit dat men het eigen product zo lang blijft ondersteunen. Daar kunnen heel wat leveranciers nog van leren inclusief Apple bijv!
Dus het aantal mogelijke hardwarecombinaties bij Windows met z'n support voor x86 en x86-64 is groter dan onder Linux op x86, x86-64, PPC32, PPC64, SPARC, MIPS, ARM, S/390, m68k en ik mis er vast nog een paar. Daar komen overigens helemaal geen problemen uit voort, want als je je architectuur op een nette manier ontwerpt heb je daar helemaal geen last van. Een "zeer exotische combo" voor zover die al voorkomt in x86-land los je op met drivers. Heb je geen patches voor nodig maar gewoon een gedegen software-ontwerp.
Dat er een maandelijkse patchronde nodig is, waar nog niet eens alles in past omdat MS over zichzelf heen buitelt om kritieke lekken buiten die patchdagen om te repareren, is ronduit beschamende zielige en onbestaanbare intellectuele armoede. Ik beklaag iedereen die als ontwikkelaar binnen zo'n omgeving iets goed wil afleveren.
Ik beklaag iedereen die als ontwikkelaar binnen zo'n omgeving iets goed wil afleveren.
Dat zegt meer over jouw kennis dan hun werkwijze ;)
En wederom nul komma nul inhoudelijke reactie.. je begint wel voorspelbaar te worden SED.
Vraagje uit nieuwsgierigheid SED.. Heb je ooit in je leven een serieus computerprogramma geschreven?
dan weet je dat het aantal mogelijke hardware combo's groter is dan
Volgens mij heb je het puur over drivers. En die worden nu juist *niet* door Microsoft ontwikkelt, maar door de hardwareproducenten.
Het aantal hardware combinaties is bij Linux, BSD ed. vele malen groter. Windows komt tenslotte nog maar in 2 hardware smaken, 32 bits en 64 bits. En that's it!
Het grootste softwarebedrijf ter wereld maakt blijkbaar kwalitatief minderwaardige software, getuige de frequentie waarmee het spul gerepareerd moet worden.
Reactie gebaseerd op onderbuik gevoelens, want de kans dat Windows wordt aangevallen is ook vele malen groter dan elk ander besturingssysteem wegens marktaandeel. Peter mag het hier dan wel niet mee eens zijn, maar er wordt door boefjes ook in andere sectoren vooral gekeken naar de marktleiders vanwege het hoge penetratie gehalte. De meest gestolen auto is tenslotte ook niet een Dacia, of is een Ford / VW een minderwaardige auto?
er wordt door boefjes ook in andere sectoren vooral gekeken naar de marktleiders
Ik vraag me dan toch af waarom IIS altijd zo onder vuur lag en niet Apache. Apache had toch duidelijk een groter marktaandeel.
Misschien omdat je aanname maar één reden op een lange lijst is?
Selectief lezen en dan het woordje vooral overslaan...maar suggereer je nou dat servers die Apache draaien worden niet aangevallen of gehackt?!?
Zoals ik al zei Peter, op dit onderwerp verschillen we grotendeels van mening, zoniet volledig. Ik ben er van overtuigd dat boefjes meestal de makkelijkste weg kiezen. Natuurlijk zijn er ook boefjes die dit niet doen (uitzonderingen bevestigen tenslotte de regel), maar het gros wil gewoon snel geld verdienen en dat doe je niet door je op een niche te richten. Kijk naar skimmers, die werken tenslotte ook bij de NS stations, Ikea, AH, etc en niet bij de lokale stripwinkel. Waarom denk je dat Adobe zo'n gewillig slachtoffer is? Is Silverlight soms te moeilijk of onmogelijk om te misbruiken?!? Volgens deze theorie zou men juist dit moeten misbruiken, omdat het tenslotte van Microsoft komt.
Selectief lezen en dan het woordje vooral overslaan...
Ik had vooral inderdaad niet bewust gelezen als zijnde een nuancering, maar meer als de uitzonderingen die de regel bevestigen.
maar suggereer je nou dat servers die Apache draaien worden niet aangevallen of gehackt?!?
Nee, zoals je wellicht weet is mijn wereld niet zo zwart-wit. Ik stel alleen dat IIS een veel grotere target was dan Apache. Terwijl het marktaandeel van IIS veel kleiner was dan dat van Apache.
Dat komt omdat Marktaandeel maar 1 van de factoren is waardoor hackers zich er op gaan richten.
In het geval van IIS waren er naar mijn mening zeker 3 factoren veel meer van belang.
1. Destijds was het onderliggende os veel minder stabiel.
2. IIS zelf was stukken minder stabiel waardoor lekken veel eenvoudiger te vinden waren.
3. Last but not least, IIS werd vaak in gezet door minder ervaren partijen waardoor gemakkelijker fouten in de configuratie slopen.
Toch blijf jij schijnbaar vasthouden aan de drogredenering dat marktaandeel de grootste bepalende factor is. En ja, als je dan ook nog eens bewust mijn naam erbij zet, dan krijg je daar een reactie op.
Ik ben er van overtuigd dat boefjes meestal de makkelijkste weg kiezen.
Op dat punt zijn we het zowaar voor de volle honderd procent eens. Voor bijna alles geldt dat de weg van de minste weerstand wordt gekozen. Alleen verwar jij marktaandeel met de meest voor de hand liggende weg van de minste weerstand.
Stel over een paar jaar (hypothetisch), Windows 8 zou 80% marktaandeel hebben, maar geen enkel lek. Windows 7 heeft nog maar 20%, maar wel een stapel lekken. Hoe groot acht je dan de kans dat hackers zich op Windows 8 zouden richten?
...dan denk ik dat ze zich op Windows 8 zouden richten. Ik denk ook als Linux/OSX of een ander OS marktleider zou worden ze zich daar meer op gaan richten. Daarnaast denk ik dat in de toekomst steeds meer lekken zullen worden uitgebuit via 3rd party software en minder via het OS. Het is natuurlijk fantastisch als je een lek hebt in software dat je kunt misbruiken, maar als bijna niemand het gebruikt...wat heb je er dan aan? Natuurlijk is marktaandeel niet de enige reden, maar wel een hele belangrijke en voor de meeste boefjes hét belangrijkste.
De servers die ik beheer hebben per stuk 100x tot zelfs 1000x de upstream bandbreedte van de gemiddelde consumentenverbinding en staan 24/7 aan. Dan zou ik persoonlijk liever zo'n server misbruiken dan dat ik 100 consumentencomputers moet infecteren.
...dan denk ik dat ze zich op Windows 8 zouden richten.
Dus ondanks het feit dat er maar geen gaten gevonden worden denk je toch dat ze stug door zullen gaan met het targetten van Windows 8?
Daarnaast denk ik dat in de toekomst steeds meer lekken zullen worden uitgebuit via 3rd party software en minder via het OS.
Halleluja, we have a winner! :D Dus je ziet toch in dat ze hun werkgebied gaan verleggen? Windows heeft dan wel het grootste marktaandeel, maar toch gaan malware makers zich richten op de kleinere vissen omdat daar lekken te vinden zijn. Natuurlijk zullen ze daarbij streven naar een zo groot mogelijke markt, maar je ziet nu toch eindelijk (hoop ik) in dat opportunity een absoluut eerste vereiste is?
Natuurlijk is marktaandeel niet de enige reden, maar wel een hele belangrijke...
Tot hier ben ik het 100% met je eens. Maar zonder kansen is marktaandeel zonder betekenis.
Bijvoorbeeld: Als de auto met het grootste marktaandeel een perfecte startblokkering heeft zal je zien dat autodieven toch gaan voor de gemakkelijkere modelletjes.
Ik weet het, autovergelijkingen worden hier standaard afgeschoten, maar ik hoop dat je snapt wat ik bedoel.
Dit is geen onderbuikgevoel. De schandelijke hoeveelheid reparaties, en reparaties op reparaties, die nodig zijn op zoveel Ms-producten is een uitstekende indicator voor matige kwaliteit. En dat al *DECENNIA* achter elkaar. Ook nu weer met Windows 7.. ik heb er intussen een tijdje mee gewerkt en het is gewoon weer de zoveelste brakke NT-versie met dezelfde problemen als altijd (ik werk er al sinds NT 3.1 mee dus ik weet echt wel waar ik over spreek). En dan durft MS die in elkaar verknoopte puinhoop een "feature" en "innovatief" te noemen..
Of Office 2007.. Word klapt eruit als je een fatsoenlijk boek aan het schrijven bent. LaTeX geeft niet alleen veel mooiere output, maar het is bij mij gedurende mijn hele werkzame leven nog nooit gecrasht. Ongeacht hoe groot of complex het document.
Daar gaan we weer. Het voorspelbaar gedrag. Honing stroop, bijen, stront en vliegen... Linux, Apple, Microsoft.
Zojuist 12 updates aangeboden gekregen. Wat me wel verrast, is dat er ook 2 office 2003 updates bij zitten voor Outlook en Powerpunt. Ik heb die twee pakketten nooit geïnstalleerd gehad in deze configuratie. Zijn dit gewoon vermomde updates voor Windows? Heeft Microsoft nu ook al delen van Office in Windows geïntegreerd? Waarom moet ik updates uitrollen voor pakketten die ik niet gebruik?
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
