Original von TM-PhotoDesign *new pic*
ihm geht es um sicherheit und dass MS solange braucht bis sie reagieren. mehr nicht. und dass

Entschuldige, aber ich glaube nicht, dass MS seit September an dem Patch gearbeitet hat... von Bekanntwerden der Beschwerde bis zur Wiederherstellung eines arbeitsfähigen Zustandes war die jetzige Frist durchaus angemessen. Wer was anders behauptet, hat - sorry wenn ich das so sage - von moderner Softwareentwicklung keinen Schimmer.

Du gehst also davon aus, dass bereits bei Meldung eines Problems sofort alles stehen und liegen gelassen wird und fortan nur noch daran gearbeitet wird? Ich glaube nicht ...

Na das ganz sicher sogar. Der Druck der Großkunden lässt auch MS nicht kalt. Immerhin hängt da ein bisschen mehr dran ...

Original von Rico1973
Entschuldige, aber ich glaube nicht, dass MS seit September an dem Patch gearbeitet hat... (...)

Hmmmmmhhh....
Haben sie also deiner Meinung nach erst mal die "Lücke" hübsch abgeheftet, den Kopf eingezogen und gehofft das es niemand merkt ? ^^

@BS: So wird es in jedem Ticketsystem einer Softwareentwicklungsfirma getan ... mich wundert es daher nicht unbedingt.

Original von Rico1973
Naja, damit hast du ja deinen Standpunkt und dein Motiv eindeutig klar gemacht: Hass auf MS und alles was damit zusammenhängt. Nicht viel besser also, als das gängige Heise Niveau.

Es sagt schon sehr viel über Dich selbst aus wenn Du solche Unterstellungen machst.

Aber mittlerweile haben Dir ja genug Leute erklärt daß eine Abneigung eines Produktes nichts mit Hass sondern einfach mit fachlicher Überzeugung zu tun haben kann.
Wenn es Dich beruhigt, ich habe keinen Hass auf MS. Ich habe mir sogar gleich nach Erscheinen Windows 7 gekauft und bin recht zufrieden damit. Überhaupt habe ich schon immer mit MS-Produkten gearbeitet. Ich war auch jahrelanger IE Nutzer....bis mich halt der Firefox überzeugt hat (den ich auch unter Windows einsetze)

Meine Gründe den IE abzulehnen hab ich Dir schon duzendmal dargelegt. Er ist eine wandelnde Zeitbombe....egal ob das jetzt an häufigeren Angriffen wegen Marktführerschaft oder am zu tief im System eingegrabenen Browser liegt. Das ist mir eigentlich egal....die Auswirkungen sind das was zählen. Und die aktuellste Auswirkung kannst selbst Du nicht leugnen. Eine gefährliche Lücke über vier Monate offen gelassen und das bei einem milliardenschweren Unternehmen mit tausenden Programmieren.
Aber das werfe ich ihne noch nicht mal vor....sondern daß sie alle ins offene Messer rennen lassen. Google freut sich auch bestimmt darüber, daß MS die Lücke verschwiegen hat. Ich sehe solche Verschwiegenheit nämlich anders...man setzt sich damit selbst nicht so unter Druck und kann sich eher Zeit lassen. Aber so ein Schuss kann auch nach hinten losgehen.
Vier Monate für eine popplige Browserlücke ist nämlich schon der Hammer.
Wenn das jetzt daran liegt, weil der Browser zu tief ins System eingegraben ist, dann ist mir das auch wurscht. Mozilla würde das einfach schneller hinbekommen weil sie durch ihren reinen Browser einfach agiler sind.
Und das ist das Endergebnis was mich interessiert

Abgesehen davon bin ich halt nur ein Hobby-Web-Entwickler meiner eigenen Webseite. Meine Zeit wird nicht bezahlt sondern fehlt von meiner Freizeit. Und wenn ich ständlich für den IE eine Extrawurscht implementieren muß dann ärgert mich das.
Deshalb wird das in Zukunft von mir auch unterlassen.

Nein, es muß nicht jede Seite auf jedem Browser gleich aussehen. Aber ja....es sollte zumindest jede Seite auf jedem Browser funktionieren.

Na komm, Google ist ja wohl auch kein Weisenknabe. Sie setzen allen Ernstes noch den IE6 im Firmennetzwerk mit einer Verbindung nach außen ein und wundern sich, dass sie sich was einfangen?

Also manche Sachen sollte man besser nicht ausprobieren ... ist ja wohl logo, dass Google immer ein potentielles Ziel eines solchen Angriff sein wird - jetzt und in Zukunft noch viel mehr.

Diese ominösen 4 Monate sind übrigens unseriös. Erstmal weiß man nicht, woher die Info stammt (Heise hat keine Einsicht in die Protokolle von MS), zweitens hat selbst das BSI nicht vorher davor gewarnt, also bestand zunächst mal kein Handlungsbedarf.

Der war erst gegeben, als man den Einbruch nachweisen und protokollieren konnte. Selbst Google hat es ja erst sehr viel später mitbekommen. Also einem allein die Schuld daran zu geben, ist mir ein bisschen zu billig. Da hat jeder sein Päckchen mit zu tragen und da sind ein paar Leute aus dem kollektiven Tiefschlaf zu spät erwacht.

Original von Rico1973
Diese ominösen 4 Monate sind übrigens unseriös. Erstmal weiß man nicht, woher die Info stammt (...)

*Ähem*

....von MS selbst kam die Info. ^^

Ja okay. Aber wer hat sie gemeldet? Google jedenfalls nicht.

Original von Rico1973
Diese ominösen 4 Monate sind übrigens unseriös. Erstmal weiß man nicht, woher die Info stammt (Heise hat keine Einsicht in die Protokolle von MS), zweitens hat selbst das BSI nicht vorher davor gewarnt, also bestand zunächst mal kein Handlungsbedarf.

Ähm...das ist von MS selbst so bestätigt worden:
http://blogs.technet.com/msrc/archive/2010/01/21/bulletin-ms10-002-released.aspx

Abgesehen davon muß ich DIr jetzt schon mal sagen, daß Du immer recht schnell mit Austeilen dabei bist aber ziemlich selten auf die wirklich interessanten Aussagen und Fragen hier eingehst

Und zum Thema IE6 kann ich nur sagen daß die Lücke angeblich alle(!) IE Versionen außer der 5er betroffen hat. Also hätte ihnen der IE8 wohl auch nix geholfen.

Fakt ist aber, dass der Angriff über XP/IE6 erfolgte. Nachzulesen irgendwo in den Tiefen von Heise.

Ergo ist die Sensibilität in punkto Sicherheit bei Google eher schlecht ausgeprägt.

Original von Rico1973
Ergo ist die Sensibilität in punkto Sicherheit bei Google eher schlecht ausgeprägt.

Selbst schuld ?

Hätte google Firefox benutzt wär nix passiert ?
Hab dich doch richtig verstanden, oder ? :-p

Original von Rico1973
Fakt ist aber, dass der Angriff über XP/IE6 erfolgte. Nachzulesen irgendwo in den Tiefen von Heise.
Ergo ist die Sensibilität in punkto Sicherheit bei Google eher schlecht ausgeprägt.

Andererseits muß ich mal fragen, was Dich zu der Aussage bewegt.
Soweit ich weiß ist XP und auch der IE6 immer noch im Patch-Zyklus von MS mit enthalten

Das heißt wenn ich beide einsetze dann verzichte ich vielleicht auf neue Funktionalitäten....aber ich sollte mich darauf verlassen können, daß Betriebssystem und Browser sicher sind.

Etwas anderes wäre es, wenn MS selbst vor dem Einsatz des IE6 warnt und sagt daß er nicht weiter supported wird.

Naja, fast. Google = Chrome wäre ja wohl die richtige Alternative gewesen nicht? ^^

Ich weiß nicht genau, aber soviel ich weiß, empfiehlt selbst MS den Einsatz des IE6 nicht mehr - dort heißt es zwar offizielle aus Kompatiblitätsgründen, die mittlerweile auch tatsächlich überhand nehmen, aber es wurde ja nicht umsonst im IE8 das komplette Sicherheitskonzept angepasst, nehm ich einfach mal an ...

Original von Rico1973
Ich weiß nicht genau, aber soviel ich weiß, empfiehlt selbst MS den Einsatz des IE6 nicht mehr - dort heißt es zwar offizielle aus Kompatiblitätsgründen, die mittlerweile auch tatsächlich überhand nehmen, aber es wurde ja nicht umsonst im IE8 das komplette Sicherheitskonzept angepasst, nehm ich einfach mal an ...

Es ist etwas anderes einen Browser nicht mehr zu empfehlen als zu empfehlen ihn nicht mehr einzusetzen.
Und scheinbar wurde das Sicherheitskonzept noch nicht gut genug angepasst ;)

Meiner Meinung nach gehört der IE komplett weggeworfen und von Grund auf neu Designed. Und zwar komplett ohne ActiveX Controls. Als völlig eigenständliche Softwarekomponente welche nur über definierte Standard-Schnittstellen mit dem System sprechen kann.
So wie es jeder andere Browser halt auch macht.

Was MS macht kommt mir momentan vor wie mit 10 Fingern 11 Löcher stopfen zu wollen

Am besten du wirst Chefentwickler dort ...

... sowas ähnliches wird wohl auch tatsächlich passieren, zumindest wenn man bestimmten Internas glauben schenkt. Aber halt jetzt noch nicht.

BTW: weils ich gerade lese:

Und wenn ich ständlich für den IE eine Extrawurscht implementieren muß dann ärgert mich das.
Deshalb wird das in Zukunft von mir auch unterlassen.

Das ist ja auch die einzige Konsequenz, die dir da bleibt. Ich würde es genauso machen, wenn ich nix dafür kriege. ^^

Original von Rico1973
Am besten du wirst Chefentwickler dort ...
... sowas ähnliches wird wohl auch tatsächlich passieren, zumindest wenn man bestimmten Internas glauben schenkt. Aber halt jetzt noch nicht.

Nun das wird auch Zeit daß hier endlich mal jemand einlenkt. MS hält üblicherweise viel zu lange an alten Standards fest auch wenn klar ist, daß es nicht die beste Idee war etwas so oder so zu machen.

Das ursprüngliche Problem ist ja auch nicht der Browser. Der ist ja nur das Einfallstor.
Aber die Tatsache daß es schon immer normal war unter Windows als lokaler Administrator zu arbeiten und daß die Arbeit mit normalen Benutzerrechten teilweise einfach unbequem wenn nicht sogar unmöglich war.
Auch hier lenkt MS erst allmählich ein

Das ist das Dilemma als Marktführer. Man führt Bequemlichkeitsfeatures ein wie eben die Verwendung von ActiveX im Browser (oder sogar den Browser als kompletten Windows Explorer Ersatz verwenden zu können) und kommt dann nicht mehr so leicht davon los, weil sich die vielzahl der Kunden darauf eingestellt haben.
Man kann sagen die haben sich an vielen Stellen ihre Grube einfach selbst geschaufelt.