http://blogs.csoonline.com/windows_vista_90_day_vulnerability_report

Bitte lest euch das PDF (http://www.csoonline.com/pdf/Vista_Vuln_Report.pdf) durch, sowie das Posting von ihm, das erklärt, wie er als MS Mitarbeiter in seiner Meinung beeinflusst ist.
Mögen die Flamewars beginnen. ;)

Das Blog ist imho neben dem von Steve Riley und Jesper M. Johansson sehr lesenswert.

Gruß und schönen Morgan
QFT

Danke für den Link! Sehr interessant...

Bitte :)

Peil ich nicht. Warum ist er in seiner Meinung beeinflusst?
Ist vista nicht sicherer?

Er zeigt doch ganz eindeutig, wie unsicher linux ist, und wie sicher windows oder etwa nicht? ist doch die fehleranzahl aufgelistet

Er zeigt doch ganz eindeutig, wie unsicher linux ist, und wie sicher windows oder etwa nicht?

zeigt er nicht - wenn überhaupt nur auf die ersten 90 tage nach dem erscheinen bezogen!

Peil ich nicht. Warum ist er in seiner Meinung beeinflusst?

Wenn du Steven Ballmer fragen würdest, welches das geilste, stärkste und tollste Ding auf der Welt ist, dann würde er sagen, der Batteriebetriebene Dildo von Microsoft. "Und warum?", fragt sich der Anhänger zeitgenössischer Unterhaltungselektronik. Naja, weil das Ding von MS stammt.

Bei dem Blog postet ein Mitarbeiter von Microsoft gewisse Statistiken, bei denen manche Software nicht sonderlich gut wegkommt.
Nun könnte man auf Befangenheit plädieren. Jetzt klarer?

Gruß,
QFT

[x] Ziemlich wertlos

Sobald es richtig eingesetzt wird kommen auch die Fehler.

[ ] Du hast die Statistik verstanden

Es braucht einfach einen gewissen Verbreitungsgrad. Weil man <30 Fehler gefunden hat bedeutet das garnix. Alleine die Grafik von XP sollte dir da zu denken geben. Das sind praktisch 5 Jahre alte Bugs.
Die Grafik zeigt für mich nur das die Betatester gute Arbeit geleistet haben und das sich VISTA sehr zäh im Markt durchsetzt.

[]du hast die Statistik verstanden?


90 Tage bei allen!!!

Ja ja die Statistiken ...

man hat hier doch mal wieder eine Sache vergessen: Die Basisrate. Damit Fehler gefunden werden können, muß die Möglichkeit dazu da sein. Bei Betriebssystemen heißt das, daß sie einen gewissen Verbreitungsgrad haben müssen, was bei Vista jetzt wohl kaum der Fall ist. Dieser Verbreitungsgrad wird - sofern ich den Bericht verstanden habe - nicht berücksichtigt.

Dazu kommt noch die Frage der Interpretation. Ist es wirklich gut, wenn bei einem Betriebssystem wenig Fehler gefunden werden ? Im ersten Moment scheint das sinnig, doch mal sollte mal darüber nachdenken: Daß nur wenige Fehler gefunden werden, heißt nicht, daß das Betriebssystem wenige Fehler hat. Ich behaupte, daß bei Linux viele Fehler gefunden werden, weil der Quellcode offen ist. Somit besteht oft überhaupt die Möglichkeit, schnell und zuverlässig Fehler zu finden.

Mal anders ausgedrückt: Jeder Fehler, der gefunden wurde, ist ein Fehler weniger, den das Betriebssystem hat (sofern behoben). Mir würde es Sorgen machen, ein Betriebssystem zu benutzen, bei dem keine Fehler gefunden werden. Computer und Software sind so komplexe technische Gebilde, daß zwangsweise Fehler gemacht werden - ob Closed oder Open Source.

Letztendlich sollte man Sicherheit als einen Prozeß begreifen und nicht als Endergebnis. Absolut sicher ist kein System, man kann nur das bestreben haben, laufend die Sicherheit zu verbessern und Fehler zu finden. Das geht meiner Meinung nach bei Open Source wesentlich besser.

Danke das du noch mal gut zusammen gefast hast was unser Gast nicht verstehen will.

Ja ja die Statistiken ...

man hat hier doch mal wieder eine Sache vergessen: Die Basisrate. Damit Fehler gefunden werden können, muß die Möglichkeit dazu da sein. Bei Betriebssystemen heißt das, daß sie einen gewissen Verbreitungsgrad haben müssen, was bei Vista jetzt wohl kaum der Fall ist. Dieser Verbreitungsgrad wird - sofern ich den Bericht verstanden habe - nicht berücksichtigt.

Dazu kommt noch die Frage der Interpretation. Ist es wirklich gut, wenn bei einem Betriebssystem wenig Fehler gefunden werden ? Im ersten Moment scheint das sinnig, doch mal sollte mal darüber nachdenken: Daß nur wenige Fehler gefunden werden, heißt nicht, daß das Betriebssystem wenige Fehler hat. Ich behaupte, daß bei Linux viele Fehler gefunden werden, weil der Quellcode offen ist. Somit besteht oft überhaupt die Möglichkeit, schnell und zuverlässig Fehler zu finden.

Mal anders ausgedrückt: Jeder Fehler, der gefunden wurde, ist ein Fehler weniger, den das Betriebssystem hat (sofern behoben). Mir würde es Sorgen machen, ein Betriebssystem zu benutzen, bei dem keine Fehler gefunden werden. Computer und Software sind so komplexe technische Gebilde, daß zwangsweise Fehler gemacht werden - ob Closed oder Open Source.

Letztendlich sollte man Sicherheit als einen Prozeß begreifen und nicht als Endergebnis. Absolut sicher ist kein System, man kann nur das bestreben haben, laufend die Sicherheit zu verbessern und Fehler zu finden. Das geht meiner Meinung nach bei Open Source wesentlich besser.

OpenBSD ist aber da schon die Ausnahme!
In 10 Jahren gradmal 1 Fehler, und dann auch nur an der SSH-Shell.

Also wenn man das BSD mit Win vergleicht von den Diensten her, kann man sagen, es hatte nie einen Sicherheitsfehler!

Ja ja die Statistiken ...

man hat hier doch mal wieder eine Sache vergessen: Die Basisrate. Damit Fehler gefunden werden können, muß die Möglichkeit dazu da sein. Bei Betriebssystemen heißt das, daß sie einen gewissen Verbreitungsgrad haben müssen, was bei Vista jetzt wohl kaum der Fall ist. Dieser Verbreitungsgrad wird - sofern ich den Bericht verstanden habe - nicht berücksichtigt.


Die Verbreitungsrate ist bei derlei Statistiken unerheblich, weil sich die Security Researcher auf alles stürzen, was nicht bei drei auf dem Baum ist.
Die Fehler werden wohl kaum von Joe Dumpfbacke gefunden, der zufällig über einen Pufferüberlauf stolpert.
Das OS gibt es zu kaufen, die Angestellten von diversen Sicherheitsbuden wie Secunia etc. schnappen sich das, hetzen ihre diversen Fuzzing-Tools drauf und kolpfen erstmal das Gröbste ab.

Der letztendliche Schaden hängt hingegen sehr wohl von der Verbreitung ab, ist aber für die Statistik ohne Bedeutung.

Gruß,
QFT

http://www.internetnews.com/security/article.php/3667201

Das OS gibt es zu kaufen, die Angestellten von diversen Sicherheitsbuden wie Secunia etc. schnappen sich das, hetzen ihre diversen Fuzzing-Tools drauf und kolpfen erstmal das Gröbste ab.

Daß nur und ausschließlich Sicherheitsfirmen die Lücken finde glaube ich nicht so recht. Und selbst wenn dem so sein sollte, hilft dabei durchaus der Source Code.

Ist aber evtl. auch unerheblich: Mit meinem Posting habe ich eine Gegenhypothese aufgestellt. Hypothesen haben die Eigentschaft, oft die Sachverhalte zu vereinfachen. Das war bei der eigentlichen Hypothese der Fall, aber auch bei meiner Gegenhypothese. Wahrscheinlich wird's eine Kombination aus beidem sein und zudem noch viele Faktoren dazukommen, die wir hier nicht bedacht haben. Letztendlich ging es mir darum, diese völlig vereinfachte Aussage des Microsoft-Mitarbeiters mal in Frage zu stellen und genauer zu betrachten. Statistiken sollte man grundsätzlich mißtrauen und sich vor allem trauen, diese mal neu zu interpretieren. In letzterem (der Interpretation) liegt nämlich die wahrgenommene "Wahrheit", nicht in der Statistik selber.

Man könnte dann noch weiter gehen und vor allem erstmal eine sinnvolle Explikation der benutzten Wörter verlangen. Was genau ist Sicherheit. Verstehen wir dasselbe darunter wie der Microsoft-Arbeiter. Läßt sich Sicherheit überhaupt in Zahlen ausdrücken ? Und wenn ja, wie genau ? Ist die Operationalisierung (=Meßbar machen der Sicherheit) des Microsoft-Mitarbeiters sinnvoll ?

Kurze Antwort, da ich gerade ein wenig unterr Zeitdruck stehe:

Der Sinn dieser Statistik ist, dem Leser zu zeigen, wie die Schwachstellenverteilung bei den verschiedenen Betriebssystemen innerhalb der ersten 90 Tage war.
Was man daraus für Schlüsse zieht, ist eine andere Sache und darf von dir mit Recht in Frage gestellt werden.
Die Statistik steht aber erstmal für sich, an den Fakten ist wenig zu rütteln.

Zur Frage der Messbarkeit von Sicherheit:
Sicherheit bezieht sich stehts auf ein Szenario. Hat man kein bestimmtes Szenario vor Augen, dann kann man auch keine Sicherheit definieren.
Extra für diese Fälle halten manche Firmen einen ganzen Stall von Leuten, die risk management betreiben, damit sie Risiken, und bei Nichteintritt der Risiken, Sicherheit vor diesen Risiken quantifizieren können.
Es geht wie bei allen Dingen natürlich um die Kohle.

Zu der Sache, dass die Freilegung des Sourcecodes einen Beitrag dazu leistet, mehr Fehler zu finden, kann ich sagen, dass ich dir teilweise zustimme.
Quelloffenheit hat sich ein paar Bereichen durchaus bewährt. ZB halte ich nicht-quelloffene Kryptographie für eine ganz unangenehme Sache.
Bei Programmcode hat man grundsätzlich das Problem, dass es erst jemand geben muss, der den Code wirklich auch liest. Und je kleiner und unauffälliger das Projekt ist, desto unwahrscheinlicher ist es, das Millionen von Codern den Code nach Fehlern abklappern...und sich professionelle Researcher darum kümmern.

Gruß,
QFT

Bei den nicht geschlossenen Lücken am Ende der 90 Tage steht ja immer "no patch from <distributor>". Das heisst ja jetzt nicht das es nicht gefixt ist/war. nur das die patches nicht so schnell in der distri waren.

Es kommt auch drauf an was für Bugs gefunden wurden.

Ein Grafik-Bug in einen Spiel das dabei ist, ist ziemlich harmlos.
Ein Bug, der sich dazu ausnutzen lässt, um remote dem System Code unterzuschieben ist dann schon gefährlicher.

Dann kommt es auch drauf an, was die alles installieren, z.B. Ubuntu-Server? Oder plus Desktop? oder einfach mal alles was geht?

Letztendlich kann ich nur wiederholen:
Traue keiner Statistik ,die du nicht selbst gefälscht hast.

Die Statistik sagt aus, das WinXP bei Erscheinen (also ohne Servicepack!!!) sicherer ist als ein aktuelles Ubuntu!

Glaubt das wirklich jemand?

Die Statistik sagt aus, das WinXP bei Erscheinen (also ohne Servicepack!!!) sicherer ist als ein aktuelles Ubuntu!

Glaubt das wirklich jemand?

Wenn man das Thema IT-Sicherheit so nulldimensional betrachtet, wie manche User hier, erweckt es durchaus den Anschein.

Das Schöne an Statistiken wie dieser ist, jede User-Fraktion hat was davon.
Die No-Brainer flamen sich die Seele aus dem Leib und stellen brüskierte Fragen, die No-Brainer-Flamer flamen die No-Brainer, weil sie ohne brain sind und der Rest zieht mitunter interessante Informationen aus dem Report.
So sind alle zufrieden und bekommen das, was sie wollen: Spiel, Spaß und Schokolade.

Flame on!
QFT

Schön gesagt, wie immer QFT ;)

Deswegen sage ich trotzdem das die Statistik unabhängig von irgendwelchen Bugs einfach Müll ist.

MS feierte auch kürzlich erst das 20millionste verkaufte Vista.

da stecken aber die ganzen OEMs drin
da sind die Gutscheine
da sind die ganzen Upgradeoptionen, genutzt oder nicht...


Alles eine Frage wie man rechnet.