Forum

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #30: Mai 23, 2008, 18:02:05
Ein Teil der Bugs ist mit einem Security-Update behoben worden:
http://support.apple.com/kb/HT1249
Core Security wird dort als Quelle genannt. Core Security schreibt nichts von "Falschinformationen", sondern daß Apple darauf hinwies, daß der Fehler nicht im iCal-Server, sonder im Wiki-Server lag.

Die ausstehenden Bugs werden mit dem nächsten Apple-Security-Update behoben laut Core Security. Wie immer mit Bugbeschreibung und Quelle. Nix mit "Verstecken" in irgendwas anderem.
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

mbs

Re: Apple und die Sicherheit
Antwort #31: Mai 23, 2008, 18:27:15
Zitat
Core Security schreibt nichts von "Falschinformationen"

Bitte lies genauer: Ich schrieb "wurde mehrmals mit falschen Informationen abgespeist, wann das Problem korrigiert wird."

Zitat
Die ausstehenden Bugs werden mit dem nächsten Apple-Security-Update behoben laut Core Security. Wie immer mit Bugbeschreibung und Quelle. Nix mit "Verstecken" in irgendwas anderem.

Wir werden sehen ...

Patrick

  • 4 - 8 - 15 - 16 - 23 - 42
Re: Apple und die Sicherheit
Antwort #32: Mai 24, 2008, 00:05:03
Die ausstehenden Bugs werden mit dem nächsten Apple-Security-Update behoben laut Core Security. Wie immer mit Bugbeschreibung und Quelle. Nix mit "Verstecken" in irgendwas anderem.
Naja, es ist aber schon merkwürdig, daß einer von 3 Bugs im März gepatcht wird, die anderen beiden dann Mitte April auch soweit behoben sind (so liest es sich zumindest in der Timeline), Apple es aber nicht für nötig erachtet, diesen Patch zu veröffentlichen. Statt dessen wird Mitte April von Ende April, später dann von Anfang Mai, dann von Mitte Mai und schliesslich von Ende Mai als Veröffentlichungstermin gesprochen. Und ist was passiert? Nö.

Wenn das nicht hinhalten ist, weiß ich auch nicht.

Ich denke, daß Core das genauso gesehen hat, schliesslich wurde der Bug veröffentlicht, bevor es einen offiziellen Patch von Apple gab, nachdem man sich fast 6 Wochen hat hinhalten lassen.
_______
Dr. Jones: Well I can assure you, Detective Britten, that this is not a dream. What?
Michael: That's exactly what the other shrink said. (Awake 1x01)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #33: Mai 24, 2008, 08:38:25
Ist immer wieder lustig, daß Externe glauben, es besser als Apple zu wissen. Da steht nichts von behoben. Ich sehe allerdings, daß "Core Security" mit seiner Fehleranalyse falsch lag und im Laufe der Zeit durch Apples eigene Untersuchung korrigiert wurde:
• Vendor (Apple) states …  The root cause of the crash is a NULL pointer de-reference and not an integer overflow.
• Core confirms that the two first bugs can be considered crasher only due to null-pointer dereference. Upon further research it is confirmed that integer overflows are detected and do not cause the actual crashes.
Core hat also erst einen qualitativ minderwertigen Bugreport geliefert, der Apple zusätzliche Analysearbeit bescherte, dann haben sie sich korrigieren lassen und machen anschließend auf dicke Hose, wann ein Patch käme.

Core hat bei seinen Bugreports mehrmals diverse Fehler gemacht: Falsche Komponenten angegeben, falsche Ursache angegeben etc. Das ist weder kompetent noch hilfreich. Aber auf ein Fixdatum pochen. Das paßt doch nicht zusammen.
« Letzte Änderung: Mai 24, 2008, 08:42:07 von MacMark »
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

mbs

Re: Apple und die Sicherheit
Antwort #34: Mai 24, 2008, 10:19:39
Zitat
Ist immer wieder lustig, daß Externe glauben, es besser als Apple zu wissen.

Das ist nicht lustig, das ist leider die Realität. Apple ist auf externe Hilfe angewiesen.

Zitat
Da steht nichts von behoben.

Natürlich nicht, denn diese Information steht normalerweise unter NDA.

Zitat
Ich sehe allerdings, daß "Core Security" mit seiner Fehleranalyse falsch lag und im Laufe der Zeit durch Apples eigene Untersuchung korrigiert wurde:

Ja, aber diese Korrektur ist falsch. Erstens ist es zwangsläufig, dass unterschiedliche Ansichten über die Einstufung dieser Fehler bestehen, da es sich nicht um ein quelloffenes Produkt handelt. Zweitens ist in diesem Kontekt auch ein Crasher eine Sicherheitslücke, da damit ein lokaler Denial-of-Service-Angriff möglich ist. Drittens argumentiert Core über den Satz von Rice, dass bei einem Produkt dieser Komplexität die Frage nach der Ausnutzbarkeit der Sicherheitslücke formal unentscheidbar ist.

Zitat
Core hat also erst einen qualitativ minderwertigen Bugreport geliefert, der Apple zusätzliche Analysearbeit bescherte,

Nein, das ist eine bornierte Beurteilung.

Zitat
Core hat bei seinen Bugreports mehrmals diverse Fehler gemacht: Falsche Komponenten angegeben, falsche Ursache angegeben etc.

Du scheinst wenig Erfahrung mit Bugreports zu haben, sonst würdest Du das anders einschätzen.

Zitat
Aber auf ein Fixdatum pochen.

Die Fixdaten wurden von Apple genannt und mehrmals nicht eingehalten.

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #35: Mai 24, 2008, 15:11:43
… Apple ist auf externe Hilfe angewiesen.
Witzig, dann schreibt "Core Security" sicher heimlich auch OS X und nicht Apple.
… Ja, aber diese Korrektur ist falsch.
Lesen ist nicht Deins, hm? Ich hatte oben sogar die Stelle zitiert, in der "Core Security" Apples Korrektur akzeptiert und seine eigene Version als falsch verwirft: "Core confirms that the two first bugs can be considered crasher only due to null-pointer dereference. Upon further research it is confirmed that integer overflows are detected and do not cause the actual crashes" Die von "Core Security" hatten erst behauptet, es wären Integer-Overflows, Apple sagte, es sind nur Null-Pointer, dann hat "Core Security" nochmal "geforscht" und bestätigt, daß es keine Integer-Overflows, sondern wie Apple sagte Null-Pointer sind.
Der Unterschied ist sicherheitstechnisch relevant, weil das eine (Overflow) gefährlich sein kann, das andere (Null-Pointer) aber kein Code-Einschleusen ermöglicht.

Vielleicht ist Dein Englisch auch nicht hinreichend gut?

… Die Fixdaten wurden von Apple genannt und mehrmals nicht eingehalten.
Sie mußten sich ja bis vor kurzem mit "Core Security" über Art und Relevanz der Bugs streiten.

… Du scheinst wenig Erfahrung mit Bugreports zu haben, sonst würdest Du das anders einschätzen. …
Ich sehe es genau andersherum, aber das kannst Du ja nicht wissen :-p
« Letzte Änderung: Mai 24, 2008, 15:18:51 von MacMark »
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

mbs

Re: Apple und die Sicherheit
Antwort #36: Mai 24, 2008, 18:48:13
Zitat
Witzig, dann schreibt "Core Security" sicher heimlich auch OS X und nicht Apple.

Nein, Core Security sicher nicht, aber ein sehr großer Teil von Mac OS X wird außerhalb von Apple entwickelt. Und in Sicherheitsfragen sind externe Audits üblich.

Zitat
Lesen ist nicht Deins, hm? Ich hatte oben sogar die Stelle zitiert, in der "Core Security" Apples Korrektur akzeptiert und seine eigene Version als falsch verwirft

Du blamierst Dich gerade, denn Du hast den Artikel offensichtlich nicht zu Ende gelesen.

Zitat
Sie mußten sich ja bis vor kurzem mit "Core Security" über Art und Relevanz der Bugs streiten.

So, Du meinst also das Schreiben von drei E-Mails blockiert die gesamte Entwicklungsabteilung von Apple?

Es dürfte jedem klar sein, warum Du mit solch einer Argumentationsweise aus einem gewissen anderen Mac-Forum verbannt wurdest.
Re: Apple und die Sicherheit
Antwort #37: Mai 24, 2008, 18:54:42
Hallo zusammen,

das Thema ist sicherlich brisant, da es hier um die SIcherheit unseres OS der Wahl geht, gerade dahalb würde ich bitten, dabei im sachlichen Bereich zu bleiben. Für mich ist das ganze Thema so schon schwierig genug, als dass ich noch zwischen den Zeilen und nun ganz offensichtlich filtern muss, geschweige denn könnte.

Ich danke für die Einsicht allerseits.

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #38: Mai 25, 2008, 06:56:16

Zitat
Lesen ist nicht Deins, hm? Ich hatte oben sogar die Stelle zitiert, in der "Core Security" Apples Korrektur akzeptiert und seine eigene Version als falsch verwirft

Du blamierst Dich gerade, denn Du hast den Artikel offensichtlich nicht zu Ende gelesen.

Wieder falsch :) "Core Security" sieht auch am Schluß noch ein, daß es nicht die von ihnen behaupteten "Integer-Overflows" sind, sondern Null-Pointer, wie Apple ihnen erklärte. Damit läßt sich kein Code einschleusen. Dann sagt "Core Security" noch: "Ach Menno, das sind aber wollja Sicherheitsbugs, menno wollja so." Das ist peinlich, vor allem weil sie das auch noch selbst veröffentlichen.

Aber man sieht, daß - ähem - "Sicherheitsfirmen" bei OS X sogar aus nicht-ausnutzbaren Programmierfehlern einen Elefanten machen können.

Plus: Was bilden die sich überhaupt ein, Forderungen an Apple zu stellen, wann Apple was wie und warum fixt? Wedelt der Schwanz mit dem Hund, oder was?

… aus einem gewissen anderen Mac-Forum verbannt wurdest.
Man muß halt Prioritäten setzen: Die Wahrheit ist mir wichtiger als der Verlust eines Accounts.
http://www.macmark.de/mtn.php
« Letzte Änderung: Mai 25, 2008, 07:02:12 von MacMark »
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
Re: Apple und die Sicherheit
Antwort #39: Mai 25, 2008, 08:13:21
Mit der "Wahrheit" ist das immer so eine Sache. Gesucht wird sie von den meisten. Das Finden einer absoluten Wahrheit ist aber wohl kaum möglich. Zumindest nicht als menschliches Wesen. Für verschiedene Menschen wird es immer wieder verschiedene "Wahrheiten" geben.

Meinungen, auch kontroverse, sind hier jederzeit willkommen. Wahrheiten eher nicht. Denn in der Regel können nur Meinungen fair vertreten werden, ohne persönlich zu werden. Bei Wahrheiten ist das wohl fast unmöglich. Denn schliesslich wohnt schon der Auffassung, die eigene Sicht sei die absolute Wahrheit, eine Herabwürdigung des anderen inne.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #40: Mai 25, 2008, 08:42:51
Mit der "Wahrheit" ist das immer so eine Sache. Gesucht wird sie von den meisten. Das Finden einer absoluten Wahrheit ist aber wohl kaum möglich. Zumindest nicht als menschliches Wesen. Für verschiedene Menschen wird es immer wieder verschiedene "Wahrheiten" geben.

Meinungen, auch kontroverse, sind hier jederzeit willkommen. Wahrheiten eher nicht. Denn in der Regel können nur Meinungen fair vertreten werden, ohne persönlich zu werden. Bei Wahrheiten ist das wohl fast unmöglich. Denn schliesslich wohnt schon der Auffassung, die eigene Sicht sei die absolute Wahrheit, eine Herabwürdigung des anderen inne.
Ich halte beispielsweise "1+1=2" für eine wahre Aussage.

Man kann bei vielen Dingen beweisen, ob sie wahr sind oder nicht. Das wird nicht aufgefaßt, sondern bewiesen. Man kann zum Beispiel nachweisen, daß "Core Security" sich geirrt hat, von Apple korrigiert wurde und es unter Rückzugsgefechten einsah. Denn es ist halt wahr, daß "Null Pointer" keine "Integer-Overflows" sind und auch nicht deren Gefahrenpotential in Form von Ausführung eingeschleusten Codes haben.

Meinungen hingegen können den größten Unfug und Märchen darstellen. Wenn man wissenschaftlich arbeitet, dann haben Meinungen keinen Platz, sondern nur eine sachlich korrekte Untersuchung.

Und wenn jemand in seiner "Meinung" groben Unfug verzapft, dann weise ich ihm das nach, wenn mich das Thema interessiert. Es steht ihm dann frei, weiter "Menno, das ist aber meine Meinung!" zu sagen. Nachweislich falsch bleibt nachweislich falsch. Aber super gemeint ;)

Man kann auch "meinen", Wasser wäre nicht naß. Aber spätestens, wenn Du ins Meer fällst, wirst Du die Wahreit kennen.
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars
Re: Apple und die Sicherheit
Antwort #41: Mai 25, 2008, 08:54:05
Ich glaube, Du hast mich schon verstanden.  ;)

Und nur noch kurz zum aktuell brennenden Streitpunkt: Der Streit dreht sich doch einzig um die Interpretation von Verlautbarungen zweier Firmen. Dass sich allein aus diesen Informationen mit einer sachlich korrekten Untersuchung die absolute Wahrheit ableiten lässt, das bezweifle ich.  ;)
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)

MacMark

  • Diplom Informatiker (Uni), Objective-C Entwickler
Re: Apple und die Sicherheit
Antwort #42: Mai 25, 2008, 09:33:23
…Dass sich allein aus diesen Informationen mit einer sachlich korrekten Untersuchung die absolute Wahrheit ableiten lässt, das bezweifle ich.  ;)

Daß "Core Security" seine Fehler auf eigener Web-Seite selbst zugibt, erleichtert die Sache doch. Ich hatte die Stellen bereits mehrmals zitiert.
Das kann man auch im Quellcode nachweisen. Dort gibt es nichts zu interpretieren. Quellcode ist eindeutig. Und die Wahrheit läßt sich spätestens daran glasklar feststellen. "Core Security" hat es dann ja auch bemerkt, daß es kein "Integer-Overflow", sondern wie Apple ihnen klarmachte ein "Nullpointer" war.

Ich kann "Security"-Firmen nicht leiden, wenn sie sich aufspielen und aus harmlosen Bugs durch selbst dazu-erfundene Unwahrheiten gefährliche Sicherheits-Bugs phantasieren. Am Ende glaubt das der unbedarfte User und vor allem die Presse noch …
_______
macmark.de OS X: Hilfe, Tips & Technik
MacMark auf Twitter
Erklärung meines Avatars

//e

  • Keeper of the past...
Re: Apple und die Sicherheit
Antwort #43: Mai 25, 2008, 09:43:13
Höchst interessantes Thema.

Zunächst einmal zu "Foren", Ausschluss aus diesen und Gebaren von Usern und Administratoren. Ich beobachte schon seit langer Zeit eine zunehmende Willkür, die oft genug durch nichts anderes begründet ist, als blanke Abneigung gegenüber bestimmten Personen, je nach Position entsprechend gelagert. Hier möchte ich MacMark unterstützen und mich der Position anschliessen, dass "Wahrheit" (momentan noch nicht näher betrachtet) immer wichtiger sein sollte, als blanke Unterordnung um Zugehörigkeit zu einem solchen Forum zu sichern.
So lange die Art und Weise einer Formulierung nicht die Persönlichkeit(en) Dritter angreift, so lange gibt es absolut keinen trifftigen Grund, jemanden auszuschliessen. Kompetente Administration sollte eine sachbezogene Auseinandersetzung mit der Thematik unter peinlichster Vermeidung von irgendwelchen persönlichen Angriffen beinhalten. Nach Lektüre betreffender Beitragsketten bin ich zu dem Schluss gekommen, dass auch MacTechNews hier auf ganzer Linie versagt hat. "Wahrheiten" - besser: "Argumente" können immer (wenn man sich Mühe gibt) mit Gegenargumenten beantwortet werden. Ein Ausschluss ist kein Argument, sondern immer die schlechteste Variante einer Notbremsung.

Zum Thema "Wahrheit". Ich denke, dass eine durchaus allseits anerkannte Wahrheit von einem anderen Standpunkt aus betrachtet immer noch eine Wahrheit sein kann, allerdings mit vollkommen verschobenen Inhalten. Es ist nichts Neues, dass von der jeweiligen Seite entsprechend viel Argumentations- und "Beweis"-Material vorhanden sein wird, um eine Wahrheit als solche zu untermauern. In den meisten Fällen sind solche Auseinandersetzungen wenig ertragreich, da sie oft genug nur als Mittel zum Zweck der Abgrenzung dienen, nicht aber der produktiven Erweiterung und Zusammenarbeit (und das betrifft eben auch Verhaltensweisen in Foren!). Anstatt die Chance zu nutzen, gemeinsam mehr zu erreichen, wird abgegrenzt, da Ruf und Reputation mehr zählen, als Erfahrung und Horizonterweiterung.
In diesem Zusammenhang kann man die "Wahrheiten" der beteiligten Firmen durchaus in ihrem kleinen Rahmen als "gültig" betrachten und wird so kaum Berührungspunkte finden.
Die Essenz liegt aber irgendwo in der Mitte zwischen diesen Wahrheiten, nur DIESE Wahrheit, die ist eben zu Teilen für jede Seite unangenehm. Und solchen Blössen gibt sich heutzutage kaum noch jemand hin.

Für meine Begriffe ist das das grosse Manko, auch in Bezug auf die Sicherheitspolitik Apples.

//e
Re: Apple und die Sicherheit
Antwort #44: Mai 25, 2008, 10:43:49
Hier möchte ich MacMark unterstützen und mich der Position anschliessen, dass "Wahrheit" (momentan noch nicht näher betrachtet) immer wichtiger sein sollte, als blanke Unterordnung um Zugehörigkeit zu einem solchen Forum zu sichern.

Ich hoffe nicht, dass mein Votum nun so verstanden worden ist, dass ich für irgend eine "Unterordnung" plädiert hätte. So war es nämlich nicht gemeint und ich schrieb ja, kontroverse Meinungen sind hier durchaus willkommen. Mir ging es einzig darum, wie eine solche Meinung vertreten wird. Und vor allem darum, wie mit anderen Meinungen umgegangen wird. Und so gehe ich mit dem Rest Deiner Ausführungen durchaus einig.
_______
Complete liberty of contradicting and disproving our opinion, is the very condition which justifies us in assuming its truth for purposes of action; and on no other terms can a being with human faculties have any rational assurance of being right. (John Stuart Mill - On Liberty)