ausblenden > Mac-Software
Mal wieder was zur Sicherheit bei...
Jochen:
http://www.macnews.de/index.php?_mcnpage=73603
Jochen
MacFlieger:
<Gähn />
Mal wieder das typische "Nur sicher, weil geringe Verbreitung."
So ein Unsinn. Sicherlich gibt es Sicherheitslücken und Apple ist bei diesem Thema auch nicht immer im besten Licht, aber einfach nur mal wieder so ein bisschen Dreck werfen, Vorurteile pflegen etc.
Soll er die Lücken doch veröffentlichen. _Das_ wäre sinnvoll, denn dann könnte man die beheben.
mbs:
--- Zitat ---Sicherlich gibt es Sicherheitslücken und Apple ist bei diesem Thema auch nicht immer im besten Licht, aber einfach nur mal wieder so ein bisschen Dreck werfen, Vorurteile pflegen etc.
Soll er die Lücken doch veröffentlichen
--- Ende Zitat ---
Ich muss Neil Archibald aus eigener Erfahrung hier etwas in Schutz nehmen.
Es fast immer der "Journalist" oder das dahinterstehende Magazin - in diesem Fall macnews.de und ZDNet Australia - die darauf aus sind, "mit Dreck zu werfen", um ihre Werbeeinnahmen zu erhöhen.
Es sieht üblicherweise so aus, dass das News-Magazin auf eigene Veranlassung hin Experten zu "interessanten" Fragen interviewt. Die Experten antworten nach bestem Wissen und Gewissen mit den Fakten, die sie kennen, normalerweise völlig neutral und ohne Wertung.
Sind die gesammelten Fakten unspektakulär, passiert nichts. Entdeckt man aber in einer Experten-Aussage, eine angebliche "Story", dann wird das ganze aufgebauscht und in einen reißerischen Artikel verwandelt. Gespickt mit echten Zitaten wird die Sache so hingestellt, als hätte der Experte sich aus seiner Initiative heraus an die Presse gewandt, um Kritik an einer Institution (hier: an Apple) und den "ach so katastrophalen Zuständen" zu üben, was natürlich so überhaupt nie passiert ist.
Der "Journalist" ist fein raus, denn er "zitiert" ja nur Expertenmeinungen. Bei den Fans der angeblich kritisierten Institution steht jedoch nun der Experte als Buhmann da, obwohl er nur Auskunft über die ihm bekannte Faktenlage gegeben hat.
Fakt ist: Apple wurde von SureSec - wie es in der Industrie Usus ist - über alle entdeckten Sicherheitsprobleme vertraulich informiert. Der dsidentity-Bug wurde zum Beispiel am 25.05.2005 an Apple gemeldet. Apples Security-Team schickt einem dann üblicherweise die Antwort "Because of the potentially sensitive nature of security vulnerabilities, we ask that this information remain between you and Apple while we investigate it further." zurück, bittet also darum, die Sache nicht zu veröffentlichen. Behoben wurde der Fehler erst mit dem Security-Update 2005-007 am 17.08.2005. Die Natur des Sicherheitsproblems wurde von SureSec und Apple am gleichen Tag veröffentlicht.
Man kann jetzt darüber streiten, ob 11 Wochen zur Korrektur eines solchen Fehlers angemessen sind...
Florian:
Erstmal danke für den Blick hinter die Kulissen.
--- Zitat von: mbs am Januar 25, 2006, 21:20:14 ---Man kann jetzt darüber streiten, ob 11 Wochen zur Korrektur eines solchen Fehlers angemessen sind...
--- Ende Zitat ---
Muss man wohl nicht streiten. :)
Ist denn das die übliche Zeitspanne? Ich las schon des öfteren, daß Apple nicht gerade fix ist beim Beheben von Sicherheitslücken und teilweise kann man es ja auch als "Normalbenutzer" sehen, wenn dann einige Wochen nach einer Meldung über eine Lücke z.B. in Quicktime beim Update was darüber geschrieben steht (Hier mal eine Kritik über Links in der Software-Aktualisierung, die immer auf die veraltete deutsche Seite weisen...).
Hast Du da einen gewissen Überblick über Apple, auch verglichen mit anderen Firmen?
Ich habe nämlich irgendwie das Gefühl, daß Apple im Sicherheitsbereich nicht genügend Engagement zeigt. Habe aber, wie gesagt, nur Indizien dafür und diverse Meinungen von Journalisten. Und zu letzterem hast Du ja alles gesagt.
mbs:
--- Zitat ---Ist denn das die übliche Zeitspanne?
--- Ende Zitat ---
Mein Eindruck ist leider, dass es in den meisten Fällen noch länger dauert.
--- Zitat ---Hast Du da einen gewissen Überblick über Apple, auch verglichen mit anderen Firmen?
--- Ende Zitat ---
Nicht wirklich, aber man könnte aus den Security-Reports von Apple die Firmen ablesen, die die Fehler gemeldet haben. Darüber lassen sich dann meistens (eventuell über die CAN-Nummer) die Parallelveröffentlichungen (Disclosures) der Firmen bestimmen, in denen meistens das tatsächliche Meldedatum aufgeführt ist.
Auf jeden Fall ist Apple viel langsamer als z.B. Linux-Anbieter, die Korrekturen in der Regel nach spätestens 48 Stunden anbieten.
Natürlich wäre es einem normalen Heim-Anwender nicht zuzumuten, alle 2 Tage Security-Updates einzuspielen. Da Apple aber den Anspruch vertritt, auch Server-Produkte für den Firmeneinsatz zu vertreiben, wäre es da sicher angemessen, zumindest für "Power-User" wesentlich schnellere Hilfen bereitzustellen.
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln