| |
 |
| GRC: Microsoft versteht nicht viel von Security |
|
|
Veröffentlicht durch maol am Mittwoch 04. Juli, 07:30
Aus der Abteilung
|
|
|
|
|
MacGyver schreibt "Steve Gibson von grc dessen Server vor nicht allzu langer Zeit von einer DoS-Attacke heimgesucht wurde, hatte vor ein paar Tagen eine interessante Telefonkonferenz mit ein paar Microsoft-Technikern bzgl. Windows XP und dem Raw Socket Support darin."
|
|
|
|
|
|
|
"Was er aus daraus gelernt hat: "With a bit of horror, I learned that Microsoft's developers have no understanding of security.""
Mich überrascht weder Gibson noch Microsoft. Und in diesem Falle verstehe ich MS sogar besser als Gibson, der, als alter MS-Hase, das Gefühl hat, Standards (raw sockets) brauche es nicht, stattdessen soll MS wieder einen proprietären, weniger Profi-Admin-freundlichen Weg beschreiten.
MS hingegen hat gemerkt, dass sie mit dem alten Weg nicht mehr überall weit kommen, und wollen sich wo möglich 90% an die Regeln halten - die anderen 10% sind dann hingegen wieder ein Problem, wie man z.B. bei Kerberos gesehen hat. Aber immerhin, lieber ein Feature, das man noch auf sich zuschneiden muss, als gar kein Feature.
|
|
|
|
< Informatik am Ende der Evolution? | Druckausgabe | Mehr Frauen im Netz als Männer > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
|
|
|
"Wie sonst sind Mailclients die Scriptsprachen ausführen erklärbar? Makrosprachen die Vollzugriff aufs System erlauben? "
Für Windows Programmierer wie mich ist das natürlich angenehm, Da ich unter ASP Scriptsprachen ebenfalls besagten Vollzugriff habe.
Das ist für mich und meine Kunden der Hauptgrund, ASP statt z.B. plattformunabhängige Servlets einzusetzen. Ich kann damit alles via Active X ansteuern wie Office, CorelDraw und so weiter.
Allerdings, W98 Anwendungen einfach freie Bahn als Administrator (root unter Windows NT) zu geben, ist der Hammer, da hat ja überhaupt keine Sicherheitspolice mehr Gültigkeit und XP rutscht auf das Sicherheitsniveou eines W98.
Ich tendiere stark dafür, bei mir nur noch ein Windows eizusetzten: Die Enterprise Version (=mehr als 2Prozessoren) von NT4. Die ist seltsamerweise stabil und geht auch mit dem Speicher richtig um. Keine Ahnung warums da plötzlich geht?
Gruß, Andreas
EuphoriasChild
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Im Browser hat Zugriff auf das System ja nun wirklich nichts zu suchen. Der Grund, warum Microsoft es trotzdem geplant hat, war der Versuch, den IE als Frontend für VB oder JScript Scripte zu ertablieren. Dabei haben sie es aber versäumt, das nicht bei Internet Scripten zu verhindern.
Java nimmt es bei Internetapplets mittlerweile aber zu genau, sind doch tausende nützlicher Applets plötzlich wertlos, weil Sun seit Version 2 keine Socket Connections zum ursprünglichen Host mehr zulässt. Vor allem das Chatten über Webseiten (mit einem IRC Server im hintergrund) wird dadurch deutlich unangenehmer.
Gruß, Andreas
EuphoriasChild
|
|
|
|
|
|
|
|
|
|
|
|
|
Man mag zu Micro$oft stehen wie man mag aber gleiches gilt für Steve 'Personal Firewalls sind toll' Gibson.
In diesem Fall liegt SG ganz einfach mal wieder daneben: Er sieht ein, dass es $CLEVERGUY nicht verunmöglicht werden kann, raw sockets doch zu benutzen, weißt aber ansonsten immer wieder darauf hin, dass es doch in der Regel Script Kiddies sind, die mit Programmen von $CLEVERGUY den Schaden verursachen.
Folgerung: Es dauert vielleicht ein paar Tage länger bis $EXPLOIT auftaucht, aber dann ist der Effekt derselbe.
|
|
|
|
|
|
