Yup... Er is 1 dag dat vier(!) leveranciers hun patches uitbrengen en meteen
is '81% van de Windows computers lek'... En dit is nieuws? Wat doen we met
de aangekondigde patches Dinsdag a.s.? Dat gaat wel even duren voor die
allemaal zijn uitgerold. ALS ze allemaal worden uitgerold. Komt dat prachtige
Secunia dan ook met de alarmerende berichten dat gedurende 24 uur
100%(!!!!!) van de windows computers lek is?


non-nieuws....

Hun?

Ontkennen van security problemen van non-Microsoft software is net zoiets
als het ontkennen van de Holocaust. Ik beschuldig jou daar niet van, maar
je lijkt deze security problemen met een korreltje zout te nemen.

En naar mijn mening is dat een verkeerde instelling.

Volledig mee eens, ik ben dan ook eens op de website gaan
kijken om te achterhalen of het niet "toevallig" een
Microsoft partner is.

Het is namelijk toch wel opvallend dat hier uitsluitend
concurrenten van Microsoft producten worden genoemd, die
Windows zouden verzieken.

[sarcasme] Tja, Microsoft heeft nu eenmaal een goede
reputatie als het op de veiligheid van haar eigen software
aankomt :-) [/sacrcasme]

"Ik ben niet bang voor hackers. Dat is het verschil tussen jou en mij. Ik
kan er om lachen als netwerk beheerder."

Moet je "bang zijn voor hackers" om beveiligingsproblemen te
onderkennen dan ?

Nope. Secunia is in essentie onafhankelijk... Echter de kreet over Personal
Software Inspector dat op 282726 systemen is geinstalleerd geeft je een hint:
Astroturfer.. Probeert het eigen produkt aan de man te brengen.

Hmf...dan behoor ik tot die 19 procent dus. Gelukkig maar.

als het een microsoft partner zou zijn waarom zouden ze dan
proof of concepts plaatsen over IE
geloof best dat zoveel mensen PSI al geinstalleerd hebben
overigens, ze verdienen overigens niets op PSI

PSI is gratis te gebruiken.

en ze hebben gewoon gelijk, het gaat om of gebruikers van
windows een probleem hebben met de veiligheid van dat
systeem. dat sommige mensen daar nou direct andere motieven
achter zoeken.

WCeend: openbare toilet niet schoon door gebruiker,
schoonmaakster en luchtvervuiling.

Windows (en standaard instalaties van Linux en *BSD trouwens
ook) is zo onveilig doordat het dus door het gebruikte
beveiligingsmodel bijna zo lek is als de som van alle lekken
in alle applicaties die er op draaien.
Een besturingssysteem zou je moeten beschermen tegen lekke
of vijandige software die je er op draait !

Wat wel een probleem is is dat de browser met al z'n plugins
ondertussen voor veel mensen bijna de hele computer is. Er
zijn dus feitelijk twee plaatsen waar voor veiligheid
gezorgd zou moeten worden:

* Het besturingssysteem
* Het browser platform

Gezien het feit dat MS die twee kan combineren en integreren
zou ik zeggen
dat MS het meest in de positie is om een veilig platform te
leveren waar browser plugins veilig kan draaien (dus zonder
een gevaar te zijn voor de rest van het systeem in het
algemeen, en de prive data van de gebruiker in het byzonder.
Firefox en broertjes zijn net zo beroerd als IE wat betreft
het volledig ontbreken van enig security model m.b.t.
mallicious of broken plugins,
maar deze word niet door een bedrijf gemaakt dat ook het OS
maakt waarop het draait, waardoor je het Firexox en familie
veel minder kwalijk kunt nemen dat het zo'n enorm zooitje is
met de beveiliging.

Jaja, juist door je browser en je besturingssysteem te
integreren krijg je een veiliger systeem en wordt het
patchen ook makkelijker zeker.
Jammer dat je dat nu pas bekend maakt, want in de
UNIX-wereld is modulariteit al jaren een gebod en Micosoft's
singulariy schijnt juist ook die modulariteit na te streven.
Maar daar kunnen ze dan beter mee ophouden zeker?


Windows en linux en *BSD hebben dat lekke model ook volledig
op dezelfde manier geimplementeerd. Daarom zijn Windows en
OpenBSD uit de doos precies net zo onveilig.

Het model is net zo lek als de som der lekken?
Dus als je alle lekken bij elkaar optelt dan weet je hoe lek
het model is. Dat klinkt pas interessant zeg!

Modulariteit binnen een ambient authority model is een absolute
ramp. Als je echter een least authority model gebruikt (iets
waar singularity naar lijkt te neigen) , dan is modulariteit
een grote zegen.

Het punt is dat een 3th party module een veilig
geprogrameerd framework stuk maakt als deze volgens een
ambient authority model werkt.
Het zelfde geld voor applicaties en besturingssystemen.
Combineer je de twee, dan heb je dus de situatie dat een
onveilige browser plugin al je gebruikersdata te grabbel kan
gooien.

Als een OS aan user space frameworks een modulariteits
mechanisme biedt (iets wat MS in z'n OS voor z'n browser
zou kunnen doen), dan kun je daarmee dus een veilige
modulaire browser hebben, ook al zijn de 3th party modules
slecht geprogrameerd.


Windows en linux en *BSD hebben dat lekke model ook volledig
op dezelfde manier geimplementeerd. Daarom zijn Windows en
OpenBSD uit de doos precies net zo onveilig.

Het model is net zo lek als de som der lekken?
Dus als je alle lekken bij elkaar optelt dan weet je hoe lek
het model is. Dat klinkt pas interessant zeg!

[/quote]
Je weet inderdaad pas hoe onveilig de data op een
Linux/Windows/*BSD systeem is als je weet hoe onveilig ALLE
software is die door de gebruiker(s) van dat systeem wordt
gebruikt. (Tenzij er non-standaard maatregelen zijn
getroffen die zorgen dat er een alternatief model gebruikt
wordt.)