Apple security ongeschikt voor bedrijfsleven
De aanpak die Apple voor de beveiliging van haar producten hanteert, zorgt ervoor dat de software ongeschikt voor het bedrijfsleven is, zegt Andrew Storms van beveiligingsbedrijf nCircle. Op 9 september patchte Apple zo'n twintig beveiligingslekken in QuickTime, iTunes en andere software. Op 12 september verscheen iPhone versie 2.1 die 8 lekken en de 3G verbindingsproblemen verhielp. Drie dagen later verscheen een update voor 70 security problemen in OSX en op 16 september patchte het lekken in de Remote Desktop. In acht dagen tijd verschenen er updates voor alle platformen en applicaties en dat heeft z'n invloed op security teams.
In tegenstelling tot andere vendors geeft Apple van tevoren geen enkele waarschuwing wat het gaat patchen en wat de omvang van de updates is. Dit betekent dat security teams op 9 september de updates moesten doornemen, prioriteiten stellen en middelen beschikbaar maken, om drie dagen later weer bij elkaar te komen. En het zelfde verhaal herhaalde zich op 15 en 16 september. "De impact van deze willekeurige update cyclus van Apple is ernstig genoeg dat sommige bedrijven besluiten om geen Apple hardware en software meer te gebruiken," stelt Storms.
Microsoft hanteert een Security Development Lifecycle die voor alle partijen inzichtelijk is. Apple had dit volgens Storms niet letterlijk moeten overnemen, het had wel kunnen zien wat werkt en wat niet. Hij hoopt dan ook dat Cupertino z'n best gaat doen en security een boost geeft, zoals het met veel andere producten ook heeft gedaan. "Hip en cool brengt je maar tot zo ver binnen het bedrijfsleven."
Muaahahahaha! :)
M$ patched ook zonder dat de gebruikers het weten, welke lekken er zijn en nog open staan is onbekend. Aanstaande dreigingen zijn niet te voorspellen en er is geen code om in te zien.
Er zijn een aantal gevallen bekend dat M$ pas na 9 maanden patched en dan hebben we het over ernstige lekken.
Er is maar een manier en dat is open source. Niet mijn vrienden maar waarom denk je dat het Amerikaanse Min. van Defensie open source gebruikt ?
De manier waarop Apple het doet is dom en arrogant en maakt geen vrienden.
Afgezien van dat alles heb je het bij Ubuntu/Linux in ieder geval gemakkelijker.
Het zijn twee verschillende modellen en ieder mag zijn voorkeur hebben. Je zou als bedrijf ook kunnen zeggen dat je de patches opvangt, evalueert en je eigen patch-dinsdag organiseert. Omgekeerd kan een bedrijf de patches ook uitrollen zodra ze er zeker van zijn dat het resultaat OK is. Op die manier maak je van een patch-dinsdag weer een 'zo snel als wij verantwoord vinden' aanpak.
Lood om oud ijzer. En weer een aanleiding voor een heilige oorlog die de aandacht afleidt.
M$ patched ook zonder dat de gebruikers het weten, welke lekken er zijn en nog open staan is onbekend. Aanstaande dreigingen zijn niet te voorspellen en er is geen code om in te zien.
Er zijn een aantal gevallen bekend dat M$ pas na 9 maanden patched en dan hebben we het over ernstige lekken.
Er is maar een manier en dat is open source. Niet mijn vrienden maar waarom denk je dat het Amerikaanse Min. van Defensie open source gebruikt ?
Zoek het eerst eens uit voordat je je zoveelste leugen over Microsoft spuit.
Zoek het eerst eens uit voordat je je zoveelste leugen over Microsoft spuit.
http://windowssecrets.com/2007/09/13/01-Microsoft-updates-Windows-without-users-consent
http://www.itpro.co.uk/125062/user-fury-at-microsoft-secret-update
Genoeg? Leugen? Zeg het maar.
Kan je echt véél van leren en als referentie materiaal gebruiken....
Topniveau
Sorry hoor, intelligent persoon. Ga maar lekker door met zeiken. Schijn je leuk te vinden. Jou negeer ik voortaan maar. Eerst maar eens volwassen worden, dan mens worden. Maar dat schoolexamen is nog heel ver weg zeker?
Was je vergeten in te loggen Lamaar? lol
Jij schijnt maar één hobby te hebben: ruzie maken met iedereen die het niet met jou eens is. Nou, ik reageer gewoon niet meer op jou. Ga eerst maar eens je huiswerk maken.
O, nog even dit: ik ben geen deskundige, heb dat ook nooit beweerd. Kennelijk mogen zulke mensen van jou geen mening hebben. Alleen *deskundigen* zoals jij *kuch*. Daarom: blaat maar een eind weg, ik laat je maar in je vet gaar koken. Lekkere sfeer kweek jij hier overigens.
ROFL. Ik moest zo hard lachen hierom. Bedankt, tranen lopen over mijn wangen :-)
Anyway, met iedereen ruzie maken? Nee hoor, en je klinkt echt verdacht veel als Nescio in je bewoordingen. Het is bijna eng te noemen zoals je erop lijkt. Maar goed, geef het maar niet toe hoor. Maar vertel, met wie maak ik hier allemaal ruzie? En definieer ruzie!
Je mag van mij best een mening hebben, maar dat wil niet zeggen dat ik het er mee eens moet zijn toch?
En ik heb ook nooit beweerd dat jij beweerde een deskundige te zijn :-) Dat maak je er zelf van.
En vertel me ook nog even wat voor huiswerk ik dan precies moet gaan maken. Met jou beweringen (die weerlegd worden) lijkt het er meer op dat je eerst maar eens zelf even je huiswerk dient te gaan maken, nietwaar, hmm??
Tbh QQ more pls!
Het niveau van discussie (met name schuttingstaal) vind ik van zulk alooi, dat ik het met eer en geweten niet meer (kan) aanraad(en).
Spijtig, want er is wel degelijk behoefte aan. Dom eveneens dat het steeds dezelfde figuren (?) zijn, die de boel moeten verzieken.
Nonchalant van de Redactie, dat ze in zulks niet ingrijpt. Want zegt nou eerlijk: Is dit nog gefundamenteerd discussie voeren, Security.nl waardig?
Het is steeds hetzelfde liedje : Mooie headline, treurige reacties van steeds dezelfde personen :(
Ik doe zelfs de moeite niet eens meer om de opmerking te lezen.
Met alle respect en eerbied voor al diegene die wel degelijk hebben bijgedragen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
