Microsoft vraagt ontwikkelaars om veiligere software
Volgens Microsoft moeten andere softwareontwikkelaars beter de beveiligingsmaatregelen in Windows gebruiken, om zo gebruikers tegen aanvallen te beschermen. Windows biedt ontwikkelaars opties zoals DEP, ASLR, SafeSEH en SEHOP, die het lastiger maken om beveiligingslekken te misbruiken.
"De bescherming die deze maatregelen bieden staat los van een enkel beveiligingslek en biedt daarom bescherming tegen misbruik van lekken die nog onbekend zijn of waar nog geen beveiligingsupdate voor is", zegt Matt Miller van het Microsoft Security Engineering Center. Hoewel deze technologieën al enige tijd bekend zijn, blijken andere softwareontwikkelaars die niet te gebruiken. "Het gaat langzamer dan we graag willen."
Ook systeembeheerders zouden problemen met de beveiligingsmaatregelen hebben. Daarom heeft Microsoft een nieuw rapport gepubliceerd waarin het ontwikkelaars en beheerders nogmaals oproept om de maatregelen toe te passen. Het rapport bevat verder een overzicht van welke Windows en IE-versies de verschillende technieken ondersteunen.
Reacties (16)
13-07-2011, 16:27 door
[Account Verwijderd]
[Verwijderd]
Door pe0mot: Microsoft zou een tool moeten beschikbaar stellen die code checks doet.
Zoiets als het vroegere Lint en het inschakelen van alle warnings in compilers en linkers.
Microsoft wil dat je duizenden euros betaald om dergelijke checks aan te zetten, want die is alleen actief in de premium/ultimate versie van Visual Studio 2010. Daarbij komt ook nog dat die checks weinig voorstellen en false positives genereren. Microsoft adviseert daarom je code te verbouwen zodat hun false positives verdwijnen, haha!Zoiets als het vroegere Lint en het inschakelen van alle warnings in compilers en linkers.
Microsoft heeft wel enkele security tools, maar die worden niet als zodanig aan de man gebracht. Let op, ook geschikt voor de systeembeheerders onder ons: gebruik de Application Verifier om diverse bugs te ontdekken. Uiteraard heeft Microsoft het zo moeilijk mogelijk gemaakt om de laatste versie te verkrijgen. Je moet er de Windows Driver Kit voor downloaden. Dat is gratis.
http://www.microsoft.com/download/en/details.aspx?id=11800
Zoals je hierboven ziet regeert bij Microsoft de marketing afdeling. Wie verkoopt nu een compiler zonder debugging tools, terwijl je die de naam "Professional" meegeeft?
13-07-2011, 17:52 door
spatieman
MS en veilige software vragen.
Dat is als de paus die internet explorer 5 gebruikt.
Dat is als de paus die internet explorer 5 gebruikt.
13-07-2011, 18:00 door
Skizmo
Door pe0mot: Microsoft zou een tool moeten beschikbaar stellen die code checks doet.
Zoiets als het vroegere Lint en het inschakelen van alle warnings in compilers en linkers.
Het vragen aan mensen om het beter te doen en dan te hopen dat dat gebeurt gaat al duizenden jaren fout.
Lint heeft echt niet door of er een beveiligingslek is. Goede code kan nog steeds crappy zijn.Zoiets als het vroegere Lint en het inschakelen van alle warnings in compilers en linkers.
Het vragen aan mensen om het beter te doen en dan te hopen dat dat gebeurt gaat al duizenden jaren fout.
13-07-2011, 18:19 door
SirDice
Door pe0mot: Microsoft zou een tool moeten beschikbaar stellen die code checks doet.
Men heeft het hier voornamelijk over compiler opties en niet over bepaalde code (hoewel de code dan natuurlijk wel weer overweg moet kunnen met die opties). Een dergelijke tool zal dan ook niet veel helpen wat dit betreft.Door pe0mot: Microsoft zou een tool moeten beschikbaar stellen die code checks doet.
Zoiets als het vroegere Lint en het inschakelen van alle warnings in compilers en linkers.
Het vragen aan mensen om het beter te doen en dan te hopen dat dat gebeurt gaat al duizenden jaren fout.
Zoiets als het vroegere Lint en het inschakelen van alle warnings in compilers en linkers.
Het vragen aan mensen om het beter te doen en dan te hopen dat dat gebeurt gaat al duizenden jaren fout.
Microsoft hoeft toch niet alles voor iedereen op te vangen? Mensen die zijn aangenomen om te programmeren mag ook best van verwacht worden dat ze hun werk fatsoenlijk doen.
14-07-2011, 06:35 door
M_iky
HAHAHAHAHAHAHAHAHAH, zo begint de dag natuurlijk wel goed met zo'n mop.
Zolang er banken zijn, bestaan er bankovervallers.
Zolang er software is om te gebruiken , zal men deze proberen te misbruiken (eender welke maatregelen men dan ook denkt te treffen).
Het is de aard van het beestje.
Bedankt security.nl voor de lach en de traan.
Zolang er banken zijn, bestaan er bankovervallers.
Zolang er software is om te gebruiken , zal men deze proberen te misbruiken (eender welke maatregelen men dan ook denkt te treffen).
Het is de aard van het beestje.
Bedankt security.nl voor de lach en de traan.
14-07-2011, 07:10 door
Above
Eerste hit op Google http://www.security.nl/artikel/33344/1/Microsoft_waarschuwt_voor_ernstig_lek_in_Windows_7.html
Volgens mij is Microsoft zijn laatste besturingssysteem ook al zo lek als een mandje.
We zullen de andere fouten van het os zelf maar niet gaan Googelen.
Pot verwijt de ketel.
Nog eentje dan http://webwereld.nl/nieuws/66228/nieuwe-lekken-in-kern-windows-7-en-os-x.html
Volgens mij is Microsoft zijn laatste besturingssysteem ook al zo lek als een mandje.
We zullen de andere fouten van het os zelf maar niet gaan Googelen.
Pot verwijt de ketel.
Nog eentje dan http://webwereld.nl/nieuws/66228/nieuwe-lekken-in-kern-windows-7-en-os-x.html
Dat DEP gedoe, is dat niet het eerste wat de meeste mensen gelijk uitschakelen??
Door Above: Eerste hit op Google http://www.security.nl/artikel/33344/1/Microsoft_waarschuwt_voor_ernstig_lek_in_Windows_7.html
Volgens mij is Microsoft zijn laatste besturingssysteem ook al zo lek als een mandje.
We zullen de andere fouten van het os zelf maar niet gaan Googelen.
Pot verwijt de ketel.
Nog eentje dan http://webwereld.nl/nieuws/66228/nieuwe-lekken-in-kern-windows-7-en-os-x.html
Zal ik linkjes geven met lekken in oeboentoe of andere linux distro's?Volgens mij is Microsoft zijn laatste besturingssysteem ook al zo lek als een mandje.
We zullen de andere fouten van het os zelf maar niet gaan Googelen.
Pot verwijt de ketel.
Nog eentje dan http://webwereld.nl/nieuws/66228/nieuwe-lekken-in-kern-windows-7-en-os-x.html
14-07-2011, 09:06 door
Mysterio
Door Above: Eerste hit op Google http://www.security.nl/artikel/33344/1/Microsoft_waarschuwt_voor_ernstig_lek_in_Windows_7.html
Volgens mij is Microsoft zijn laatste besturingssysteem ook al zo lek als een mandje.
We zullen de andere fouten van het os zelf maar niet gaan Googelen.
Pot verwijt de ketel.
Nog eentje dan http://webwereld.nl/nieuws/66228/nieuwe-lekken-in-kern-windows-7-en-os-x.html
Heb je überhaupt verder gelezen dan de kop? Het gaat Microsoft er niet om dat de programma's geen lekken meer mogen bevatten, maar dat er gebruik gemaakt wordt van de veiligheidsmaatregelen die Microsoft biedt.Volgens mij is Microsoft zijn laatste besturingssysteem ook al zo lek als een mandje.
We zullen de andere fouten van het os zelf maar niet gaan Googelen.
Pot verwijt de ketel.
Nog eentje dan http://webwereld.nl/nieuws/66228/nieuwe-lekken-in-kern-windows-7-en-os-x.html
Komen we weer met het auto voorbeeld: Iedereen maakt wel eens een stuurfoutje en daarom heb je beveiligingsmaatregelen zoals gordels, airbag, ABS, traction control en kreukelzones, zodat wanneer het mis gaat het niet meteen dodelijk is.
Lekken blijf je houden, maar de impact ervan kun je wel minimaliseren.
14-07-2011, 09:16 door
SirDice
Door Anoniem: Dat DEP gedoe, is dat niet het eerste wat de meeste mensen gelijk uitschakelen??
Nee, jij bedoelt UAC, da's iets heel anders.
14-07-2011, 09:22 door
SirDice
Door Anoniem: Microsoft hoeft toch niet alles voor iedereen op te vangen? Mensen die zijn aangenomen om te programmeren mag ook best van verwacht worden dat ze hun werk fatsoenlijk doen.
Helemaal mee eens. Ik stoor me mateloos aan figuren die bij elke bug direct naar Microsoft wijzen. Dat de bug in third party software zit lijkt totaal niet uit te maken, Microsoft krijgt hoe dan ook altijd de zwarte piet toegespeeld.Door SirDice:
Door Anoniem: Microsoft hoeft toch niet alles voor iedereen op te vangen? Mensen die zijn aangenomen om te programmeren mag ook best van verwacht worden dat ze hun werk fatsoenlijk doen.
Helemaal mee eens. Ik stoor me mateloos aan figuren die bij elke bug direct naar Microsoft wijzen. Dat de bug in third party software zit lijkt totaal niet uit te maken, Microsoft krijgt hoe dan ook altijd de zwarte piet toegespeeld.Dat mag dan wel zo zijn, SirDice, maar de security tools van Microsoft worden vooral intern gehouden en ze worden niet aan kleine ontwikkelaars ter beschikking gesteld. Dan moet je niet verbaasd zijn als er veel slechte software in omloop is. Microsoft heeft dat vooral aan zichzelf te wijten.
15-07-2011, 11:21 door
SirDice
Door Anoniem:
Dat mag dan wel zo zijn, SirDice, maar de security tools van Microsoft worden vooral intern gehouden en ze worden niet aan kleine ontwikkelaars ter beschikking gesteld. Dan moet je niet verbaasd zijn als er veel slechte software in omloop is. Microsoft heeft dat vooral aan zichzelf te wijten.
Heeft Linus dat ooit wel eens gedaan? Alle security tools voor Linux (of BSD) zijn door derden geschreven en dat vind men heel normaal. Waarom verwacht men dan wel dat MS het doet? Waarom zouden er geen third party tools gebruikt kunnen worden? Waarom moet MS altijd maar alles beschikbaar stellen wat ze zelf gebruiken? Waarom is Microsoft verantwoordelijk voor bagger code geschreven door anderen? Waarom is Linus/Linux niet verantwoordelijk voor bagger code geschreven door anderen?Door SirDice:
Door Anoniem: Microsoft hoeft toch niet alles voor iedereen op te vangen? Mensen die zijn aangenomen om te programmeren mag ook best van verwacht worden dat ze hun werk fatsoenlijk doen.
Helemaal mee eens. Ik stoor me mateloos aan figuren die bij elke bug direct naar Microsoft wijzen. Dat de bug in third party software zit lijkt totaal niet uit te maken, Microsoft krijgt hoe dan ook altijd de zwarte piet toegespeeld.Dat mag dan wel zo zijn, SirDice, maar de security tools van Microsoft worden vooral intern gehouden en ze worden niet aan kleine ontwikkelaars ter beschikking gesteld. Dan moet je niet verbaasd zijn als er veel slechte software in omloop is. Microsoft heeft dat vooral aan zichzelf te wijten.
Ik ben absoluut geen fan van de club uit Redmond maar ik noem dit toch echt meten met twee maten.
Door SirDice:
Ik ben absoluut geen fan van de club uit Redmond maar ik noem dit toch echt meten met twee maten.
Door Anoniem:
Dat mag dan wel zo zijn, SirDice, maar de security tools van Microsoft worden vooral intern gehouden en ze worden niet aan kleine ontwikkelaars ter beschikking gesteld. Dan moet je niet verbaasd zijn als er veel slechte software in omloop is. Microsoft heeft dat vooral aan zichzelf te wijten.
Heeft Linus dat ooit wel eens gedaan? Alle security tools voor Linux (of BSD) zijn door derden geschreven en dat vind men heel normaal. Waarom verwacht men dan wel dat MS het doet? Waarom zouden er geen third party tools gebruikt kunnen worden? Waarom moet MS altijd maar alles beschikbaar stellen wat ze zelf gebruiken? Waarom is Microsoft verantwoordelijk voor bagger code geschreven door anderen? Waarom is Linus/Linux niet verantwoordelijk voor bagger code geschreven door anderen?Door SirDice:
Door Anoniem: Microsoft hoeft toch niet alles voor iedereen op te vangen? Mensen die zijn aangenomen om te programmeren mag ook best van verwacht worden dat ze hun werk fatsoenlijk doen.
Helemaal mee eens. Ik stoor me mateloos aan figuren die bij elke bug direct naar Microsoft wijzen. Dat de bug in third party software zit lijkt totaal niet uit te maken, Microsoft krijgt hoe dan ook altijd de zwarte piet toegespeeld.Dat mag dan wel zo zijn, SirDice, maar de security tools van Microsoft worden vooral intern gehouden en ze worden niet aan kleine ontwikkelaars ter beschikking gesteld. Dan moet je niet verbaasd zijn als er veel slechte software in omloop is. Microsoft heeft dat vooral aan zichzelf te wijten.
Ik ben absoluut geen fan van de club uit Redmond maar ik noem dit toch echt meten met twee maten.
Je mist het punt. Het beschuldigen van Windows ontwikkelaars van slechte beveiliging, terwijl Microsoft zelf (waarschijnlijk de marketeers) veel moeite doen om het vooral niet veilig te laten zijn door de tools die ze wel hebben achter te houden, is een nogal slecht idee. Microsoft moet zelf zijn zaakjes op orde brengen. Dat heeft niets met anderen te maken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
