ComputerBase Menü
Aktuelles

News Stellungnahme zur Sicherheitslücke im MSIE 7

Nein, der Ausgangspunkt ist OE. Habe ich auch geschrieben. Der Angriffspunkt ist aber der IE. Insofern ist er dafür verantwortlich, wenn er mit dem Protokoll nicht umgehen kann. Gibt zwei Möglichkeiten: Protokoll abschaffen, oder einen Weg finden, solche Redirects auszufiltern. Und woher weißt du eigentlich das Microsoft nicht informiert war? Ich find das in keiner Meldung erwähnt.
 
Ich denke jedem ist bewußt das Fehler passieren können. Immerhin sind wir alle nur Menschen. Egal welche aufwendigen Testprozeduren man durchführt wird man bei derart komplexen Produkten nie alle Kombinationen durchtesten können. In der "realen" Welt (also nicht Universitäten/Stiftungen in denen die "reine", "weisse" Lehre geprädigt werden kann, in denen man sich keine Gedanken um Finanzen/Finanzierungen/Aktionäre und greifbare Ergebnisse zu machen braucht, in denen der "Weg das Ziel ist") müssen

Allerdings scheint es für einige eine neue Information darzustellen das in Unternehmen die eine gewisse Größe und Kundenstamm erreicht haben Bugfixes nicht einfach so über Nacht durchgeführt werden. Der Grund dafür ist einfach das meist durch übereilte Bugfixes mehr Schaden als Nutzen angerichtet wird.

Da der Bug auch noch "wenig kritisch" ist wird er natürlich auch nicht bevorzugt abgearbeitet und kann unter Umständen auch mal länger liegen bleiben (das dürfte in dem Fall auch so ähnlich passiert sein)

Somit viel Lärm um Nichts.

Alle die jetzt wieder mit der alten Leier kommen "wenn etwas soooo teuer ist dann darf das aber nicht passieren" stelle ich mal folgende Frage(n):

1) Regt ihr euch im Supermarkt auch so lautstark an der Kassa auf wenn ihr mal wieder in der Schlange steht ?
Weil so teuer wie das dort ist darf das aber nicht passieren.
2) Wenn euer Auto einen Defekt hat/Service braucht regt ihr euch da auch auf wenn ihr beim Service/Reparatur nicht sofort einen Termin bekommt ?
Weil so teuer wie das dort ist darf das aber nicht passieren.
3) Wenn ihr im Restaurant mal etwas länger auf euer Essen wartet regt ihr euch da auch beim Kellner lautstark auf ?
Weil so teuer wie das dort ist darf das aber nicht passieren.

Annahmen:
* Dein Auto hat defekte Bremsen und einen defekten Aschenbecher.
* Du bist Nichtraucher.
* Du bist auf dein Auto angewiesen (Arbeit, etc.)
* Es steht kein Ersatzwagen bereit (und das trotz der horrenden Reparaturkosten --> Skandal !)
* Du wirst vor die Wahl gestellt ob deine Bremsen ODER dein Aschenbecher repariert werden soll bis heute Abend (mehr ist einfach nicht drinnen --> Skandal !)

--> Wie wirst du dich entscheiden ?

Fazit:
Wie bei ALLEM im Leben müssen Prioritäten gesetzt werden. Du, Ich, MS-Mitarbeiter, wir alle treffen Entscheidungen.
In unserem konkreten Fall wurde von den MS-Mitarbeiter die Entscheidung getroffen diesen Bug nicht zu priorisieren und seine Ausbesserung aufzuschieben. Die Gründe hierfür sind keinem von uns bekannt.
Ich für meinen Teil bin gewillt zu Glauben das es dafür triftige Gründe gab und es nicht allein aus Schlamperei oder Faulheit, Gehässigkeit oder weil MS "das Böse" ist geschehen ist :D

--> surmas
 
@HappyMutant
im Post 8 ist ein Link , dort stehts dabei.
 
Dann empfehle ich ihn dir auch ganz genau anzuschauen: "[...]denn offenbar hat Microsoft den Experten nach Meldung der Lücke im April dieses Jahres nicht mitgeteilt, dass das Problem nicht den Browser sondern Outlook Express betrifft.[...]" "Sie (Secunia, Anm. d. Red.) haben es im April gemeldet." Hmm, komisch also Microsoft wußte nichts davon?

Und die News impliziert noch mehr. Offenbar hat man bis heute oder gestern gebraucht um sich mal die Mühe zu machen, herauszufinden woran das Problem liegt. Vorher hat es Microsoft schlichtweg nicht interessiert. Da kann die Angst vor einem übereiltem Bugfix ja kaum der Grund sein. Und es wäre nicht das erste Mal das sich vermeintlich harmlose Lücken als Scheunentor entpuppen. Zumindest untersuchen sollte man sowas schon mal, aber der IE6 hatte halt keine Priorität mehr.
 
Zuletzt bearbeitet:
Nur noch ein letzes von meiner Seite.
Wann ein Fehler gefixed wird, entscheiden ja meist die Manager/Projektleiter und nicht der Programmierer.
So läuft es wohl bei den meisten großen Firmen (habe ich als externer Entwickler auch noch nie anders erlebt)
Es gibt eine Prioritätsliste wie welcher Fehler eingestuft wird. Dazu kann ich als Programmierer sagen (wenn ich überhaupt gefragt werde), wie hoch ich die Gefahr einschätze und dann kommt dieser Fehler halt eben als Prio 3 und wird gefixed im Release v.7.xx im Monat XX.

Warum MS auf den Zugriff zu OE hier ein Protocol eingebaut hat - lies einfach meinen ersten Eintrag. (siehe auch Blog)

Microsoft zahlt halt auch dafür, daß Sie jeden Schmarrn den sich so mache große Firma als Feature gewünscht hat, in den IE mit reinzuprügeln.
Nicht umsonst, wird bei vielen großen Firmen intern immer noch der IE als Standardbrowser definiert und Microsoft kann somit gar nicht ActiveX entfernen, was wohl die beste Lösung wäre.

Wie sagen bei uns immer die Projektleiter, der Kunde wünscht das Feature, als mach mal schnell einen Workaround.
Daß dieser dann wieder neue Fehler generieren kann, ist erstmal egal und wird so hingenommen.

Jetzt rechne man sich das Mal auf ein ganzes Team von Entwicklern hoch....
 
christpower, Surmas usw. ihr habt da sicherlich recht, was die Entscheidungen und Abläufe angeht. Und sicherlich kann da der kleine Programmierer nicht unbedingt etwas für die Probleme. Und gewisse Vorkehrungen müssen getroffen werden um Bugfixes nicht noch größere Löcher reißen zu lassen. Aber auch das Management ist Microsoft und wenn ich kritisiere, dann auch deren Entscheidungen. Ich will doch niemand absprechen das er nicht sein Bestes gibt, aber anderseits werden Fehler gemacht die nicht sein müßten.

Und trotz aller Langsamkeit, gab es genug Probleme, gerade beim IE, die durch ein Bugfix entstanden sind, oder Lücken die erneut geöffnet wurde. Also entweder ist die Qualitätskontrolle doch nicht so gut, oder der IE6 war einfach nicht mehr vernünftig wartbar. Was das ignorieren einer ungefährlicheren Lücke auch erklären können.

Was die Notwendigkeit des Protokolls und die Ausführung durch den IE angeht werde ich leider aber nicht schlau aus den Anmerkungen und den Blogs. Vielleicht hab ich es auch übersehen.
 
Zuletzt bearbeitet:
@3 & co.
genau das meine ich auch
hier wird gesagt, dass m$ ein halbes jahr lang eine sicherheitslücke "verschweigt" - aber die ach so toll aufpassenden medien warten bis zur veröffentlichung des ie7 mit der breit angelegten "warnung" ... wobei ich eher "hetzjagd" sagen würde ;)

bei den ach so 1337en alternativen ök...öhm browsern wie zb ff gabs schlimmeres wos länger gedauert hat mit dem beheben der probs - und da fanden alle user schnell irgendwelche ausreden wie "is ja ein freier browser, da dauerts halt schonmal" und "ja, mit dem fix kamen 20 neue lücken, aber die haben auch nicht das geld wie die kommerziellen" etc. - genau dieselben argumente, die immer angebracht werden, wenns darum geht, m$ niederzumachen, nur halt eben so gedreht, dass es einem wieder in den kram passt.

hallo scheinheiligkeit und doppelmoral, seid willkommen in den kleinen geistern unserer heutigen (virtuellen) welt :)
 
Einfach lachhaft diese Unterstellung. Der IE7 wurde vorgestern veröffentlicht. War also Final. Demnach kann dieser erst in den Tagen danach ernsthaft untersucht und geprüft werden, denn nur dann gilt er als offiziell und für die Öffentlichkeit bestimmt. Wenn Micrososft aber ihren Browser nicht vorher auf alte Lücken prüft, dann sind nicht die Medien dran schuld die sowas anprangern. Und ha, die Lücke im IE6 war seit April bekannt mein Freund, die im IE7 erst seit gestern.

Weiterhin werden Lücken in Opera und Firefox sehr wohl angeprangert, sogar angebliche Lücken wie die Javascript Geschichte vor ein paar Wochen werden durch die Medien gezerrt. Und: Kritische Lücken werden innerhalb weniger Tage gefixt. Microsoft braucht da schon bis zum nächsten Patchday wenn es dumm kommt. Was sicher mit den Abläufen zu tun hat, aber auch gefährlich lange Lücken offen läßt.

Sorry, Scheinheiligkeit und das Verdrehen (oder Ignorieren) von Tatsachen möchte ich einfach mal dir vorwerfen.
 
@HappyMutant,
Damit der IE überhaupt mit Outlook über XMLHTTP kommunizieren kann, haben Sie ein Pseudo-Protocol erschaffen, mit dem es möglich ist, Daten auszutauschen.
Jetzt ist es aber so, das man genau diese Funktionalität nicht verwendet um Outlook anzusprechen. Das Beispiel deute ich so:
Man spricht eine beliebige Seite über XMLHTTP an, diese wiederum macht einfach einen Redirect zu einer xxx.mhtml-Datei, und dadurch sind anscheinend die Restriktionen für das Cross-Site-Scripting wiederum ausgehebelt. Was einen jetzt ermöglicht, X-beliebigen Code von einer anderen URL nachzuladen, auch wenn diese von einer komplett anderen Domain stammt (Cross-Site-Scripting)
 
Also ich hatte bis jetzt noch nie nen Trojaner, Virus, Spyware, Maleware etc. obwohl Windows XP und die MS Programme ja angeblich so gefärdet und gefährlich sind.
Mein gedanke ist das die nörgler mal umdenken und sich fragen warum wiederum viele keine Probleme haben.
 
Okay, soweit, so verständlich. Ich hab schon in etwa verstanden was es macht. Frage mich immer noch ob man das tatsächlich bracht, aber vermutlich hast du Recht es gibt Firmen/ Menschen die das nutzen, und deswegen darf es drin bleiben. So eine Lücke hat für mich das Potential zu mehr, möglicherweise ist es aber auch wirklich nur so begrenzt ausnutzbar. Wieder ein Grund mehr, Mail-Programm und Browser möglichst fern von einander zu halten. ;)
 
Zuletzt bearbeitet:
Warum man nicht so schnell fixen kann, liegt zum einem an der Organisation. Aber was deutlich schwerwiegender ist, die Integration in das Betriebssystem und ActiveX.
Genau das ist der größte Fehler gewesen den MS wohl jemand gemacht hat.

Warum das überhaupt so weit kommen konnte liegt daran, daß Microsoft bereits vor Jahren aufgehört hatte überhaupt für einen Browser zu entwickeln. Es sollte überhaupt keinen Browser mehr geben.
Man stelle sich einfach vor, warum muß ich überhaupt ein extra Programm starten nur um Surfen zu können.
MS wollte einfach das eben lösen. Egal wo man sich befindet, ob in Outlook, im Datei-Explorer, Word usw. man kann überall einfach eine URL eingeben und schon ist man "Online".

Das wäre auch für mich ein Fortschritt. Doch genau da passierte aus meiner Sicht der Fehler. Anstatt hier abgeschottete Module zu erstellen, hat man diese einfach offen ins System integriert mit allen erdenklichen Zugriffsmöglichkeiten auf Systeminterne Daten...
Das Kind scheint aber so tief in den Brunnen gefallen, das wohl erst der Nachfolger von Vista mit diesen Altlasten fertig wird.
 
wenn sie nichts von der sicherheitslücke wissen ist es ja noch halbwegs ok, aber wenn das problem tatsächlich schon so lange bekannt is, dann ist es einfach nur peinlich!!!
 
Brigitta schrieb:
Nein, hätte Microsoft vermeiden können, da der Bug schon seit April bekannt ist. Secunia hat ihn gemeldet , aber Microsoft hat weder mitgeteilt, daß das OE betrifft und nicht den IE, noch begonnen an einem Patch zu arbeiten.
Zum Vergrößern anklicken....
Das hab ich gebraucht von Computerbase. Kam mir schon relativ alleine vor. Ja ich weiß, du antwortest privat. Trotzdem.

@Voyager10 , M$-Fanboy
...zumal du auch nicht alle Einzelheiten kennst um auf MS verbal einschlagen zu können.
Zum Vergrößern anklicken....
Die Arroganz der Macht. Typisch M$. Kritik ist nicht erlaubt, wir kennen uns nicht aus ?

Und außerdem undifferenziert. Wer M$ mit einem Dollarzeichen schreibt, der schlägt verbal auf M$ ein, die anderen kritisieren ganz normal.

Aber Vista rückt näher, da muß M$ eben klotzen und nicht kleckern. Und deshalb verwenden M$-Fanboy's inzwischen auch das Dollarzeichen, um sich den Anstrich von kritischer Distanz zu Microsoft zu geben, wie zum Beispiel, @HereticNovalis. Sein Statement spricht allerdings eine deutlich andere Sprache. Anderen Scheinheiligkeit und Doppelmoral vorwerfen. Ja,ja im Glashaus sitzen...
Leider muß ich deshalb in Zukunft auf das Dollarzeichen verzichten.

@Vogager
Die Einzelheiten über Herkunft, Dauer der Lücke stehen doch im Artikel. Und zwar auch umfassend und verständlich.

Aber du meinst die Einzelheiten innerhalb der M$-Struktur. Da hast du recht, es ist wirklich unverständlich, warum die Lücke auch im IE7 noch besteht. Und deshalb interessiert den Anwender diese Struktur in keinster Weise, sondern nur was hinten rauskommt.

Die Strukturerklärungen von den Fachleuten hier finde ich persönlich hilfreich, die Schlüsse daraus z. T. blauäugig.

Es sieht nicht gut aus.
Weil Firefox 2.0 naht, wird der IE7 vorzeitig und unfertig auf den Markt geworfen. Weltweit Probleme, zerschossene Verzeichnisse und Einstellungen, kann teilweise nicht mehr deinstalliert werden, schaltet bei bestimmten Einstellungen das Design um(potthäßlich).

Woran errinnert uns das ? Richtig, an die Markteinführung von IE6 !!

@surmas
Ich für meinen Teil bin gewillt zu Glauben das es dafür triftige Gründe gab und es nicht allein aus Schlamperei oder Faulheit, Gehässigkeit oder weil MS "das Böse" ist geschehen ist
Zum Vergrößern anklicken....
Nein, aus diesen Gründen nicht. Aus welchen Gründen aber dann?

Eine Firma die Krieg gegen ihre Konkurrenten führt und den Endanwender dafür mißbraucht -
das ist der Grund und das was dabei rauskommt. Keine andere Firma auf der Welt geht so rüde mit seinen Kunden um.
Es ist wirklich Zeit das Monopol von Microsoft zu beenden.
 
Zuletzt bearbeitet:
Nur mal so für alle Flamer und Trolle hier:

In Firefox ist die Lücke auch seit ca. 1 Jahr offen und bis heute nicht gepatcht....

P.S. Ich bin kein IE-Fan...
 
Gut, es mag sein, dass MS die Patches ausgiebig testen muss. Auch, dass sie einen nach dem anderen machen. Auch, dass die kritischen vor den weniger kritischen kommen. Dass dort mehr Sicherheitslücken gefunden werden, weil alle versuchen welche zu finden, leuchtet mir auch noch ein. Ich frage mich eher: Wenn man im Jahr mehr als 10 Milliarden Dollar GEWINN macht, und eine Monopolstellung für sich und seine Produkte beansprucht, warum man dann nicht einige Leute einstellt, die sich Tag und Nach nur um das Patchen von Löchern kümmern. Anscheinend gibt es soviele, und viele unbearbeitet, wenn auch nicht alle kritisch, dass man was daran machen sollte und nicht erst in 2 Jahren. Wer das Geld verlangt, was Ms macht, dann muss soetwas drin sein. Auch sollte der Kostenaufwand verkraftbar sein. Sicherere Produkte kommen immer gut an. Keiner spricht davon, dass sie Fehler frei sind oder sein müssen. Das ist nunmal nicht machbar. Allerdings halte ich es für schwach, dass Lücken vom IE6 im IE7 immer noch offen sind. Es wäre wirklich schön, wenn das Management von MS auf die Idee käme, ein paar Millionen für die Sicherheit auszugeben. Das würde sich auch wirtschaftlich bemerkbar machen.

Schönen Tag noch!
 
@Turinger:
Wenn ich dich also jetzt recht verstanden habe fixt MS den Bug absichtlich nicht weil sie Krieg gegen ihre Konkurrenz führen und uns als Endanwender dafür missbrauchen ... soso ...

Ich für meinen Teil wage es jetzt einfach mal diese These anzuzweifeln da ich den Sinn (sprich: das Gesamtbild, sprich den "großen genialen wie auch teuflischen Plan") dahinter nicht erkennen kann.

Welchen Vorteil sollte MS davon haben das ihr Produkt einen Fehler aufweist ? Inwiefern soll dadurch der "Kampf" gegen die Konkurrenz profitieren ? Inwiefern wollen sie mich als Endanwender dadurch missbrauchen oder was noch schlimmer ist inwiefern missbrauchen sie mich bereits dadurch ?

Grundsätzlich kann ich dir Recht geben das MS seine marktbeherrschende Situation ausnutzt und aufkeimende Konkurrenz rücksichtslos und mit allen legalen (und teilweise weniger legalen) Mitteln bekämpft.
Das dieser Kampf zum Teil auf Kosten der Nutzer ausgetragen wird ist ebenfalls richtig. Das sich Monopole für den Nutzer nachteilig auswirken scheint ebenfalls eine bewiesene Tatsache zu sein (zumindest fällt mir gerade kein Beispiel ein wo das anders wäre)

Offtopic aka "Anti-Verschwörungstheorie":
Was willst du tun um MS - im weiteren Kontext "den Feind" genannt - an ihrem Plan die Weltherrschaft an sich zu reissen zu hindern ?
Wobei ich mir gerade gar nicht so sicher bin ob dieser Plan nicht bereits geglückt ist ...
Was also sollen wir - im weiteren Kontext "das VOLK" genannt - tun um "den Feind" die Weltherrschaft wieder zu entreissen ?
Ok verbreiten wir die Kunde und installieren alle nur noch Linux ... und boykottieren alle "Feind" Produkte oder Produkte in denen "Feind"-Technologie involviert ist oder "der Feind" mitverdient (ok das dürften dann verdammt viele Produkte/Dienstleistungen sein ;) Mal schauen ob sich da überhaupt noch was findet das ich Kaufen oder Nutzen darf ^^)

Es scheint also nicht damit getan zu sein einfach nur kein "Feind"-OS zu installieren ... Vielleicht hast du aber eine gute Idee wie "das VOLK" "den Feind" besiegen kann ...

--> Surmas

PS: Der letzte Absatz darf ruhig als humuristische Einlage interpretiert werden um die Ausweglosigkeit unserer Lage weniger drastisch erscheinen zu lassen

PPS: Verdammt ich kann es einfach nicht lassen ... vergesst das "PS:" :D (obwohl dann hätte ich es einfach auch löschen können *g*)

@YouRselfgoq:
Hmm ... auch wenn ich da keine Insiderinformationen habe aber ich "schätze" mal das MS die eine oder andere Million für Sicherheit investiert ^^
 
Zuletzt bearbeitet: (Feintuning)
@Surmas
Sag ich ja, blauäugig.
MS fixt den Bug nicht absichtlich nicht, das ist deine verquere Idee.
MS bringt den IE7 unbedingt vor Firefox 2.0 unfertig und buggy unters VOLK. Das ist der Mißbrauch. Und das haste auch verstanden. Das du es verniedlichen willst, wirft einige Fragen über dich auf.
Es gibt auch keine "Verschwörungstheorie" oder den "Feind". Was Monopolisten machen ist immer die selbe gierige, öde, rücksichtslose Selbstsucht und wird deshalb auch von der Wirtschaft selbst bekämpft. Ich versuche nur aufzuzeigen was sie machen.
Das kannst du ruhig versuchen ins Lächerliche zu ziehen - da lach ich mit.

Noch was anderes: ich hab eben telefonisch mein bisher, wegen zuviel Hardwareänderungen, gesperrtes OEM-XP Pro aktiviert. Ohne Fragen nach Hardwareänderungen usw. Einfach so.
Na siehste. Es geht doch. Das ist wohl auf den vor kurzem ausgeschiedenen CEO-Deutschland zurückzuführen. Der ist wegen "Meinungsverschiedenheiten" gegangen. Da kann man wohl bei Vista schon ahnen, was da aus Redmond in Bezug auf deutsche Gerichtsbarkeit kommt. Nichts Gutes.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Christoph
News Xbox 360: Erste Stellungnahme zu HDMI
2
Antworten
37
Aufrufe
4.048
MaverickM
MaverickM
Volker
News Microsoft: Stellungnahme zu Warez-Vorwürfen
2
Antworten
34
Aufrufe
4.135
Prediger
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz