Full Disclosure - Vollständige Offenlegung

Das es trotzdem nicht mit rechten Dingen zugehen kann, liegt da wohl auf der Hand, oder?

 


 

Laut Forrester wies Microsoft die niedrigste Zeitspanne zwischen Bekannt werden der Schwachstelle und der Bereitstellung eines Software-Patches zur Behebung des Fehler auf. Forrester kam zu dem Ergebnis, dass Microsoft für alle 128 veröffentlichten Sicherheitsfehler in Windows über den 12-monatigen Zeitraum, der der Studie zugrunde lag, Sicherheits-Updates zur Verfügung stellte und dass die Sicherheitsupdates durchschnittlich 305 Tage vor größeren Gefahrenausbrüchen bereit standen.
Die Betonung liegt hier jeweils auf den Wörtern „bekannt” und „veröfentlichten Sicherheitsfehler”. Wieviele Fehler im Windows-Code gibt es, die MS nie offiziell bekannt gibt und daher nicht in der Statistik auftauchen? Sicherlich einige. Wenn man dann auch noch mit einbezieht, dass Publikation der Sicherheitsschwachstelle mit der Verfügbarkeit eines Patches einhergeht …..
Und 305 Tage zwischen Publikation und Exploit? Das muss eine Studie aus dem letzten Jahrhundert sein. Die Presseaussendungen, die ich in der letzten Zeit gesehen habe, weisen darauf hin, dass dieser Abstand zusehends schrumpft.

Und dann gibt es ja auch noch die Diskussion, dass nicht jeder Bug gleich ist:
The figures Forrester uses for „all days of risk” are arrived at by averaging the number of days needed to fix a flaw, without distinguishing between critical flaws and harmless ones. Thus, if a vendor took six months to patch a low-risk bug, it would make them appear to have a slow security response time overall, even if all critical bugs had been fixed instantly.

Using Microsoft’s own definition of a critical flaw as a bug which could allow a worm to propagate without user interaction, only 13 Red Hat vulnerabilities were critical during the one-year time period, and they took an average of just over a day to fix, Red Hat security response team lead Mark Cox said. „If you add denial of service attacks and privilege escalations, there were 47 issues in total, which took seven days on average to fix,” he added.
Forrester questions Linux security

Laut Statistiken auf Secunia, einer Webseite rund um das Thema Sicherheit, wurden für Red Hat Enterprise Linux 3 im Durchschnitt 7,4 Sicherheitsmeldungen pro Monat eingestellt, für Windows Server 2003 1,7 Sicherheitsmeldungen.
Wurde da auch berücksichtigt, dass eine Sicherheitsmeldung von MS mehrere Sicherheitslücken beschreibt?

Wie die Yankee Group in der Studie Linux, UNIX and Windows TCO Comparison feststellt, sind „Linux-spezifische Würmer und Viren genauso schädlich wie die Pendants, die in UNIX und Windows auftreten - und in vielen Fällen sogar noch heimtückischer.”
Eine Kugel aus einer 45er Magnum ist genauso schädlich wie die aus einer Kalashnikov.

Wenn heute ein Volumenlizenz-Kunde - unabhängig davon, ob er fünf oder mehrere tausend Computer im Einsatz hat - ein Microsoft Produkt lizenziert, stellen wir ihn - ohne Haftungsobergrenze - von den Kosten frei, die mit einer Klage wegen einer angeblichen Verletzung eines Patents, Urheberrechts, einer Marke oder Geschäftsgeheimnisses durch ein Microsoft Produkt in Verbindung stehen.
Und die Endkunden, KMUs und andere Kunden ohne Volumenlizenz stehen im Patentregen? Das kanns aber auch nicht ganz sein.
Und wer macht denn eigentlich die Panik, wer denn die Trivial-Lizenzen auf SW? Zufällig ein Konzern aus Redmond. Schön sieht man das etwa in der Sender-ID FAQ:
Microsoft sees Intellectual Property as an essential element of modern business development, and licensing of technology is a cornerstone to maintaining a healthy cycle of innovation in the IT industry. As such, Microsoft invests substantially in R&D, and like most enterprises who make significant investment in research and development, Microsoft routinely patents inventions arising from its R&D efforts.
Sender ID Framework and Intellectual Property Overview and FAQ

Dieses [Microsoft-]Team hat mit einer Reihe von führenden Analysten zusammen gearbeitet, die unabhängige Berichte über Anschaffungskosten, Gesamtbetriebskosten (Total Cost of Ownership, TCO), Sicherheit und Haftungsfreistellungen erstellten. Einige Studien wurden von Microsoft in Auftrag gegeben, andere wurden von den Analysten durchgeführt und finanziert.
Traue keiner Statistik …..
Hinzu kommt auch noch, dass die gute, alte Forrester recht fest bei den Studien am werken war und diese Firma mit Microsoft historisch recht enge Bande hat und sich schon einge Fehltritte leistete.

Das ganze Executive Mail von Onkel Fester gibt es auf den MS-Seiten im Pressebereich.

Mittlerweile hat Novell eine schöne Antwort zu diesem Brief zusammengestellt: Novell’s Response - Steve Ballmer’s letter to customers on Linux.


Die Meldung finden Sie im Original unter http://www.cargal.org/drupal/node.php?id=561

Tagged as: | Author:
[Dienstag, 20041109, 14:14 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

RSS Feed RSS Feed

Tag Cloud

2007, a-trust, a.trust, a1, accessability, acta, advent, age, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, collection, computer, computing, concert, conference, copyright, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, domino, Domino, Douglas Adams, download, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, Ein_Tag_im_Leben, email, eu, event, exchange, Extensions, fail, feedback, film, firefox, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, image, innovation, intel, internet, internet explorer, iphone, ipod, isp, it, IT, java, javascript, job, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, living, lol, london, lost+found, Lotus, lotus, lotus notes, Lotus Notes, lotusnotes, LotusNotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, movie, mp3, multimedia, music, musik, männer, nasa, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rss, science, search, security, server, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, sysadmin, talk, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, uk, unix, update, usa, vds, video, videoüberwachung, vienna, vim, Vim, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, Web20, web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, wow, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist