Wirkungsvolle Kritik: Google gewährt mehr Zeit bei Sicherheitslücken
Die Veröffentlichung von Sicherheitslücken, die von den entsprechenden Unternehmen nicht innerhalb von 90 Tagen geschlossen wurden, hat Google im letzten Monat einige Kritik eingebracht. Jetzt reagiert das Unternehmen und führt eine kurze ... mehr...
Diese Nachricht vollständig anzeigen.
Kommentar abgeben
Netiquette beachten!
Beliebte Windows-8.1-Downloads
Neue Windows-8.1-Screenshots
Windows-Videos
Windows 8.1 Pro im Preisvergleich
Beliebte Windows 8.1 FAQ Einträge
Beiträge aus dem Forum
Beliebt im Preisvergleich
- Windows:
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 00:00 Uhr
Z-Edge Tragbarer Monitor USB Typ C Portable Monitor 15.6-Zoll 1920x1080 Full HD

Original Amazon-Preis
169,99 €
Blitzangebot-Preis
144,49 €
Ersparnis zu Amazon 15% oder 25,50 €
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Nvidia Shield: Ab sofort werden auch Next-Gen-Controller unterstützt
- Tesla senkt überraschend die Preise für das Model 3 in Deutschland
- Test im Dev-Channel: Microsoft Edge bekommt neue Autofill-Funktionen
- Chip-Engpässe das ganze Jahr: Autos, Server, 5G & mehr betroffen
- Neuer Mega-Deal: 10 GB LTE-Allnetflat für nur 9,99 Euro im Monat
- Wegen Geoblocking: Millionenstrafe der EU gegen Valve und Co.
Videos
Beliebte Downloads
Beliebte Nachrichten
WinFuture Mobil

Nachrichten und Kommentare auf
dem Smartphone lesen.
Meist kommentierte Nachrichten
Forum
-
ISO zu gross für DVD
MiezMau - vor 32 Minuten -
WINDOWS 10 XP Design?
Stef4n - vor 3 Stunden -
3 Monate Telekom-LTE/5G kostenlos
Stef4n - Gestern 23:42 Uhr -
Selbstfahrende Autos
Doodle - Gestern 21:33 Uhr -
Desktop Widgets laufen ohne Flash Player nicht mehr
Mopster! - Gestern 21:25 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Affiliate-Links,
um WinFuture zu unterstützen:
Vielen Dank!
PS: Minus finde ich doof. Da die Frage von adrianghc auf meine Aussage hin völlig berechtigt ist.
Man sollte erst mal vor der eigenen Haustür kehren als andere schlecht zu machen. Sind die die Internet-Polizei oder wofür halten die sich?
Das ist ein nicht zu akzeptierendes Verhalten und ich werde mit Sicherheit weiterhin keine Google-Produkte einsetzen.
Außerdem bin ich der Meinung in fremden Code Fehler finden ist einfacher als im eigenen. Zumindest ging mir das so, wenn ich bei Freunden drüber schaue. Meine eigenen finde ich schwerer als den von anderen. Somit wäre es ja ein "plus".
Dass man zwei Tage vor wirklicher Patch-Releases noch veröffentlicht ist wirklich doof, aber generell Fehler suchen ist nicht verkehrt. Sei es fürs eigene Unternehmen oder für fremde.
Die Frage ist jedoch, setzt Google wirklich Mitarbeiter ein, die "hauptberuflich" nichts anderes machen als Lücken bei den anderen zu finden, oder sind es eher Zufallsfunde, weil man die Software eben benutzt und ein waches Auge hat.
Ersteres wäre meiner Meinung nach nicht in Ordnung, letzteres wäre für mich sogar verpflichend...
Ist aber doch fast schon gängige Praxis, dass US Firmen sich bei allen Belangen ans Bein pissen. Auch wenn die Idee erst mal nobel erscheint, dann aber zu veröffentlichen, obwohl ein Patch kurz vor Release ist, ist ja ein Indiz für "Hey, die haben schlechte Software, nutzt unsere".
"The success of that part-time research has led us to create a new, well-staffed team called Project Zero."
"In addition, we’ll be conducting new research into mitigations, exploitation, program analysis—and anything else that our researchers decide is a worthwhile investment."
"We’re hiring. We believe that most security researchers do what they do because they love what they do."
Ich denke, das beantwortet die Frage. :)
Wenn du keine Patches bekommst, die Google zweifelsfrei veröffentlichst, darfst du dich beschweren: Beim Hersteller des Gerätes und nicht bei Google. Und wenn der Hersteller keine Patches liefert, obwohl du sie haben willst, dann muss man sich beim nächsten Gerät halt eben um einen neuen Hersteller kümmern. Wie bei jedem anderen Produkt ohne eigenen Softwareentwickler im Hintergrund auch. Mal ganz davon abgesehen, dass ein Großteil der Kundschaft sich einen feuchten Dreck um Updates scheren. Was wiederum die Frage aufwirft, warum sich ein Hersteller um einen Support über das umsatzsteigernde und gesetzlich notwendige Maß hinaus bemühen sollte.
Die Wahrheit ist, das Microsoft jederzeit Google zuvorkommen hätte können, es nur nicht wollte, weil man unbedingt an Patchday festhalten musste!
Nur die Wahrheit ist immer das erste Opfer, im jeden Krieg.
Das ist auch der Grund, warum man nur dann einen OOB (Out of Band) einschiebt, wenn es sich absolut nicht vermeiden lässt. Ein OOB generiert extreme Aufwände, die man den Kunden gerne ersparen möchte.
Was meinst Du wäre also einfacher? Wenn Google mal ein paar Tage später seine Veröffentlichung macht oder wenn alle Großunternehmen einen extra Patchzyklus einschieben müssen und hunderte Anwendungen einmal zusätzlich testen müssen?
Keiner (wohlgemerkt den ich kenne) spielt an diesen Tag alle Patch ein und oder testet sie.
Es ist schlichtweg illusorisch zu glauben das der Patchday irgend einen Vorteil zu kontinuierlichen Patch hat, insbesondere wenn Sicherheitslücken schon ausgenutzt werden oder ein ausnutzen droht.
Alle Ressourcen einer Firma müssen für den Tag gebündelt werden, anstatt das kontinuierlich Mitarbeiter die Patch abarbeiten.
Es ist also völlig gleichgültig, für jedes Patch muss jede Anwendungsgruppe eigens getestet werden, mir ist es noch nie untergekommen das man es bei mehr als einen Patch gleichzeitig macht, ein Mitarbeiter der dies macht hat die sofortige Freistellung verdient!
Das sie weniger Komplex wären, oder "einfacher" in der Programmierung, dann solltet du dir bewusst machen das sie >auch< die selben Code wie Windows IE ein und umsetzen!
Dieser Satz ergibt irgendwie keinen Sinn. Die fehlenden Satzzeichen und die schlechte Rechtschreibung/Grammatik machen es auch nicht gerade einfacher.
Jemand der viel Erfahrung in QA von Software hat und auch jetzt noch Freunde in dem Bereich hat. Hab ich hier aber schon öfters erwähnt...
Mein Instinkt als Informatiker sagt mir aber, dass ein regelmässiger Patchzyklus durchaus Vorteile hat...
Stell die vor es kommt jemand und sagt du hast einen Schreibfehler auf Seite 96 / Zeile 17 / Wort 4.
Google sagt Microsoft nicht nur wo der Schreibfehler Zeilen/Wort genau ist, sondern liefert direkt eine Lupe mit (Exposit) damit man den Fehler aus allen möglichen Richtungen nicht übersehen kann.
1. Google hat KEINE Einsicht auf den Code, können also NICHT sagen, wo genau der Fehler liegt, sondern nur beschreiben WIE er sich auswirkt
2. Selbst wenn du mir genau sagen kannst, welches Wort falsc geschrieben ist, heißt das nicht, dass ich nicht den ganzen Absatz neu formulieren muss, weil die Korrektur den Zusammenhang zerreist. Und genau solche Probleme gibt es nunmal häufig in der Softwareentwicklung. EINE Änderung an einer Stelle löst vielleicht ein Problem erzeugt aber auch gleichzeitig welche...
Und wenn es ein wirklich beschissenes Problem ist, dann muss man praktisch das ganze Konzept überdenken (die Doktorarbeit komplett neu strukturieren).
Was ich damit sagen will, ich wäre nicht so dreist und würde mich hinstellen und behaupten JEDEN Bug den irgendwer finden kann lässt sich garantiert in unter 3 Monaten fixen. Viele sicherlich, aber niemand hier kann es tatsächlich beurteilen...
Und wenn man die Lücke kennt, kann man auch herausfinden ob die Lücke bereits genutzt wird. Wird sie NICHT genutzt und ist der Angriffsvektor ohnehin nicht sehr trivial spricht NICHTS dafür die Prozesse zu ändern.
Wenn es danach geht dürfte man Sicherheitslücken überhaupt nicht mehr priorisieren was die Behebung angeht...macht man aber...sinnvollerweise...
Ich arbeite in dem Bereich nicht mehr.
Aber genau das ist der Punkt. Wenn man so ein Weltkonzern ist, stehen einem ganz andere Ressourcen zur Verfügung. Ich habe in Unternehmen gearbeitet bei denen Sicherheit auch sehr wichtig war, da die Hauptkunden Banken waren, und die hatten nichtmal ansatzweise die Möglichkeiten von MS. Wenn da ein Patch jemals 3 Monate gedauert hätte, wären die Firmen schon längst pleite. Aber man merkt schon, du hast davon gar keine Ahnung. Warst du nicht auch der Typ der meinte dass man QA nicht mit VMs machen kann? :)
Es bedarf keines Source Codes um Bestanteile (einzelnen Dienste) auszulesen, das kannst selbst du mit der richtigen Software, die es zum Teil frei im Netz gibt!
Sonst wäre es schlichtweg nicht möglich das Dritte, für und auf die Plattform Windows, Programme schreiben.
Selbst Microsoft stellt mehrere Bibliotheken von Codes zur Verfügung um das zu gewährleisten.
Es ist nicht nur möglich für Google Seiten / Zeilen / Code genau anzugeben wo ein Fehler liegt, es ist ihnen zu gar möglich den Microsoft Dienstcode zu zweckentfremden um damit ein Programm (Exposid) zu schreiben.
Ich weiß nicht woher du deinen Glauben nimmst, ich hoffe du bist einfach nur falsch informiert.
Oh, es gibt sicherlich Bugs die so lange nicht gefixt werden, ganz einfach weil die Ressourcen fehlen und schwerere Bugs nunmal wichtiger sind. Habe ich auch oft erlebt, aber das waren nun wirklich Dinge die nicht wichtig waren und nicht solche riesigen Sicherheitslöcher wie in diesem Fall.