seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11176
Wohnort: München
|
apt-ghetto schrieb: k1l schrieb: Deine Annahme, dass in der BlackBox gar keine Sicherheitslücken sind ist halt schlicht falsch.
Woher willst du wissen, ob die Annahme falsch oder richtig ist? Bist du ein Microsoftentwickler?
Die Zahl der bekannt gewordenen Sicherheitslücken, die Microsoft seit vielen vielen Jahren durch Updates angeht, verrät dir, dass die Zahl der vorhandenen Fehler nicht Null sein kann: https://www.cvedetails.com/vendor/26/Microsoft.html Ein Microsoft-Entwickler hat zwar möglicherweise Zugriff auf den betroffenen Quellcode, muss aber einen Fehler nicht immer zwingend als solchen Erkennen - die sitzen auf einer riesigen Codebasis, die über Jahrzehnte gewachsen ist und viele Fehler springen einem dummerweise nicht direkt ins Auge.
|
apt-ghetto
Anmeldungsdatum: 3. Juni 2014
Beiträge: 2943
|
Da man über das Innenleben einer Blackbox nichts weiss, kann man auch nicht wissen, ob es noch Sicherheitslücken gibt oder keine. Die Annahme, es gäbe keine Sicherheitslücken, ist folglich nicht falscher als die Annahme, es gäbe noch Sicherheitslücken. Einige Sicherheitslücken sind sicherlich auch auf falsche Annahmen von Entwicklern zurück zu führen, weswegen man eben auch Blackbox-Tests macht.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
apt-ghetto schrieb: Die Annahme, es gäbe keine Sicherheitslücken, ist folglich nicht falscher als die Annahme, es gäbe noch Sicherheitslücken.
Davon abgesehen, dass sich falsch ebenso wenig steigern lässt wie schwanger: Eine Annahme in diesem Sinn ist weder falsch noch richtig, sondern eine Behauptung, die es zu bestätigen oder zu widerlegen gilt. Allerdings ist es weitaus wahrscheinlicher, dass ein (beliebiges) System Fehler enthält, als dass es fehlerfrei ist. Richtig ist, das man das bei einer Blackbox wie bei einem offenen System nicht wissen kann - bis es bewiesen ist. Aber es ist schwerer, den Beweis bei der Blackbox anzutreten. Ist sie deshalb sicherer? 😉
|
k1l
Anmeldungsdatum: 22. September 2006
Beiträge: 1253
Wohnort: Köln
|
apt-ghetto schrieb: k1l schrieb: Deine Annahme, dass in der BlackBox gar keine Sicherheitslücken sind ist halt schlicht falsch.
Woher willst du wissen, ob die Annahme falsch oder richtig ist? Bist du ein Microsoftentwickler?
Du könntest hier natürlich auf das berühmte Paradoxon von Schroedingers Gedankenexperiment zur Katze in der Box anspielen: Solange niemand die BlackBox aufmacht muss man davon ausgehen, dass der Code gleichzeitig Sicherheitslücken enthält und nicht enthält. Ich lehne mich hier guten Gewissens aus dem Fenster und behaupte, dass der Code Sicherheitslücken enthält. Und das ist auch einfach zu begründen:
Der Schaden bei kommerziellen closed Source Projekten Fehler zuzugestehen ist wesentlich größer als der von OpenSource Projekten. Wie man hier am Thread sehen kann wird ja "oh mein Gott, da werden aber viele Sicherheitsupdates gebraucht" so ausgelegt, dass es unsicher sei.
Zu guter Letzt können wir ja einfach mal gucken was einer dazu sagt, der wirklich mal Windows Code gesehen und auditiert hat: http://blog.fefe.de/?ts=a81a5919
|
apt-ghetto
Anmeldungsdatum: 3. Juni 2014
Beiträge: 2943
|
lionlizard schrieb: apt-ghetto schrieb: Die Annahme, es gäbe keine Sicherheitslücken, ist folglich nicht falscher als die Annahme, es gäbe noch Sicherheitslücken.
Davon abgesehen, dass sich falsch ebenso wenig steigern lässt wie schwanger:
Die Sprache ist in stetigem Wandel und möglicherweise werde ich es noch erleben, dass man falsch doch steigern darf/kann. Und eventuell ist eine Frau, die Zwillinge erwartet, dann im Vergleich zu einer normal schwangeren Frau auch schwängerer. Eine Annahme in diesem Sinn ist weder falsch noch richtig, sondern eine Behauptung, die es zu bestätigen oder zu widerlegen gilt. Allerdings ist es weitaus wahrscheinlicher, dass ein (beliebiges) System Fehler enthält, als dass es fehlerfrei ist.
Ich gebe dir recht, dass es wahrscheinlicher ist, dass die Anzahl Sicherheitslücken > 0 ist. Allerdings ist Leicester City englischer Fussballmeister geworden. Auf die Wahrscheinlichkeit kann man sich nicht vollumfänglich verlassen. Richtig ist, das man das bei einer Blackbox wie bei einem offenen System nicht wissen kann - bis es bewiesen ist. Aber es ist schwerer, den Beweis bei der Blackbox anzutreten. Ist sie deshalb sicherer? 😉
Ich habe nicht behauptet, dass es sicherer oder unsicherer ist. Ich habe nur darauf hingewiesen, dass k1ls Aussage eigentlich nur eine unbewiesene Behauptung ist. Ich gebe allerdings zu, dass k1l sehr wahrscheinlich trotzdem recht hat. k1l schrieb: Du könntest hier natürlich auf das berühmte Paradoxon von Schroedingers Gedankenexperiment zur Katze in der Box anspielen: Solange niemand die BlackBox aufmacht muss man davon ausgehen, dass der Code gleichzeitig Sicherheitslücken enthält und nicht enthält.
Ich hatte hier eigentlich eher an Ockhams Rasiermesser gedacht, aber deine Antwort finde ich auch gut. Ich lehne mich hier guten Gewissens aus dem Fenster und behaupte, dass der Code Sicherheitslücken enthält.
Behaupten darfst du sowas selbstverständlich. Die Behauptung im ersten Satz müsstest du zuerst allerdings beweisen, was bei einer Blackbox aber nicht möglich ist. Der Schaden bei kommerziellen closed Source Projekten Fehler zuzugestehen ist wesentlich größer als der von OpenSource Projekten. Wie man hier am Thread sehen kann wird ja "oh mein Gott, da werden aber viele Sicherheitsupdates gebraucht" so ausgelegt, dass es unsicher sei.
Eine falsche Annahme kann zu falschen Schlussfolgerungen führen. Zu guter Letzt können wir ja einfach mal gucken was einer dazu sagt, der wirklich mal Windows Code gesehen und auditiert hat: http://blog.fefe.de/?ts=a81a5919
Prinzipiell könnte Microsoft in der Zwischenzeit alle Sicherheitslücken in Windows Vista geschlossen haben.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
apt-ghetto schrieb: Auf die Wahrscheinlichkeit kann man sich nicht vollumfänglich verlassen.
Deswegen heißt sie ja auch Wahrscheinlichkeit. 😉
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
apt-ghetto schrieb: Die Behauptung im ersten Satz müsstest du zuerst allerdings beweisen, was bei einer Blackbox aber nicht möglich ist.
Da irrst Du allerdings, würde ich sagen. Eine Blackbox in diesem Sinne wäre ja eine Software, die für einen definierten Eingabewert eine definierte Ausgabe liefert. Der Beweis, dass die Blackbox fehlerhaft ist, wäre, einen Eingabewert zu finden, der nicht die definierte Ausgabe ergibt. Das kann man dann nur noch schön reden indem man sagt "It's not a bug:It's a feature!" 😉
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Es ist doch definitiv erwiesen, dass Windows viele Sicherheitslücken hat. Sonst würden sie nicht ständig welche schließen. Und bevor jetzt die Verschwörungstheoretiker kommen: Nein, sie schließen da wirklich nur Sicherheitslücken und schleusen keine fragwürigen Prozesse mit ins System!
|
itoss
Anmeldungsdatum: 4. April 2014
Beiträge: 419
|
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
itoss schrieb: http://www.zdnet.de/88166839/update-it-experten-der-bundesregierung-warnen-vor-windows-8/
Es war mir schon immer völlig unverständlich, dass weltweit Staatsbehörden mit einer ausländischen Software arbeiten, deren Quellcode sie nicht auf Sicherheitslücken und Hintertüren untersuchen können. 🙄 Die Russen haben das irgendwann dann doch mal kapiert.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
Aber die Amerikaner sind doch unsere Verbündeten!!!11!! 😈
|
Steffen_FG
Anmeldungsdatum: 11. Juni 2008
Beiträge: 1449
|
V_for_Vortex schrieb: itoss schrieb: http://www.zdnet.de/88166839/update-it-experten-der-bundesregierung-warnen-vor-windows-8/
Es war mir schon immer völlig unverständlich, dass weltweit Staatsbehörden mit einer ausländischen Software arbeiten, deren Quellcode sie nicht auf Sicherheitslücken und Hintertüren untersuchen können. 🙄 Die Russen haben das irgendwann dann doch mal kapiert.
Unverständlich... Ja. Aber auch nachvollziehbar, weil es egal ist http://arstechnica.com/security/2015/10/how-soviets-used-ibm-selectric-keyloggers-to-spy-on-us-diplomats/ Denn wie man an der Story von Arstechnica schön sehen kann, ist es völlig egal, ob du das System selber programmiert hast, selber gebaut hast, selber angeschlossen hast, oder nicht... Wenn ein anderer etwas ausspionieren will, dann findet er einen Weg. Davon mal abgesehen ist diese Story ein schönes Zeugnis für menschlichen Einfallsreichtum und "wir machen/ probieren das mal. Wenn es klappt, sahnen wir kräftig ab. Wenn nicht: Pech gehabt"
|
DonKrawallo
Anmeldungsdatum: 9. August 2007
Beiträge: 1449
Wohnort: Waterkant
|
itoss schrieb: http://www.zdnet.de/88166839/update-it-experten-der-bundesregierung-warnen-vor-windows-8/ noch fragen ?
Ja. Wie steht es mit deiner Medienkompetenz? Das BSI schreibt: Das BSI warnt weder die Öffentlichkeit, deutsche Unternehmen noch die Bundesverwaltung vor einem Einsatz von Windows 8. Das BSI sieht derzeit jedoch einige kritische Aspekte im Zusammenhang mit bestimmten Einsatzszenarien, in denen Windows 8 in Kombination mit einer Hardware betrieben wird, die über ein TPM 2.0 verfügt.
(Quelle) Das Problem ist hier die Kombination aus TPM und Win 8, nicht Win 8 alleine. Nothing proper 'bout your propaganda.
Gruß DonKrawallo
|
Steffen_FG
Anmeldungsdatum: 11. Juni 2008
Beiträge: 1449
|
itoss schrieb: http://www.zdnet.de/88166839/update-it-experten-der-bundesregierung-warnen-vor-windows-8/ noch fragen ?
Windows 8 ist doch eh ein alter Hut. Mich wundert, dass noch nicht vor Windows 10 gewarnt wurde. In Windows 8.1 war das datenschutztechnisch ja alles schön granular einstellbar.
|
apt-ghetto
Anmeldungsdatum: 3. Juni 2014
Beiträge: 2943
|
lionlizard schrieb: apt-ghetto schrieb: Die Behauptung im ersten Satz müsstest du zuerst allerdings beweisen, was bei einer Blackbox aber nicht möglich ist.
Da irrst Du allerdings, würde ich sagen. Eine Blackbox in diesem Sinne wäre ja eine Software, die für einen definierten Eingabewert eine definierte Ausgabe liefert. Der Beweis, dass die Blackbox fehlerhaft ist, wäre, einen Eingabewert zu finden, der nicht die definierte Ausgabe ergibt. Das kann man dann nur noch schön reden indem man sagt "It's not a bug:It's a feature!" 😉
Dann wäre noch zu beweisen, dass sowohl die Hard- als auch Firmware einwandfrei funktionieren. Ausserdem kann es sein, dass der erwartete Rückgabewert selbst auf falschen Annahmen aufbaut. Einfaches Beispiel: Du gibst das Datum "31.07.2016" ein und erwartest als Datum den "29.07.2016" zurück. Stattdessen erhältst du als Datum den "31.07.2016". Ist es ein Fehler in der Blackbox oder nur eine falsche Einstellung? itoss schrieb: http://www.zdnet.de/88166839/update-it-experten-der-bundesregierung-warnen-vor-windows-8/ noch fragen ?
Ja: Wo geht es im Artikel um eine Blackbox respektive um die Behauptung, dass in einer Blackbox mindestens eine Sicherheitslücke existiert?
|