Zero Day Lücke in Mail

maba_de schrieb:
wobei das hier schon EXTREM krass ist:
Zum Vergrößern anklicken....
Natürlch ist das ein krasser Fehler (wobei ich es bemerkenswert finde, dass der von iOS 12 auf iOS 13 noch schlimmer geworden ist).

Wie gesagt: Wenn ich für andere verantwortlich wäre, würde ich Mail.app sofort runterwerfen. Ich wüsste zwar nicht, was dann genommen werden sollte, aber Mail.app auf keinen Fall, und irgendeine Notlösung für den Übergang bis zum Fix wird sich schon finden lassen. Im schlimmsten Fall könnte müsste man bei iPhone/iPad halt auf Mail vorübergehend verzichten.

Aber da ich nur für meine eigenen Systeme verantwortlich bin, ist das ein Risiko, das ich eingehe. Übrigens auch nach BSI: Ein Problem tritt dann auf, wenn eine Schwachstelle angegriffen wird. Vorher nicht: Ich geh einfach davon aus, dass ich nicht angegriffen werde. (Jaja, Bruder Leichtfuß, ich weiß. Und ein ganz schlechtes Vorbild ;-))
 
  • Gefällt mir
Reaktionen: Schlenk
lulesi schrieb:
Vermutlich gibt es von solchen Lücken noch mehrere und zwar in allen Betriebssystemen.
Zum Vergrößern anklicken....
Natürlich gibt es die. Was ich auch nie verstanden habe und bis heute nicht verstehe, ist die Abhängigkeit, in die sich Behörden/Regierungen begeben haben. Im Grunde müsste ein Land sein eigenes, offenes Betriebssystem entwickeln, pflegen und einsetzen. Nicht eines, das man von irgendeinem kommerziellen Anbieter zukauft. Natürlich kostet das Geld, natürlich braucht man dafür festangestellte Experten, die man entsprechend gut bezahlen muss. Naja, es ist halt, wie es ist. Und das wird sich auch nicht ändern.
 
  • Gefällt mir
Reaktionen: BalthasarBux
giesbert schrieb:
Natürlich gibt es die. Was ich auch nie verstanden habe und bis heute nicht verstehe, ist die Abhängigkeit, in die sich Behörden/Regierungen begeben haben. Im Grunde müsste ein Land sein eigenes, offenes Betriebssystem entwickeln, pflegen und einsetzen. Nicht eines, das man von irgendeinem kommerziellen Anbieter zukauft. Natürlich kostet das Geld, natürlich braucht man dafür festangestellte Experten, die man entsprechend gut bezahlen muss. Naja, es ist halt, wie es ist. Und das wird sich auch nicht ändern.
Zum Vergrößern anklicken....
Du vergisst da einen wesentlichen Punkt - die User Experience ;).
Letztendlich scheitern solche Ansätze daran, das die User ungern gewohntes aufgeben. Siehe auch München und LiMux, um nur ein Beispiel zu nennen.
Und wenn ich ehrlich bin geht selbst mir als ITler das auch so, für mich sind Design und Usability einer Applikation auch sehr wichtig.
Immerhin ist das auch ein Grund, warum ich noch Macs kaufe.
 
  • Gefällt mir
Reaktionen: Birma
Tekanewa schrieb:
Sowas, wie dieses hier?
Zum Vergrößern anklicken....
Von China & Nordkorea lernen, heißt siegen lernen ;-). Wobei ich da bei Red Flag Linux erstmal nicht sehe, was an dem Ansaz verkehrt sein soll (die Umsetzung mag zweifelhaft sein, das kann ich nicht beurteilen). Es müsste ein eigenes, quelloffenes System sein, mit Peer Reviews etc. Aber das ist natürlich völlig utopisch. Wenn schon eine Stadt wie München den Umstieg auf ein eigenes Linux nicht hinbekommt ...
 
  • Gefällt mir
Reaktionen: Tekanewa
Irgendjemandem muss mal eben trauen, es sei denn man programmiert sich sein eigenes Betriebssystem und alle benötigten Applikationen selbst. Das hat ein global Player mal als Projekt gestartet und relativ schnell festgestellt, dass das nicht umsetzbar ist bei weltweit mehrerer 100.000 Geräten in über 100 Ländern und mit Millionen unterschiedlicher Anwendungsanforderungen.
Da Microsoft auch Kunde des Unternehmens ist hat man entschieden zu dem Anbieter zu gehen der das bestintegrierte System bietet. Und da ist auch Apple im Portfolio gewesen. Allerdings hat Microsoft aufgrund der Anforderungen haushoch gewonnen.
 
giesbert schrieb:
Von China & Nordkorea lernen, heißt siegen lernen ;-). Wobei ich da bei Red Flag Linux erstmal nicht sehe, was an dem Ansaz verkehrt sein soll (die Umsetzung mag zweifelhaft sein, das kann ich nicht beurteilen). Es müsste ein eigenes, quelloffenes System sein, mit Peer Reviews etc. Aber das ist natürlich völlig utopisch. Wenn schon eine Stadt wie München den Umstieg auf ein eigenes Linux nicht hinbekommt ...
Zum Vergrößern anklicken....
Naja, man muss an dem Punkt schon erwähnen, dass der Umstieg ja gelang. Die ausführenden Personen waren halt nicht so angetan davon. Und Microsoft wurde vorher nicht um Erlaubnis gefragt ;)

Was im Ansatz an RedFlag nicht verkehrt sein soll? Das BSI programmiert ein Eagle-Linux, was verpflichtend wird. Die Programme funken alle heim. Und man bekommt nur das zu sehen, was das Bundeskanzleramt grade für richtig hält. Also Ende kommenden Jahres dann Bilder aus dem Allgäu und tiefe Dirndl-Ausschnitte. ;) Aus Wikipedia wird Baypedia. Es wird nicht mehr Google heißen, sondern Münchenwissen.
Nee, lass mal. Ich traue von Haus aus wenigen und Regierungen meist gar nicht großartig. Aber, ein staatliches System halte ich für sowas von daneben.
 
Tekanewa schrieb:
Sowas, wie dieses hier? Linux Distri aus Fernost
Na, ich weiß ja nicht.
Zumal ich keinem trauen würde.
Zum Vergrößern anklicken....
Das schöne an OpenSource ist, dass man nicht vertrauen muss, sondern dass jeder nachgucken kann. So bleibt der Code überprüfbar.
Und du vertraust ja aktuell irgendwelchen Anbietern, oder setzt du nur OpenSource-Software ein?
 
  • Gefällt mir
Reaktionen: Birma
Microsoft hat aufgrund der Anforderungen haushoch gewonnen?
Das bedeutet im Klartext dass die Anforderungen so gestellt waren dass nur Microsoft gewinnen konnte.
 
BalthasarBux schrieb:
Das schöne an OpenSource ist, dass man nicht vertrauen muss, sondern dass jeder nachgucken kann. So bleibt der Code überprüfbar.
Und du vertraust ja aktuell irgendwelchen Anbietern, oder setzt du nur OpenSource-Software ein?
Zum Vergrößern anklicken....
Ich habe die Verhältnisse in Fernost gemeint. Deswegen auch der Link.
Und nein, ich vertraue Apple/Google/Microsoft auch nicht sonderlich weit, füge mich aber im Rahmen dessen, weil ich nicht alles mit OS ersetzen kann.
 
maba_de schrieb:
Du vergisst da einen wesentlichen Punkt - die User Experience
Zum Vergrößern anklicken....
Tja, was soll man machen, wenn "Computer" von Kindesbeinen an automatisch "Windows & Office" heißt? Wobei LiMux nicht nur daran gescheitert ist, sondern, afaik, auch daran, dass es Arbeitsabläufe gab, die zwingend auf IE6 (!) basierten. Naja, ein sehr weites Feld, über das ich mich am Ende nur aufrege.
 
maba_de schrieb:
Das Regierungen den Quellcode von Windows einsehen dürfen weißt du?
Zum Vergrößern anklicken....
Ich nehme an, du weißt, was es heißt, zig Millionen Zeilen Code zu analysieren, an dessen Entwicklung man nicht beteiligt war. Anders gesagt: Das ist schön, dass der Quellcode vorgelegt wird. Ich halte es nur für völlig unrealistisch, dass der auch sinnvoll geprüft werden kann. Das ist im Großen & Ganzen einfach nur eine nette Geste, um das Gewissen zu beruhigen.
 
Birma schrieb:
es sei denn man programmiert sich sein eigenes Betriebssystem und alle benötigten Applikationen selbst
Zum Vergrößern anklicken....
Das ist genau das, was eigentlich gemacht werden sollte. Und ich geh mal davon aus, dass NSA & Co auch genau das machen - ich kann mir nicht vorstellen, dass Systeme auf diesem Sicherheitslevel einfach ein normales Windows nutzen. Aber da mag ich mich irren.
 
giesbert schrieb:
Tja, was soll man machen, wenn "Computer" von Kindesbeinen an automatisch "Windows & Office" heißt? Wobei LiMux nicht nur daran gescheitert ist, sondern, afaik, auch daran, dass es Arbeitsabläufe gab, die zwingend auf IE6 (!) basierten. Naja, ein sehr weites Feld, über das ich mich am Ende nur aufrege.
Zum Vergrößern anklicken....
was soll ich sagen, das kenne ich von meiner Firma auch.
Es ist nun mal eine Realität, der man sich stellen muss. Die Anforderungen der Fachbereiche bestimmen die Applikationen und diese die Infrastruktur.
giesbert schrieb:
Ich nehme an, du weißt, was es heißt, zig Millionen Zeilen Code zu analysieren, an dessen Entwicklung man nicht beteiligt war. Anders gesagt: Das ist schön, dass der Quellcode vorgelegt wird. Ich halte es nur für völlig unrealistisch, dass der auch sinnvoll geprüft werden kann. Das ist im Großen & Ganzen einfach nur eine nette Geste, um das Gewissen zu beruhigen.
Zum Vergrößern anklicken....
mir ist das klar. Es ging mir nur darum, aufzuzeigen, das es Möglichkeiten gibt herauszufinden, gewisse Bereiche sehr detailliert zu prüfen.
Die Zeiten, in denen man den kompletten Code analysieren kann sind lange vorbei.
 
  • Gefällt mir
Reaktionen: Tekanewa
giesbert schrieb:
Was genau an "quelloffen, Peer Review" war da jetzt missverständlich?
Zum Vergrößern anklicken....
Gar nichts. Die Mühe macht sich ein Privatanwender aber nunmal nicht, oder hast du da andere Erfahrungen? Ich habe in meinem privaten Umfeld niemanden, der auch nur einen Gedanken an all seine Systeme verschwendet.

Ich habe beruflich mit einem Debian Netzwerk zu tun, mit diversen ollen Solaris Kisten (die noch laufen müssen), diverse Clients mit W10. Nutze privat noch neben den Apple Geschichten einen openSUSE Tumbleweed und einen FreeBSD Rechner. Code am Gnome Project mit. Ich stehe aber nicht für den typischen Anwender, dem man alles unterjubeln könnte.
 
Tekanewa schrieb:
Die Mühe macht sich ein Privatanwender aber nunmal nicht,
Zum Vergrößern anklicken....
Natürlich nicht. Aber denkbar wäre ja etwa eine vertrauenswürdige NGO - sagenwirmal: CCC - die den Code regelmäßig reviewed und entsprechend zertifiziert. Mit der Möglichkeit, dass auch andere Organisationen da drauf schauen und prüfen können. Natürlich ist das eine völlig unrealistische Maximalforderung. Aber von der Idee her wäre das machbar, so hirngespinstig die Idee auch sein mag ;-).

Als normaler Anwender ist man natürlich immer darauf angewiesen, dass man jemanden vertrauen muss, das geht nicht anders.

Wer macuser.de aufruft, vertraut ja nicht nur Macuser selbst, sondern über Bande auch Let's encrypt, die diese Webite zertifiziert haben. Und Let's encrypt wird vertraut, weil die von DST Root CA X3 zertifiziert wurden. Und denen vertrauen wir, weil unser Browser denen vertraut. Und dem Browser trauen wir, weil wir dem Hersteller des Browser vertrauen usw.

Um irgendwie wieder zurück zum Thema zu kommen: Letzlich ist es bei dem Bug in Mail die Frage, wem man da (mehr) vertraut: ZecOps oder Apple?
 
  • Gefällt mir
Reaktionen: Birma
lulesi schrieb:
Microsoft hat aufgrund der Anforderungen haushoch gewonnen?
Das bedeutet im Klartext dass die Anforderungen so gestellt waren dass nur Microsoft gewinnen konnte.
Zum Vergrößern anklicken....
Die Anforderungen an denen andere gescheitert sind waren unter Anderem, dass es auch professionellen Support geben muss und dass der Hersteller auch die benötigten Programme liefern muss.
Das bedeutet im Klartext dass Du keine Ahnung hast was wirklich die Anforderungen waren aber gerne mal was sagen wolltest :)
Anstatt eine Frage zu stellen interpretierst Du völlig ahnungsbefreit :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten