Vistas Sicherheitsneuerungen nicht ernst gemeint

[MacMark]

Unglaubliches "coming out" von Microsoft hier:
http://www.heise.de/security/news/meldung/85335

Kurzfassung:
Die neuen Sicherheits-Features von Vista wie User Account Control und Protected Mode vom IE sind umgehbar und nicht wirklich ernst gemeint. Das ist laut Microsoft kein Bug, sondern Absicht.

Dazu schrieb ein Leser ein passendes Gedicht:

Helau und Alaaf
Autor: McOSGNULinuxFreeVista

Dee Meikrosoft in U.S.A.,
der iss net faul, der denkt sich, ja,
wir wolle mol, wos neu's probiere,
net immer nur die Leut ausschmiere.
A neu's Betriebssystem muss her,
des kann doch gar net sei so schwer.
Vista, Vista, hott und hüh,
dreidimensional, rot, gelb und grü,
dazu noch etwas Sicherheit,
es gibt ja soviel böse Leut.

Doch zeigt sich jetzt, man glaubt es kaum,
des hätt mer nicht gedacht im Traum,
die neue Sicherheitsfunktione,
die tun sich alle gar net lohne.
Was solls, denkt sich da mancher einer,
wir kennen unsre Pappenheimer,
des Kaisers neue Kleider sind per se,
bei Licht betrachtet dünner als manch Negligè.
Deshalb sag ich, ganz ungeniert,
mit Brille wäre das nicht passiert.

Helau!

Quelle:
http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=12201128&forum_id=112523

 

[Syncron]

Einfach nur ... unglaublich...

 

[Macgyver]

omg ^^

 

[Ziggla]

Ich möchte ja kein Spielverderber sein, aber wieso wird in Apfeltalk im Moment größtenteils nur noch über Windows Vista geschrieben/gelästert?!

 

[Lord Mobi]

Vista ist meiner Meinung

Bei der Installation von MS Office 2000 musste ich fetstellen, dass Vista den Herausgeber von MS Office 2000 als "nicht vertrauenswürdig" einstuft.

GEIL! Endlich muss ich einem OS von MS mal nicht wiedersprechen *gg*

Ich möchte ja kein Spielverderber sein, aber wieso wird in Apfeltalk im Moment größtenteils nur noch über Windows Vista geschrieben/gelästert?!

Weil es langsam langweilig wird, immer nur OS X und Apple zu loben

 

[amarok]

Narri Narro =) Tolle Büttenrede.

Davon abgesehen ist das doch ein kluger Schachzug von Microsoft. Die Hintertür ist ein Feature, keine Sicherheitslücke!

 

[MacMark]

Ich möchte ja kein Spielverderber sein, aber wieso wird in Apfeltalk im Moment größtenteils nur noch über Windows Vista geschrieben/gelästert?!

Weil gerne gelästert wird.
Weil Vista dazu viel hergibt.

 

[pumpkin]

.

 

[jollyjo]

Davon abgesehen ist das doch ein kluger Schachzug von Microsoft. Die Hintertür ist ein Feature, keine Sicherheitslücke!

Jahaha, alles was man nach vornehin als Mist betrachten könnte ist eingentlich ein gewolltes Extra. Und bald muss man diese Extras wohl noch modular zukaufen.

Man bin ich froh, dass ich jetzt so richtig schön mitlästern kann über Windows.

 

[commander]

Hmmm, die UAC erschien mir zwar von Anfang an als sehr fragwürdiges Konzept, eine Art komplizierte Kapsel, die den User in erster Linie vor sich selbst schützt und beinahe alle seine Aktivitäten mitprotokolliert - also ein Sicherheitsrisiko erster Güte für den User , dennoch hielt ich das Konzept an und für sich für wirkungsvoll - dass das Commitment seitens Microsoft dann so mässig ist zum selbstverzapften Mist - das hätt ich ja nicht geglaubt.

Wenn das die einzige Neuerung seitens Sicherheit ist, dann gute Nacht, Vista. Denn wenn die UAC - Blase einmal platzt, dann werden bei der 'Agilität' Microsofts viele Bytes den virtuellen Äther runterlaufen, bis diese wieder geklebt und aufgepumpt ist. Und sollte sich dann darunter der gleiche deformierte OS-Mist wie bisher wiederfinden - Aua.

Das wäre dann wirklich ein unglaubliches Armutszeugniss, und mein ursprüngliches Gefühl, dass man aus Scheisse eben kein Gold machen kann hätte mich nicht getrügt. (Ich dachte ja in den Anfangszeiten von Longhorn, die machen einen klaren Cut, ohne Registry und sonstigen kranken Kack und nehmen nen Unix Kern - kopieren war ja schon immer eine Stärke von MS )

Ich hab mich mit Mista bisher kaum auseinandergesetzt - wir supporten das bis auf weiteres nicht mit unseren Produkten :-D, daher weiß ich noch nichts von den darunterliegenden Strukturen - aber ich befürchte Schlimmstes - bereit, mich eines Besseren belehren zu lassen.

Gruß,

.commander

 

[MacMark]

Und Programme, die Setup oder Install oder Update und dergleichen im Namen haben werden immer mit hohen Rechten ausgeführt.
Niedrige Prozesse könne weiterhin Tastendrücke an hohe schicken.
http://theinvisiblethings.blogspot.com/2007/02/running-vista-every-day.html
http://theinvisiblethings.blogspot.com/2007/02/vista-security-model-big-joke.html
http://technet2.microsoft.com/Windo...2b2f-422c-b70e-b18ff918c2811033.mspx?mfr=true
http://blogs.technet.com/markrussinovich/archive/2007/02/12/638372.aspx

 

[commander]

Folgendes find ich ja noch VIEL VIEL härter:

One thing that I found particularly annoying though, is that Vista automatically assumes that all setup programs (application installers) should be run with administrator privileges. So, when you try to run such a program, you get a UAC prompt and you have only two choices: either to agree to run this application as administrator or to disallow running it at all. That means that if you downloaded some freeware Tetris game, you will have to run its installer as administrator, giving it not only full access to all your file system and registry, but also allowing e.g. to load kernel drivers! Why Tetris installer should be allowed to load kernel drivers?

How Vista recognizes installer executables? It has a compatibility database as well as uses several heuristics to do that, e.g. if the file name contains the string “setup” (Really, I’m not kidding!). Finally it looks at the executable’s manifest and most of the modern installers are expected to have such manifest embedded, which may indicate that the executable should be run as administrator.

Hier.

Das muss ja wohl ein Witz sein, oder?

OMG, es ist ja noch viel schlimmer: Ich hab mich gerade ein bisserl in die IntegrityLevel-Policy eingelesen - grauenhaft.

Man sieht eindeutig, dass sich der Kolloss MS kaum mehr rühren kann, denn solchen Schwachsinn kann man sich nur ausdenken, wenn man kein Wahl mehr hat, einfach alles vom Tisch zu räumen und neu anzufangen - was fast niemand kann - und doch: es gibt Beispiele dafür, aber dafür braucht man Visionäre in den ersten Rigen. Mir fällt da ein nettes OS ein

Ich befürchte, die Hackercommunity reibt sich schon die Finger, denn nach erstem Überfliegen tun sich für mich da etliche Eskalationslücken auf - ich möchte nicht derjeneige sein, der diese zu stopfen hat....

Gruß,

.commander

 

[Hilarious]

Folgendes find ich ja noch VIEL VIEL härter:



Hier.

Das muss ja wohl ein Witz sein, oder?

OMG, es ist ja noch viel schlimmer: Ich hab mich gerade ein bisserl in die IntegrityLevel-Policy eingelesen - grauenhaft.

Man sieht eindeutig, dass sich der Kolloss MS kaum mehr rühren kann, denn solchen Schwachsinn kann man sich nur ausdenken, wenn man kein Wahl mehr hat, einfach alles vom Tisch zu räumen und neu anzufangen - was fast niemand kann - und doch: es gibt Beispiele dafür, aber dafür braucht man Visionäre in den ersten Rigen. Mir fällt da ein nettes OS ein

Ich befürchte, die Hackercommunity reibt sich schon die Finger, denn nach erstem Überfliegen tun sich für mich da etliche Eskalationslücken auf - ich möchte nicht derjeneige sein, der diese zu stopfen hat....

Gruß,

.commander

Ok, lass uns eine Setup.exe zusammenschrauben und die Weltherrschaft übernehmen (falls noch andere Vista installieren, voraussgesetzt).

 

[Peter Maurer]

Ok, lass uns eine Setup.exe zusammenschrauben und die Weltherrschaft übernehmen (falls noch andere Vista installieren, voraussgesetzt).

Interessant in diesem Zusammenhang sind auch die (derzeit) besten Treffer, die LEO fuer "setup" liefert: abgekartete Sache, abgekartetes Spiel.

Ja, ich weigere mich, die Sicherheit von Microsoft-Systemen hier ernsthaft zu diskutieren.

 

[Kernelpanik]

Um es auf den Punkt zu bringen und schon immer meine Rede war:
Das sind ganz niedrige, geldgeile Scheisser. Jungs,- lasst den Müll endlich sterben!

 

[Cyrics]

das ist doch wirklich traurig...
5 Jahre? Wieviel tausend Mitarbeiter? Wieviel Millionen... äh Milliarden wurden investiert?

Andere Firmen haben wenige Hundert "Mitarbeiter", kaum finanzielle Mittel und schaffen etwas wahrhaft Glorreiches auf die Beine zu stellen...
ich kann mir einfach nicht vorstellen, dass unter den 5000 Mitarbeitern bei MS niemand sitzt, der auch nur annäherend ein bisschen Ahnung hat oder werden dort alle Warnungen in den Wind geschlagen?
Ich find das echt traurig!

Aber es ist schon sehr auffällig wie oft Vista hier neuerdings in den Community Foren auftaucht. Wir sollten eher einen Sammelthread aufmachen für Vista... falls sich endlich etwas an der Leitlinie von Microsoft ändern sollte, wäre das sicher mal einen neuen Thread dazu wert in unserem Forum

 

[commander]

(...)
ich kann mir einfach nicht vorstellen, dass unter den 5000 Mitarbeitern bei MS niemand sitzt, der auch nur annäherend ein bisschen Ahnung hat oder werden dort alle Warnungen in den Wind geschlagen?
Ich find das echt traurig!(...)

Die Zahl der Programmierer beläuft sich auf 10.000+ . Aber die können da garnix dafür - da müssen schon andere am werkeln sein, die erstmal das definieren, was die Programmierer schreiben sollen - und das sind dann ungefähr nochmal 40.000 Leute.

Insgesamt geht man von ~70.000 Menschen aus, die an Vista werkelten....

Viele Köche verderben die Köchin

Gruß,

.commander

 

[RIP1981]

Oh mein Gott. Mein PC muss ja voller Viren und Trojaner sein. Könnt ihr schon meine Dokumente downloaden?
Hoffentlich stecke ich das Forum hier nicht an.

*der, der sich köstlich amüsiert und in 18 Jahren Windows noch keinen einzigen schädlichen Virus hatte oder irgendwelche anderen ärgerlichen Sicherheitsprobleme*
Eigentlich lese ich nur immer davon, wobei schon mehr als die Hälfte von Leuten kommt, die Windows Vista nichtmal selbst benutzen oder Erfahrungen damit haben und Pauschal auf den Zug springen : Windows ist ja sooo unsicher und so virenverseucht und so instabil. Und die Erde ist auch eine Scheibe. Ganz klar. Steht sicher auch auf einer Webseite irgendwo. Vor allem wenn sie so ein hohes Forenniveau wie heise.de hat.

Ich kann jedem nur empfehlen, selbst Erfahrungen zu sammeln, anstatt auf heise Meldungen mit Auszügen zu hören. Man könnte sich dann zumindest den Blog im Zusammenhang durchlesen und die Details der Schwächen herauslesen, damit man nicht auf so niveaulose Pauschalisierungen wie "UAC ist völlig umsonst" oder "nicht ernst gemeint" etc. kommt.

Ich nenne euch auch gerne mal meine IP und lasse den Rechner mehrere Stunden unbeaufsichtigt laufen. Völlig ohne Virenscanner oder Hardware Firewall. Hänge ohne Router direkt am DSL Modem.
Oder ich surfe auf eine von euch angegebene Webseite.

Wenn dann auch nur eine Datei mit "apfeltalk" als Textdatei auf meinem Desktop abgelegt wird, konvertiere ich sofort zu Apple.
Aber ich wette, kein einziger Forenuser und schon gar nicht die, die Windows schlechtreden, hat auch nur den Funken Ahnung von einer echten Sicherheitslücke und weiss sie auszunutzen, um auf meinen Desktop zuzugreifen.

 

[Hilarious]

Ich nenne euch auch gerne mal meine IP und lasse den Rechner mehrere Stunden unbeaufsichtigt laufen. Völlig ohne Virenscanner oder Hardware Firewall. Hänge ohne Router direkt am DSL Modem.
Oder ich surfe auf eine von euch angegebene Webseite.

Hierfür würde ich Dir auch heise.de empfehlen. Wir haben einfach zuwenig kriminelle Energie hier. :-D

 

[Cyrics]

Wenn dann auch nur eine Datei mit "apfeltalk" als Textdatei auf meinem Desktop abgelegt wird, konvertiere ich sofort zu Apple.
Aber ich wette, kein einziger Forenuser und schon gar nicht die, die Windows schlechtreden, hat auch nur den Funken Ahnung von einer echten Sicherheitslücke und weiss sie auszunutzen, um auf meinen Desktop zuzugreifen.

Und da solltest du recht froh drüber sein
Wenn ein jeder die Sicherheitslücken ausnutzen könnte und auch würde, dann wäre Windows schon lange nicht mehr sicher. Derzeit gibt es vielleicht ein paar wenige bösartige Hacker, und dann die lieben Skript-Kiddies, die von irgendeiner Webseite irgendein Tool bekommen haben mit dem man ein bisschen "hacken" kann. Das sind doch die üblichen Spam-Mails mit Anhang.

Was will ich damit sagen?!
Für OS X gab es doch auch erst vor kurzem einige Exploits, die groß angekündigt wurden und dann nicht wirklich etwas hinter steckt und die Sicherheitslücken eher als kleine Verbesserungsvorschläge angesehen werden können. Dagegen sind die Exploits von Vista ja gerade zu erschreckend... was ist das für eine Art und Weise zu programmieren? Setup, Update etc. führen dazu, dass der Prozess mit höherer Priorität ausgeführt wird?!
UAC führt keine Kontrollen durch oder schätzt Prioritäten ab oder überprüft ob ein systemweiter Zugriff geschieht oder nicht... nein, es setzt jeden Prozess prinzipiell auf Adminstrator-Level, wofür man eben erst seine Kennung eingeben muss. Also man kann diesen Prozess nicht mal im User-Level laufen lassen... also dann wäre nicht nur der Benutzer-Account sondern gleich das ganze System mit allen anderen Benutzern betroffen.
Im Großen und Ganzen ist eben ein sehr schlechter Stil zu programmieren und Microsoft hat es geschafft auf den alten Sicherheitslücken etwas rüber zu kleben, was wiederrum löchrig ist. Diese Tatsache ist doch beschämend.