NAS: "Bedrijven moeten veiligere software maken"

Security bugje Regelmatig worden bugs gevonden in allerlei software; soms blijken dit grote beveiligingslekken. Door uiteenlopende redenen worden niet altijd direct patches uitgebracht om de problemen te verhelpen. Hierdoor lopen bedrijven die deze software gebruiken misschien onnodig extra risico's.

Het Amerikaans congres zou het makkelijker moeten maken om softwareproducenten te straffen voor het maken van onveilige software, zo zei de National Academy of Sciences gisteren. Door deze maatregelen zouden de bedrijven passender reageren op beveiligingsproblemen in hun software, aldus de NAS. Nieuw zijn deze ideeën niet:

Mandatory crime reporting and stricter liability are hardly new ideas: many computer-security specialists have recommended such measures for years. But the fact that they are being uttered by members of an NAS panel suggests the once-fringe ideas are more mainstream, and may gain urgency as decision-makers ponder, for example, what might have happened had terrorists launched an effective cyber attack simultaneous with the hijackings of Sept. 11.

De NAS constateert verder dat er door de grote bedrijven te weinig aandacht aan security besteed wordt. Er zal in de toekomst meer aan gedaan moeten worden om hackers en terroristen buiten de deur te houden. Daarnaast zullen gewone werknemers beter opgeleid moeten worden om goed met beveiliging om te gaan.

We werden door Verwijderd gewezen op het artikel van SecurityFocus.

Lees meer

Reacties (31)

Verwijderd 9 januari 2002 19:02

Grote problemen bij het opvoeren van dergelijke wetten zijn:
- Het eeuwige dillema van: is het een configureer fout van de gebruiker of een fout van de softwaremaker?
- De makers van een webserver hoeven geen geen beveiligingsexperts te zijn. Laat dit aub over aan daar voor gespecialiseerde bedrijven. Dus als een klant zo ranzig is om (bijv.) zijn netwerk niet profi te beveiligen, is de maker van de webserver dan fout of de klant??

Ik heb hier een keer een onderzoek naar gedaan voor mijn opleiding (Technische Bestuurskunde) en kwam er achter dat 80% van de security leaks komen door het laten staan van 'default waarden'.. Dit kun je lezen als: de gebruiker is te ranzig om tijd te steken in het configgen van zijn software.

Als we nou eens eerst het probleem bij de bodem aanpakken: de (systeembeheerders) van de gebruiker opvoeden, dat lijkt me veel zinniger.

Roland684 @Verwijderd • 9 januari 2002 19:24

90% van de ongelukken in het verkeer zijn ook te wijten aan menselijke fouten, maar is dat dan een reden om de fabrikanten van de auto's niet te verplichten veilige auto's te maken? Nee toch zeker? Ongeacht hoe dom de gebruiker is mag de stuurstang niet afbreken of het gaspedaal blijven hangen, de auto hoort gewoon technisch veilig te zijn. Hetzelfde mag imho gelden voor software.

Ik wil het zelfs nog wel sterker formuleren: het produkt dient zodanig geconstrueerd te zijn dat zelfs de domme gebruikers er veilig mee overweg kunnen. In het geval van software kan dat bijvoorbeeld verwezenlijkt worden mbv wizzards die altijd veilige instellingen genereren of op zijn minst door de standaardinstellingen veilig te maken.

Verwijderd @Roland684 • 9 januari 2002 19:29

Hier heb ik eigenlijk maar 1 ding op te zeggen:
RTFM

Voor autorijden heb je een rijbewijs nodig en je mag van je auto uitdrukkelijk niet de remlijdingen doorsnijden..

Need I say more?

Ludewig @Verwijderd • 10 januari 2002 11:26

Hier heb ik eigenlijk maar 1 ding op te zeggen:
RTFM

Voor autorijden heb je een rijbewijs nodig en je mag van je auto uitdrukkelijk niet de remlijdingen doorsnijden..

Wat een onzin zeg. Software moet gewoon goed geschreven zijn. Bij software die voor gewone gebruikers is gemaakt moet je gewoon niet zomaar iets stoms kunnen doen. De vergelijking met de auto is ook dom, want iedere tante weet dat hij stuk kan gaan als je aan de motor gaat klooien. Gebruikers passen ook op met bestanden weggooien e.d, maar dat is heel wat anders dan fouten door functies binnen programma's te gebruiken.

Je mag van gebruikers inderdaad verwachten dat ze willen leren. De meeste willen dat ook. Uit onderzoek is gebleken dat de meeste mensen leren door gewoon te gaan klooien. Ik neem aan dat de meeste tweakers ook zo zijn begonnen. Ik heb in ieder geval bijna alles geleerd door gewoon te gaan klooien (voordat ik Informatica ging studeren). Het lijkt me dan ook erg kortzichting om andere gebruikers te verwijten dat ze dit doen, ipv eerst de (vaak hopeloos slechte) manual te lezen.

Maar dit is al een stap verder dan wat de NAS volgens mij bedoelt. Ze willen dat producten als Outlook Express en IIS worden geprogrammeerd met aandacht voor beveiliging, dat is nu volstrekt niet het geval. MS denkt alleen maar aan het toevoegen van features, zoals het automatisch openen van bestanden. Dan gaan ze het later weer uitzetten als blijkt dat het onveilig is. Duh, hoe stom kan je zijn.

Helaas zijn veel gebruikers ook dom, die gebruiken deze troepsoftware. Maar ik zie niet hoe je hier zo snel iets tegen kan doen. In elk geval zou de overheid (hier en in de VS) gewoon een richtlijn moeten uitvaardigen dat OE en IIS in principe niet mogen worden gebruikt door ministeries e.d. Dat lost (voor hen) al 95% van de beveiligingsproblemen op.

koppie @Verwijderd • 10 januari 2002 14:59

Klopt, maar ik hoef ook niet eerst de remleidingen te veranderen

ACM Software Architect @Verwijderd • 9 januari 2002 19:34

Je hebt zeker wel gelijk...

Maar daarom mogen de defaults wel een stuk strenger worden ingesteld.
Mede hierdoor is OpenBSD een van de veiligste OS-en, simpelweg omdat alles wat "uit kan" ook "uitgezet" is (voor een groot deel van de opties).
Ipv de vaak bij MS voorkomende manier, "aan, want dat is makkelijker" (dit lijkt iig vaak zo te zijn).

Verwijderd 9 januari 2002 20:41

Weet je wat het hele probleem is. De software industrie. Want die schuiven het probleem van de beveiliging door naar de gebruikers. Hoe vaak horen we wel niet 'die domme sys admins' & 'domme gebruikers'. Maar is het niet de software industrie die verantwoordelijk is voor veilige software.

Nee, veel liever dan eerst die boel flink te testen bouwen ze hippe features, zoals video berichten en weet ik veel wat.

Basis 1 zou moeten zijn software moet werken waarvoor hij geschreven is. Daarna gaan we kijken naar extra features.

Waarom staat ISS niet helemaal dicht nadat hij is geinstalleerd. Van zo'n belangrijk pakket zou je toch mogen verwachten dat de gebruiker eerst wordt gedwongen zich er in te verdiepen, zodat het goed wordt opgezet en niet klik klik en klaar. Zo mag het nooit bij een webserver. Het moet goed worden opgezet. Microsoft moet bij zulke software afdwingen dat de webserver goed moet worden geconfigureerd en het niet alleen bij de gebruiker neerlegen.

Update patches hetzelfde. Uit statistieken kan worden herleid dat meer dan de helft van de gebruikers geen security patches installeerd. Ik heb wel eens gevraagd aan onze systeem beheerder waarom niet. En dan krijg ik een antwoord als het heeft geen priorteit. En dan praat ik wel over een Justitie instelling. Dus is het huidige model niet goed. De gebuiker moet de update patches van de website downloaden. Dus weer de verantwoordelijkheid bij de gebruiker neerleggen. Nee microsoft (en andere software fabrikanten) is verantwoordelijk voor die fout. Dus zei moeten koste wat kost die patch op die machine krijgen. Dus een andere manier dan alleen een website waar de gebruiker iedere zoveel dagen naar toe moet voor updates.

The System @Verwijderd • 9 januari 2002 21:03

hier ben ik het niet met je over eens..

het _is_ de verantwoordelijkheid van de gebruiker, misschien niet volledig maar wel voor een groot deel. Je geeft zelf al aan dat je systeembeheerder het nalaat om patches te installeren. die software makers maken niet voor niets die patches als je systeembeheerder het dan nalaat om ze te installeren kun je niet de schuld schuiven naar de software makers. de updates zijn meestal gratis, dus wat let je om ze niet te installeren ?

en nog iets dat IIS met klik klik klaar is toch logisch ? als je je helemaal moest verdiepen in de software zou iedereen klagen dat het niet "user-friendly" is zie linux. het is niet "gebruikers-vriendelijk" en dan gaat MS daar natuurlijk inspelen door de gebruiker in 2 stappen software te laten installeren. en dan is het weer niet goed omdat het te makkelijk gaat

over dat software moet doen waar ie geschreven is.. noem me een prog dat niet doet waar het voor geschreven is ? windows is een besturingssysteem en het bestuurd hier mijn systeem prima. dat het af en toe vastloopt of traag wordt staat compleet los van zijn functie.

en wat betreft die hippe functies, denk nou eens logisch na!
zou jij kiezen voor winXP/linux distro met alles erop en eraan of voor een command line OS ? en dan daarop je dagelijkse software (textverwerken gamen enz) op doen...! mensen zijn niet bereid te betalen voor een programma dat maar weinig functies heeft daarom moet een programma wel meer functies hebben dan uiterst noodzakelijk en het moet er wel mooi en leuk uitzien.

The Noid @The System • 10 januari 2002 10:03

Je haalt hier een helehoop dingen door elkaar.

Dat vastlopen van windows staat dus NIET los van zijn functie. De functie van windows is je PC besturen, als die PC daardoor vastloopt bestuurt windows je PC dus niet goed, terwijl dat wel de belangrijkste taak van windows is.

Natuurlijk doet ieder programma waar het voor is. Het probleem met veel huidige software is just dat veel programma's OOK dingen doen die NIET bij hun kerntaak horen, die zelfs vaak niet een bij hun secundaire taken horen. Die browser die in windows ingebakken zit is daar een goed voorbeeld van. Die heeft niets met de primaire taak van windows (je hardware aansturen) te maken. Die heeft ook niets met de secundaire taak van windows te maken (het aanbieden van een API en windowing interface waar programma's gebruik van kunnen maken).

En toch zit IE ingebakken in windows, en veroorzaakt het daarmee ook instabiliteiten in windows die dus heel makkelijk voorkomen hadden kunnen worden.

Ik heb het hier dus niet over dat MS een browser meelevert met windows, maar dat die browser ingebakken zit in windows.

Helaas zie je binnen de unix wereld ook van die programmas opkomen die veel meer doen dan hun primaire taak (nautilus, evolution). Mijn email-client hoeft geen koffie te zetten, daar gebruik ik wel een koffiezet aparaat voor. Mijn email-client moet mijn email op het scherm zetten, mij toegang geven tot mijn adresboek (die dus in een _apart_ ldap systeem zit) en tot mijn PGP keys. niet meer, niet minder.

En in mijn spreadsheet programma hoeft ook geen flight simulator te zitten.

mijn 2 eurocent.

jvdmeer @The Noid • 10 januari 2002 13:34

Die browser die in windows ingebakken zit is daar een goed voorbeeld van. Die heeft niets met de primaire taak van windows (je hardware aansturen) te maken. Die heeft ook niets met de secundaire taak van windows te maken (het aanbieden van een API en windowing interface waar programma's gebruik van kunnen maken).

Wie bepaalt de primaire en secundaire taken van een product? Volgens mij doet de procucent dat. En als je naar de de productsheets kijkt van de verschillende OS'en van MS, dan zie je dat de functionaliteit van IE gewoon staat omschreven als 1 van de kernpunten van het OS.

Geef eens een kale windows, zonder explorer, zonder IE, zonder ftp, zonder mediaplayer, zonder... (noem maar op) aan een willekeurige consument, en probeer hem duidelijk te maken hoe hij/zij Opera of Netscape moet downloaden. Veel succes, zonder ftp of browser.

The Noid @The Noid • 10 januari 2002 16:31

Jij hebt dus niet goed gelezen.

Het gaat mij niet om het product windows waar die browser bij zit, maar om het feit dat die browser component van het product windows verweven zit met de OS component van het product windows. Dat verweven zijn vind ik een grote ontwerpfout omdat de OS component en de browser component van windows niets met elkaar te maken hebben.

Als ik een Linux distributie aanschaf ga ik er ook van uit dat daar browsers bij zitten, want zo'n distributie is een collectie van componenten. Als 2 fucties niets met elkaar te maken hebben (zoals OS en browser) horen die in losse componenten te zitten.

arjenk|IA 10 januari 2002 00:46

In principe is er niets mis met het eisen van een zekere kwaliteit aan software als het om veiligheid gaat, net zo min als dat gebruikers een zekere verantwoordelijkheid voor veiligheid hebben. De moeilijkheid is dat je dan precies vast moet leggen wat er onder veiligheid wordt verstaan, wat er van software moet worden geeist en waar de verantwoordelijkheden van softwareproducent en -gebruiker liggen. Als je daar even over nadenkt, dan kan je deze uitspraak van de NAS goed beoordelen. Makkelijk gezegd, moeilijk gedaan. En hoe hard je ook je best doet, het zal zoiezo heel lang duren voor er wat geformuleerd is, en tegen de tijd dat het zover is, is het grotendeels achterhaald. Dat is immers de moeilijkheid met veiligheid; alle software is veilig totdat er weer een nieuw lek is ontdekt.
Kortom, als je iemand wilt gaan straffen zal dat alleen lukken als die bestaande regels overtreed, en dat zal beperkt blijven tot de wat 'makkelijkere' gevalletjes: virussen, trojans, moedwillig aangebrachte backdoors etc.

Verwijderd 9 januari 2002 19:19

Okee, en hoe zit het dan met gratis software of GPL software? die hoeft dus niet veilig te zijn

. Als Microsoft iedere klant van hun moest betalen voor het IIS debacle dan zegt iedereen : "DOEN!". Maar als die lui van openssh ineens door die mega CRC bug geld moeten betalen roept iedereen "FOUT!".

Ik denk dat we er gewoon mee moeten leven dat mensen fouten maken en dat er in software dus fouten zitten.

ACM Software Architect @Verwijderd • 9 januari 2002 19:32

Daarom wordt er ook in de licenties van dat soort software (openssh en dergelijke) geplaatst dat er geen rechten aan de software zitten en dat het "as-is" geleverd worden...

Echter was er wel behoorlijk snel een patch, voor zover ik weet..

Verwijderd @ACM • 9 januari 2002 20:48

Probleempje is dat betaalde bedrijven dat ook in hun licentie mikken. Dat zij niet aansprakelijk zijn voor fouten van hun software.

Dus hoe kun je ze dan beschuldigen?

Bobco @Verwijderd • 10 januari 2002 10:01

Dit is volgens mij een van de basis-oorzaken van de huidige stand van zaken op software-gebied. Bijna elke licentie bevat wel zo'n clausul die neerkomt op 'we hebben ons best gedaan, maar garanderen niets.'

Deze situatie vraagt volgens mij om een onafhankelijke instantie die software gewoon moet conroleren op dit soort dingen. Er zijn al acties in die richting: kijk maar naar het overleg dat de FBI met Microsoft had over het uPNP lek in Windows XP.

Zaken als Internet zijn ondertussen zo belangrijk geworden voor het functioneren van de maatschappij dat de overheid zich er langzamerhand meer en meer mee zal gaan bemoeien.

Het moeilijkste is natuurlijk het punt dat hier al vaker naar voren is gebracht: wat is de schuld van de maker en wat is de schuld van de gebruiker?

Het invoeren van een "computer-rijbewijs" is het volgens mij ook niet helemaal, want iets als fietsen mag ook iedereen.

Krankenstein 9 januari 2002 19:05

Hmm daar zie ik weer een hoop rechtzaken tegen Microsoft uit voortkomen (hehe

).

Maar dat mag dan niet betekenen dat als je zelf een programmatje schrijft en verspreidt (om bestanden uit te wisselen bijv) met grote security lekages :P(als klein bedrijfje bijvoorbeeld), dat je dan een boete krijgt (als je in USA woont dan).

Kortom, het lijkt me nog lastig zo'n wet (maar dat geldt natuurlijk voor veel van dat soort wetten).

Wel goed dat van die M$ praktijken (slechte beveiliging door deadlines etc.) nu eens aangepakt zouden kunnen worden (en alle linuxmakers maar in hun vuisje lachen

)

edit:
Ik noem hier wel M$ maar dat geldt natuurlijk voor alle bedrijven (hoewel M$ wel toonaangevend is)
Dus niet zozeer als troll bedoeld

^Mo^ @Krankenstein • 9 januari 2002 19:20

alsof linux nooit beveiligingslekken heeft.... let wel dat bij de productie van windows op veel meer dingen moet worden gelet (bijvoorbeeld User Interface), beetje kortzichtig van je hoor... ik vraag me af wanneer dit soort instaties nou bedenken dat dit soort dingen nou altijd voorkomen, bij welke software dan ook (hint: druk van deadlines bijvoorbeeld)

Tacoos @^Mo^ • 9 januari 2002 19:56

Stop right there!

Veiligheid zou nooit, maar dan ook absoluut nooit onder een deadline mogen lijden!

Hoe zou jij het vinden als de remleidingen van je auto (daar heb je 'em weer: de vergelijking met de auto) niet goed getest zijn omdat de deadline begint te drukken?
Geef mij dan maar een slordige GUI.

Er mag dan altijd de kans bestaan dat er een lek wordt gevonden, de fabrikant moet verplicht zijn daar zo snel en adequaat mogelijk een oplossing voor te leveren.

begintmeta @Tacoos • 10 januari 2002 14:52

Ik zeg alleen maar -> elandtest.

Verwijderd @Krankenstein • 9 januari 2002 19:17

Krankenstein.. Ik denk dat 'default' values makkelijker blijven staan in een linux systeem dan in een windows systeem... Er zijn teveel config files..

Maar ik wilde het nou, net zoals ik in mijn scriptie heb geprobeerd, niet hebben over M$ vs Linux, gewoon in het algemeen: de meeste fouten komen van de gebruiker, dus die kan mooi zichzelf aanklagen

RetepV @Verwijderd • 10 januari 2002 14:33

Het probleem is dat vooral Microsoft hun software schrijft voor dummies. Die dummies willen hetzelfde kunnen als het bedrijf waar ze werken. Maar dat heeft het bedrijf veel configuratietijd gekost voordat het goed was. Dat wil Microsoft dan weer tegengaan door alles van te voren maar open te zetten.

Let op, ik zeg: vooral Microsoft, want dat is toch wel zo'n beetje het meest schrijnende voorbeeld. Zij hebben hun hele business-model opgebouwd aan de hand van dat ze het gebruikers zo makkelijk mogelijk willen maken. Dat ze het daarbij ook hackers makkelijk maken, hebben ze niet over nagedacht.

Daarbij zijn de meeste softwaresystemen zo ingewikkeld dat je moeilijk van een normale gebruiker kunt verwachten dat 'ie weet waar hij mee bezig is. Dat betekent dat gebruikers opgevoed moeten worden. Maar dat is precies wat Microsoft NIET wil, want dat zou betekenen dat ze toegeven dat ze een verantwoording naar die gebruikers hebben, en dat gaat ze geld kosten. Ze steken liever dat geld in hun eigen zak.

En daarom is er wetgeving nodig om bedrijven te dwingen toch die verantwoording op te nemen.

We hebben een hardstikke mooi medium in het Internet, maar er zijn al berichten dat het in 2005 onbruikbaar is geworden. Je kunt dat als bedrijf moeilijk afschuiven op de gebruikers van je software, terwijl je er niks aan hebt gedaan om die gebruikers op te voeden.

Als je als ouder een kind een mes geeft zonder hem te vertellen dat het scherp en gevaarlijk is, is het 100% zeker dat 'ie zich gaat snijden en dat je als ouder met de gevolgen (ritje naar het ziekenhuis) zit. Dat kun je moeilijk de schuld van het kind noemen.

De impopulariteit van Microsoft op dit moment is een direct gevolg van hun houding tegenover hun klanten en het niet nemen van hun verantwoordelijkheid.

The System 9 januari 2002 19:52

ik ben het hier eigenlijk helemaal niet mee eens maar ik kan zo 123 geen goede argumenten bedenken..

ik vind wel dat een bedrijf zelf mag bepalen wat ie op de markt brengt, de consument is zelf in staat om de juiste producten te kiezen.
voorbeeld: bedrijven vinden windows niet veilig genoeg en stappen daardoor over op linux

maar om dit te in goede lijnen te laten verlopen vind ik wel dat de regering iets aan monopoly's moet doen. want anders krijg je een aanbieder van software en die maakt geen veilige software maakt waardoor een groot deel van de consument een onveilige systeem heeft.als er meerdere bedrijven zijn heeft de consument nog keus om te switchen tussen bepaalde software zie linux vs windows

verder vind ik dat er meer en strengere straffen komen op mensen die de onveiligheid creeren. want als niemand zou stelen zou het ook niet nodig zijn om je fiets op slot te doen..!

dus:
- iedereen mag op de markt brengen wat ie wil
- iets doen aan monopoly's
- strengere straffen voor overtreders van wetten

dat helpt volgens mij beter dan zeggen van "ja deze product mag niet op de markt komen want hij is niet veilig genoeg" en natuurlijk wat verstaan we onder veilig ? een besturingssysteem dat volledig is uitgerust met een werkende firewall en encryptie tool ? of een prog dat geen enkele bug bevat ? een programma dat op geen enkele manier te exploiteren valt ?

je kan iemand niet verplichten een prog te maken dat perfect is.. de consument maakt zelf wel uit wat goed voor ze is en daarnaast zijn er nog tal van andere onafhankelijke partijen die de consumenten helpen.

//edit
BadRespawn, daar heb ik zelf ook over zitten denken, maar hoewel ik geen argument tegen kan bedenken, vind ik het gewoon niet kunnen dat iemand je verbied een prog op de markt te brengen zonder bugs. kijk dat men bepaalde software verbied (virussen trojans spyware enz) kan ik begrijpen maar het lijkt me zeer onzinnig om een besturingsysteem te verbieden.. maar ik kan ook in jou standpunt komen.. tenslotte het gaat om de veiligheid van een systeem net zoals het om de veiligheid van een auto gaat... lekker tegenstrijdig

maar zo vind ik het wel

BadRespawn @The System • 9 januari 2002 20:45

"iedereen mag op de markt brengen wat ie wil"

dat geldt niet voor andere producten waarbij veiligheid op een of andere manier belangrijk is. bvb auto's, electrische apparaten, voedsel.

waarom zou bij software alles maar moeten mogen?

voodooless 10 januari 2002 00:20

Ik vind dat ook de systeembeheerders wat beter naar de veiligheid van netwerken moetten kijken. Bij ons op de hogeschool hadden we in een uur tijd ALLE wachtwoorden van ALLE users in het Win2000 domein gehackt. Hoe??: wachtwoorden als username01 of 123456 voor admins, foute rechten e.d. En niet een geval, maar vele van slechte wachtwoorden en kleiene security gaatjes. Geef je ze de volgende dag een lijst met alle users en wachtwoorden. Wat denk je. Ze doen er niets aan. Nu gaan ze maar weer terug naar Novel want dat snappen ze... om te huilen

Dus tip aan iedereen. Hack the world!

Laat de sofwareindustrie en systeembeheerder zien hoe fout hun systemen in elkaar zitten. MAAR MAAK NIETS KAPOT, CONFRONTEER DE VERANTWOORDELIJKE PERSONEN MET HUN FOUTEN. WAT ER DAARNA DOEN IS HUN ZAAK.

RetepV 10 januari 2002 14:47

In ieder geval is het duidelijk dat onveiligheid de online economie in gevaar brengt. Microsoft is juist een grote voorstander van die online economie, maar ze hebben tot noch toe wel bewezen dat ze niet geschikt zijn om die online economie te leiden. Veiligheidsvraagstukken werden al in 1972 opgelost toen Unix werd bedacht.

Nu heeft Microsoft een heleboel van die veiligheidsvraagstukken waar men de afgelopen 30 jaar mee bezig is geweest gewoon aan de kant gegooid omdat ze zo nodig een inhaalslag moesten doen omdat ze in eerste instantie het internet helemaal niet interessant vonden.

Ik vraag me dan af waar je als bedrijf dan het 'respectabele' imago aan verdiend hebt. Hebben de afgelopen 30 jaar al die mensen voor niks zichzelf met al die veiligheidsvraagstukken bezig gehouden?

Ik vind eigenlijk dat Microsoft een absoluut gebrek aan respect toont voor al die mensen die zich al jaren met computers bezig hebben gehouden. De dag dat Microsoft besloot dat ze zich toch met het Internet bezig moest gaan houden is een zwarte dag voor al die mensen die jarenlang geprobeerd hebben samen de veiligheidsvraagstukken op te lossen.

Microsoft doet alle fouten die in het verleden gemaakt zijn nog eens dunnetjes (en zelfs dik) over. Alleen is het nu WEL erg omdat we afhankelijk van het internet beginnen te worden. In plaats van dat Microsoft software het internet op het volgende plan trekt, zijn we terug op het punt van 1972.

Bah, bah en nog eens bah. En dat alleen maar omdat Bill zo nodig zijn kapitaal van 90 miljard moet vergroten. Microsoft kan alleen in wedstrijden en oorlogen denken en die willen ze koste wat het kost winnen.

AlterEgo 10 januari 2002 15:24

Als overheden regels opstellen voor "veilige software", dan ben ik benieuwd naar het controlemechanisme. Hoeveel doden zijn er de laatste jaren niet gevallen door falend toezicht op overheidsmaatregelen door de overheid? Overheden stellen in het algemeen zich net zo arrogant op als Microsoft, en zijn ook nooit schuldig...

Verwijderd 10 januari 2002 20:36

Het is zo simpel. Trek de vergelijking met de auto maar eens. Een kennis van me reed laatst met zijn redelijk nieuwe auto over de snelweg, en de remmen deden het niet goed meer (= fundamentele fout van de auto). Na twee keer goed trappen stond hij stil op de vluchtstrook. Hij woedend opgebeld naar zijn garage/dealer. Die kwamen zijn auto ophalen en reparen en 1000 maal excuses voor wat er gebeurde.

Vergelijk dit nu eens met hoe het in de software industrie gaat. Ja meneer we weten dat het probleem er is en als u dit en dit doet dan is het verholpen.

Nu is dit misschien een extreem voorbeeld maar wel realistisch met hoe de software industrie met dit probleem omgaat. Mensen mogen eisen van hun auto dat hij ten eerste veilig is, en daarna de features.

Waarom mag je dan niet van Microsoft eisen dat ze veiligheid echt serieus nemen. Ze schuiven het af op de gebruiker. Net als de meeste andere software bedrijfen. Dat doen ze niet (hoor ik je zeggen). Maar waar is de patch voor windows ME, voor het probleem met het vrijgeven van geheugen als je net grote bestanden het ingelezen? Als dat al gefixt is dan hoor ik het graag maar ik heb nog nergens daar een patch voor gezien.

Ik heb gisteren Debian GNU/Linux 3.0 frozen geinstalleerd en ik was verheugd dat bij het einde van de installatie al werd gevraagd of je een security server in je /etc/apt/sources.list wil zetten. Default staat dit op yes, Debian benadruk dus al bij de installatie het belang van zoiets.
zeer goede zaak.

Waarom maakt microsoft niet zoiets waarbij het de gebruiker meer betrek bij de beveiliging van zijn systeem. Ze zeggen toch dat ze zo innovatief zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (31)

Sorteer op:

Weergave: