Microsoft wil duidelijkere aanduiding van ernst bugs

InternetNews maakt er melding van dat Microsoft de berichtgeving over beveiligingsproblemen wil verduidelijken. Veel consumenten die niet gespecialiseerd zijn in techniek vinden de 'security bulletins' te gedetailleerd en te ingewikkeld. Om dit op te lossen zal er een speciale End User Security Notification Service komen, waarmee eindgebruikers eenvoudiger op de hoogte worden gesteld van belangrijke problemen. Daarnaast zal niet iedere bug zomaar het label 'critical' meekrijgen, aangezien gebruikers anders veel te vaak in paniek kunnen raken door iets wat in feite betrekkelijk onbelangrijk is. Dat er vlak na deze mededeling alweer een nieuwe patch met de benaming 'critical' online gekomen is, is in dit verband een wat ongelukkige toevalligheid:

The Redmond-based software giant also plans to limit the "critical" rating on security alerts to customers because of fears that too many high-level alerts were being issued. Instead of issuing a "critical" rating on vulnerability warnings, Microsoft has modified its Severity Rating Criteria to specify clearly which bugs needed to be addressed immediately.

"There is also a widespread feeling that the Severity Ratings are difficult to understand and apply. For these reasons, we have modified (the criteria) to help customers more easily evaluate the impact of security issues," Lipner explained. So far this year, almost half of Microsoft's 64 vulnerability alerts were tagged with the 'critical' rating and security experts have warned about a potential "cry wolf" situation if too many insignificant patches came with the highest-level rating.

Lees meer

Reacties (34)

breadje 21 november 2002 00:42

volgens mij hebben julie het bericht niet goed gelezen:

Microsoft wil de berichtgeving over beveiligingsproblemen verduidelijken. Veel consumenten die niet gespecialiseerd zijn in techniek vinden de 'security bulletins' te gedetailleerd en te ingewikkeld.

het gaat dus niet over die mooie blauwe schermen, maar over de berichten over bugs en beveiligings lekken.

Ik vind de reactie dat xp slecht met crashes omgaat lichtelijk overdreven, kijk eens naar het verschil tussen win98 en xp en je zal zien dat het een gigantische verbetering is. Bovendien worden de meeste crashes tegenwoordig in een mooi schermpje weergegeven en kun je daarna gewoon verder gaan.

RG @breadje • 21 november 2002 01:29

Dat je verder kunt gaan met werken nadat je systeem gecrashed is vind ik wel apart. Als het onderuit gaat, dan maakt het mij persoonlijk vrij weinig uit of dat met mooie kleuren is of niet, je moet toch rebooten.

Dat Windows XP crashende applicaties kan afvangen is leuk, maar in feite is het te gek voor woorden dat je daar tot 2001 voor moet wachten, aangezien andere systemen het al jaren doen.

Overigens denk ik dat de gemiddelde computergebruiker nog nooit naar een bugreport heeft gekeken, dus ik vraag me af wat dan het nut is ze wat duidelijker te maken voor die soort mensen.

mjtdevries @RG • 21 november 2002 10:40

Tja, ipv tot Windows XP te wachten had je natuurlijk ook al in het verleden Windows 2000, Windows NT4 of Windows NT3.51 kunnen gebruiken...

Of bedoelde je dat met andere systemen? ;-)

Rhapsody

20 november 2002 23:55

En dan word er niets uitgevoerd, terwijl die foutmelding stilletjes voorbij is gekomen.

Nu weet je tenminste als gebruiker van he, er is iets fout terwijl je dan gaat krijgen dat men helemaal geen bal meer van de pc snapt omdat ie niet doet wat men wil.

De fouten zouden wel wat beter geformuleerd kunnen worden.

KinkyClown 21 november 2002 08:39

Bedoelen ze hiermee niet te zeggen dat ze het bug systeem dat ze gebruiken gaan herschrijven naar de features van bugzilla? In bugzilla wordt de prioriteit aangegeven door een reviewer...

Zoefff 20 november 2002 22:31

Ja, goed dat ze daar eens wat duidelijker in worden..

Mogen ze meteen ook gaan werken aan de error-messages, zoals:

"error: exeption raised in x8392733k38"

Kan je ook niet zo veel mee

Wouter Tinus @Zoefff • 20 november 2002 22:43

In een computer kunnen miljarden verschillende fouten optreden, en niet voor iedere fout kan een nette melding worden gedefiniëerd. Veel fouten kunnen gewoon worden afgevangen, maar er zijn ook fouten die gewoon onoplosbaar zijn (hardware) of zelfs totaal onbekend. Hoewel in theorie bijna iedere fout tot de (mogelijke) oorzaak te herleiden is kan de integriteit van het systeem niet meer gegarandeerd worden zodra er een fout van dergelijke ernst optreedt. Microsoft kiest er - terecht - voor om meteen alles plat te leggen met een STOP melding, want je wil bijvoorbeeld niet hebben dat een buggy programma op een of andere manier je FAT overschrijft met random data terwijl Windows bedenkt of het nou door de videokaart of door het geheugen kwam

Verwijderd @Wouter Tinus • 21 november 2002 07:49

Ja zo ziet MS het ook graag, maar het betekent natuurlijk dat je architectuur zodanig is (ook om hardware redenen want veel daarvan is nog ouderwets)
dat windows niet goed weet waar je op dat moment mee bezig bent en dat is niet best. Bovendien zijn er wel degelijk foutmeldingen die na wat onderzoek bv uiteindelijk bij een stuk hardware uitkomen. Dat zou die foutmelding ook mogen vertellen als mogelijkheid (helaas vaak videokaart/geheugen dus heb je ook niet veel aan)

AdLentis @Verwijderd • 21 november 2002 08:50

De module waarin de fout optreed geeft al vaak aan waar de fout ergens zit. Ik geef toe, het klopt niet altijd, maar vaak wel. Ook bij een BSOD kun je dat regelmatig zien. Maar het blijft

RIP-airco @Wouter Tinus • 20 november 2002 23:21

nice one wouter

Codin the Coder @Zoefff • 20 november 2002 22:33

Als ik een hex-address met een 'k' erin op m'n scherm zou krijgen, zou ik inderdaad ook aardig raar op m'n neus kijken.

cablepokerface @Codin the Coder • 21 november 2002 10:33

WHAHAHAHAHA .... *hoest* ... sorry ...

Verwijderd @Codin the Coder • 21 november 2002 11:55

en met 11 tekens

Verwijderd 21 november 2002 01:44

Je kan allemaal zeggen over Windows wat je wilt maar een heeeeeeel groot deel van de wereld werkt ermee en dat is niet zonder reden.

Terwijl de andere OS-developers bezig waren alles veiliger en stabieler te maken heeft Microsoft gewoon enorm veel tijd gestoken in het gebruiksvriendelijker maken van Windows.

Terwijl ze bij Linux , ... zich nu misschien bezig houden met hun OS gebruiksvriendelijker te maken is Microsoft bezig met hun OS stabieler en veiliger te maken.

Elke OS-developer heeft hetzelfde doel (een gebruiksvriendelijk , stabiel , veilig OS maken) de volgorde waarin dit gebeurt verschilt per OS.

Dit is alweer een goede stap voor Microsoft , ok misschien wat laat but better late then never.

RobT @Verwijderd • 21 november 2002 10:56

Elke OS-developer heeft hetzelfde doel (een gebruiksvriendelijk , stabiel , veilig OS maken) de volgorde waarin dit gebeurt verschilt per OS.

Welnee, bij MS willen ze een zo groot mogelijk marktaandeel, en dat voor de toekomst behouden, om nu en daarna zoveel mogelijk geld te verdienen.
Dit is overigens ook waar bij andere commerciele bedrijven.

Een OS moet niet gebruiksvriendelijk zijn, de applicaties moeten dat zijn, en de GUI, en dat is heel wat anders.

Uiteindelijk is geen enkel OS-ontwikkelend bedrijf ermee gebaat het perfecte OS te maken, want dan verkopen ze daarna niks meer.

Vgl met OpenSource, waar ze het zo perfect mogelijk maken (ik zeg niet dat dat per se beter is, maar het streven is beter), puur omdat ze dan minder bugreports ed zullen krijgen. En dat maakt weer tijd vrij om andere dingen te doen....

Verwijderd @Verwijderd • 21 november 2002 07:40

Je kan allemaal zeggen over Windows wat je wilt maar een heeeeeeel groot deel van de wereld werkt ermee en dat is niet zonder reden.

Ga jij maar terug naar de geschiedenisbanken, windows wordt door iedereen gebruikt omdat ze op dat moment een gat in de markt hadden (goedkope pc-hardware waar alleen maar ms-dos/windows op draaide) zo hebben ze eerst de thuisomgeving en daarna omdat alle werknemers er al mee vertrouwd waren ook de zakelijke. Vandaag de dag is het onmogelijk zomaar op iets anders over te stappen als je dezelfde applicaties wilt blijven gebruiken.

Terwijl de andere OS-developers bezig waren alles veiliger en stabieler te maken heeft Microsoft gewoon enorm veel tijd gestoken in het gebruiksvriendelijker maken van Windows.

Wat marketingtechnisch slim is maar kwaliteittechnisch natuurlijk stom. Als je het trouwens over de beginperiode hebt dan weet je dat MS voooral druk was met het jatten van de interface van de apple ipv het ontwikkelen. Overigens moet je maar eens naar het nieuwste mac OS kijken, daarbij ziet XP eruit als een kleuterinterface, als iemand veel aandacht besteed aan grafisch uiterlijk is het de mac wel. (ook qua hardware)

Daarnaast zal niet iedere bug zomaar het label 'critical' meekrijgen, aangezien gebruikers anders veel te vaak in paniek kunnen raken door iets wat in feite betrekkelijk onbelangrijk is.

Jaja, zeker overal "this behaviour is by design"...

prisselada @Verwijderd • 21 november 2002 13:33

klein beetje off-topic:

Windows de interface jatten van Apple? Vergeet niet dat Apple hun interface ook weer heeft gejat van Xerox destijds...

Verder vind ik dit wel een goede zet van MS. Gebruikers schieten niet direkt in paniek, scheelt mij weer een hoop uitleg als ik weer een telefoontje krijg (Hij doet dit of dat, zei zus en zo!!!). Ik zou alleen wel in staat willen zijn om dit "gebruikers-nivo" afhankelijk te maken. Ik zou het wel willen zien als Windows ergens de fout in gaat, mn ouders hoeven dit niet te weten daarentegen.

Verwijderd @prisselada • 22 november 2002 17:45

Het punt is dat ze de interface hebben gejat en nu doen alsof ze het zelf hebben bedacht.

procede @Verwijderd • 21 november 2002 11:26

En toch heeft Windows wel een goede structuur. Het bied het zowel voor de beginnende gebruiker als voor de geavanceerde gebruiker veel mogelijkheden. Dat kan ik van bijvoorbeeld MacOS niet zeggen, daar valt bijna niets in te stellen (sterker nog, een mac heeft vaak niet eens een rechtermuisknop). Linux is daarentegen weer nauwelijks geschikt voor beginnende gebruikers.

ajvdvegt @procede • 21 november 2002 12:33

En toch heeft Windows wel een goede structuur.

Zeker niet! En dat is een heel groot probleem voor MS: de win32 API is onveilig by design, en als ze dat willen fixen moeten ze de compatibiliteit met de huidge API breken. MAW: al je huidige programma's werken dan niet meer.

PipoDeClown 21 november 2002 18:34

dit is het mailtje van Ms zelf (gedateerd van 19-11-2002):

Dear Microsoft Customer,

I'm taking the unusual step of sending this mail to the Microsoft
Security Notification Service mailing list to tell you about some
changes in communications practices that the Microsoft
Security Response Center is making.

Customer feedback tells us that, while technical professionals
value our security bulletins, many end-users find them overly
detailed and confusing. In addition, end-users who subscribe
to the Microsoft Security Notification Service receive bulletins
that are of interest only to developers or system
administrators.

To help customers, for each issue, we will now create a less
technical end-user security bulletin that we will host at
http://www.microsoft.com/security/. We will continue to
release the current security bulletins targeted to technical
professionals. The new end-user security bulletins will describe
straightforward steps that customers can take to help keep
their systems secure.

In addition, before year's end, we will create a new End User
Security Notification Service that will notify customers of
security issues in end-user-oriented products and provide a link
to the appropriate end-user security bulletin.

The TechNet security bulletins will continue to include technical
details that enable IT professionals to determine where and
whether a patch is needed or whether workarounds are an
appropriate alternative.

We have also received feedback that, while many customers
rely on our Security Bulletin Severity Ratings to help them
decide which patches to apply, they find that the ratings fail to
clearly identify the most serious issues. There is also a
widespread feeling that the Severity Ratings are difficult to
understand and apply. For these reasons, we have modified the
Severity Rating criteria to help customers more easily evaluate
the impact of security issues. We hope that this more
prescriptive guidance will help you distinguish the most urgent
security issues. I encourage you to review the updated
Microsoft Security Response Center Security Bulletin Severity
Rating System at
http://www.microsoft.com/technet/security/policy/rating.asp

Microsoft is committed to help keep your systems safe. As part
of that commitment, we regularly review customer feedback
and update our security response process to ensure that we are
doing all we can to meet your needs. We appreciate your
feedback and hope that you will find that these changes help
you keep your systems secure.

Thank you,

Steve Lipner
Director of Security Assurance
Microsoft Corp.

supakeen @PipoDeClown • 21 november 2002 18:37

Het moge dus duidelijk zijn dat microsoft een einde wil gaan maken aan de vastlopers en ergernissen van gebruikers.

Windows XP is in ieder geval een grote stap in de richting van de gebruikersvriendelijkheid.

Verwijderd 20 november 2002 22:40

Opzicht is dit geen slechte zet, tis alleen te hopen dat hierdoor de verklaring van de problemen niet minder volledig wordt.

Een extra verklaring in makkelijke woorden is altijd welkom maar voor een volledige verklaring kan je in mijn ogen toch niet buiten een technische uitleg

Tjeerd 20 november 2002 23:02

Je kunt natuurlijk ook zorgen dat je helemaal geen foutmeldingen te zien krijgt op je scherm, dan hebben gebruikers er ook geen last van en hoeven ze zich ook nergens druk om te maken.

G1itch 21 november 2002 00:20

Begrijp me niet verkeerd, dit is natuurlijk helemaal geen slecht idee, maar mischien moeten ze eerst eens kijken naar het vlot maken en beschikbaar stellen van die security patches...

Zo is er al sinds oktober een bugbekend waardoor via Internet Explorer je HD geformatteerd kan worden!

Verwijderd 21 november 2002 10:50

Daarnaast zal niet iedere bug zomaar het label 'critical' meekrijgen, aangezien gebruikers anders veel te vaak in paniek kunnen raken...

In paniek raken? Windows gebruikers zijn wel wat gewend, hoor

Daar heb je wel wat meer voor nodig dan een paar vaslopers en foutmeldingen... rook uit je computer ofzo... come on, Bill, you can do that!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (34)

Sorteer op:

Weergave: