Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 113 reacties
Bron: The Inquirer, submitter: T.T.

Bill GatesThe Inquirer heeft in het kader van Microsoft Executive Mail een email mogen ontvangen van Bill Gates, waarin Palladium en andere beveiligingszaken besproken worden. In de inleiding spreekt hij van onze toenemende afhankelijkheid van het internet en de veiligheidsrisico's die dat met zich meebrengt. De resultaten van deze problemen, zoals hackers en internetwormen, kosten handen vol geld. Alleen al in de USA bedroegen deze kosten bijna een half miljard dollar in 2001. Het internet wordt in 74 procent van de gevallen aangewezen als hoofdbron van aanvallen en problemen. Microsoft voelt zich geroepen om zich op te werpen als redder, aangezien zij vooroplopen in de computerindustrie. Gebruikers moeten niet langer hoeven kiezen tussen 'security' en 'usability'. Gates noemt een aantal gebieden waarin actie ondernomen moet worden, waaronder het infameuze Digital Rights Management (DRM), cryptologie en multi-site authenticatie.

Microsoft Trustworthy Computing InitiativeEen jaar geleden daagde Gates zijn 50,000 medewerkers uit om een Trustworthy Computing-omgeving te creŽren, zodat het werken met een computer betrouwbaarder en veiliger kan worden. Hiervoor wordt gefocust op vier gebieden: security, privacy, reliability en business integrity. Microsoft heeft in samenspraak met klanten nieuwe methoden ontwikkeld om ontwerpen, programmeren, testen en ondersteunen van software beter te laten passen in hun veiligheidsraamwerk. Er wordt ingegaan op drie gebieden waarop Microsoft dat momenteel doet: 'secure by design', 'secure by default' en 'secure in deployment'.

Secure by design - begin 2002 werden 8,500 Microsoft programmeurs van hun werk gehaald om 10 weken lang naar fouten te speuren in de code van bestaande producten zoals Windows en Office. Hoewel deze programmeurs academisch geschoold waren, hadden weinigen van hen veel kennis van het specifiek schrijven van veilige code. Elke Windows-programmeur en enkele duizenden andere programmeurs kregen daarom een speciale opleiding. Deze opleiding behelsde veilig programmeren, testtechnieken en zogenaamd 'threat modelling', waarbij programmeurs geleerd wordt te denken als kwaadwillenden. Ook is de gebruikte testsoftware bijgewerkt, zodat een testrun nu bijgewerkte code een hogere prioriteit geeft tijdens het testproces. Hierdoor kan testen nu binnen enkele minuten, in plaats van de uren tot dagen die eerder nodig waren.

Dit systeem begint zijn vruchten af te werpen door het elimineren van kwetsbaarheden in producten als Windows XP SP1 en Visual Studio .NET. Ook producten die binnenkort uitgebracht gaan worden zijn door deze Trustworthy Computing-cyclus gegaan; Windows Server 2003 en de volgende versies van SQL, Exchange Server en Office. Ook noemt Microsoft hier Palladium, een nieuwe hardware-/software-architectuur voor het PC-platform. Dit systeem moet beveiliging verhogen door verschillende zwakke schakels uit de huidige architectuur te elimineren. Gates geeft hier het voorbeeld van het geheugen van de grafische kaart, dat iedereen uit kan lezen. Een van de doelen van Palladium is het creŽren van afgeschermd geheugen. Ook moet de weg van het keyboard naar de monitor verder beveiligd worden. Zie voor meer informatie hierover dit artikel.

Secure by default - in het verleden was het normaal om alles wat gebruikers ook maar enigszins nodig zouden kunnen hebben in te schakelen in een product. Tegenwoordig wordt precies andersom gewerkt. Alles dat ook maar enigszins uitgezet kan worden wordt uitgezet, om de veiligheid van het systeem te bevorderen. Zo zullen in het nog uit te brengen Windows Server 2003 services als Content Indexing Services, Messenger en NetDDE standaard uitgezet worden. In Office XP SP1 staan macros standaard uit en in Internet Explorer worden frames uitgeschakeld voor de restricted zone, om mogelijke aanvallen tegen te gaan.

Microsoft Windows Update logoSecure in deployment - consumenten en kleine bedrijven worden ondersteund in hun beveiligingsbeleid door een uitgebreide set aan beveiligings-instrumenten aan te bieden en bij te werken. Een hiervan is Automatic Update, waardoor Windows altijd up-to-date is. Voor grotere bedrijven is er Software Update Services (SUS) en het Systems Management Server 2.0 Feature Pack om patch-management te vergemakkelijken. Verder is Microsoft Baseline Security Analyzer uitgebracht, welke scant voor missende updates en analyseert of er nog zwakke plekken bestaan in de configuratie. Voor Windows 2000 en Exchange zijn documenten opgesteld die klanten bijstaan in het veilig configureren en implementeren van de producten. Bovendien wordt er gewerkt aan een smartcard-systeem dat Microsoft zelf al gebruikt, waarbij er geen wachtwoorden meer gebruikt hoeven te worden.

Communications - om klanten beter op de hoogte te houden van belangrijke beveiligingszaken zijn er bij Microsoft veranderingen doorgevoerd. Klanten gaven namelijk aan dat ze niet tevreden waren over de security bulletins, omdat die teveel details zouden bevatten. MS heeft daarom nu een nieuw systeem ontwikkeld waarin de security bulletins een bepaalde prioriteit krijgen. Ook kunnen klanten zelf aangeven welk type updates ze wel en niet willen uitvoeren. Gates sluit af door een blik op de toekomst te werpen:

WHAT'S NEXT In the past decade, computers and networks have become an integral part of business processes and everyday life. In the Digital Decade we're now embarking on, billions of intelligent devices will be connected to the Internet. This fundamental change will bring great opportunities as well as new, constantly evolving security challenges.

While we've accomplished a lot in the past year, there is still more to do - at Microsoft and across our industry. We invested more than $200 million in 2002 improving Windows security, and significantly more on our security work with other products. In the coming year, we will continue to work with customers, government officials and industry partners to deliver more secure products, and to share our findings and knowledge about security. In the meantime, there are three things customers can do to help: 1) stay up to date on patches, 2) use anti-virus software and keep it up to date with the latest signatures, and 3) use firewalls.

There's much more I'd like to share with you about our security initiatives. If you would like to dig deeper, information and links are available at http://www.microsoft.com/mscorp/execmail/2003/01-23security2.asp to help you make your computer systems more secure.

Bill Gates

Lees meer over

Gerelateerde content

Alle gerelateerde content (32)
Moderatie-faq Wijzig weergave

Reacties (113)

Klinkt op zich mooi, maar ook eng.

MS wil graag een protocol/systeem wat dus helemaal door hen bedacht is en bestuurd wordt, dat is wel heel veel macht. Het wordt wel heel lastig voor derden om dan nog software te schrijven voor toekomstige windows/.NET omgevingen, omdat je je dan aan protocollen die door je concurrent bedacht zijn moet houden, waar MS natuurlijk altijd meer zelf van zal weten. (als je dus een concurrende tekstverwerker wilt schrijven)

Op zich moeten softwareontwikkelaars zich nu ook al aan "Windows protocollen" houden, maar dat lijkt hiermee wel veel stricter te worden. Als ze bepaalde dingen willen gaan willen gaan encrypten, of lastiger toegankelijker maken en MS is dan de enige die WEL daar kan kijken hebben ze natuurlijk absolute macht zonder dat iemand hen nog kan controleren.

Het geheugen van de grafische kaart gaan encrypten? En misschien ook gewoon geheugen?Klinkt ook als een handig middel om hardwarematige anti-kopieer beveiligingen in te bouwen, om bv reverse engineering lastiger te maken. Het is nu in principe nog mogelijk om heel windows te reverse-engineren, het lijkt een beetje of ze dat onmogelijk willen gaan maken.
omdat je je dan aan protocollen die door je concurrent bedacht zijn moet houden
- Aan een protocol moet je je altijd houden, anders is het protocol nl zinloos
Het is nu in principe nog mogelijk om heel windows te reverse-engineren, het lijkt een beetje of ze dat onmogelijk willen gaan maken.
- Hoezo zouden ze, met die reverse-enginering kun je nou ook weer niet zo heeeeel erg veel hoor.

Algemeen: waarom reageert iedereen altijd zo geergerd/paranoide als MS in het nieuws is. Zelfs als het in principe een positief bericht is (zoals dit) :?
- Aan een protocol moet je je altijd houden, anders is het protocol nl zinloos
Dat snap ik, maar er komen nu MEER protocollen, die door MS worden voorgeschreven.
- Hoezo zouden ze, met die reverse-enginering kun je nou ook weer niet zo heeeeel erg veel hoor.
Weet je wel wat het inhoudt? Zonder reverse-enginering kun je namelijk onmogelijk spelletjes kraken, of beveiligingen uit besturingssystemen verwijderen.
Algemeen: waarom reageert iedereen altijd zo geergerd/paranoide als MS in het nieuws is. Zelfs als het in principe een positief bericht is (zoals dit)
MS moet wel heel dom zijn als ze bij deze geheugenafscherming NIET kopieerbeveiliging als mede-toepassing zien. en je moet wel HEEL naief zijn om te denken dat MS er niet alles aan doet om kopieren tegen te gaan. Kijk naar XP en de gesprekken die zij met muziek/spelletjes industrieen daarover hebben.

Verder wordt er veel geflamed over MS maar elke kritiek op MS wordt ook meteen als flame gezien, da's ook overdreven.
Mwoa. Als Bill iets roept over DRM en Palladium is dat een goede reden voor wantrouwen en paranoia. Microsoft heeft nou niet echt een heel goede naam waar het security betreft.

Daarbij wil ik helemaal geen securityemchanisme van Microsoft. Het geeft ze veel te veel macht en in het verleden zijn ze met macht nou niet zo heel netjes omgegaan.
Richard Stallman schrijft inzichtvolle dingen over de gevaren van Palladium. Hier een paar punten van overgenomen. Het is mogelijk voor Microsoft om Palladium zo in te richten dan bijvoorbeeld Word-documenten alleen op Windows machines kunnen worden gelezen. Iedereen die nu Abiword op zijn GNU/Linux-systeem gebruikt om Word-documenten te openen, valt in die situatie buiten de boot en is gedwongen om ook een van Palladium voorziene werkomgeving te installeren.
Een ander gevaar waar Stallman over schrijft, is bijvoorbeeld dat documenten kunnen worden uitgerust met een houdbaarheidsdatum. Zo kan bijvoorbeeld je baas een e-mail sturen met daarin een opdracht voor een riskante onderneming. Als later de opdracht fout blijkt te lopen kun je niet meer die e-mail laten zien waarin staat dat baaslief de opdracht heeft gegeven. Jij kunt dus ten onrechte verantwoordelijk worden gesteld.
Als later de opdracht fout blijkt te lopen kun je niet meer die e-mail laten zien waarin staat dat baaslief de opdracht heeft gegeven.
Werk jij ergens waar je baas nergens anders op uit is dan het laten struikelen van zun werknemers? :'(

Overigens als je dat van te voren weet: Koop 1 ordner en print zulke belangrijke zaken even uit :*)
Dat soort bestanden kun je waarschijnlijk niet uitprinten...
wel eens gehoord van ut screenshot???
Dat zal ook niet meer gaan. Het geheugen is namelijk afgeschermd en versleuteld.
Zo zullen in het nog uit te brengen Windows Server 2003 services als Content Indexing Services, Messenger...
Onbegrijpelijk!! Laten ze dingen als media player, ontspanning, messenger en al die meuk er maar helemaal uitgooien. Ik snap echt niet dat ze dat soort "leuke desktop-dingetjes" nog steeds in hun server versies inbouwen. Je gaat toch echt niet ff lekker hartenjagen ofzo op je vette windows server waar 500 mensen van afhankelijk zijn.
Dionysus, die leuke desktop-dingetjes staan standaard uit in Windows 2003 Server. Je kan er zelf voor kiezen om het aan te zetten (om welke redenen dan ook). Er is mijns inziens niets mis met zo'n keuze.
Als ik ergens wel voor vrees is het Palladium..

Belachelijk dat er daadwerkelijk Hardware fabrikanten mee instemmen , lees intel en amd.

Wat gaat gebeuren?
je krijgt eerst een keuze, aan of uit. Dat mag je zelf weten, niemand dringt het je op.
Maar gezien het gehele marketing verhaal van M$ erom heen zullen de niet goed snik zijnde mensen gauw overstag gaan en het aan zetten, waardoor steeds meer mensen met de drang te communiceren deze chip activeren. Totdat mensen die deze chip niet hebben of geen Windows gebruiken buiten de boot vallen:

Wat is het idee van M$? China veroveren op het gebied van verkoop van M$ Software. Waar china OF illegale copies gebruikt of Linux, zal dit gigantische land, M$ paketten moeten aanschaffen.

Het is erg leuk dat je geen virussen meer krijgt hoor .. Ik kreeg ze op linux toch al niet.. maar dit gaat gewoon TE ver. Dit gaat tegen alle vrijheid in.

Ook zal een groot aantal software fabrikanten waaronder Norton en McAfee failliet gaan omdat ze niet palladium compliant zijn. De dood van OSS software zal het gevolg zijn. Hardware leveranciers die de chip niet leveren of niet KUNNEN leveren omdat M$/Intel/Amd dit tegen houden (Sun zou een kandidaat kunnen zijn) zullen ten gronde gaan.
m.a.w. Een aantal leveranciers van software en hardware zullen een volledige monopoly krijgen, waardoor ze ook nog eens de prijzen op kunnen drijven.
Kortom: Een gigantische klap in de wereldeconomie!!!

De beste security is 'jailing' en dat is precies waar dit op lijkt. Een gecontroleerd internet met gecontroleerde computer systemen.
Als hetgeen wat RMS zegt uit gaat komen, dan kap ik in het geheel in de IT branche, zowel hobby als mijn werk.

Ik snap nog steeds niet dat mensen dit daadwerkelijk een goed idee vinden, want ze zullen alleen nog hunzelf ermee hebben.
Security is op het ogenblik een zeer hot issue in het bedrijfsleven. Wat Ome Bill niet verteld is dat zodra men de security-eisen te hoog zet, het gebruiksgemak van een netwerk schade oploopt. Daarentegen is het ook zo dat indien men focused op gebruiksgemak van netwerken de security eronder leidt. Hoe zwaarder men codeert, hoe meer bandbreedte wordt opgeslokt, hoe langzamer een netwerk werkt. Voor beveiliging heb je zowel software-matige onderdelen als hardware-matige onderdelen. De mooiste combinatie op dit gebied vind ik: http://www.cisco.com/en/US/netsol/ns110/ns170/ns171/ns292/networking_s olutions_package.html
Hoe zwaarder men codeert, hoe meer bandbreedte wordt opgeslokt,

Encryptie kost geen bandbreedte. Een gecrypt bestand van 100K is nog altijd 100K. Bij public/private-key protocollen wordt er onderhandeld over een sessie-key, maar da's met 256 of 512 bytes ook wel bekenen.

Veel encryptie-protocollen hebben voorzieningen voor compressie (ssh en GPG bijvoorbeeld). Dat vervult twee doelen. Gecomprimeerde tekst heeft minder entropie, is dus beter te crypten met voldoende spreiding in je 'alfabet' en lastiger te gebruiken voor differentieele analyse. Plus dat de resulterende bestanden kleiner zijn dan de originele plaintext.
Even een reactie op:

"Gecomprimeerde tekst heeft minder entropie, is dus beter te crypten met voldoende spreiding in je 'alfabet' en lastiger te gebruiken voor differentieele analyse"

Helaas blijkt dat compressie voor encryptie in de meeste gevallen het veel gemakkelijker maakt om de encryptie code te kraken. Ik ben geen expert op het gebied, maar wat ik ervan begrijp is voldoende om het te kunnen onderbouwen.

Zie ook de link:

http://www3.sympatico.ca/mt0000/bicom/bicom.html

Mijn uitleg:

Het probleem zit hem in die gevallen waarbij een "bestand" gecomprimeerd wordt en daarna met encryptie weer als bestand wordt opgeslagen. Het kraken van een code is gemakkelijker als je de structuur weet van de data die de encryptie ondergaan heeft. Een zip file bijvoorbeelf heeft vaste bytereeksen als header, etc.

Een ander zwak punt is dat brute force aanvallen om de sleutel te vinden enorm versnelt kunnen worden. Normaal zou een geheel bestand gedecrypt moeten worden om te achterhalen of je het een goede sleutel gebruikt hebt. Bij een zip bestand hoeft dat niet, aangezien je al na de decryptie van een enkel block vast kan stellen of het de juiste sleutel kan zijn of niet. Door de grote informatie dichtheid van gecompresde bestanden weet je dus eerder of een geprobeerde sleutel fout is, en dat versnelt het zoeken behoorlijk.

En er zijn natuulijk altijd de slimmerikken die het decryptie algorithme zo goed snappen dat ze het aantal sleutels dat uitgeprobeerd moet worden bij een brute force aanval actie sterk kunnen verminderen met een paar simpele tests. En ook dat kan alleen maar omdat de data gecompressed is en een bekende te valideren structuur heeft. Het is beter om langere sleutels te gebruiken of een speciaal compressie algorithme te ontwikkelen (die zijn er) die deze zwakten uitsluit!

Ter Info :)
7bits ascii encrypted in 64bit geeft toch echt wel 64bit per teken
Eerste is originele plaintext, tweede is plaintext gecrypt met 2048 bits GPG DSA/ElGamal keypair:

-rw-r--r-- 1 ruben ruben 1024 Jan 24 14:03 plaintext
-rw-r--r-- 1 ruben ruben 1628 Jan 24 14:07 plaintext.gpg

De toename in grootte is vooral door de header die het gebruikte algorithme en de gecrypte sessie-key bevat. Met bestanden van een megabyte is de toename in grootte nog altijd een paar honderd bytes:

-rw-r--r-- 1 ruben ruben 1048576 Jan 24 14:11 plaintext
-rw-r--r-- 1 ruben ruben 1049625 Jan 24 14:11 plaintext.gpg
Dit is onzin...

1 7bits char levert inderdaad een geŽncrypte sequence op van 64bit indien het met een 64bit sleutel gebeurt.

Wat je vergeet is dat er bij 9 characters van 7 bit nog steeds een 64bit sequence uit komt. (ga na... 63bit)
bij 10 characters wordt het 128... goh.

Je zou het bijvoorbeeld eens kunnen testen!
Je legt het zelf net uit dat er vaak compressie gebruikt word in encryptie, anders zou het resultaat onhandig groot worden. Als jij plaintext bzipt word het nog kleiner. Als jij die bzipte file vervolgens encrypt is het nog steeds groter.
maw: encryptie maakt het altijd groter, en dat is niet alleen door de overhead van de header.
Burne je hebt idd gelijk. Ik doelde echter meer op Intrusion Detection. Lees het stuk achter de link uit mijn post maar. Verder wekt dit stuk wellicht ook je interesse:

http://biz.yahoo.com/bw/030124/240052_1.html
Cisco Systems Inc., today announced a definitive agreement to acquire privately-held Okena, Inc. of Waltham, Mass. Okena's next-generation network security software provides threat protection for desktop and server computing systems, also known as "endpoints," by identifying and preventing malicious behavior before it causes harm. With the addition of Okena's endpoint security software, Cisco will offer its customers the most comprehensive network security threat protection portfolios for securing large corporate networks. The acquisition of Okena enhances Cisco's leadership in the rapidly growing market segment for networking security
Door Intrusion Detection toe te passen belast je je netwerk zwaar, maar geef je je beveiliging een extra dimensie. :*)
Een van de redenen om een aparte co-processor voor Palladium in te zetten is precies het punt wat jij noemt, encryptie is nogal cpu intensief.

Edit:

TCPA voor Linux:
slashdot.org/articles/03/01/24/1757221.shtml?tid=106
De voornaamste reden om een aparte co-processor in te zetten is een reden die Bill niet noemt. Bill wil controle over welke data jij wel of niet te zien krijgt op je PC. Zolang we uitgaan van een volstrekt eerlijke Bill is dat geen punt.

Om te kunnen oordelen of Bill mag besluiten over mijn data moeten we kijken naar Bill's gedrag in het verleden. Bill is een meerdere malen veroordeelde misdadiger.

Een andere oplossing zou zijn om beheer van de encryptie in de processor over te dragen aan een overheid. In geval van Bill is de Amerikaanse overheid de aangewezen instantie. Moet ik je nog op je geschiedenislessen wijzen, of zie je waar ik naar toe wil?

Wie bewaakt de bewakers van jouw data?
Je bent pas een misdadiger wanneer je een strafblad hebt. Bill Gates heeft geen strafblad. Rechtzaken tegen Bill Gates zijn eigenlijk tegen het concern Microsoft. Omdat Microsoft een NV is, is er sprake van een rechtpersoon. Bill kan zelf dus nooit persoonlijk aansprakelijk gesteld worden voor de handelswijze van het bedrijf Microsoft.
Correctie op Bill G. heeft geen strafblad...

Ik heb eens een politiepic van Bill G. gezien die in zijn studententijd (met veel langer haar dan nu) vastzat voor openbaar dronkenschap... dus geen strafblad... ik weet niet hoe dat werkt in de V.S.

Maar goed 't is slechts een anekdote natuurlijk (die voorzover mij bekend echt toch wel op waarheid berust)
Correctie op Bill G. heeft geen strafblad...
Haal je GoT avatar maar van hier: :+

http://www.mugshots.org/misc/bill-gates.html

edit:
Minder irritante url gepakt :)
Vervang Bill door Microsoft en je begrijpt waar het over gaat.

Het is niet Bill die Palladium uitbrengt en het is niet Bill die een strafblad heeft.

De hamvraag is dus: Leg jij je beveiliging en de toegankelijkheid van je data in handen van een bedrijf als Microsoft.
je kan ook overdrijven. het woord 'misdadiger' impliceert voor velen toch wel dat je behoorlijk over de schreef bent gegaan. In mijn ogen zijn de 'misdaden' van bill gates te vergelijken met appel diefstal. ;)
oei, oei, een misdadiger maar liefst :)

Vertel eens, ik hou wel van een goede X files aflevering, hoe werkt dat en welke geschiedenislessen bedoel jij?

(En dat krijgt inzichtvol??? Ongeloofelijk...)
Hoezo verteld Ome Bill dat niet wat betekend dit dan:
....Gebruikers moeten niet langer hoeven kiezen tussen 'security' en 'usability'. Gates noemt een aantal gebieden waarin actie ondernomen moet worden....
Ik moest echt je zin drie keer lezen voor ik er iets van snapte zeg.

Vergelijk:
"Hoezo verteld Ome Bill dat niet wat betekend dit dan:"

met
"Hoezo vertelt Ome Bill dat niet? Wat betekent dit dan:"

Het moraal van vandaag, leestekens zijn OK, net als correcte spelling!
Zie het als een soort wip (uit de speeltuin wel te verstaan :+ ) . Op de ene kant zit meneer Security, op de ander meneer gebruiksgemak. Kiezen moet men dus..... belangrijk is waar voor ieder persoonlijk het zwaartepunt moet liggen.

Ome Bill misleidt dus een beetje (noemt t marketing-praat)
Nu staat die wip er maar stel dat ze iets uitvinden (of uitgevonden hebben), wat die wip vervangt door twee liften ofzo.

Overigens marketingpraat is niet perse misleidend hoor. Sterker nog dat is verboden :7
Hoewel deze programmeurs academisch geschoold waren, hadden weinigen van hen veel kennis van het specifiek schrijven van veilige code.
Voor een bedrijf van zo'n omvang en met zulke verstrekkende implementaties vind ik dit een schande
De Nederlandse vertaling geeft imho niet juist weer wat hij hier zegt. In de originele tekst staat:
Although engineers receive formal academic training on developing security features, there is very little training available on how to write secure code.
Er staat dus: Er is erg weinig onderwijs beschikbaar in het schrijven van veilige code.

Dat is ook mijn ervaring. Als wij stagiars krijgen, ongeacht of ze van de universiteit of van de HBO komen, vallen mij deze dingen op:
- veel theorie, weinig praktische oefening
- er wordt niet of nauwelijks meer onderwezen in de taal C. Al snel wordt het als een onderdeel van C++ gezien, terwijl je voor systems programming toch echt C moet gebruiken en niet C++.
- Over security veel theorie, maar onvoldoende hands on kennis. Het is leuk dat je gehoord hebt van allerlei hashing en encryptie-algorithmes, maar als je niet weet hoe je een string juist termineert in C heb je dus zo het beruchte probleem van buffer underrun in je code te pakken. Kijk de security bulletins van Microsoft en anderen (apache bijvoorbeeld) er maar op na: dat is de #1 bron van problemen.
- Universiteiten maar ook slimme studenten geven sowieso de voorkeur aan elegante object oriented talen (java) die je heel erg afschermen van de rauwe werkelijkheid van de hackers. Dit helpt niet om voldoende oefening op te doen.

My 2 cents
Inderdaad. Maar ik vind het toch knap dat ze het zelf durven toegeven en er ook iets aan doen. Vroeger durfde Microsoft gewoon niet toegeven dat ze onveilig waren, dat begint nu toch stilaan om te slaan.
ik heb met aandag het stuk zitten lezen op de link van rene59

als we een paar jaar verder zijn zal het allemaal in de kernel ingebakken zitten laat ik voor het gemak maar zeggen windows 2004

Het is grote softwarefabrikanten al jaren een doorn in het oog dat software via het illegale circuit verspreid word en deze techniek maakt het mogelijk om er ook werkelijk iets aan te doen

verder denk ik als microsoft zijn producten aan zal passen dat bijvoorbeeld word documenten niet meer gelezen kunnen worden door andere programma's die bijvoobeeld linux based zijn dat er genoeg advocaten in amerika zich weer warm gaan lopen voor rechtzaken ten het concern.

ik denk dat palladium een verdere ontwikkeling van het .net principe is om meer controle te krijgen over de applicaties die op de pc's staan niet alleen voor de thuisgebruikers maar ook bij bedrijven.

het zal mij benieuwen hoe dit af zal lopen.
als we een paar jaar verder zijn zal het allemaal in de kernel ingebakken zitten laat ik voor het gemak maar zeggen windows 2004
Was het maar waar dat het alleen in de kernel zat. Tegenwoordig vindt je in steeds meer hardware stukjes "beveiliging". Denk maar aan DVD-codering, Macrovision en dergelijke.

Het lijken misschien kleine drempels, maar deze onderdelen voorkomen dat er open source drivers voor veel videokaarten beschikbaar komen, zelfs als de fabrikanten ze zouden willen leveren. Uiteindelijk is het TPCA alleen een volgend stapje in het proces. Een proces dat overigens niet onontkoombaar is.
Hier een zeer interessante FAQ over TCPA / Palladium. Ik vond het zeker de moeite waard om te lezen over de schaduwzijde van deze techniek.

http://home.wanadoo.nl/squell/tcpa-faq.html
Heel slim weer van Bill, de rollen mooi effe omdraaien. Ze zijn de 'redder' maar tegelijketijd ook de veroorzaker van veel problemen.
En wat ik dus ziek vind is dat ze zich dus nu denken op te gooien als redders terwijl ze zelf dondersgoed weten dat ze zelf rotzooi hebben geleverd en natuurlijk zullen ze het feit dat ze veiliger worden volledig commercieel uitbuiten.
Fraaie manier van zaken doen!
Security?

Naar het schijnt helpt het niet als je je jarenlang weinig of niets aantrekt van
security en dan probeert in een dikke 2 maand tijd alle problemen van de wereld
op te lossen door er veel mankracht tegen aan te gooien. Tegen dat die mannen
ongeveer weten wat ze moeten doen en waar ze mee bezig zijn zijn die 2 maand om.
Tekenend vind ik het in dit verband ook dat bij ms (dat doet de tekst toch
uiitschijnen) blijkbaar geen volk werkt dat iets of wat van secure programmeren
afweet?

Ten tweede denk ik dat het een hersenspinsel is door te denken dat je het
internet veilig krijgt door elke computergebruiker te dwingen om een
alles-controlerende chip op zijn computer te plaatsen. Om
te beginnen vind ik niet dat je je in die mate met mensen hun computer dient te
bemoeien. Om dezelfde reden koop ik ook geen hardware van firma's die geen
specificaties vrijgeven (dingen als softmodems, nVidia videokaarten,...) want
als ik 1 of andere dag een ander OS gebruiken, hang ik volledig af van of die
firma het commerciŽel interessant vindt om dat platform te ondersteunen.

Een goed deel van de gebruikers pikt dat gewoon niet. Velen ergerden zich al
aan de "bemoeiziekte" van windows Xp toen die uitkwam (waarschuwingen over drivers die niet door ms waren goedgekeurd, messenger die per default geÔnstalleerd
werd,...). Het verwondert me dat toch zoveel mensen, ook degene die wat van
computers afweten (zoals jullie allen ;) ) nog Xp gaan draaien zijn. Je kan
immers niet de veiligheid garanderen door clients te gaan controleren waar je
geen fysieke controle over hebt. Binnen de kortste keren maakt er iemand immers
iets als de modchip voor de xbox of ps2, zodat je kan faken dat je een
"thrusted" computer bent. Zie ook de opmerking van Ross Anderson op
http://belgium.indymedia.org/front.php3?article_id=41545&group=webcast :
"Dus een `Trusted Computer' is er een die mijn veiligheid in gevaar brengt?
--> Nu vat je hem. "

De veiligheidsiniatieven van microsoft zijn dan ook compleet uit de lucht
gegrepen - als ze echt iets wilden doen aan de veiligheid, deden ze het zeker
niet zo, maar luisterden ze bijvoorbeeld naar gebruikers die lekken in pakweg
IIS melden.

Nee, security en ms, it began bad and it ended worse. Als je security wil, draai
dan Openbsd (zie http://www.openbsd.org/ ). Wil je audits, en dan die audits die
wťl vruchten afwerpen? Misschien heb je dan geen encrypted videogeheugen (dat
wordt toch gewist als je je computer uitzet, en als hij draait zou het
geheugenbeheer van het OS er voor moeten zorgen dat niet elk programma alles
zomaar kan lezen. (schaamteloze steek naar het geheugenbeheer van Windows).
Maar je hebt in ieder geval geŽncrypteerde swap per default, om maar iets te
zeggen...

Goed, misschien slaagt MS er in om het een dezer dagen onmogelijk te maken een
PC te kopen zonder Palladium. Ze maken het nu al knap lastig een merkpc of
PC-laptop te kopen zonder Windows op. Dan schakelen we toch gewoon over op een
andere architectuur? Er is Apple, Sun, Hp, sgi en wat nog allemaal. Die gaan
zich niet echt met "speeltjes" als palladium bezig houden denk ik, gewoon te
onpraktisch.

In tussentijd ben ik tevreden met mijn debian bakske (vooralsnog x86) en komt er
hier geen windows Xp of "bloateder" binnen... ook al kan men hier binnen een
jaar geen Word Xp2 documenten meer open doen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True