Firewall aan, messenger uit in Windows XP SP2

Bij The Register lezen we dat Microsoft in Windows XP service pack 2 automatisch de Windows Messenger-dienst uitschakelt. Daarnaast zal de Internet Connection Firewall (ICF) juist automatisch ingeschakeld worden. De twee maatregelen zijn bedoeld om de veiligheid van Windows te verbeteren. De Messenger-dienst moet niet verward worden met de chatprogrammatuur van Microsoft, maar is het gedeelte van het besturingssysteem dat veelal gebruikt wordt om ongewenste pop-ups te laten verschijnen. Vorige week nog nam America Online een soortgelijke beslissing, door de dienst uit te schakelen voor alle AOL-klanten. Consumenten blijken zelden in een positieve manier gebruik te maken van de dienst; degenen die dit wel doen zullen het gewoon weer in kunnen schakelen:

So Microsoft has decided to turn off Messenger services with Windows XP Service Pack 2, due in the first half of next year. Microsoft is yet to detail how it intends to disable the service on other versions of Windows. Windows Messenger service is seldom used by consumers; and businesses, which might use it, have the expertise to turn the service back on. Last week, AOL took the unilateral decision to kill off Windows Messenger service for its subscribers.

Reacties (129)

129

123

Wijzig sortering

EfBe 30 oktober 2003 10:13

Ik zit op een LAN met een hardware firewall, wat moet ik met een firewall op mn pc?

Ik snap de redenatie in 1e instantie wel, maar ik hoop dat ze iig een 'custom' setup feature meegeven, want ik hoef die firewall niet.

De firewall aanzetten is overigens niet een oplossing voor het probleem. Computers die niet in een domain hangen hebben standaard Netbios over TCP aanstaan en de SMB/Windows poorten open staan. Terwijl juist die EN onnodig zijn in die situatie EN gevaarlijk. En gevaarlijk omdat ze vol gaten zitten. Computers die WEL in een domain hangen zitten dus in een LAN en moeten via de LAN het internet op, niet individueel. Bij dat verbindingspunt van het LAn met internet kan dan een firewall komen te staan.

Een firewall aanzetten is een oplossing gelijk aan het ommuren van je huis met een 10 meter hoge betonnen muur incl. grachtengordel wanneer het voordeurslot wat verouderd is.

Ipv. dat ze networking goed fixen doen ze dit. Zo komen de gaten nooit uit networking en komt het in grotere bedrijven zover dat elke individuele PC een firewall moet omdat van binnenuit ook hackpogingen kunnen worden ondernomen...

Verder zitten de ECHTE security gaten op dit moment niet zozeer in XP, maar in de veroudere outlook/outlook express versies in office 98 / win2k en ouder. Nieuwere outlooks/OE's strippen .exe en andere foute attachments standaard eraf, pech gehad. Juist DIE troep voorkom je er niet mee maar die gaan wel gewoon door. Waarom? Omdat wanneer iemand wil internetten met die firewall, hij hem van binnen naar buiten volledig open zet (staat standaard zo dacht ik) en dus een trojan niet opmerkt plus op windows XP home de user admin is en de firewall dus door een worm makkelijk kan worden ge'tweaked'. Neem maar van mij aan dat die users niet in eventlogs gaan kijken (als ze al weten wat dat zijn) of een firewall violation heeft plaatsgevonden...

alfatrion @EfBe • 30 oktober 2003 23:20

Ik zit op een LAN met een hardware firewall, wat moet ik met een firewall op mn pc?

Ik neem aan dat jij op alle computer op het netwerk eens in de zoveeltijd patched en dat je in de gaten houd of er een belangrijke secutiry risc is gevonden In dat geval ben jij behoorlijk veilig en heb je niet echt een firewall op je interne machines nodig.

Het gaat hier echter om Jan Modaal. Jan Modaal pached niet, laat staan dat hij weet wat het is. De computer van Jan Modaal is dus wel makkelijk te kraken. Stel je nu eens voor dat jij samen met Jan Modaal op een (prive) netwerk zit. Door Jan Modaal is het interne netwerk op eens niet meer zou veilig. Een kraker kan gemakkelijker op jouw computer komen via die van Jan Modaal. Door op de computer van Jan Modaal standaard de firewall aan te zetten word zijn computer veiliger en daarmee het hele netwerk. Dat willen we toch allemaal?

De firewall aanzetten is overigens niet een oplossing voor het probleem.

Dat ben ik met je eens. Het is een symptoom bestijding. Alleen dat het probleem er door niet word op gelost wil nog niet zeggen dat het niet bijdraagt aan de veiligheid van een netwerk.Bovendien heeft lang niet iedereen een hardware firewall zoals jij.

Computers die niet in een domain hangen hebben standaard Netbios over TCP aanstaan en de SMB/Windows poorten open staan. Terwijl juist die EN onnodig zijn in die situatie EN gevaarlijk. En gevaarlijk omdat ze vol gaten zitten. Computers die WEL in een domain hangen zitten dus in een LAN en moeten via de LAN het internet op, niet individueel. Bij dat verbindingspunt van het LAN met internet kan dan een firewall komen te staan.

Dit klopt toch niet helemaal.

Zoals je waarscheinlijk wel weet staat LAN voor Local Area Network. Het wel of niet behoren tot een domein bepaald niet of je computer zich bevind in een LAN. Een computer bevind zich op een LAN wanner deze fysiek gekoppeld is aan het locale netwerk.

Door standaard alle services uit te zetten elimineer inderdaad kansen om binnen te breken. Helaas is dit toch ook niet de oplossing. (Wel een goede richtlijn, waarom onnodig risco lopen?) Iemand die SMB of iets anders nodig heeft of wil gebruiken (SMB was juist mijn eerste rede om een netwerk te nemen) zal het aanzetten is dan kwetsbaar.

Het standaard uit zetten van services is iets wat, in mijn opinie, deel zou moeten uit maken van een goed security beleid. Binnen een dergelijk security beleid past ook het standaard aanzetten van de firewall.

Een firewall aanzetten is een oplossing gelijk aan het ommuren van je huis met een 10 meter hoge betonnen muur incl. grachtengordel wanneer het voordeurslot wat verouderd is.

Uiteindelijk gaat het om het resultaat. Het gaat er om dat de dief de deur niet door komt. Waardoor de dief niet door de deur komt maakt toch niet uit?

Natuurlijk zou de klant zijn computer moeten patchen, maar hier gaat het niet om wat de klant kan doen. Hier is aanbod wat de de leverancier kan doen om de security van de klant sterker te maken. Het standaard aanzetten van een firewall is een van die dingen die de leverancier zou kunnen doen.

Ipv. dat ze networking goed fixen doen ze dit. Zo komen de gaten nooit uit networking en komt het in grotere bedrijven zover dat elke individuele PC een firewall moet omdat van binnenuit ook hackpogingen kunnen worden ondernomen.

Een software producten kan nooit garanderen dat een stuk software geen fouten bevat en dus is de mogelijkheid dat iemand binnen breekt altijd aanwezig. Het is een goude regel binnen de informatica dat van 2% van alle regels code een fout bevatten.

Verder zitten de ECHTE security gaten op dit moment niet zozeer in XP, maar in de veroudere outlook/outlook express versies in office 98 / win2k en ouder.

Nu is XP, maar over een jaar is het net zo lek als win2k. Door het product nu te leveren met de firewall standaard aan is straks de veiligheid van de gemiddelde computer een stuk hoger.

Nieuwere outlooks/OE's strippen .exe en andere foute attachments standaard eraf, pech gehad. Juist DIE troep voorkom je er niet mee maar die gaan wel gewoon door. Waarom? Omdat wanneer iemand wil internetten met die firewall, hij hem van binnen naar buiten volledig open zet (staat standaard zo dacht ik) en dus een trojan niet opmerkt plus op windows XP home de user admin is en de firewall dus door een worm makkelijk kan worden ge'tweaked'. Neem maar van mij aan dat die users niet in eventlogs gaan kijken (als ze al weten wat dat zijn) of een firewall violation heeft plaatsgevonden..

Daar heb sla je meteen een ander probleem aan. Jan Modaal die wel een firewall heeft denk "nu ben ik veilig" (willen bedrijven ook nog wel eens doen) en laat de interne beveiliging schieten. Geen of makkelijk te kraken wachtwoorden, geen firewall op iedere computer gebruiken en niet opletten op wat je installeerd op je computer.

Verwijderd 29 oktober 2003 21:48

st zal de Internet Connection Firewall (ICF) juist automatisch ingeschakeld worden.

en dan kan ik het telkens na elke update weer uitschakele zodat het geen conflicten oplevert met me andere Firewall, lekker slim is dat van MS

Verwijderd @Verwijderd • 29 oktober 2003 21:53

bedoel dit niet om te flamen, maar laten we eerlijk zijn: kunnen ze ubderhaupt iets goed doen?
met zoveel mensen die XP gebruiken is het absoluut onmogelijk om iedereen tevreden te stellen.
Het is dus zaak om een modus te vinden.

Dan snap ik best dat een bedrijf ervoor kiest de niet-zo-geavanceerde gebruiker automatisch te beschermen, ten koste van het gebruiksgemak van de 10% mensen die wel weten hoe ze hun computer enigszins kunnen beveiligen.

Want ik denk niet dat ik de enigste ben als ik zeg dat bijna iedereen die ik ken OF geen firewall heeft geinstalleerd OF hem uit heeft staan omdat het makkelijk is. OF ze weten niet eens wat het is

Verwijderd @Verwijderd • 29 oktober 2003 22:07

Ja, als ze nou slim genoeg zijn dan zorgen ze gewoon dat er tijdens installatie gekeken wordt als je al een firewall hebt of niet, zo ja krijg je een optie voor aan uit, zo nee, automatisch aan. Dan zouden ze het in mijn ogen perfect doen.

MisterData @Verwijderd • 30 oktober 2003 10:26

Nou heel simpel... ik mag aannemen dat een firewall zich nestelt tussen de Winsock-API en de netwerkdriver in Windows. Voorzover ik weet is er zelfs een aparte API gemaakt voor makers van firewalls om de firewall te integreren met Windows. Dan kan Windows dus ook gemakkelijk zien of een firewall aanwezig is of niet.

Verder zijn er nou niet zo denderend veel firewalls dat je daar geen lijstje van kan maken... Meestgebruikte is imho ZoneAlarm of een of ander Norton-product...

NkLs @Verwijderd • 30 oktober 2003 09:09

Ja, MicroSoft heeft een lijst van alle Firewalls, ook van mijn eigen brouwsels...
Niet echt haalbaar denk ik.

wica @Verwijderd • 30 oktober 2003 09:38

sorry, maar 't is vrij gemakkelijk om te kijken of er een firewall aan wezig is.

Verwijderd @Verwijderd • 30 oktober 2003 09:41

Hoe dan?

ANdrode

@Verwijderd • 30 oktober 2003 15:07

leuk, virusje maken dat inhaakt op de firewall api.. dag ingebouwde firewall

hbongers @Verwijderd • 29 oktober 2003 22:11

misschien kunnen ze controleren wat voor ip je hebt. als het er een is uit een 'prive' range -> niet de firewall aanzetten.

sko @hbongers • 30 oktober 2003 07:11

als je een adsl aansluiting hebt heeft je modem 10.0.0.138 en jij een 10.0.0.x adres, dat is een prive range en toch moet hij wel aan lijkt me, dus dat klopt niet..

gooddaddy @hbongers • 30 oktober 2003 08:11

10.x.x.x is inderdaad een privé range. Maar het 10.x.x.x adres van jouw modem zit wel aan de binnenkant van jouw netwerk Het publieke adres van jouw modem zal niet 10.x.x.x zijn.

RetepV @Verwijderd • 30 oktober 2003 11:27

bedoel dit niet om te flamen, maar laten we eerlijk zijn: kunnen ze ubderhaupt iets goed doen?

Ja, dat kunnen ze wel.

Ze kunnen namelijk eindelijk eens erkennen dat er ook power-users bestaan, gebruikers die WEL iets van de computer af weten en die willen kunnen kiezen.

Dat is het hele probleem bij Microsoft. Ze laten hun gebruikers nooit kiezen, ze moeten iets al-tijd opdringen.

Verwijderd @RetepV • 30 oktober 2003 11:36

Maar ook die zogenaamde power-users zijn vaak prutsers. De meeste admins houden de updates op hun servers gewoon niet bij, met als gevolg bijvoorbeeld het grote succes van de Blaster. MS neemt nu een goed voorbeeld aan Linux/Unix: alles dicht, tenzij je het open zet. Een beetje power-user heeft alles in een mum van tijd weer open... en de gewone user (waar Windows gewoon het beste OS voor is) is weer een beetje veiliger (hoewel je een user nooit volledig tegen zichzelf kan beschermen).

En opdringen? je kiest toch zelf voor de installatie van SP2? of is het beschikbaar stellen van een update ook opdringen?

Verwijderd @RetepV • 30 oktober 2003 11:31

Fout... Daar hebben ze de resource kit namelijk voor uitgebracht.

Verwijderd @Verwijderd • 29 oktober 2003 22:05

De mensen die hem niet al zelf aangezet hebben zullen er waarschijnlijk geen gevolgen van ondervinden, hoogstens wat problemen met verbindingen.
De mensen die een andere firewall al hebben geinstalleerd zullen ook vast wel genoeg kennis hebben om te weten hoe je hem uitzet.
Zo'n probleem zal het dus niet opleveren.
Eerder voordeel, aangezien je wormen als MSblaster makkelijker buiten de deur houdt en messenger-spam blokkeert.

FendtVario @Verwijderd • 29 oktober 2003 22:49

Het is niet zo dat Microsoft het nooit goed kan doen maar de manier waarop ze dingen doen. Zelf ben ik een redelijk fanatieke Linux aanhanger. Dat wil niet zeggen dat ik geen Windows gebruik (win2k is mijn favo versie). Maar de beslissingen die Microsoft neemt zijn niet duidelijk. Van de 10 persberichten die er van ms komen zijn er minimaal 3 tegenstrijdig met elkaar. Op deze manier weet je nooit waar je aan toe bent. Daarnaast zijn de meeste beslissingen die ms neemt pas op lange termijn merkbaar. Als je nu iets leest over Longhorm moet je nog tot 2005 wachten.

Bij Linux weet je ook niet altijd waar je aan toe bent, tenzij je de voortgant blijft volgen van projecten die je interessant vind. En als vandaag een beslissing wordt gemaakt over een bepaald onderdeel van Linux merk je dat meestal binnen enkele weken want je kunt altijd de voortgang volgen via de cvs releases.

Verwijderd @Verwijderd • 30 oktober 2003 18:16

bedoel dit niet om te flamen, maar laten we eerlijk zijn: kunnen ze ubderhaupt iets goed doen?
met zoveel mensen die XP gebruiken is het absoluut onmogelijk om iedereen tevreden te stellen.
Het is dus zaak om een modus te vinden.

Nee

Het is dus zaak te zorgen dat er keuzevrijheid komt op de markt van de besturingssytemen. Specialisatie is hard nodig: het monopolie blijkt zeer schadelijk te zijn.

Grrrrrene

@Verwijderd • 29 oktober 2003 23:12

Nou nou nou, wat een moeite. Ik vind dat ervaren gebruikers sowieso niet moeten zeuren om zoiets, ik vind het een hele goede zaak dat een firewall automatisch al aanstaat, kleine moeite voor jou en mij om die uit te zetten en een betere firewall te installeren.

Voor een n00b als mijn pa bijvoorbeeld is het wel prettig dat hij weet dat Microsoft zich ingezet heeft voor een veilige computer. Scheelt mij weer een hoop tijd met corrigeren van foutjes van hem. Zusje die weer spyware heeft gedownload, een trojan heeft geaccepteerd en dat soort shit. Geloof me: dit is echt een betere oplossing.

En ik sluit me ook meteen aan bij sanderlinden: Kan MS nog wat goed doen? Als ze geen firewall hadden geinstalleerd, kreeg je weer gezeik dat Linux dat wel had enzo, en dat MS oogkleppen op heeft dat ze dit niet toevoegen aan het windows pakket...

Madrox @Grrrrrene • 30 oktober 2003 10:33

Ben het wel eens met je, maar er bestaat ook nog zoiets als gebruikersgemak. Weet niet hoe de update gebeurt, maar ik kan me voorstellen dat als dat automatisch gebeurt de gebruiker een bericht krijgt dat er een nogal drastische wijzigiging aan je systeem is gebeurt of dat duidelijk vermelden vooraf de installatie. Hoef je iig niet je pc af te struinen om te zoeken naar wijzigingen.

Gebeurt het echter onzichtbaar, vind ik dat zeker een reden tot klagen; ook voor de ervaren gebruiker.

Bobco @Grrrrrene • 30 oktober 2003 10:35

Probleempje is dat ICF alleen inbound filtert, trojans zijn nog altijd een probleem. Bij Microsoft kun je het volgende lezen:

he Internet Connection Firewall (ICF) is designed to give the home user and small business protection against these threats. The goal is to provide a baseline intrusion prevention mechanism in Windows XP. This means protecting against scans for information and denying all unsolicited inbound traffic. By doing this, the basic tools that are available to script kiddies will be ineffective and they will likely move on to an easier target.

Kortom: een halve oplossing. Nu is iets natuurlijk wel weer beter dan niets, maar dit zal veel mensen een onterecht veilig gevoel geven. Ze hebben immers een firewall draaien? Firewalls zijn leuk, maar je moet wel weten hoe je ze moet instellen.

Theeboon @Grrrrrene • 30 oktober 2003 11:07

Sterker nog, in the long run is dit misschien wel een hele grote stap in de goede richting. Want hoeveel mensen gebruiken er Microsoft producten? Veel

De firewall automatisch aanzetten is deel van een structurele oplossing tegen een wereldwijd security probleem: virii, trojans, backdoors, scriptkiddies, etc.

YaPP @Theeboon • 30 oktober 2003 15:08

De firewall automatisch aanzetten is deel van een structurele oplossing tegen een wereldwijd security probleem: virii, trojans, backdoors, scriptkiddies, etc.

en dat laatste is het dus niet voor gemaakt.

zoals in de post hierboven al is vermeld, de firewall van Microsoft controleerd alleen maar op binnenkomende paketten.

Zodra jouw machine vrolijk verbind met een sub7 server, een IRC-bot channel, de halve wereld aan het DOS-en is, of wat dan ook haalt deze "firewall" niets uit.

mxcreep @Grrrrrene • 31 oktober 2003 09:13

Al wel eens gedacht aan bedrijfs netwerken.....lekker is dat als je op elke bak fijn de firewall weer uit mag gaan zetten...

Zowieso op een thuiscomputer na snap ik niet dat je op werkstations firewalls gaat installen, je hebt toch niet voor niets een dmz die op zijn beurt gefirewalled wordt naar buiten toe...

Thuis heeft hier ook geen enkel werkstation een firewall draaien, zelfs mail en internetverkeer worden niet per client op virussen gechecked...heb 1 netbsd bak die voor de verbinding naar buiten zorgt, die firewalled de boel, haalt de mail binnen en controleert die op virussen en doet intrusion detection...Voor de rest is het alleen af en toe een filesystem scan toepassen en klaar is klara...

comecme @mxcreep • 31 oktober 2003 16:43

je hebt toch niet voor niets een dmz die op zijn beurt gefirewalled wordt naar buiten toe...

Dat is dus ook alleen maar een bescherming voor van buiten komend gevaar! Net zoiets als geen virusscanner installeren op een bedrijfsPC.

Hertog_Martin @Verwijderd • 30 oktober 2003 10:22

Mensen met verstand van pc's gebruiken een betere firewall en omdat ze er verstand van hebben weten ze ook hoe die van windows uit moet

Mensen zonder verstand ervan gebruiken geen firewall en hoeven dus ook niets uit te zetten en bij dat soort mensen is het maar beter dat er in windows standaard een firewall aanstaat

Verwijderd @Verwijderd • 29 oktober 2003 21:54

na veel geklaag van mensen dat het onveilig is, lijkt het me wel een slimme zet.

Glashelder

@Verwijderd • 29 oktober 2003 21:55

MS kan het ook nooit goed doen he

Verwijderd @Verwijderd • 30 oktober 2003 09:50

Ik vind dit een zeer goede stap voorwaarts van Microsoft.

Dat 1% van de gebruikers hier problemen mee heeft jammer dan! Sommige hebben altijd wel wat te zeiken over Microsoft. Wees is een keer prositief en anders gebruik je gewoon geen windows als je er zo ontevreden over bent.

Verwijderd @Verwijderd • 30 oktober 2003 10:02

Ja, er komen ook zooooveel Service Packs uit ... 1 handelingetje, that's it. Niet echt de moeite waard om je druk over te maken.

Franckey 29 oktober 2003 22:00

Jammer....
Ik gebruik de messenger functie juist erg vaak om collega's een berichtje te sturen. Hiervoor gebruik ik dan Net Send, een freeware windows versie van het commandline commando. Het is hier te downloaden:

http://www.xs4all.nl/~franckey/franckey/software/

Als deze dienst default uit staat, moet dat bij alle pc's weer handmatig aangezet worden. Lastig.

En die firewall hoeft van mij ook niet zonodig standaard aan. Ik gebruik Sygate als freeware firewall en dat bevalt erg goed. Daar kan je tenminste per applicatie rechten uitdelen. Met de Windows firewall is het alles of niets.

Gody @Franckey • 29 oktober 2003 22:32

Ja Franckey maar jij bent eent weaker, en geen noob. Om het meerendeel van de noobs te beschermen is het beter om de messenger service uit te zetten en de firewall aan. Als ze er nu ook een vriendelijke toevoeging in de Help maken(of is die er al) dan denk ik dat het een nette zet is van MS. Anders ook maar dan was de nette zet niet compleet

Franckey @Gody • 29 oktober 2003 22:36

Laat ze het dan gewoon vragen tijdens het installeren van SP2. Lijkt mij nog handiger...

maartena @Franckey • 30 oktober 2003 02:09

Lijkt me uiterst onverstandig..... dan laat je de noobs weer aan de keuze. De thuisgebruiker zal in eerste instantie zowiezo aan MSN gaan denken want hij ziet "messenger" service staan, en de wat meer snuggere gebruikers denken waarschijnlijk iets van: "Ik wil niets uitgeschakeld hebben door M$" terwijl ze niet eens weten waar het over gaat.

Nee, gewoon uitgeschakeld laten die handel. En het inschakelen van de service is echt secondenwerk nadat SP2 geinstalleerd is. En voor hen die SP2 en-masse willen distribueren over een computernetwerk van 1000 computers: Er zijn ook tools om en-masse een bepaalde service in of uit te schakelen op 1000 computers

maxxware 29 oktober 2003 22:16

En hoe pakken we de problemen aan bij MS? Niet bij de kern, waar het misgaat. Nee, we zetten er gewoon een extra slot op.
Leuk, nadat de niet-technisch onderlegde gebruiker (en dat is dus 90% van de Windows-gebruikers) SP2 heeft geinstalleerd "werkt-ie (de PC) ineens niemeer!". Dus wordt de wat meer technisch onderlegde buurman, kennis of neef ingeschakeld. Deze schakelt in al zijn wijsheid (hij weet toevallig op het goede moment een goede muisknop in te drukken) de firewall gewoon weer uit, en presto! Windows is weer net zo onveilig als voorheen.

Het doet mij een beetje denken aan een posting op Slashdot. Daar vergeleek iemand Windows met een hordeur. Wil je deze veilig maken, dan moet je van de hordeur een echte deur (lees: OS opnieuw ontwerpen) maken. Een hordeur maak je niet veiliger door er eindeloos maar hangsloten, cilindersloten en alarmen op te zetten. De fout zit 'm in het design...

Attilla @maxxware • 29 oktober 2003 22:29

Ik ben het totaal niet met je eens, de allereerste verantwoordelijkheid van beveiliging ligt bij de gebruikers. Niet bij het OS. Natuurlijk zitten er bugs in software, zeker in een groot pakket als windows, hier valt niks aan te doen. Maar als je gewoon netjes je patches installeerd, dan wordt je echt niet gehackt als thuisgebruiker, aangezien de enige die dat nog kunnen (lees: de technische kennis hebben), dan mensen zijn die absuluut geen intresse meer hebben om jou cv'tje te zien.

Een goed bewijs is de blaster worm hiervan. Mircosoft heeft deze bug bekend gemaakt, tot die tijd heeft niemand anders deze gevonden. Tegelijkertijd heeft MS hier ook patch voor uitgebracht. Pas TWEE weken later kwam die worm uit, dus iedere gebruiker heeft meer dan voldoende tijd gehad moet die patch te installeren.

Maargoed, helaas zullen deze wijzigingen in SP2 ook voor het gros van de gebruikers niet helpen. Aangezien hun niet eens weten wat een service pack is, en dus deze niet zullen installeren (ze installeren immers toch geen normale patches ook).

Verwijderd @Attilla • 30 oktober 2003 07:22

Ik ben het totaal niet met je eens, de allereerste verantwoordelijkheid van beveiliging ligt bij de gebruikers. Niet bij het OS. Natuurlijk zitten er bugs in software, zeker in een groot pakket als windows, hier valt niks aan te doen. Maar als je gewoon netjes je patches installeerd, dan wordt je echt niet gehackt als thuisgebruiker, aangezien de enige die dat nog kunnen (lees: de technische kennis hebben), dan mensen zijn die absuluut geen intresse meer hebben om jou cv'tje te zien.

Weer iemand die aangeeft dat de marketingmachine van MS beter werkt dan de softwareafdeling.

WAAROM moet ik maar accepteren dat je up-to-date moet blijven met patches (loopt altijd achter op ontdekte fouten al is het maar een dag). Dat is niet verbeteren van je software maar het herstellen van constructiefouten. Het gaat niet om een paar bugs die uiteraard in software zitten, het probleem lijkt alleen maar te groeien dat zou je zorgen moeten baren.

Ook de firewall aanzetten is gewoon symptoombestrijding, waarom moet de gebruiker accepteren dat er sinds XP 45 patches uitzijn? En dat ze nu zelfs omdat ze nog meer problemen verwachten, de firewall maar standaard aanzetten? Alsof dat een structurele oplossing is?

Waar ligt bij jou dan de grens van "bugs die in elke software zitten" en "er zit iets structureel mis bij de ontwikkeling" bij MS? 1 kritische patch per dag/per week of per maand? Of vind je dat ze zoveel fouten als ze willen mogen maken? Die grens is bij het grootste gedeelte van de kenners allang bereikt.

Ik weet het antwoord wel, dit accepteren we allemaal omdat ze een monopolie hebben, de consument heeft geen serieuze keuze, als hij bekende applicatie's wil blijven gebruiken. Vergelijk het met elke andere branche waar wel concurrentie is en ze waren allang failliet geweest of gedwongen minder arrogant te zijn en wat ontwikkelprocessen te veranderen.

Verwijderd @Verwijderd • 30 oktober 2003 08:26

Oei oei denk aan je hart man!

Er bestaat echt niet zoiets als foutloze complexe software. Ben uberhaubt blij dat Microsoft er wat aan probeert te doen. Overigens heb je al eens met 2003 server gewerkt? Daar hebben ze standaard alle beveiliging in geschakeld en dat wil je niet als je achter een degelijke firewall hangt maar goed (voor iedere website waar je naar toe wilt moet je het een en ander instellen).

Ik vind dat Microsoft toch goed werk levert, juist door hun dominante (een echte monopolie hebben ze nog niet) positie wordt hun product veel gebruikt en komen foutjes en andere onbedoelde features sneller aan het licht MAAR kunnen ze ook sneller worden opgelost.

Maar als jij je er zo aan stoort is het misschien beter om de computer voortaan links te laten liggen

Zelf gebruik ik overigens wel de firewall die in windows XP zit, waarom? Gratis, goed genoeg en geen irritante splashscreens (zoals zonealarm). Doordat dat ding tochal grotendeels geladen is neemt het ook nog eens weinig geheugen in gebruik.

SED @maxxware • 29 oktober 2003 23:39

Tje, en Linux is natuurlijk weer de kluisdeur blablabla...

Flauwekul van altijd weer dezelfde figuren die per definitie tegen MS zijn.

Linux is net zo onveilig als zijn gebruikers.
Windows is net zo veilig als zijn misbruikers

Countess @SED • 29 oktober 2003 23:55

tja, niet helemaal.

bij MS staan er een aantal services standaart aan die via internet benaderd kunnen worden en die daarna volledige controle kunnen geven over het systeem. (ms blaster maakte daar gebruik van bv)

linux daarin tegen heeft alleen services draaien als jij ze expliciet installeert. en vereist standaart een passwoord voor root access (root = gebruikers account dat alles mag, en word als regel maar afentoe gebruikt)
een kale linux die op internet kan is dus vrij veilig,
(zeker als je op internet browsed met een account wat niet root heet)
terwijl als ik de eerst keer inbel met een net nieuw geinstalleerd windows XP dan heb ik gelijk de MS blaster worm aan mijn broek hangen (ik ging om internet om de windows update te draaien, kreeg ik bijna niet de kanst voor)

Beaves @Countess • 30 oktober 2003 00:24

bij MS staan er een aantal services standaart aan die via internet benaderd kunnen worden en die daarna volledige controle kunnen geven over het systeem. (ms blaster maakte daar gebruik van bv)

MS blaster maakte gebruik van een bug binnen de RPC service (remote procedure call), die is normaliter niet te benaderen door een gebruiker om eens even full control te krijgen over een Windows machine. Alleen door die bug was het mogelijk om via die RPC een applicatie (virus) op de machine te krijgen.

Op een goed geinstalleerde en gepatchte Windows machine is het bijna onmogelijk om zonder medeweten van de gebruiker full control over de machine te krijgen. Alleen door fouten van de gebruiker (geen admin wachtwoord instellen waardoor de standaard shares (C$ etc.) zijn te gebruiken bijvoorbeeld en door fouten in het OS is het mogelijk om full control te krijgen. Normaal dus niet.

terwijl als ik de eerst keer inbel met een net nieuw geinstalleerd windows XP dan heb ik gelijk de MS blaster worm aan mijn broek hangen (ik ging om internet om de windows update te draaien, kreeg ik bijna niet de kanst voor)

Zet dan de fix op CD/floppy, lijkt me nogal logisch dat je eerst SP's + die fix uitvoerd en dan pas het internet op gaat, anders is het inderdaad vragen om moeilijkheden. Of je zet de firewall eerst aan, de worm kan dan de RPC poort niet bereiken en dus kan je rustig updaten.

T.T. @maxxware • 29 oktober 2003 22:25

Je bent toch niet geheel eerlijk tegenover Microsoft:

Niet bij de kern, waar het misgaat. Nee, we zetten er gewoon een extra slot op.

Dat is een prima tijdelijke oplossing die de veiligheid wel degelijk vergroot.

Daar vergeleek iemand Windows met een hordeur. Wil je deze veilig maken, dan moet je van de hordeur een echte deur (lees: OS opnieuw ontwerpen) maken.

Microsoft is ook bezig met een nieuw OS (Longhorn), waar ze de nadruk leggen op veiligheid met Next Generation Secure Base Computing (Palladium dus). Dit systeem is een stuk veiliger, maar ook daar kleven nadelen aan. Uiteindelijk is de gebruiker toch verantwoordelijk voor de beveiliging.

Een hordeur maak je niet veiliger door er eindeloos maar hangsloten, cilindersloten en alarmen op te zetten. De fout zit 'm in het design...

Ik vind het prima dat Microsoft probeert WindowsXP iets veiliger te maken door de Firewall standaard aan te zetten. Om in jouw beeldspraak te blijven: totdat de metalen deur met tralies binnen is, kan het geen kwaad om de hordeur nog even wat extra te beveiligen.

Verwijderd 29 oktober 2003 21:51

Je kunt de Messenger service ook zelf handmatig uitschakelen. Start->Administrative Tools->Services.

Meer (onnodige) services uitschakelen? Bij Blackviper vind je een hele lijst...

Verwijderd @Verwijderd • 29 oktober 2003 23:40

ticfoutje in de link

http://www.blackviper.com/WinXP/service411.htm

Verwijderd @Verwijderd • 30 oktober 2003 05:04

Die link was goed hoor, d'r zit geen a in die link. De server is alleen down, da's al.

Dus het is WEL www.blkviper.com

Maniakje @Verwijderd • 30 oktober 2003 13:02

Dan vind ik deze duidelijker:

http://www.theeldergeek.com/services_guide.htm

robbl 29 oktober 2003 21:59

Hmm. Dat betekend dat de firewall op alle clients binnen ons bedrijf uitgezet dient te worden na een uitrol van SP2, en dat we overal de messenger service weer aan moeten zetten, omdat mensen anders niet zien dat hun printjobs gespooled zijn. Geen ramp, maar wel weer wat extra werk.

Voor de reguliere thuisgebruiker vind ik het weer wel een positieve ontwikkeling.

Verwijderd @robbl • 30 oktober 2003 04:32

Misschien kun je de install van de SP2 wel enigszins regelen, zodat de firewall niet aan wordt gezet. Anders moet het met een GPO ook makkelijk geregeld kunnen worden.

418O2 @robbl • 29 oktober 2003 22:09

dat kan vast wel met een login scriptje

MS doet het wel weer goed... Voor zover MS goed kan doen natuurlijk

Verwijderd @418O2 • 29 oktober 2003 22:19

Zal wel de default domain policy worden dan!

Quentin 29 oktober 2003 22:36

Hmm, lees hoofdzakelijk positieve reacties hier....

Vraag me af of iedereen over 6 maanden begint te flamen als de helft van de firewall softwaremakers over de kopt vliegen omdat MS "gratis" en default geactiveerd een firewall bij hun OS leveren (zal wel weer een partij rechtzaken opleveren)

Of als de helft van de n00bs ineens geen spellen online kunnen spelen omdat de firewall in de weg zit.

Begrijp me niet verkeerd, ik vind dit een goede zaak dat ze standaard een actieve firewall meeleveren, maar wil alleen aangeven dat wat MS ook doet, het uiteindelijk toch altijd verkeerd is.

Madrox @Quentin • 30 oktober 2003 10:50

Dat komt ook omdat Ms behalve de veiligheids-onderdelen, ons nog veel meer non-OS gerelateerde zaken aanbied. Zoals WMP, Ie6, Outlook, DX, etc etc. Ze zetten ook nog de standaard voor bestands-typen, willen alleen ondersteunen wat zij denken dat goed is voor ons en zo zijn er nog wel een paar voorbeelden.

Tuurlijk, wij luie en gemakzuchtige gebruikers varen er wel bij; een alles-in-een-pakket met alles erop en eraan. Probleem is echter, dat dit het enige alles-in-een-pakket ter wereld is en de eigenaar daardoor bijzonder veel macht heeft/krijgt/verovert.

Waar we naartoe zouden moeten; is een kaal OS zonder toeters en bellen. Laat de distributie over aan derden die er naar eigen smaak browser, firewalls, virusscanners etc.etc. aan toevoegen.

ps: wat is het nut van een halfgare Firewall als de gebruiker geen av-software draait

Rhapsody

@Quentin • 29 oktober 2003 22:44

Kijk daar heb je nu helemaal gelijk in.

Denk dat het een goede beslissing is, om dat netsend uit te schakelen, en ook voor de thuisgebruiker is de firewall uitstekend.
De gevorderde kan dit gemakkelijk weer aanzetten.

RRX 29 oktober 2003 22:05

Het lijkt mij een verstandige zaak om dit alleen bij de home edition te doen, en niet bij de professional. Een andere optie zou zijn om via de commandline een parameter op te kunnen geven de het automatisch in/uitschakelen disabled.

Diggie9 @RRX • 30 oktober 2003 00:36

Ach, of dit nut heeft vraag ik me af, Ik denk dat je wel weet hoe mensen zijn
Bijv.

2 buren wonen lief en aardig naast elkaar, op een gegevenmoment heb de ene buurman windows XP Home Edition en een nieuwe computer, Wat doet buurman 2,

Nieuwe computer, Snelste van het snelste want hij mag niet achter blijven, en natuurlijk Windows XP Professional

Verwijderd 29 oktober 2003 23:18

Ze kunnen beter de standaard administartor uitschakelen. das wat veiliger. Firewall aan en een windows simple voor de gewone gebruikers

maken. maar ja de mensen volgen de zo genaamde slimme neefjes ( lees tweakers

) .

Gewoon keuzes laten maken door gebruikers dat is wat ze moeten doen. niet beslissen voor ....

Attilla 30 oktober 2003 09:16

Mike_mike, ik wil toch nog even reageren. (Na bijna 3 jaar op t.net/got weet ik nog niet hoe ik dat direct doe op de frontpage

)

Voor linux/unix komen er ook patches uit. Alleen is dat niet 1 bedrijf of een aantal personen wat verantwoordelijk is voor het hele gebeuren. Voor elk stukje heb je aparte patches voor elk software.

Software valt gewoon niet zonder bugs te maken, dit kan gewoon simpel weg niet en zeker met een pakket zo groot als windows is dat niet mogelijk. En dat is de reden waarom de eerste verantwoordelijkheid de gebruiker gewoon als eerste zelf verantwoordelijk is voor zijn systeem.

Eerlijk gezegd is het zelfs nu slecht waar MS meebezig is, aangezien ze nu de verantwoordelijkheid naar zich toe trekken, wat helemaal niet het geval mag zijn. Een gebruiker van een pc dient te weten hoe hij hier mee om moet gaan vind ik, sterker nog ik ben van mening dat iedere gebruiker die op internet wil hiervoor eerst een cursus moet volgen waar oa. systeem veiligheid ten sprake wordt gebracht. Maargoed, dit is toch een droom die niet meer uit kan komen.

Maar ik snap ook niet waarom er structueel een probleem zou zijn bij de ontwikkeling van windows. Ik vind inderdaad dat er fouten gemaakt mogen worden, niet omdat ik windows fan ben (sterker nog, ik gebruik linux

), maar omdat het onvermijdelijk is dat er bugs in software zit (elke software).

Verwijderd @Attilla • 30 oktober 2003 19:27

En dat is de reden waarom de eerste verantwoordelijkheid de gebruiker gewoon als eerste zelf verantwoordelijk is voor zijn systeem

Bullshit. Een auto fabrikant blijft ook verantwoordelijk voor fouten in een auto. Niet de bestuurder. Die kan daar niets aan doen.
En het boeit niet of een auto of software niet zonder fouten geproduceerd kan worden. Hoe kun je in hemelsnaam zeggen dat een gebruiker/bestuurder verantwoordelijk is voor de troep van een ander.

En ga nu niet zeggen dat je software niet met auto's moet vergelijken want dat is onzin.
Het zijn beiden consumenten producten en de rol klant/fabrikant is het zelfde.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (129)

Sorteer op:

Weergave: