nicht angemeldet
Hi,
http://www.psw.net/ssl.cfm Da gibt es sowohl ein günstiges freessl Zertifikat, und seit kurzem auch ein erstaunlich günstiges Thawte-Zertifikat!
Was denn, Thawte? Ah, deren Lightangebot, nein, das kann ich leider nicht gebrauchen. Aber das Vollangebot ist ebenfalls billiger und meine Kunden freuen sich immer, wenn ich Preissenkungen anbiete ;-)
Darum auch meine herzlichsten Dank für den Link!
Und ich rechne auch damit, dass die Lücken bekannt werden bevor meine Distribution ein Patch bereit stellt...
Ja, das können schon ein paar Minuten sein, bis ein Patch bereitsteht, wenn eine Sicherheitslücke bekannt wird.
Naja. Meiner Erfahrung nach dauert es deutlich länger bis Distributoren wie Suse, Red Hat, Gentoo... entsprechende stabile Pakete aktualisiert haben.
Ja, gut, sind natürlich keine Minuten, können schon ein paar Stunden werden. Bei sicherheitsrelevanter Software ist meines Wissens aber in den letzten Jahren noch nie "ein Tag" überschritten worden.
Ich kenne aber einige kommerzielle Anbieter, die dafür teilweise Monate oder gar Jahre brauchen.
Kommt immer drauf an wieviel früher die davon erfahren.
Gar nicht, es sei denn, die finden den selber früher. Aber dieser Zeitunterschied beträgt dann wirklich nur Minuten, sowas geht nach Fund _sofort_ raus (wann der Entwickler die Mail abholt ist natürlich eine andere Sache)
Das ist übrigens mitunter der Grund dafür, das kein Patch vorhanden ist: der Fehler ist für die distributionsspezifische Version nicht relevant.
Außerdem kann man nicht immer hier und jetzt neue Module im Webserver installieren, oder sogar einen neuen Kernel!
Dann hast Du ein Problem mit Deinem System. Es _muß_ möglich sein am offenen Herzen operieren zu können! Wenn Dich die 5-10 Minuten Downtime für ein Reboot der einzelnen(!) Maschine oder gar nur ein Neustart eines einzelnen Progammes ernsthaft verletzen können ist 'was faul im System. Selbst die five-niner, die mit den 99,999% Uptime haben das mit eingerechnet!
Und ja, ich rechne auch damit dass noch viele Fehler enthalten sind, die noch nicht bekannt sind, oder nicht öffentlich...
Es hält Dich keiner, danach Auschau zu halten. Adresse zum Bezug der Quellen ist ja bekannt.
Ich weiß, aber hierfür reicht mein Wissen leider noch nicht wirklich.
Das spielt überhaupt keiner Rolle, es sind genügend da, die dieses Wissen haben und es auch entsprechend einsetzen. Immerhin finden sich die von Dir angesprochenen Fehler ja nicht alleine, irgendeiner muß sie ja schließlich erstmal gefunden haben bevor er sie veröffentlichen konnte.
Jedes Programm, das Du betreibst ohne es zu benötigen und zwar wirklich _jedes_ birgt ein zusätzliches Sicherheitrisiko, da hast Du recht.
Ja, und manche Programme möglicherweise ein verhältnismäßig großes ;-)
Ich glaube nicht, das man "Sicherheitsrisiko" quantifizieren sollte. Entweder ist eines da oder nicht. Anders natürlich die Wahrscheinlichkeit des Vorhandenseins eines Sicherheitslochs. Die steigt mit der Menge der eingesetzten Programme. Aus diesem Grunde sollte man eben so wenig wie möglich einsetzen. Es ist aber relativ egal, welches Programm das ist. Relativ deshalb, weil noch ein kleiner Unterschied besteht, ob das Programm mit dem Netz kommunizieren kann oder nur ein lokales Helferlein ist. Sowas ist aber eher selten der Fall, das sich da überhaupt trennen läßt.
Aber ich schweife ab. Ich wollte nämlich zu Ausdruck bringen, das schon die Unterscheidung zwischen "gefährlicher" und "harmloser" ein Sicherheitsrisiko birgt. Das würde ja bedeuten, das zwischen "remote exploit" und "local exploit" ein Unterschied besteht und der besteht nicht bzw ist vernachlässigbar, da eines zum anderen führen kann. Da man dies nicht mit Sicherheit sagen kann - dafür ist so eine System einfach zu komplex - muß man davon ausgehen, das aus einem lokalem Exploit einer von Ferne werden kann.
Ein Fehler in einer Software ist also automatisch als Sicherheitsrisiko anzunehmen, die Beweislast des Gegenteils liegt beim anderem. Konsequenz: Patchen oder ausschalten. Kommst Du mit beidem in Teufels Küche ist ein Fehler im System vorhanden.
BTW: das das in letzter Zeit mit wenigen Ausnahmen nur noch bei Produkten der Firma Microsoft vorkommt ist natürlich keine Ausrede von ausführlichen Tests von Patches abzusehen, wenn's nicht von MS ist! Das können auch andere ganz gut!
so short
Christoph Zurnieden