Getraint in buggy software goed bezig dan....

Ik weet niet of er nog veel mensen zijn die denken dat
Microsuf daadwerkelijk met security bezig is.

Ik kan ook zeggen dat ik met een taalcursus bezig ben.
Nederlands leer ik nog elke dag, maar ik ben er niet
geconcentreerd mee bezig dat ik een taalpurist wordt.

M.a.w. Microsuf *ZEGT* enkel maar met security bezig te
zijn. Het bouwen van een imago, het zelf belangen blijven
behartigen (wat voor een bedrijf niet verkeerd is). Ze zijn
er niet intensiever mee bezig dan jaren geleden, het is
gewoon schijn en het herhalen dat hun focus daar op ligt.

Microsuf zou er niet slecht aan doen hun core business te
verschuiven van software en computers naar marketing en
reclame. Hun PR is namelijk niet te stuiten en kennelijk
overreedt hun boodschap hun visie veel mensen.

Maar ja, ik ervaar liever de dingen die ik zou moeten
geloven dan dat ik iets ga geloven die ik gewoon nooit zo
ervaren heb en niet snel zal ervaren. Zoals dat Windows
veiliger is geworden, of dat Microsuf ook maar enigzins het
belang van de consument behartigt in plaats van gebakken
lucht te verkondigen.

Als die 540.000 IT professionals dik geld hebben betaald
voor Microsuf, zeg maar zoals ze dik moeten betalen voor een
MSCE certificaat, dan hoop ik dat ze ook iets van niveau
geleerd hebben.

Iets vertellen over wat je zelf denkt dat iets is, is niet
hetzelfde als de ander iets leren hoe je het beste iets moet
gebruiken, hoe je er mee om moet gaan, een basis geeft zodat
ze zelf verder kunnen met wat ze geleerd hebben. Ik wordt
gewoon niet wijs van wat Microsuf nou bedoeld met trainen.

De indruk die ik krijg van de standaard "help" bestanden van
Microsuf is niet bepaald representatief hoop ik voor de
soort traingen die ze kennelijk gegeven hebben. Want dat is
gewoon huilen met de pet op.

http://www.claimyourrights.eu/
http://www.thinkfree.ca/

- Unomi -

Ik wil wel wat opmerkingen plaatsen bij het verhaal van
Unomi. Hij/zij heeft volledig gelijk.

Ik weet niet waarom, maar om een of andere reden ligt de
kwaliteit van het werk dat afgeleverd wordt door mensen die
zich niet exclusief met Microsoft technologie bezig houden
vele male hoger dan de kwaliteit van het werk dat afgeleverd
wordt door mensen die zich exclusief met Microsoft
technologie bezig houden.

Er zijn in de "microsoft-wereld" best mensen te vinden die
zich bezig houden met kwaliteit en die verstand van zaken
hebben, maar dat zijn er niet zo veel.

Heet gechargeerd beschreven is het gros van de mensen die
zich met Microsoft producten bezig houdt "klikvee".
Microsoft roept dat ze op ja moeten klikken en dus klikt men
massaal op ja.

Er is een reden waarom een product als Visual Basic in staat
is om 3 miljoen programmeurs achter zich te verzamelen...
meer dan welke taal dan ook. Er is ook een reden waarom het
grootste deel van die 3 miljoen programmeurs bouwsels
aflevert die de naam applicatie niet verdienen.

Zo ook met security. Microsoft roept dat je moet patchen,
patchen, patchen... dus patcht men zich helemaal wild en is
men aan het "beheren" en aan "security" aan het doen. En
uiteraard de ingebouwde XP firewall aanzetten, en hup, je
netwerk is "secure". Microsoft zegt het, dus is het waar. En
vooral niet zelf denken.

Unomi heeft helemaal geen gelijk. Aan de fouten in zijn
commentaar kun je zien dat ie ook nog niet helemaal wegwijs
is in de IT wereld. Om maar 1 fout te noemen: het is MCSE,
en niet MSCE.

Sorry hoor, maar MS is wel degelijk bezig met security. Zie
bijvoorbeeld de bugs die gevonden worden in XP SP1. Deze
zijn *niet* aanwezig in SP2. Hieruit kun je dus wel degelijk
opmaken dat ze met SP2 in ieder geval behoorlijk hebben
gekeken naar security issues.

Wat ik wil zeggen: Als je het niet weet, hou dan je mond...

Wat een dikke vette onzin. Dit bewijst dat jij (nog?) niet
werkzaam bent in de IT.

De meeste vulnerabilities die vorige maand gemeld zijn in MS
bulletins waren al bekend voordat SP2 is uitgekomen. Het
vermoeden bestaat dat MS deze heeft opgelost in SP2 zodat
dit weer voor marketing doeleinden gebruikt kon worden (MS:
zie je wel SP2 is veilig).

Wat wel zo is, is dat MS veel veranderingen hebben gemaakt
in SP2 die de beveiliging bevorderen. Zo is alles opnieuw
gecompileerd met stack protectie (/GS compiler optie).
Alhoewel dit geen waterdichte oplossing is, is het wel
moeilijker geworden om buffer overflows uit te buiten. Wat
MS ook heeft gedaan is grote delen van RPC opnieuw
geimplementeerd (RCP lockdown). SP2 is dus zeker een goede
stap in de richting.

Correctie, niet *alle* bugs uit SP1 zijn aanwezig in SP2.
Dit heeft als belangrijkste oorzaak dat alle binaries in SP2
zijn hergecompileerd met een optie die automatisch
array-boundary checks toevoegt. Dit heeft als gevolg dat de
meeste buffer-overflows automatisch teniet worden gedaan,
maar heeft als nadeel dat het systeem er aanzienlijk trager
door wordt (zoals veel mensen ook hebben ondervonden). Dit
heeft dus niets te maken met een systematische focus of
security, maar meer met een compiler-hack (die overigens
vanuit security-oogpunt helemaal niet verkeerd is). Al zou
Microsoft echt serieus bezig zijn met security dan zouden ze
op tijd patches uitbrengen (ook voor SP1) en dan zouden ze
niet gaan beweren dat spoofing bugs geen security risico vormen.

grappig. . ze geven iedereen de schuld . . behalve zichzelf. .

Kwestie van too little, too late. Ik heb het helemaal gehad
met de blue screens en mag gelukkig al mijn belangrijke
dingen onder fatsoenlijke ossen doen.

Je kunt toch niet ontkennen dat Microsoft regelmatig
beveiligingspleisters uitbrengt. Dus ze doen ècht wel wat
aan de veiligheid. Maar hun PR blaast - uiteraard - hun
inspanningen op dat gebied enorm op. Eenmaal per maand
patchen vind ik zelf een belachelijk beleid. Maar managers,
die niet gehinderd worden door enige kennis van zaken,
onthouden alleen de woorden 'Microsoft' en 'Security'. Daar
gaat het om.

- ik wordT --> ik word
- Microsud bedoelD --> microsoft bedoelt
(kleine correctie van de meester :)

[quot]
... de soort traingen die ze kennelijk gegeven hebben.
[/quote]Blijkbaar heb je nog nooit een MS-training gevolgd. Maar
veel mis je daar idd niet aan. Het niveau van
linux-trainingen van RedHat ligt al hoger en dat van
IBM-trainingen nog hoger. De waarde van MCSE is in feite
vrijwel volledig uitgehold. Ik ken zat mensen die de
papieren gehaald hebben terwijl ze vrijwel geen enkele
ervaring hebben. Braindumps en oefenexamens in overvloed.
Goede tactiek op het examen en goeie kans dat je slaagt.

Als je dit serieus meent kan ik niet geloven dat je zelf
werkzaam bent in de IT en ook niet dat je ook maar enige
ervaring hebt met Microsoft-producten. Nogmaals, zie hoeveel
patches er uitkomen. Ze doen er dus best iets aan.

Daar hebben enorm veel mensen last van, niet alleen die van
Microsoft. Als je zelf ergens telaat komt, geef je
waarschijnlijk ook de file de schuld, of de hond van de
buren ofzo.

Zo, ik heb weer ff lekker zitten zeiken, mijn avond is weer
goed!!! ;) :D

Microsoft trainingen zijn makkelijker te volgen omdat hun
producten vele malen makkelijker zijn in de omgang.
Bovendien als je je MCSE gaat halen om er mee te bluffen ben
je gewoon een domme duif. Je moet sowieso tijd steken in het
leren, kun je t net zo goed goed leren.

Deze opmerking ging helemaal niet over patches. Het ging om
die opmerking dat in de "microsoft-wereld" alleen maar
amateurs werken. Hoewel sommige anti-MS mensen dit vast een
leuke opmerking vinden is dit gewoon ronduit een belachelijk
domme opmerking.

Nouja, laten we concluderen dat beveiliging iets is dat door
de hele organisatie heen werkt en dus idd teamwork is.

Zorg wekkend dat MS weer eens beveiliging onder het hoedje
van Trusted Computing probeert te gooien ... maar ze volgens
mij alleen aast op DRM ... want daar zit geld in en niet in
het verder dicht timmeren van hun software dat kost alleen geld.

Ik heb twee jaar in de Microsoft wereld gewerkt, en
inmiddels ruim 5x zo lang in de UNIX wereld. Ik kan je uit
ervaring vertellen dat het gebrek aan inzicht in de
Microsoft wereld werkelijk schokkend is!

Dingen als "We hebben een performance probleem, dus een
nieuwe server nodig" zijn schering en inslag. Wat nou
uitzoeken of je problemen I/O-bound, memory-bound of
CPU-bound zijn... gewoon dom upgraden.

Op ja klikken, dat kan iedereen die met Microsoft producten
werkt, maar doorgronden wat er in het os allemaal gebeurt
nadat je op ja geklikt hebt, dat snappen weinigen.

En dan heb ik het nog niet eens over inzicht in standaarden,
werking van protocollen en dergelijke. De gemiddelde
Windows-beheerder leeft met het credo "Het werkt toch? Wat
zeur je dan?". Men houdt zich absoluut niet bezig met
proactief beheer of uitbreiding van functionaliteit.