Karsten Samaschke: Los jetzt!

Windows Server 2003 unterstützt von Haus aus noch das alte und schwache SSL v2. Dies kann eine potentielle Sicherheitslücke darstellen, so das man es besser deaktiviert.

Das funktioniert jedoch nur per regedit-Tool – eine komfortable Oberfläche dafür jibbet nicht. Ist jedoch nicht schwer, folgende Schritte sind ausreichend:

• Start > Ausführen > regedit
• HKLM > CurrentControlSet > Control > System > SecurityProviders > SCHANNEL > SSL2
• Wenn vorhanden, dann den DWORD-Eintrag Enabled auf 0 setzen
• Wenn nicht vorhanden, dann anlegen.

Ab diesem Zeitpunkt können Clients mit SSL v2 nicht mehr auf den sicheren Kanal zugreifen. Aktuelle Clients können natürlich weiterhin auf den Server zugreifen.

Wieder was gelernt.

Das klassische Argument für den Einsatz parametrisierter Statements ist der Schutz vor SQL-Injection. SQL-Injection bezeichnet dabei den Vorgang des Einschleusens von fremden SQL-Statements in eigene SQL-Statements.

Beispiel: Die klassische Benutzer-Authentifizierung, bei der Benutzername und Kennwort übergeben werden. Der typische (C#-) Code für das generieren des SQL-Statements sieht dann in etwa so aus:

   // Werte einlesen
   String username = tbLoginName.Text;
   String password = tbPassword.Text;

   // Statement ausführen
   int result = (int) command.ExecuteScalar();

Lassen Sie uns mal einige Varianten für Benutzernamen und Kennwörter durchspielen.

Variante #1:

• Benutzername: foo
• Kennwort bla
• SQL-Statement: SELECT COUNT(1) FROM Users
  WHERE Username = ‘foo‘ AND Password = ‘bla‘

Kein Problem hier, alles gut. Wenn Benutzername und Kennwort passen, dann ist es fein.

Variante #2:

• Benutzername: ‘ OR 1=1 –
• Kennwort: Weiß nicht
• SQL-Statement: SELECT COUNT(1) FROM Users
  WHERE Username = ‘‘ OR 1=1 –‘ AND Password = ‘Weiß nicht‘

Großes Problem hier. Das SQL-Statement sieht irgendwie krank aus und kann ganz sicher nicht funktionieren. Sicher?! Doch, es funktioniert, denn die beiden aufeinanderfolgenden Bindestriche interpretiert ein SQL-Server beispielsweise als Kommentar – alles, was danach kommt, wird also ignoriert. Das tatsächlich ausgeführte SQL-Statement sieht also so aus:

• SQL-Statement: SELECT COUNT(1) FROM Users WHERE Username = ” OR 1=1

Ganz gewaltiges Problem jetzt: Die Abfrage selektiert alle Datensätze, deren Username-Spalte entweder leer ist, oder für die 1=1 gilt. Und da 1=1 immer gilt, werden also alle Datensätze selektiert. Die Anmeldung wird jetzt also klappen.

Variante #3:

• Benutzername: ‘; INSERT INTO Users (‘karsten’, ‘sicher’) –
• Kennwort: Keine Ahnung
• SQL-Statement: SELECT COUNT(1) FROM Users
  WHERE Username = ‘‘; INSERT INTO Users (‘karsten’, ‘sicher’) –‘ AND Password = ‘Keine Ahnung‘

Ebenfalls großes Problem: Nun werden zwei SQL-Statements ausgeführt, denn das Semikolon trennt SQL-Statements voneinander. Alles, was nach dem Kommentar-Zeichen kommt, wird komplett ignoriert. Das eigentliche SQL-Statement sieht also so aus:

• SQL-Statement: SELECT COUNT(1) FROM Users WHERE Username = ”; INSERT INTO Users (‘karsten’, ‘sicher’)

Super, jetzt haben wir einen zweiten Datensatz in der Tabelle!

Die Lösung

Der Lösungsansatz ist ganz einfach: Parametrisierte SQL-Statements verwenden. Dazu muss der obenstehende Code nur ein wenig abgewandelt werden:

   // Werte einlesen
   String username = tbLoginName.Text;
   String password = tbPassword.Text;

   // Command erzeugen
   DbCommand command = conn.CreateCommand();
   command.CommandText = sqlStatement;

   // Parameter anfügen
   DbParameter param = command.CreateParameter();
   param.ParameterName = “@Username”;
   param.Value = username;
   command.Parameters.Add(param);

   param = command.CreateParameter();
   param.ParameterName = “@Password”;
   param.Value = password;
  command.Parameters.Add(param);

   // Statement ausführen
   int result = (int) command.ExecuteScalar();

Nun werden die Daten anders an die Datenbank übergeben – nämlich in zwei Schritten: Zuerst wird das Statement übergeben, anschließend erfolgt die Übergabe der Parameter. Auf Ebene der Datenbank wird nun nicht etwa ein SQL-Statement dynamisch zusammengebaut, sondern es wird wie in Form eines Prozeduraufrufs verarbeitet. Für die Beispiele gilt also:

Variante #1:

• Benutzername: foo
• Kennwort bla
• SQL-Statement: SELECT COUNT(1) FROM Users
  WHERE Username = @Username AND Password = @Password

Kein Problem hier, alles gut. Wenn Benutzername und Kennwort passen, dann ist es fein.

Variante #2:

• Benutzername: ‘ OR 1=1 –
• Kennwort: Weiß nicht
• SQL-Statement: SELECT COUNT(1) FROM Users
  WHERE Username = @Username AND Password = @Password

Kein Problem hier. Wenn es nicht zufällig einen Datensatz mit dem Benutzernamen ‘ OR 1=1 – und dem Kennwort Weiß nicht gibt, dann wird nix gefunden. Und wenn es den Datensatz gibt, ist der Benutzer ordnungsgemäß authentifiziert.

Variante #3:

• Benutzername: ‘; INSERT INTO Users (‘karsten’, ‘sicher’) –
• Kennwort: Keine Ahnung
• SQL-Statement: SELECT COUNT(1) FROM Users
  WHERE Username = @Username AND Password = @Password

Kein Problem hier. Wenn es nicht zufällig einen Datensatz mit demBenutzernamen ‘; INSERT INTO Users (‘karsten’, ‘sicher’) – und dem Kennwort Keine Ahnung gibt, dann wird nix gefunden. Und wenn es den Datensatz gibt, ist der Benutzer ordnungsgemäß authentifiziert.

Also, keine Sicherheitsprobleme bei Verwendung von parametrisierten Statements.

Wer mehr über SQL-Injection wissen möchte, sollte dringend einen Blick in die Wikipedia werfen.

Meine Güte, ich halts langsam nicht mehr aus: Viel zu viele “Entwickler” verwenden klassische (=dynamisch zusammengestellte) SQL-Statements und wundern sich dann über komischste Seiteneffekte. Dabei kann es doch so einfach sein, wenn man nur mal auf die Ratschläge hören würde, die einem an jeder Ecke entgegen gerufen werden.

Die wichtigsten Gründe für parametrisierte Statements sind:

• Schutz vor SQL-Injection
• Keine “komischen” Effekte beim Einfügen von Daten
• Höhere Performance von SQL-Statements
• Bessere Wartbarkeit von Applikationen

Für die klassischen SQL-Statements spricht heutzutage nichts mehr. Das gilt sowohl für Java, als auch für .NET-Applikationen. Um so schlimmer, dass es immer noch Bücher und Tutorials gibt, die dennoch diese völlig veraltete, unperformante und unsichere Art der Datenbankansprache postulieren.

Meiner persönlichen Meinung nach ist es ein gewaltiger Fehler, Visual Studio 2005 ohne Unit-Testing-Lösung auszuliefern. Lediglich die (sündhaft) teure Team Suite hat dieses elementare Feature. Aber alles Lamentieren hilft nicht und ist auch nicht notwendig, denn alle benötigten Werkzeuge gibt es kostenlos im Netz.

Will man Unit-Testing mit Visual Studio 2005, Visual Studio .NET und Visual Studio .NET 2003 machen, kann man zwei Wege gehen: Entweder händisch mit dem genialen NUnit, oder integriert mit dem ebenfalls genialen TestDriven.NET, das NUnit sogar beinhaltet.

Meine Empfehlung: TestDriven.NET, denn so kann man – analog zum VS 2005 Team System – direkt aus der IDE heraus Tests vornehmen. NUnit ist ohnehin dabei und kostenlos ist das Tool ohnehin.

Downloads:

• NUnit
• TestDriven.NET mit NUnit

Microsoft hat beim Patchday im August einige fiese Sicherheitslücken geschlossen – in der Zwischenzeit sind teils schon Exploits im Umlauf, die nicht gepatchte Rechner angreifen.

Insgesamt beschert Microsoft uns folgendes:

• http://www.microsoft.com/technet/security/bulletin/MS05-038.mspx
  Ein kumulatives Update für den IE, welches unter anderem das Update aus MS05-37 ersetzt. Ist als kritisch eingestuft und soll drei Sicherheitslücken stopfen, die Remote ausgenutzt werden können und beim Besuch von entsprechenden Webseiten entweder die Ausführung von beliebigen Code oder das Ausspähen von Informationen erlauben. Nach der Installation kann es allerdings zu Problemen kommen, die zusammen mit ihrer Lösung in http://support.microsoft.com/kb/896727 beschrieben sind.
• http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx
  Beseitigt ein Problem im Plug&Play Dienst. Darüber können User mit einem lokalen Account das gesamte System übernehmen. Sofern der Angreifer über einen Account verfügt und das SP2 nicht installiert ist, kann die Lücke
  auch remote ausgenutzt werden. Ab SP2 muss der Angreifer über Admin-Rechte verfügen, um die Lücke auszunutzen. Windows 2000 ist besonders verwundbar, da dort der Dienst auch für “Anonymous” remote verfügbar ist, allerdings auch nur, wenn sträflicherweise die Port 139 und oder 445 aus dem Internet erreichbar sind.
• http://www.microsoft.com/technet/security/bulletin/MS05-040.mspx
  Im Telephony Service wird eine Schwachstelle gestopft. Per Default ist dieser Service zwar nicht gestartet, aber diverse Drittsoftware kann ihn aktiviert haben. Lokale Angreifer können das gesamte System übernehmen.
• http://www.microsoft.com/technet/security/bulletin/MS05-041.mspx
  Beseitigt die schon länger bekannte Schwachstelle im Remote Desktop, die für Denial-Of-Service Attacken genutzt werden kann.
• http://www.microsoft.com/technet/security/bulletin/MS05-042.mspx
  Probleme im Kerberos-Service werden damit behoben. Ausgenutzt werden können diese Schwachstellen für Denial-of-Service und Spoofing Angriffe. Ausserdem könnte vertraulicher Netzwerkverkehr abgehört werden. Das Problem ist hauptsächlich in Windows Netzwerken relevant.
• http://www.microsoft.com/technet/security/bulletin/MS05-043.mspx
  Über einen Fehler im Print-Spooler Dienst kann ein entfernter Angreifer unter Umständen das gesamte System übernehmen oder einen Denial-of-Service Angriff durchführen. Normalerweise sollte der
  Spoolerdienst allerdings nicht über das Internet erreichbar sein.
• http://www.microsoft.com/technet/security/bulletin/MS05-032.mspx
  Wurde überarbeitet und erneut veröffentlicht.
• Und natürlich gibt es auch eine neue Version des “Tools zum Entfernen  bösartiger Software”

Also, Eile tut not: Die aktuellsten Patches direkt vom Hersteller gibt es hier:

• http://update.microsoft.com

Die Sicherheitsfirma Sunbelt hat unter der Adresse http://sunbeltblog.blogspot.com/ über einen massiven Datendiebstahl berichtet, der bei der Untersuchung einer neuen CoolWebSearch-Spyware aufgefallen ist. Demnach werden massivst persönliche Daten, Kreditkarten-Informationen, Benutzernamen, Kennwörter, PINs und TANs, Messenger-Protokolle – kurz, einfach alles, was anfällt – an einen oder mehrere Server übertragen.

Als ich das gelesen habe, ist mir erst mal anders geworden – in einem derart massiven Umfang habe ich es bisher noch nicht erlebt. Das zeigt aber, wozu die IT-Mafia (anders kann man die Typen wohl nicht mehr bezeichnen – die echte Mafia möge mir verzeihen) in der Lage ist. Schlimm genug, wenn ihnen bisher nicht das Handwerk gelegt worden ist.

Wirksamer Schutz ist übrigens relativ einfach möglich: Einfach eine Freeware-Firewall einsetzen. Vernünftige (und kostenlose!) Lösungen gibt es hier:

• Kerio Personal Firewall: http://www.kerio.com/us/kpf_download.html
• ZoneAlarm Freeware: http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp
• Sygate Firewall: http://smb.sygate.com/products/spf_standard.htm

Ebenfalls ratsam: Einen aktuellen Virenscanner einsetzen:

• Free-AV (kostenlos): http://www.free-av.de/personal/de/avwinsfx.exe
• BitDefender (kostenpflichtig, aber dafür auch mit integrierter Firewall): http://www.bitdefender.de/bd/site/downloads.php?tool=bitdefender_prof_v8.exe&what=1

Diverse Medien und Sicherheitsexperten haben bereits auf den Datendiebstahl reagiert und berichten darüber:

• http://www.computerworld.com/securitytopics/security/story/0,10801,103737,00.html
• http://informationweek.com/story/showArticle.jhtml?articleID=167600273
• http://netrn.net/spywareblog/archives/2005/08/05/massive-id-theft-ring-discovered/
• http://www.heise.de/newsticker/meldung/62557

Mal schauen, was aus der Sache wird.

Am 09. Juli bin ich zusammen mit Christian Wenz und Uwe Baumann in Köln beim Multimediatreff. Zusammen präsentieren wir einen Workshop zum Thema “Webanwendungen sicher programmieren”. Ich werden den J2EE-Part übernehmen. Die Sache wird mit absoluter Sicherheit ein absoluter Spaß und gleichzeitig auch relevant für jeden .NET-, PHP- und Java-Entwickler. Hier gibt es mehr Infos:

• http://www.multimediatreff.de/naechstestreffen.php

Mehr zu Christian und zu Uwe gibt es in ihren Weblogs:

• http://www.hauser-wenz.de/s9y/
• http://weblogs.asp.net/uweinside

Also: Samstag, 09. Juli ist sicher! Ganz sicher…

Die neueste Variante des Bagle-Wurms geht sehr minimalistisch zu Werke: Sie verbreitet sich in einer Email ohne Absender, ohne Betreff und ohne Text, meldet die Netzeitung:

• http://www.netzeitung.de/internet/341548.html

Statt eines wie auch immer gearteten Inhalts bringt die Email dafür das Übliche mit: Einen Virus in Form eines Datei-Anhangs. Den muss man anklicken, und schwupps! ist man infiziert.

Innerhalb von mehreren Stunden scheinen bereits mehr als 70.000 Leute ihre Neugier nicht im Zaum gehabt zu haben: Mail bekommen, Anhang angeklickt, Virus “installiert”.

Also ehrlich, manchmal denke ich echt, dass es einen Internet-Zugang nur noch nach vorherigen schriftlichen und mündlichen Prüfungen geben sollte. Und gegen Nachweis eines funktionierenden Rest-Gehirns. Schließlich sind mittlerweile alle Medien bis hin zur Computer-Blind voll von Tipps und Tricks gegen Viren – und der wesentlichste ist:

Klicke nix an, was Du nicht kennst!

Nachdem zwei sehr kritische Sicherheitslücken entdeckt worden sind, ist das Bugfix-Release 1.0.4 jetzt im Anmarsch. Die englische Version steht schon zum Download bereit, die deutsche mittlerweile auch:

• http://www.mozilla.org/products/firefox
• http://download.mozilla.org/?product=firefox-1.0.4&os=win&lang=de-DE

Der Patchday im Mai fällt angenehm kurz aus – und betrifft darüber hinaus nur ältere Systeme mit Windows 2000, bei denen eine Sicherheitslücke bei der Web-Ansicht im Windows Explorer gefixt worden ist. Zwar sind von dieser Sicherheitslücke auch Benutzer der diversen 9x-Versionen betroffen, jedoch gibt es hier aufgrund des Endes des Produkt-Supports keine Fixes mehr. Ein Grund mehr, auf aktuelle Systeme umzusteigen!

Hier gibt es mehr Informationen:

• https://www.microsoft.com/germany/sicherheit/bulletins/200505_windows.mspx
• https://www.microsoft.com/germany/technet/sicherheit/bulletins/ms05-024.mspx

Die neueste Version des Firefox behebt diverse (teils unveröffentlichte) Sicherheitslücken und kann hier heruntergeladen werden:

• http://www.mozilla-europe.org/de/products/

Nach dem ausgefallenen März Patchday gibt es im April gleich 8 neue Patches, davon fünf als “Kritisch” eingestufte. Details gibt es wie immer auf der MS Seite unter

• http://www.microsoft.com/germany/technet/servicedesk/bulletin/default.mspx

Im Einzelnen handelt es sich um folgende Patche:

• http://www.microsoft.com/technet/security/bulletin/MS05-016.mspx
  Stopft eine Lücke in der windows Shell. Bei Ausführung einer bösartigen Datei kann das gesamte System übernommen werden, sofern der Anwender mit Adminrechten arbeitet.
• http://www.microsoft.com/technet/security/bulletin/MS05-017.mspx
  Betrifft Anwender, die die Message Queuing Dienste installiert haben. Ein entfernter Angreifer kann darüber das gesamte System übernehmen
• http://www.microsoft.com/technet/security/bulletin/MS05-018.mspx
  Lokale Anwender könne sich damit Administratorenrechte verschaffen. In Netzwerken sollte dieser Patch also schnellstmöglich installiert werden.
• http://www.microsoft.com/technet/security/bulletin/MS05-019.mspx
  Im TCP/IP Stack wurden diverse Schwachstellen gefunden, durch die das gesamte System übernommen werden kann. Es empfiehlt sich dringend, den Patch umgehend einzuspielen.
• http://www.microsoft.com/technet/security/bulletin/MS05-020.mspx
  Ein neuer kumulativer Patch für den IE, Da schon beim Besuch von “bösartigen” Webseiten Schadcode ausgeführt werden kann, muss auch dieser Patch auf jeden Fall installiert werden. Das gilt auch bei Benutzung von alternativen Browsern.
• http://www.microsoft.com/technet/security/bulletin/MS05-021.mspx
  Alle Exchange Server Admins sollten diesen Patch schnellstmöglich installieren, da der Server ansonsten remote übernommen werden kann.
• http://www.microsoft.com/technet/security/bulletin/MS05-022.mspx
  Stopft eine Lücke im MSN Messenger 6.2, die remote ausgenutzt werden kann. Alternativ kann auch die neue Version 7.0 des Messengers installiert werden.
• http://www.microsoft.com/technet/security/bulletin/MS05-023.mspx
  In Word existieren Schwachstellen, die durch entsprechend präparierte Dateien ausgenutzt werden können. Hat der User Adminrechte, kann darüber das gesamte System übernommen werden.

Also, dringend patchen!

Kam heute nacht in den Newsgroups, ist aber ein häufiger Denkfehler: ConnectionStrings sind ja sicherheitsrelevant, deshalb müssen sie im Code verschlüsselt abgelegt werden:

> wie kann ich ein Passwort im Code eines Programms so verstecken, das auch
> Profis dies nicht so einfach herausbekommen und verwenden können?

Antwort:
Gar nicht. Passwörter haben auch eigentlich nichts im Programmcode verloren. Was genau hast Du denn vor?

> Aber wenn ich eine SQL Server DB mit einem SQL Server Konto mit
> speziellen Rechten anspreche (keine integrierte
> Windowsauthentifizierung), dann muss ich doch den Benutzernamen und
> das Passwort im connectionString haben, oder?

Und genau das ist der Denkfehler! Derartige ConnectionStrings haben im Quellcode aus folgenden Gründen nichts verloren:

• Benutzernamen und Kennwörter wären fest verdrahtet und müssten bei jeder Änderung auch im Quellcode geändert werden. Dieser müsste danach neu kompiliert werden.
• Es ließe sich ein Schema aus der verwendeten Benutzernamen- / Kennwort-Kombination ableiten. Kennt man einen Benutzernamen und ein Kennwort, ergäbe sich die Möglichkeit, andere Kombinationen zu erraten, da die meisten immer das selbe Schema verwenden.

Wenn man Sicherheitsbedenken hat, sollte man entweder für ConnectionString die integrierte Windows-Authentifizierung verwenden, oder die Benutzernamen- / Kennwort-Informationen extern (in der Registry, etc.) ablegen. So oder so sollen die Kombinationen regelmäßig geändert werden.

Bei ASP.NET ist es ratsam, die ConnectionString-Informationen in der web.config abzulegen. Diese Datei kann bei korrekt konfiguriertem Framework nicht per Browser abgerufen werden und ist also diesbezüglich sicher. Informationen dazu findet man beispielsweise hier:

• http://www.aspextra.de/d/6004217100.html

Zusätzlich kann es für paranoide Naturen ratsam sein, den ConnectionString zu hashen.

Übrigens: Derartige Informationen findet man im ASP.NET Codebook in rauen Mengen:

• http://www.amazon.de/exec/obidos/ASIN/3827320496/aspextra-21

Der Service-Pack 1 zu Windows Server 2003 ist erschienen! Download und Installation über Windows Update oder die Microsoft Download-Seite:

• http://windowsupdate.microsoft.com
• http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=22cfc239-337c-4d81-8354-72593b1c1f43

Wer das SP1 nicht installiert oder zumindest eine Installation prüft, hat das Thema Sicherheit nicht verstanden!

…deshalb sollte man ihn sich zeitnah runter laden und installieren:

• http://www.mozilla-europe.org/de/products/firefox/

Gleichzeitig ist auch Mozilla 1.7.6 in Deutsch erschienen. Download unter:

• http://mozilla.kairo.at/?d=x&i=release&m=d&f[ver]=1.7.6

Übrigens gibt es ab sofort keine Firefox-ZIP-Archive mehr, meldet Golem:

• http://www.golem.de/0503/37124.html

ZIP-Archive gibt es zukünftig nur noch für Nightly Builds. Warum auch immer das sinnvoll sein mag…

Wie schon zuvor bei Mobiltelefonen und Autos versuchen die einschlägigen Anti-Viren-Hersteller nun, Anwender von Nicht-Windows-Systemen in Angst und Panik zu versetzen, um ihre Produkte an den Endkunden zu bringen:

• http://www.spiegel.de/netzwelt/technologie/0,1518,347920,00.html

Neben allgemeinem Gebrabbel über die potentiellen Gefahren von Viren auf dem Mac wird hier auch befürchtet, dass der Mac Mini die Anzahl von Anwendern, deren Systeme nicht sicher seien, erhöhen könnte. Und genau das ist der Kern der Aussage – allerdings muss es IMHO anders herum betrachtet werden: Symantecs Zielgruppe sind genau diese auf dem Apple unbedarften Benutzer, die sich schnell ins Bockshorn jagen lassen. Insofern stimmt es, dass mit der Anzahl von Mac Minis auch die Anzahl von unbedarften Nutzern wachsen würde – und damit aber auch die Anzahl der Benutzer, die sich durch solche unspezifischen Aussagen Angst und Bange machen lassen.

Eigentlich müsste die Nachricht lauten: Der Marktanteil von Apple wird langsam wieder groß genug, um auch von Symantec & Co. wahrgenommen zu werden. Da entstehen Märkte, und die will man nicht unbeackert lassen. Selbstverständlich rein im Sinne der Sicherheit des Kunden.

Bill Gates hat die Wundertüte ausgepackt! Neben dem lange geforderten IE 7 kommt nun tatsächlich auch noch ein Microsoft-Virenscanner auf der GeCAD-Engine:

• http://www.golem.de/0502/36356.html

Wahnsinn! Jahrelang tut sich fast nichts, und nun scheint die Coorperation förmlich in Richtung Security zu rennen. Allerdings bleibt ein schaler Beigeschmack: Wenn der Virenscanner Geld kosten soll (und das wird er sicherlich), dann würde Microsoft doppelt verdienen: An den Windows-Verkäufen und an den Sicherheitslücken, die Windows mitbringt.

Ebenfalls befürchte ich schon Aufschreie der Industrie, denn nun werden sicherlich wieder weitere Monopolismus-Vorwürfe laut – spätestens dann, wenn Microsoft die Software mit Windows zusammen ausliefert (was aus der Sicherheits-Perspektive heraus absolut sinnvoll wäre) oder wenn sie einen recht niedrigen Preis dafür nähmen.

Einzige Lösung: Eine kostenloses Basis-Lösung mit ebenfalls kostenlosen Signatur-Updates, die für alle etablierten Anbieter genug Platz liesse, sich weiterhin in ihrem Markt zu bewegen. Irgendwie analog zur Windows-Firewall.

Ein schwieriges Thema, ohne Frage. Und wie man es macht, ist es sicherlich falsch. Aus diesem Grund spare ich mir hier auch den Verweis auf heise.de samt der dortigen Troll-Sammlung.

Ein Wunder! Jemand hat es ihm gesagt! Bill Gates hat angekündigt, dass es – mehr als dreieinhalb Jahre nach der letzten Version – nun doch einen Internet Explorer 7 gibt. Und nicht nur fürs Rindviech, sondern für alle XP-SP2-Besitzer:

• http://www.golem.de/0502/36346.html
• http://blogs.msdn.com/ie/archive/2005/02/15/373104.aspx

Stellt sich nur die Frage, ob es nicht fast schon zu spät ist: Der Ruf (des Produkts, um es mal vorsichtig auszudrücken) ist nachhaltig ruiniert und die Konkurrenz derzeit um Klassen besser und vor allem sicherer. Mittlerweile empfehlen sogar schon DAU-Zeitungen wie die Computer-Blind den Konkurrenten Firefox – und wenn sich das in den Köpfen festsetzt, dann kann Microsoft auch einen IE 8, IE 9 oder IE X herausbringen, ohne das sie was davon haben.

Daneben sei angemerkt, dass neben dem IE auch noch mindestens ein zweites Produkt als Einfallstor von Viren, Würmern und Trojanern gilt: OjE, besser bekannt als Outlook Express. Und darüber habe ich nichts gelesen. Zwar ist OjE meist mit IE gebundlet, aber schon die Version 6 brachte gegenüber der 5er keine signifikanten Verbesserungen mehr (naja, eigentlich hat sich bei beiden Produkten seit der 4er Version kaum was getan…).

Und zuletzt: Was ist mit älteren Plattformen? Wie sieht es mit Windows 2000 aus? Rein von der Codebase dürfte es keinen so grossen Unterschied zwischen beiden Plattformen geben – oder muss IE auf Treiber zurückgreifen?

Und das wichtigste am Ende: Was wird im Mittelpunkt stehen? Sicherheit? Oder Features? Wenn nicht Sicherheit (und dann konsequent – also raus mit Helper Objects, ActiveX-Krams und Co.!), dann lieber gar nicht. Dann bleibe ich bei meinem Firefox, und der IE kommt mir nur fürs Windows Update in die Taskleiste…

Microsoft stellt für den Patchday im Februar insgesamt 13 Patches für Sicherheitslücken in Windows und Office bereit. Diese Patches umfassen eine breite Palette an Programmen, Diensten und Services – laut heise.de werden auf einem Windows XP System mit Service Pack 2 ganze 9 Patches eingespielt.

Mehr Infos hier:

• http://www.heise.de/newsticker/meldung/56183
• http://www.golem.de/0502/36191.html

Dabei sind übrigens auch Patches, die die bekannten Drag & Drop-Sicherheitslücken im IE eliminieren sollen.

Mehr Infos zu den Patches:

• http://www.microsoft.com/security/bulletins/200502_windows.mspx
• http://www.microsoft.com/security/bulletins/200502_office.mspx
• http://www.microsoft.com/germany/ms/security/default.mspx

Generell gilt: Testen und so schnell als möglich einspielen!

…da hat aber jemand Appetit bekommen: Wie einschlägige Medien berichten, will Microsoft den auf Unternehmens-Viren-Schutz spezialiserten Anbieter Sybari Software (nie gehört!) übernehmen:

• http://www.golem.de/0502/36177.html
• http://www.heise.de/newsticker/meldung/56171

Nach dem AntiVirus-Hersteller GECAD und dem Anti-Spyware-Hersteller Giant Company Software ist Sybari bereits der dritte Antivirus-/Anti-Spyware-Hersteller, den Microsoft innerhalb von zwei Jahren übernimmt.

Ich persönlich denke ja, dass das sinnvoll sein könnte – mehr Know-How schadet schliesslich nie. Und, was dazu kommt: Das Vorgehen erinnert doch stark an das typische Vorgehen von Microsoft, wenn sie neue Märkte aufrollen wollen. Offensichtlich scheint Security nun nicht mehr nur ein Schlagwort, sondern ein Geschäftsfeld zu werden. Und wie üblich lächelt die Konkurrenz am Anfang drüber – am Ende werden sie wieder Kartellklagen einreichen. Ob dies nun gut oder schlecht sei, möchte ich nicht bewerten wollen…

Übrigens: Es scheint derzeit nicht der schlechteste Zeitpunkt, eine Anti-Virus-Firma zu gründen. Es gibt da jemanden, der gewaltig Know-How sucht, und gerne auch käuflich erwirbt… Vielleicht sollte ich mich umorientieren?

Kleine Anmerkung am Rande: Über meine Firma biete ich auch Consulting und Beratung im Bereich Entwicklung an. Besonderer Fokus dabei: Sichere Applikationen…