Ex-Pwn2Own-Gewinner: Safari ist am unsichersten

[harden]

Die Bemerkung bezog sich auf einen Beitrag hier, der die Überschrift monierte.

Woraufhin die Überschrift geändert wurde.

Etwas als "2 Minuten Hack" zu bezeichnen, nur weil die Umsetzung (anklicken eines Links auf einer präparierten Seite) zwei Minuten gedauert hat und zu ignorieren, dass die Gedanken/Programmierarbeit weitaus länger gedauert hat, ist in meinen Augen nichts weiter als Effekthascherei und Lüge. So gesehen dauert wohl kein "Hack" länger als zwei Minuten, wenn z.B. nur ein Link angeklickt, eine Mail oder eine Seite geöffnet werden muss um irgendeinen Schaden anzurichten.

Das ist so, als würde man sagen, dass eine Fussballmannschaft innerhalb von 90 Minuten Weltmeister geworden ist ohne zu beachten, dass vorher ein komplettes Turnier, eine Qualifikation und unzählige Stunden an Training bestritten wurde.

Aber darauf bezog sich mein Kommentar nicht wirklich

 

[Freddy K.]

... Wenn heut zu Tage jemand einem anderen wirklich etwas böses will (im Bezug auf PC, banking usw.), macht er es einfach! Egal was man ihm entgegensetzt, wenn er es wirklich will, hat er heut zu Tage alle Mittel!

Aber, man muss es den Ganoven, ja nicht zu leicht machen.

... Peinlich nur, dass Äppel in Safari 4 beta eine in 3 gefixte Lücke wieder bringt. ...

Ist doch vollkommen schnurz. Es ist eine Beta. Die ist eigentlich nur zum testen, nicht zum wirklich benutzen.

... Was sagen dazu bloß die Äppler-Fanboys?

Es ist eine BETA!

Und, das du genau deswegen, so oft schwarzes Karma bekommst.

 

[Susrich]

Aber, man muss es den Ganoven, ja nicht zu leicht machen.



Ist doch vollkommen schnurz. Es ist eine Beta. Die ist eigentlich nur zum testen, nicht zum wirklich benutzen.



Es ist eine BETA!

Und, das du genau deswegen, so oft schwarzes Karma bekommst.

Ach, Ihr Fanboys. :-*
Mit schwarzem Karma kann ich leben.
Und dass Äppel mittlerweile anfängt zu schlampen, raubt mir auch nicht den Schlaf.:-D

Dass die Beta aber ein gefixten Fehler wiederholt, ist nicht dadruch gerechtfertigt, dass es eine Beta ist. Normalerweise geht man davon aus, dass eine Weiterentwicklung auf den bestehenden Erfahrungen auf- und diese dann ausbaut (dieser Ausbau wäre dann das Beta). So ist es zumindest bei uns. Ich kann nicht verstehen, dass Safari 4 Beta von einer scheinbar älteren 3er Version von Safari ausgeht.

 

[Freddy K.]

... Ich kann nicht verstehen, dass Safari 4 Beta von einer scheinbar älteren 3er Version von Safari ausgeht.

Wieso? Safari4 und Safari3 sind zwei ganz verschiedene Programme. Ich nehme an Safari4 wurde irgendwann von Safari3 abgespalten und entwickelt sich seither vollkommen selbstständig. Und die Abspaltung wird halt vor der Behebung dieses Bugs gewesen sein.

 

[Alexander.Klein]

Grundsätzlich fände ich es gut wenn bekannte Fehler nicht wieder eingebaut werden und dazu nicht auch noch neue kommen. Ich hoffe das im Zuge des Medienhype auch bei Apple, wieder die Werte die Apple seit Jahren verfolgt hat wieder neu aufgelebt werden.

Das heißt für mich im klartext, dass uns Mac Usern eine Plattform gegeben wird auf die wir stolz sein können. Und uns mit dem Hack - Gedöns nicht beschaffen müssen.

 

[MacMark]

Wer Software-Produkte professionell entwickelt, hat verschiedene Code-Zweige im Version-Control-System, die unabhängig programmiert werden. Bugfixes müssen da bei Gelegenheit rübermigriert werden.

 

[TobyKoch]

nen fragezeichen am ende und vorher vielleicht ein ausrufezeichen wären nicht schlecht

 

[Aronnax]

Grundsätzlich fände ich es gut wenn bekannte Fehler nicht wieder eingebaut werden und dazu nicht auch noch neue kommen.

Ach, da fällt mir ein .. wenn man sich mal so durchklickt, wie und was der
RSS Fehler in Safari 4 genau zu bedeuten hat.

Dann fällt es auf, dass offensichtlich nicht der gleiche Bug ist
Also daher kommt es ja nun:
http://www.rec-sec.com/vuln/apple_safari_4_feeds_uri_denial_of_service_vulnerability.php
und das hier wollen sicher alle hier gerne lesen:

Note: MacOS X version are not affected.

Aber zumindest ist der Bug sehr ähnlich

 

[MacMark]

Dann fällt es auf, dass offensichtlich nicht der gleiche Bug ist
Also daher kommt es ja nun:
http://www.rec-sec.com/vuln/apple_safari_4_feeds_uri_denial_of_service_vulnerability.php

Offenbar ermöglicht dieser neue Fehler in Beta auch nur DoS und keine Code-Ausführung.

 

[phlyx]

Ich würde mal sagen, dass Firefox allein dadurch schon viele Sicherheitslücken hat, da es ja eben nicht vom Hersteller des Betriebssystems kommt!
Von Hack-Angriffen auf Windows hört man sehr oft, da es nun einmal einige Sicherheitslücken hat, und auch immer noch die meisten User weltweit, wenn ich noch auf dem aktuellen Stand bin!
Aber von Safari und Mac allgemein hört man doch nur solche "Geschichten", weil es eine Bedrohung für Windows ist, und diese nun mal sehr viel über der PR-Weg lösen wollen!
Wenn Opera mehr verbreitet sein würde, so in etwa wie FF, dann würde dieses auch öfter durch den Kakao gezogen werden!
Computer ist Computer und wird immer ein gewisses Risiko haben, anders geht es gar nicht!

 

[Aronnax]

Ich würde mal sagen, dass Firefox allein dadurch schon viele Sicherheitslücken hat, da es ja eben nicht vom Hersteller des Betriebssystems kommt!

Welche Logik soll den nun hier dahinter stecken?

 

[MacMark]

Esoterik

 

[Susrich]

Ich würde mal sagen, dass Firefox allein dadurch schon viele Sicherheitslücken hat, da es ja eben nicht vom Hersteller des Betriebssystems kommt!
Von Hack-Angriffen auf Windows hört man sehr oft, da es nun einmal einige Sicherheitslücken hat, und auch immer noch die meisten User weltweit, wenn ich noch auf dem aktuellen Stand bin!
Aber von Safari und Mac allgemein hört man doch nur solche "Geschichten", weil es eine Bedrohung für Windows ist, und diese nun mal sehr viel über der PR-Weg lösen wollen!
Wenn Opera mehr verbreitet sein würde, so in etwa wie FF, dann würde dieses auch öfter durch den Kakao gezogen werden!
Computer ist Computer und wird immer ein gewisses Risiko haben, anders geht es gar nicht!

Genau! OS X ist das Beste, was es gibt. Und nur weil MS eifersüchtig ist auf das tolle Coverflow, verbreitet es Lügen über falsche Fehler in Safari. Safari ist sicherlich der beste und schnellste und schönste Browser. Und verloren hat er wahrscheinlich nur, weil vorher irgendwas von den Bösewichtern der Konkurrent gemauschelt wurde. Es ist absolut unmöglich, dass Apple Fehler macht. Es heißt ja so schön: think different. Und das können die bösen Konkurrenten offensichtlich nicht. Und die Jury konnte offensichtlich nur think simpel.

 

[MacMark]

… Browser. Und verloren hat er wahrscheinlich nur, weil …

Es ging letztes Jahr nicht darum, einen Browser zu knacken.

 

[Susrich]

Aber der Browser war der Weg!

Außerdem heißt es ja in informierten Kreisen, dass der Typ, der das in 2 Minuten gepackt hat, vorher schon von der Schwachstelle wusste.

Außerdem macht das gar nichts. Mac bleibt so sicher, dass man keine Anti-Viren-Programme braucht und ungeschützten Verkehr haben kann. Viren einfangen tut man sich mit einem Mac nicht. Das sind nur Gerüchte von böswilligen Konkurrenten.

 

[CraZyChris]

Viren einfangen tut man sich mit einem Mac nicht. Das sind nur Gerüchte von böswilligen Konkurrenten.

Ich will jetzt kein Korinthenkacker sein aber du kannst dir schon Viren einfangen. Ob die nun bei Windows oder bei Mac aktiv werden ist ne andere Frage.
Aber soll doch ne Art Trojaner fuer den Mac gegen haben sollen. (Illegal iWork oder so...)

 

[Freddy K.]

Ich glaube nicht, das Susrich das so gemeint hat, wie Sie/Er? es geschrieben hat.

 

[Susrich]

Also das mit dem iwork 09 Trojaner ist ja nur gerecht, weil irgendwelche hinterhältigen Bösewichter die gutgläubigkeit von Apple ausgenutzt haben, btw. so dumm waren, statt eine Skriptänderung vorzunehmen eine Raubkopie zu ziehen.

Und was die Sicherheit von Apple angeht, so stand am 23.01.08 bei zdnet zu lesen: "Berichte über Schädlinge für das Apple-Betriebssystem Mac OS X sind eher selten. Einen Support-Artikel, in dem Apple Anfang Dezember seine Kunden zur Installation von Schutzprogrammen aufgefordert hatte, hatte das Unternehmen kurze Zeit später als irreführend bezeichnet und wieder zurückgezogen"

Und dass Apple seine eigene Forderung nach einem Schutzprogramm wieder zurück genommen hat, ist bestimmt keine PR-Aktion für gutgläubige Äpple-Fanboys (etwa weil in dieser Zeit die Aktien fielen), sondern die lautere Wahrheit, weil die von Apple ja am besten wissen, wie ihr System funktioniert und uns das auch wahrheitsgemäß und detailgetreu mitteilen.

 

[MacMark]

Aber der Browser war der Weg!

Außerdem heißt es ja in informierten Kreisen, dass der Typ, der das in 2 Minuten gepackt hat, vorher schon von der Schwachstelle wusste. …

Es ging letztes Mal nicht darum, welcher Browser sicherer ist. Er blieb auch im Browser. Also nix mit Weg.

Aber sowas von vorher gewußt. Und da der Bug auch nicht neu war, hätte er eigentlich disqualifiziert werden müssen.
http://www.macmark.de/blog/osx_blog_2008-12.php#macbook_not_hacked_in_two_minutes

 

[Susrich]

Sag ich ja. Apple bleibt der beste Betrieb mit System.