Nach Zend (PHP) hat nun auch Novell ein abkommen mit MS :eek:

So wie es ausschaut, geht es einerseits um Marketing und Support für Kunden und andererseits um Rechte-Sicherheit.

Link zu Zend: http://www.zend.com/de/products/zend_core/windows_preview?WT.mc_id=Core_win_hp

Link zu Novell: http://www.novell.com/linux/microsoft/

Ich fall um :eek:

Wenn ich das mal genauer auseinander genommen habe, schreibe ich mehr darüber ;)

mmm...

Ich hab gerade die News hier gelesen. http://www.golem.de/0611/48733.html
Dort in den Kommentaren kommt der Verdacht auf, dass MS Support für Suse Linux geben will und dadurch mehr Geld eintreiben will.

Ob die sich das von Oracle abgeschaut haben? ;)

:)
Ich finde es einfach nur gut.

Ob die sich das von Oracle abgeschaut haben? ;)

Das sind doch zwei vollkommen unterschiedliche Dinge. Oracle will ja ein Linux OS mit ihren Produkten anbieten, um sich der Windows Konkurrenz zu entziehen.
Ich halte diese Partnerschaft einerseits für logisch, andererseits würde ich es nicht auf die Goldwaage legen. Es existieren ja auch Partnerschaften mit Sun oder IBM, um bestimmte Technologien besser interoperabel zu machen. Also Microsoft macht sicher keinen Schwenk zu Linux, aber man wird vielleicht durch die Kooperation Produkte/Lösungen für eine bessere Migration zu Windows anbieten können oder z.B. für Server-Konsolidierungen auf Windows Basis in Linux-Umgebungen. Novell wird sich dann durch die Kooperation wohl auch Chancen ausrechnen, das selbe umgedreht zu machen.

http://asay.blogspot.com/2006/11/microsoft-and-novell-much-ado-about.html

Der 'deal' mit Zend rührt ja daher, das MS ihre Server Soft unters Volk bringen will. Und bei dem starken und noch immer anhaltenden PHP 'boom', blieb ihnen halt nicht viel mehr übrig, als eine größere Unterstützung in beide Richtungen zu forcieren ;)

Auf der anderen Seite hat MS wohl langsam mitbekommen, das ihre 'anti-oss' haltung wohl auf dauer mehr schadet als nützt.
Gerade bei den streitereien über das smb Protokoll mit Samba haben sie sich wohl ins eigene Knie geschossen. Ebenso der neuere 'Brandherd' Open Document. Wieviele wollten sich von MS Office verabschieden, wenn es nicht OD kompatibel ist? Wie stark war den insgesamt das öffentliche Interrese?
Eben, genau da liegt der Hund begraben. Die Kunden nutzen verstärkt OSS und offene Formate - wenn MS keinerlei Kompatibilität dazu bietet, fliegen sie halt komplett raus - wieder ein Kunde weniger :)

Biss jetzt kann man nur spekulieren, was genau dabei rauskommt, abwarten und Tee rauchen.

Ich glaube nicht, das dies ein Schachzug allein gegen Red Hat darstellt, das ist schon ein bisschen weit hergeholt ... (ant. zu dem Blog).

Ich glaube nicht, das dies ein Schachzug allein gegen Red Hat darstellt, das ist schon ein bisschen weit hergeholt ... (ant. zu dem Blog).
Nicht in erster Linie. Aber als Nebeneffekt hat es sie sicher gefreut.:biggrin:

cu
wintermute

Nicht in erster Linie. Aber als Nebeneffekt hat es sie sicher gefreut.:biggrin:

cu
wintermute

Naja, in dem Blog wird schon weit hergezogen - aber jedem seine Meinung ;)

Ausschlaggebend für Novell war sicherlich Mono/.NET, in dem Paper an die OSS Community wird das explizit erwähnt.
Für MS ist .NET so ziemlich die wichtigste Technologie, dadurch das sie jetzt direkt dem Mono Projekt Rechtssicherheit geben, ebenen sie den weg für eine weitere Verbreitung.
Ich denke Icaza wird die nächsten Tage wohl in Party Laune sein, seinen Gegnern - die ja den weitreichenden Mono einzug in Gnome nicht gerne sahen - gehen auf einmal die Argumente aus :biggrin:

Das sind doch zwei vollkommen unterschiedliche Dinge. Oracle will ja ein Linux OS mit ihren Produkten anbieten, um sich der Windows Konkurrenz zu entziehen.
Ich bin mir nicht sicher, ob man da wirklich gegen Windows und nicht gegen Solaris operieren will. Zumal ja Sun auf PostgreS setzt.

Ich halte diese Partnerschaft einerseits für logisch, andererseits würde ich es nicht auf die Goldwaage legen. Es existieren ja auch Partnerschaften mit Sun oder IBM, um bestimmte Technologien besser interoperabel zu machen.
Ja. Siehe Sun <-> Microsoft. Als man unzählige Millionen investiert hat um WebServices (halbwegs) kompatibel zu machen. :ugly: Oder man den Swing Leuten gesagt hat, das sie die falsche API verwenden. :ugly:

Naja, in dem Blog wird schon weit hergezogen - aber jedem seine Meinung ;)

Ausschlaggebend für Novell war sicherlich Mono/.NET, in dem Paper an die OSS Community wird das explizit erwähnt.
Für MS ist .NET so ziemlich die wichtigste Technologie, dadurch das sie jetzt direkt dem Mono Projekt Rechtssicherheit geben, ebenen sie den weg für eine weitere Verbreitung.
Ich denke Icaza wird die nächsten Tage wohl in Party Laune sein, seinen Gegnern - die ja den weitreichenden Mono einzug in Gnome nicht gerne sahen - gehen auf einmal die Argumente aus :biggrin:
Zuerst abstreiten, dass es irgendwelche möglichen Patentprobleme mit MONO gibt und dann das. Alles klar.

Ich bin mir nicht sicher, ob man da wirklich gegen Windows und nicht gegen Solaris operieren will. Zumal ja Sun auf PostgreS setzt.


Ja. Siehe Sun <-> Microsoft. Als man unzählige Millionen investiert hat um WebServices (halbwegs) kompatibel zu machen. :ugly: Oder man den Swing Leuten gesagt hat, das sie die falsche API verwenden. :ugly:


Zuerst abstreiten, dass es irgendwelche möglichen Patentprobleme mit MONO gibt und dann das. Alles klar.

Es gab auch vorher keine ernsthaften Probleme, seit .NET ECMA zur Standardisierung gereicht wurde (und auch durchkam), kritische teile wie z.B. Enterprise Services wurden weggelassen.

Nur haben einige Kleingeister die Lizenzsierung von MS nie richtig kapiert, geschweige den gelesen oder die vor der ECMA einreichung hergenommen.
Und denen ist nun endgültig das Wasser abgegraben ;)
Icaza hat auch mehrmals in seinem Blog die beherschung verloren :biggrin:
Jetzt ist das eeeeendlich vom Tisch, jetzt kann man absolut nichts mehr an den Haaren herbeiziehen *freude*

Anders schaut's natürlich bei Windows Forms aus - hier war's seit ehedem ein wenig kritisch, da bestanden eventuelle Einsprüche zurecht. Ist jetzt aber auch vorbei.

Diese .net/Mono Geschichte ist dann ein Vorteil von Gnome gegenüber KDE.

Novell will den notwendigen Code schreiben, um Office Open XML in OpenOffice.org zu unterstützen und diesen dem Projekt zur Verfügung stellen. Selbst wird Novell ein entsprechendes Plug-In mit seiner Version von OpenOffice.org ausliefern.
http://www.golem.de/0611/48745.html

Gilt das generell für OOo oder nur für eine spezielle Version von Novell?

Es gab auch vorher keine ernsthaften Probleme, seit .NET ECMA zur Standardisierung gereicht wurde (und auch durchkam), kritische teile wie z.B. Enterprise Services wurden weggelassen.

Nur haben einige Kleingeister die Lizenzsierung von MS nie richtig kapiert, geschweige den gelesen oder die vor der ECMA einreichung hergenommen.
Und denen ist nun endgültig das Wasser abgegraben ;)
Icaza hat auch mehrmals in seinem Blog die beherschung verloren :biggrin:
Jetzt ist das eeeeendlich vom Tisch, jetzt kann man absolut nichts mehr an den Haaren herbeiziehen *freude*

Anders schaut's natürlich bei Windows Forms aus - hier war's seit ehedem ein wenig kritisch, da bestanden eventuelle Einsprüche zurecht. Ist jetzt aber auch vorbei.
Sieht nicht so aus:
http://technocrat.net/d/2006/11/2/9945

Sieht nicht so aus:
http://technocrat.net/d/2006/11/2/9945

Und was steht da von .NET? oder was hat das damit zu tun?

Nocheinmal für alle Emac http://www.mono-project.com/ECMA

Nocheinmal - diesen Haufen an Firmen müsste MS verklagen:

Borland, Fujitsu, Hewlett-Packard, Intel Corporation, International Business Machines, ISE, Novell Corporation, OpenWave, Plum Hall, Sun Microsystems

Die CLI sowie C# sind ein OFFENER Industrie-Standard, MS hat das ganze selber und ganz bewusst eingefädelt.

Die Windows Forms Teile, sowie andere .NET 'Sprachen' und spezielle MS Windows Teile - insbesondere Enterprise Services - sind nicht enthalten und auch kein offizieller Standard - und somit könnte MS einzig und allein hier Ansprüche stellen.

Finde ich gut. Damit werden quelloffene Betriebssysteme weiter gestärkt. Das ist bestimmt nicht das baldige Ende von MS, aber vielleicht der Anfang vom Ende des Monopols. Windows wird in Zukunft vermutlich nichts mehr kosten. Geld verdient man dann mit technischer Beratung, Updates die man ähnlich wie bei Virenscannern für ein Jahr kauft oder Inhalten, also Zugang zu Medien oder Diensten.
Auf Dauer kann sich ein OS, was in der Anschaffung relativ viel Geld kostet, nicht gegen einen Konkurrenten behaupten, der mehr oder weniger umsonst seine Software abgibt, die nicht wirklich schlechter ist. Im Gegenteil, Linux hat gegenüber Windows, vor allem im immer wichtiger werdenden Bereich Sicherheit, sogar klare Vorteile.

Im Gegenteil, Linux hat gegenüber Windows, vor allem im immer wichtiger werdenden Bereich Sicherheit, sogar klare Vorteile.

Und die wären?
Quelloffenheit? Da fällt mir das Statement von A. Cox vor einigen Tagen ein.

Codequalität? Da fallen mir die Momente ein, bei denen ich mal Blick auf frisch gehackten Code werfe, der nicht aus einem großen Projekt stammt.

Sorry, die Aussage, dass Linux per se sicherer ist als Windows ist einfach nicht haltbar. Die Sache steht und fällt mit den Administratoren, welche bestimmte Konzepte verstanden haben sollten.

Gruß,
QFT

Und die wären?
Quelloffenheit? Da fällt mir das Statement von A. Cox vor einigen Tagen ein.


Jups:

http://www.golem.de/showhigh2.php?file=/0610/48615.html

Jedenfalls gibt es für Linux schonmal keine Viren.

Sorry, die Aussage, dass Linux per se sicherer ist als Windows ist einfach nicht haltbar. Die Sache steht und fällt mit den Administratoren, welche bestimmte Konzepte verstanden haben sollten.
jups und gerade hier springen die distributionen ein - sie patchen für mich unsichere pakete und kümmern sich um eine saubere standardkonfiguration - alles was man bei windows erst nach der installation selbst machen muss...

Die CLI sowie C# sind ein OFFENER Industrie-Standard, MS hat das ganze selber und ganz bewusst eingefädelt.
Ja und? Wäre ja nicht der erste offene Industrie-Standard der durch Patente "geschützt" ist. Aktuelles Beispiel: JPEG. Daneben gibt es unzählige weitere Beispiele.

Und die wären?
Modularität. Es ist aus Sicherheitsgesichtspunkten sinnvoll das Betriebssystem in mehrere Komponenten aufzuteilen, die klar voneinander abgetrennt sind. So lassen sich einerseits nicht benötigte Bausteine entfernen (was es nicht gibt kann auch keine Löcher haben) und andererseits auftretende Probleme lokalisieren und eingrenzen. Das gleiche Prinzip macht man sich auch bei einem Gefängnis zu nutze, indem das Gebäude in viele kleine Bereiche unterteilt wird. Kommt es zu einem Problem, ist nicht gleich die ganze Anstalt betroffen.
Beispiele: Auf einem Server, auf dem keine Programme mit grafischer Oberfläche benötigt werden, werden diese inkl dem Fenstermanager und dem ganzen X-Server erst gar nicht installiert; bzw wenn man sie selten benötigt, dann wird der X-Server erst bei Gebrauch gestartet. Oder ein Dienst, der in ein minimales Subsystem (chroot) verfrachtet wird, um die Gefährdung bei einem Sicherheitsloch möglichst klein zu halten.

Bei Windows ist diese Modularität aber meist nicht vorhanden, es wird im Gegenteil vieles vorsätzlich miteinander verwurstet und verknotet. Dann kommt es zu Sicherheitslücken wie "durch eine Problem in der Komponente Outlook Express kann das Aufrufen einer Webseite im Internet Explorer zu einem Pufferüberlauf führen, über den beliebiger Code ausgeführt werden kann".
Grund dafür ist wohl die Produktpolitik Microsofts, die offensichtlich mit allen Mitteln verhindern soll, daß Windows in seine Einzelteile zerlegt wird. Vielleicht hat Microsoft Angst, daß sie ohne ihre Strategie des vendor-lock-in am Markt nicht bestehen würden.


Bequemlichkeit. Während Linuxdistributionen in der Regel standardmäßig keinerlei eingehende Verbindungen akzeptieren, dient sich Windows nach der Installation wie eine billige Schlampe jedem an, den es nur irgendwie erreichen kann. Man kann ohne Desktopfirewall oder Konfigurationsänderungen ja noch nicht einmal Sicherheitsaktualisierungen herunterladen.
Natürlich gibt es für Microsoft auch hier Gründe, die für dieses Vorgehen sprechen, der Sicherheit ist es aber nicht zuträglich, wenn Dienste wie Dateifreigabe, DCOM, Remote-Registry, Desktopfreigabe, etc standardmäßig alle nach außen hin auf Verbindungen warten.


Rückwärtskompabilität. Micros~1 ist es nicht möglich alte Zöpfe abzuschneiden, auch wenn diese sich im Nachinein als Fehler herausgestellt haben. Der Name Micros~1 ist hier Programm, dieses Namensschema wird seit 25 Jahren durch alle Versionen geschleppt, obwohl es schon damals idiotisch war. Ähnliches gilt ebenso für Fehlentscheidungen beim Fensterdesign als auch bei der Sicherheit. Standardnutzer mit Administratorrechten, Ausführen von ActiveX-Elementen in der Internetzone oder fehlendes Rechtemodell bei den Fenster-Nachrichten lassen grüßen.
Auch hier gilt: Es gibt für Microsoft Punkte die für diese Kompabilität sprechen, rein aus dem Blickwinkel der Sicherheit rächt es sich aber, daß die Entscheidungen eben nicht von Technikern, sondern von Betriebswissenschaftlern getroffen werden.


Verbreitungsgrad. Daß es zu einer Gefährdung kommt, muß erstens eine Lücke existieren und zweitens jemand versuchen diese Lücke auszunutzen. Bei Software, die kaum jemand nutzt, fehlt es meist an zweitem. Ich benutze beispielsweise auf einem Rechner eine uralte Version von Opera, weil ich zu faul zum Aktualisieren bin. Seit dem Erscheinen dieser Version sind eine Reihe von Sicherheitslöchern bekannt geworden, trotzdem ist mir noch keine Seite untergekommen, die aktiv versucht Schwachstellen von Opera auszunutzen.
Witzerigerweise wird das von eingen entgegen jeder Logik als Nachteil dieser Software angeprangert: "Du bist ja nur sicher, weil das Programm nicht verbreitet ist". Ja und? Das wichtige an dem Satz ist doch, ich *bin* sicher.
Natürlich ist das kein Fehler von Microsoft, gleichwohl aber ein Problem für den Nutzer.


Muß leider schnell weg, denkt euch einfach irgendein Fazit hier hin.

Modularität. Es ist aus Sicherheitsgesichtspunkten sinnvoll das Betriebssystem in mehrere Komponenten aufzuteilen, die klar voneinander abgetrennt sind. So lassen sich einerseits nicht benötigte Bausteine entfernen (was es nicht gibt kann auch keine Löcher haben) und andererseits auftretende Probleme lokalisieren und eingrenzen. Das gleiche Prinzip macht man sich auch bei einem Gefängnis zu nutze, indem das Gebäude in viele kleine Bereiche unterteilt wird. Kommt es zu einem Problem, ist nicht gleich die ganze Anstalt betroffen.
Beispiele: Auf einem Server, auf dem keine Programme mit grafischer Oberfläche benötigt werden, werden diese inkl dem Fenstermanager und dem ganzen X-Server erst gar nicht installiert; bzw wenn man sie selten benötigt, dann wird der X-Server erst bei Gebrauch gestartet. Oder ein Dienst, der in ein minimales Subsystem (chroot) verfrachtet wird, um die Gefährdung bei einem Sicherheitsloch möglichst klein zu halten.

Bei Windows ist diese Modularität aber meist nicht vorhanden, es wird im Gegenteil vieles vorsätzlich miteinander verwurstet und verknotet. Dann kommt es zu Sicherheitslücken wie "durch eine Problem in der Komponente Outlook Express kann das Aufrufen einer Webseite im Internet Explorer zu einem Pufferüberlauf führen, über den beliebiger Code ausgeführt werden kann".
Grund dafür ist wohl die Produktpolitik Microsofts, die offensichtlich mit allen Mitteln verhindern soll, daß Windows in seine Einzelteile zerlegt wird. Vielleicht hat Microsoft Angst, daß sie ohne ihre Strategie des vendor-lock-in am Markt nicht bestehen würden.


Bequemlichkeit. Während Linuxdistributionen in der Regel standardmäßig keinerlei eingehende Verbindungen akzeptieren, dient sich Windows nach der Installation wie eine billige Schlampe jedem an, den es nur irgendwie erreichen kann. Man kann ohne Desktopfirewall oder Konfigurationsänderungen ja noch nicht einmal Sicherheitsaktualisierungen herunterladen.
Natürlich gibt es für Microsoft auch hier Gründe, die für dieses Vorgehen sprechen, der Sicherheit ist es aber nicht zuträglich, wenn Dienste wie Dateifreigabe, DCOM, Remote-Registry, Desktopfreigabe, etc standardmäßig alle nach außen hin auf Verbindungen warten.


Rückwärtskompabilität. Micros~1 ist es nicht möglich alte Zöpfe abzuschneiden, auch wenn diese sich im Nachinein als Fehler herausgestellt haben. Der Name Micros~1 ist hier Programm, dieses Namensschema wird seit 25 Jahren durch alle Versionen geschleppt, obwohl es schon damals idiotisch war. Ähnliches gilt ebenso für Fehlentscheidungen beim Fensterdesign als auch bei der Sicherheit. Standardnutzer mit Administratorrechten, Ausführen von ActiveX-Elementen in der Internetzone oder fehlendes Rechtemodell bei den Fenster-Nachrichten lassen grüßen.
Auch hier gilt: Es gibt für Microsoft Punkte die für diese Kompabilität sprechen, rein aus dem Blickwinkel der Sicherheit rächt es sich aber, daß die Entscheidungen eben nicht von Technikern, sondern von Betriebswissenschaftlern getroffen werden.


Verbreitungsgrad. Daß es zu einer Gefährdung kommt, muß erstens eine Lücke existieren und zweitens jemand versuchen diese Lücke auszunutzen. Bei Software, die kaum jemand nutzt, fehlt es meist an zweitem. Ich benutze beispielsweise auf einem Rechner eine uralte Version von Opera, weil ich zu faul zum Aktualisieren bin. Seit dem Erscheinen dieser Version sind eine Reihe von Sicherheitslöchern bekannt geworden, trotzdem ist mir noch keine Seite untergekommen, die aktiv versucht Schwachstellen von Opera auszunutzen.
Witzerigerweise wird das von eingen entgegen jeder Logik als Nachteil dieser Software angeprangert: "Du bist ja nur sicher, weil das Programm nicht verbreitet ist". Ja und? Das wichtige an dem Satz ist doch, ich *bin* sicher.
Natürlich ist das kein Fehler von Microsoft, gleichwohl aber ein Problem für den Nutzer.


Muß leider schnell weg, denkt euch einfach irgendein Fazit hier hin.

Da ich auch auf dem Sprung bin: Einiges sehr richtig, manches nicht ganz richtige, einiges FUD und manches komplett falsch.

Guten Hunger,
QFT

Ja und? Wäre ja nicht der erste offene Industrie-Standard der durch Patente "geschützt" ist. Aktuelles Beispiel: JPEG. Daneben gibt es unzählige weitere Beispiele.

Ok, vielleicht so verständlicher:

Wenn ich einen ANSI C++ Compilierer schreibe - muss ich dann Angst haben verklagt zuwerden weil er C++ kompatibel nach dem ANSI Standard ist?

Wohl nicht oder?

Wenn ich jetzt Teile des Codes 1:1 von dem Borland Compilierer nachbau, muss ich dann Angst haben von Borland verklagt zu werden?

Ja, wahrscheinlich.

Wenn ich jetzt eine CLI und ein C# Compilierer (für den CLI Code) schreibe, nach dem ECMA und der zugrunde liegenden ISO, muss ich dann Angst haben verklagt zu werden?

Nein, wohl eher nicht.

Wenn ich jetzt eine CLI und ein C# Compilierer schreibe und Teile aus dem MS CLI
und MS C# Compilierer verwende, muss ich dann Angst haben verklagt zu werden?

Ja, wahrscheinlich.

Das Mono Projekt kann genauso wenig wie z.B. das GCC Projekt (von einem c/c++ Compilierer Hersteller) verklagt werden, solange sie nicht in ihrer Software fremden (unfreien) Code einbaut und Patente einer anderen Firma verletzt.

Die Mono CLI ist eine komplett eigenständige Entwicklung, die lediglich den ECMA Standard ein hält - so ähnlich wie der GNU C Compilierer der die ANSI ein hält.

Und nein, MS kann NULL - absolut NULL irgendetwas geltend machen, wenn ich einen ECMA Standard konformen Code baue. Genauso wie Borland keine Rechte an C++ Compilierern geltend machen kann, die den ANSI Standard einhalten.

Ein Gewinde Hersteller kann einen anderen auch nicht verklagen, nur weil er ebenfalls ISO kompatible Gewinde Herstellt ;)

EDIT: Danke noch an den freundlichen Mod der die Schreibfehler in der Überschrift korrigiert hat.

Ok, vielleicht so verständlicher:

Wenn ich einen ANSI C++ Compilierer schreibe - muss ich dann Angst haben verklagt zuwerden weil er C++ kompatibel nach dem ANSI Standard ist?

Wohl nicht oder?

Wenn ich jetzt Teile des Codes 1:1 von dem Borland Compilierer nachbau, muss ich dann Angst haben von Borland verklagt zu werden?

Ja, wahrscheinlich.

Wenn ich jetzt eine CLI und ein C# Compilierer (für den CLI Code) schreibe, nach dem ECMA und der zugrunde liegenden ISO, muss ich dann Angst haben verklagt zu werden?

Nein, wohl eher nicht.

Wenn ich jetzt eine CLI und ein C# Compilierer schreibe und Teile aus dem MS CLI
und MS C# Compilierer verwende, muss ich dann Angst haben verklagt zu werden?

Ja, wahrscheinlich.

Das Mono Projekt kann genauso wenig wie z.B. das GCC Projekt (von einem c/c++ Compilierer Hersteller) verklagt werden, solange sie nicht in ihrer Software fremden (unfreien) Code einbaut und Patente einer anderen Firma verletzt.

Die Mono CLI ist eine komplett eigenständige Entwicklung, die lediglich den ECMA Standard ein hält - so ähnlich wie der GNU C Compilierer der die ANSI ein hält.

Und nein, MS kann NULL - absolut NULL irgendetwas geltend machen, wenn ich einen ECMA Standard konformen Code baue. Genauso wie Borland keine Rechte an C++ Compilierern geltend machen kann, die den ANSI Standard einhalten.

Ein Gewinde Hersteller kann einen anderen auch nicht verklagen, nur weil er ebenfalls ISO kompatible Gewinde Herstellt ;)

EDIT: Danke noch an den freundlichen Mod der die Schreibfehler in der Überschrift korrigiert hat.
Patente != Urheberrecht
Sun wurde z.B. von Kodak (!!!) wegen Patentverletzungen in Java verklagt und hat bezahlt. Du willst mir ja wohl nicht erzählen, Sun habe eine Programmiersprache von Kodak nachgebaut.

Du kannst jeden Scheiss patentieren. So hat z.B. Microsoft den Nichtidentitatätsoperator (der zwei Speicheraddressen auf Ungleichheit testet) patentiert.

Wie schon gesagt, JPEG ist auch ein offener Standard, trotzdem wurden Firmen mit grossen Rechtsabteilungen verklagt (wegen Patentverletzungen nicht Urheberrechtsverletzungen) und bezahlten 120 Mio US $. Selbiges bei DRAM.

Auf Dauer kann sich ein OS, was in der Anschaffung relativ viel Geld kostet, nicht gegen einen Konkurrenten behaupten, der mehr oder weniger umsonst seine Software abgibt, die nicht wirklich schlechter ist.

Das Kostenargument ist unhaltbar!

Patente != Urheberrecht
Sun wurde z.B. von Kodak (!!!) wegen Patentverletzungen in Java verklagt und hat bezahlt. Du willst mir ja wohl nicht erzählen, Sun habe eine Programmiersprache von Kodak nachgebaut.

Du kannst jeden Scheiss patentieren. So hat z.B. Microsoft den Nichtidentitatätsoperator (der zwei Speicheraddressen auf Ungleichheit testet) patentiert.

Wie schon gesagt, JPEG ist auch ein offener Standard, trotzdem wurden Firmen mit grossen Rechtsabteilungen verklagt (wegen Patentverletzungen nicht Urheberrechtsverletzungen) und bezahlten 120 Mio US $. Selbiges bei DRAM.

Ist Java ein offizieller Standard: ANI, ECMA, ISO?
Ist JPEG ein offizieller Standard?

Informiere dich mal, warum gerade ECMA für CLI und c# gewählt wurde und warum das ganze auch eine ISO bekommen hat.

Es ist bisher in der Geschichte noch nie vorkommen das ein Hersteller einen anderen wegen einer ISO Norm verklagt hat, die ECMA Standards sind ebenso seit der Gründung 1961 noch nicht 'verwässert' wurde.

Übrigens ist so ziemlich die härteste Normung ECMA - wenn man sich allein das Komitee, was die Anträge prüft anschaut .... also das möchte ich mal sehen, wenn da einer Ansprüche geltend machen will.

Du kannst natürlich glauben was du willst, von mir aus auch das GF andere Fittich Hersteller verklagt, weil sie ISO Gewinde rein drehen.

Von meiner Seite aus war's das zu dem Thema - ich habe das ganze eigentlich mittlerweile recht ausführlich und sauber dargelegt.

Du kannst jeden Scheiss patentieren. So hat z.B. Microsoft den Nichtidentitatätsoperator (der zwei Speicheraddressen auf Ungleichheit testet) patentiert.
das hat aber wenig mit .net zu tun. prinzipiell wären solche patente auf alles möglich anwendbar.

Das Kostenargument ist unhaltbar!
Finde ich nicht, guck Dir doch z. B. mal die Entwicklung im Browser-Bereich an.

Da ich auch auf dem Sprung bin: Einiges sehr richtig, manches nicht ganz richtige, einiges FUD und manches komplett falsch.

Guten Hunger,
QFT
Ich will hier ja niemanden gegeneinader aufhetzen, aber kommt da noch was? Wenn nicht, wäre es vielleicht sinnvoll, den Beitrag zu editieren, anstatt solche Behauptungen ohne Grundlage im Raume stehen zu lassen.

http://www.linux-community.de/Neues/story?storyid=21234

Ich will hier ja niemanden gegeneinader aufhetzen, aber kommt da noch was? Wenn nicht, wäre es vielleicht sinnvoll, den Beitrag zu editieren, anstatt solche Behauptungen ohne Grundlage im Raume stehen zu lassen.

Eigentlich richtig. So, dann schau mer mal.

Modularität. Es ist aus Sicherheitsgesichtspunkten sinnvoll das Betriebssystem in mehrere Komponenten aufzuteilen, die klar voneinander abgetrennt sind.

Ist es nicht immer.
Der Punkt ist hierbei, dass bei Granularität der administrative Aufwand steigt und damit die Fehleranfälligkeit. Damit hat auch Windows zu kämpfen. Stichwort Rechteverwaltung ACLs/DACLs etc.

Das gleiche Prinzip macht man sich auch bei einem Gefängnis zu nutze, indem das Gebäude in viele kleine Bereiche unterteilt wird. Kommt es zu einem Problem, ist nicht gleich die ganze Anstalt betroffen.

Da stimme ich dir, muss aber hinzufügen, dass das Sicherheitskonzept aus mehr Dingen besteht, als dass man die Gebäude separiert. Ebenso ist Sicherheit bei Betriebssystemen aus etwas mehr zusammengesetzt, als unbenötigte Teile wegzulassen, lies die Codebasis zu minimieren. Ich kann auch mit einem 10 Zeilen Scheißcode als Webfrontend nette Menschen dazu einladen, meinen SQL-Server aufzumachen.

Beispiele: Auf einem Server, auf dem keine Programme mit grafischer Oberfläche benötigt werden, werden diese inkl dem Fenstermanager und dem ganzen X-Server erst gar nicht installiert; bzw wenn man sie selten benötigt, dann wird der X-Server erst bei Gebrauch gestartet. Oder ein Dienst, der in ein minimales Subsystem (chroot) verfrachtet wird, um die Gefährdung bei einem Sicherheitsloch möglichst klein zu halten.

Da stimme ich dir zu. Sehr sogar. Und man mag es kaum glauben, aber mit Vista bringt MS eine Fensterlose Version des Servers. Ansonsten muss man aber sagen, dass die Möglichkeit sich per grafischer Oberfläche anzumelden bisher kein wirkliches Problem dargestellt hat. Problematisch ist es meistens für die Leute, die Unix Kisten administrieren, und sich einen auf ihre Bash-Skills keulen. Der Remotedesktop ist standardmäßig bei XP deaktiviert. Und wenn der Bösewicht in meinem Serverraum ist, resp. in meinem Büro und vor dem PC sitzt, haben andere Schutzmechanismen schon vorher versagt.

Oder ein Dienst, der in ein minimales Subsystem (chroot) verfrachtet wird, um die Gefährdung bei einem Sicherheitsloch möglichst klein zu halten.

Um auch hier mit einem Gerücht auzuräumen: Nur weil fast kein Mensch die Rechteverwaltung unter Windows richtig verwendet, heißt das nicht, dass ich dir keinen SQL-Server aufsetzen kann, der minimale Rechte hat.
Der Punkt ist an dieser Stelle ganz klar Kompetenz. Meiner Erfahrung nach, haben Leute im Linux/Unix Bereich idR deutlich mehr Bewusstsein, wenn es um Sicherheitsfragen geht, als ihre mausschubsenden Kollegen aus der Fensterecke. Aber sobald man diese Leute mal auf die richtigen Schulungen schickt, geht auch da plötzlich einiges.

Bei Windows ist diese Modularität aber meist nicht vorhanden, es wird im Gegenteil vieles vorsätzlich miteinander verwurstet und verknotet. Dann kommt es zu Sicherheitslücken wie "durch eine Problem in der Komponente Outlook Express kann das Aufrufen einer Webseite im Internet Explorer zu einem Pufferüberlauf führen, über den beliebiger Code ausgeführt werden kann".

Das Problem ist definitiv vorhanden, aber eben auch bei Linux.
Wenn ich in einer QT Bibliothek einen Fehler habe, sind auch dort mehrere Komponenten betroffen. Auch hier hat man deutlich mehr verzahnungen, als man mitunter glauben will. Der Punkt ist doch auch hier, dass man seit Jahren sieht, dass der IE in Bezug auf Sicherheit definitiv der Weisheit letzter Schluss nicht sein kann. Und da MS sich irgendwann mal dazu entschieden hat, ihr Konzept darauf auszulegen, dass einige Anwendungen auf die Funktionalität des IE zurückgreifen, hat man hier den Salat.

Grund dafür ist wohl die Produktpolitik Microsofts, die offensichtlich mit allen Mitteln verhindern soll, daß Windows in seine Einzelteile zerlegt wird. Vielleicht hat Microsoft Angst, daß sie ohne ihre Strategie des vendor-lock-in am Markt nicht bestehen würden.

Ich denke an dieser Stelle, dass hier ein Henne-Ei Problem vorliegt.
MS hat irgendwann mal diese Designentscheidung getroffen. Nun hat man das Problem, dass Softwarehersteller sich eben an die Gegebenheiten gewöhnt haben, dass bestimmte Funktionalität einfach vorhanden ist. Das diese mitunter Sicherheitsprobleme mitbringt, steht auf einem anderen Blatt und braucht nicht abgestritten zu werden.
"Optimiert" man aber an diesen Stelle, wie diverse User es mit nlite oder XPLite machen, sind die Probleme mitunter vorprogrammiert.
Das Windows-Forum ist gut gefüllt mit hausgemachten Problemen, welche damit zu tun haben, dass man eben an Dingen schraubt, an denen man nicht schrauben sollte. Klar kann ich mir den IE runterwerfen. Der Preis ist aber eben auch, dass ich nun nicht mehr weiß, ob und welche Software unter welchen Umständen funktioniert/nicht funktioniert.
Würde MS jetzt Anfangen, Grundkonzepte zu ändern bei einem etablierten Produkt zu ändern, hätten sie ein Kundenproblem.

Bequemlichkeit. Während Linuxdistributionen in der Regel standardmäßig keinerlei eingehende Verbindungen akzeptieren, dient sich Windows nach der Installation wie eine billige Schlampe jedem an, den es nur irgendwie erreichen kann.

Mein XP (SP2) nimmt auch nichts an, was nicht von ihm initiiert wurde. Die Defaulteinstellungen der Windowsfirewall haben sich bewährt und sind unkritisch.

Man kann ohne Desktopfirewall oder Konfigurationsänderungen ja noch nicht einmal Sicherheitsaktualisierungen herunterladen.
Natürlich gibt es für Microsoft auch hier Gründe, die für dieses Vorgehen sprechen, der Sicherheit ist es aber nicht zuträglich, wenn Dienste wie Dateifreigabe, DCOM, Remote-Registry, Desktopfreigabe, etc standardmäßig alle nach außen hin auf Verbindungen warten.

Ich denke, es läuft letztendlich darauf hinaus, dass ich voraussetze, dass das SP2 in eine Installations-CD integriert wurde. Danach hat man kein Problem mehr.
Sicherlich, dies hat nicht jeder. Aber es gibt Anleitungen dazu. Es gibt ebenso Linux-Distributionen, die heute das Problem hätten, dass wenn man sie aufsetzt, instantan bei Internetzugriff der standardmäßig installierte BIND exploitet wird.
Die Diskussion hatte ich vor kurzem mit einem Linuxer. Dieser sagte mir: Ja, aber dann nimm doch eine neue Distribution! Dann sagte ich, dass man doch ebenso gut den Windows Benutzern zugestehen sollte, sich ein SP2 in ihre Windows CD zu integrieren. Der Aufwand ist ebenso minimal.
Zu den Sache, die du Aufgezählt hast:

-DCOM war kritisch aber gepatcht. Wenn die Leute keine Patches einspielen, kein problem von Windows
-Remote Registry absolut unkritisch, siehe hierzu änderungen, die mit dem SP2 kamen
-Remotedesktop ist standardmäßig deaktiviert

Rückwärtskompabilität. Micros~1 ist es nicht möglich alte Zöpfe abzuschneiden, auch wenn diese sich im Nachinein als Fehler herausgestellt haben. Der Name Micros~1 ist hier Programm, dieses Namensschema wird seit 25 Jahren durch alle Versionen geschleppt, obwohl es schon damals idiotisch war. Ähnliches gilt ebenso für Fehlentscheidungen beim Fensterdesign als auch bei der Sicherheit. Standardnutzer mit Administratorrechten, Ausführen von ActiveX-Elementen in der Internetzone oder fehlendes Rechtemodell bei den Fenster-Nachrichten lassen grüßen.

Da stimme ich dir fast vorbehaltlos zu. Die endlose Rückwärtskompatibilität von Windows ist imho ein riesiges Problem. Es wird derartig viel Legacy-Kram mitgeschleppt, das ist nicht mehr schön.
Ebenso haben sich, wie du geschrieben hast, diverse "Sicherheitsmechanismen" nicht sonderlich gut etabliert, resp. als nicht brauchbar erwiesen. Nur, und hier muss man eine Sache klarstellen, ist das Problem auch mitunter auf der Seite des Users zu suchen, der als Administrator auf der Möhre herumturnt und somit die Schadwirkung, die Software haben kann, exponentiert,

Verbreitungsgrad. Daß es zu einer Gefährdung kommt, muß erstens eine Lücke existieren und zweitens jemand versuchen diese Lücke auszunutzen. Bei Software, die kaum jemand nutzt, fehlt es meist an zweitem. Ich benutze beispielsweise auf einem Rechner eine uralte Version von Opera, weil ich zu faul zum Aktualisieren bin. Seit dem Erscheinen dieser Version sind eine Reihe von Sicherheitslöchern bekannt geworden, trotzdem ist mir noch keine Seite untergekommen, die aktiv versucht Schwachstellen von Opera auszunutzen.

Ich stimme dir auch hier zu. Die Verbreitung, eine Monokultur, ist immer extrem risikoreich, was man an der bunten Welt der Viren sehr schön sehen kann.
Mal eine philosophische Frage: Woher weißt du, dass keine Webseite den Fehler in Opera exploitet hat?
Ich denke, du vertraust einfach darauf, dass dein Virenscaner dir sagt, dass etwas schlimmes passiert, oder? Aber hier liegt, wenn wir über Sicherheit reden, auch ein Irrglaube vor.
Nur weil mein Virenscaner mir nicht sagt, dass ich dabei bin, mir virtuell die Pest zu holen, sagt dass nicht, dass nichts passiert. Es bedeutet lediglich, dass der Virenscaner nichts sagt. Nicht mehr und nicht weniger. Imho ist das ganze Konzept scheiße, da ich keine verlässliche Information darüber bekommen kann, was NICHT verhindert wird. Virenscaner...imho klar überbewertet.

Sodelle, ich hoffe, dass war ausschweifend genug. :)

Viele Grüße,
QFT

Ähnliches gilt ebenso für Fehlentscheidungen beim Fensterdesign als auch bei der Sicherheit.

Das würde ich gerne genauer wissen, was du mit Fensterdesign meinst.

Quantenfeldtheorie, nach SP2 sind mehr als 100 (!) Patches erschienen. Ohne, daß ich jetzt die Zahl im Kopf habe, behaupte ich mal, daß darunter mindestens 20 % kritisch waren. Kann das jemand bestätigen oder widerlegen?

Quantenfeldtheorie, nach SP2 sind mehr als 100 (!) Patches erschienen. Ohne, daß ich jetzt die Zahl im Kopf habe, behaupte ich mal, daß darunter mindestens 20 % kritisch waren. Kann das jemand bestätigen oder widerlegen?

Secunia hat da eine Statisktik am Start.
Frage: Wie kommst du auf 100 Patches? Wenn ich die Updates zähle, komme ich auf knapp 60, welche über Autoupdate eingespielt werden.
Als ich gestern eine 10.1 aus einer Zeitschrift aufgespielt habe, wollte diese 240(!) Pakete patchen. Das ist mal ne Zahl... ;)

Was ist an 20 kritischen Löchern (keine Ahnung, ob diese Zahl stimmt) so schlimm? Keiner davon ist remote exploitbar ohne Zutun des Users, bis auf diesen (http://www.microsoft.com/technet/security/Bulletin/MS05-011.mspx) hier.
Aber da Die Dateifreigabe nicht an das Internetinterface gebunden ist, auch eher nut theoretisch schlimm, ohne große praktische Relevanz.

Gruß,
QFT

Das würde ich gerne genauer wissen, was du mit Fensterdesign meinst.
Ich meine damit Konstrukte wie beispielsweise [OK] [Cancel] [Apply]. Mittlerweile dürfte wohl jeder eingesehen haben, daß drei Knöpfe zwei oder mindestens einer zuviel sind. Falls nicht, kann ich da auch noch genauer drauf eingehen. Trotzdem wird das Prinzip der Rückwärtskompabilität auch bei der Oberflächengestaltung gnadenlos durchgezogen. Offensichtlich ist auch das schlechteste Design noch besser als ein geändertes Design.

Da stimme ich dir, muss aber hinzufügen, dass das Sicherheitskonzept aus mehr Dingen besteht, als dass man die Gebäude separiert. Ebenso ist Sicherheit bei Betriebssystemen aus etwas mehr zusammengesetzt, als unbenötigte Teile wegzulassen, lies die Codebasis zu minimieren.
Richtig. Ich hatte aber auch nicht behauptet, daß eine Modularisierung und das daraus folgende Weglassen nicht benötigter Komponenten das einzig relevante Sicherheitskonzept wäre.

Ich kann auch mit einem 10 Zeilen Scheißcode als Webfrontend nette Menschen dazu einladen, meinen SQL-Server aufzumachen.
Gleichzeitig ist es aber deutlich einfacher, 10 Zeilen Code zu sichern als 100. In den nicht vorhandenen anderen 90 Zeilen sind garantiert keine Sicherheitslücken.
Problematisch ist es meistens für die Leute, die Unix Kisten administrieren, und sich einen auf ihre Bash-Skills keulen. Der Remotedesktop ist standardmäßig bei XP deaktiviert.
Ich benutze Bash nicht zur Selbstbefriedigung. Trotzdem ist es aber deutlich einfacher und bequemer sich auf einem entfernten Server schnell per SSH anzumelden um was auch immer zu erledigen, als sich einen mit VPN und getunneltem RDP abzubrechen. Aber soweit ich gehört habe soll mit der neuen Shell unter Vista ja alles besser werden.
Ich denke an dieser Stelle, dass hier ein Henne-Ei Problem vorliegt.
MS hat irgendwann mal diese Designentscheidung getroffen. Nun hat man das Problem, dass Softwarehersteller sich eben an die Gegebenheiten gewöhnt haben, dass bestimmte Funktionalität einfach vorhanden ist. Das diese mitunter Sicherheitsprobleme mitbringt, steht auf einem anderen Blatt und braucht nicht abgestritten zu werden.
Ansolut richtig. Ich habe nur noch weiter spekuliert, wieso Microsoft getroffene Entscheidungen nicht revidiert. Der Grund ist wohl, daß die APIs Microsofts mächtigster Trumpf überhaupt ist. Den werden sie nicht ändern, dh ausspielen.

Ich denke, es läuft letztendlich darauf hinaus, dass ich voraussetze, dass das SP2 in eine Installations-CD integriert wurde. Danach hat man kein Problem mehr.
Und falls man kein SP2 oder erst gar kein Windows XP hat, wird es lustig: http://www.techuser.net/winsecurity.html. Ab der Mitte des Artikels wird es spaßig, aber den kennen die meisten wohl schon.

Mal eine philosophische Frage: Woher weißt du, dass keine Webseite den Fehler in Opera exploitet hat?
Ich denke, du vertraust einfach darauf, dass dein Virenscaner dir sagt, dass etwas schlimmes passiert, oder? Aber hier liegt, wenn wir über Sicherheit reden, auch ein Irrglaube vor.
Nur weil mein Virenscaner mir nicht sagt, dass ich dabei bin, mir virtuell die Pest zu holen, sagt dass nicht, dass nichts passiert. Es bedeutet lediglich, dass der Virenscaner nichts sagt. Nicht mehr und nicht weniger. Imho ist das ganze Konzept scheiße, da ich keine verlässliche Information darüber bekommen kann, was NICHT verhindert wird. Virenscaner...imho klar überbewertet.Ich habe überhaupt keinen Virenscanner installiert.
Natürlich kann ich nicht mit Bestimmtheit wissen, daß keine Webseite einen Fehler in Opera ausgenutzt hat. Aber ich gehe davon aus, daß ein vorhandener Wurm oder Virus sich in irgendeiner Form bemerkbar machen würde und das ist bisher nicht der Fall.

Ich meine damit Konstrukte wie beispielsweise [OK] [Cancel] [Apply]. Mittlerweile dürfte wohl jeder eingesehen haben, daß drei Knöpfe zwei oder mindestens einer zuviel sind. Falls nicht, kann ich da auch noch genauer drauf eingehen. Trotzdem wird das Prinzip der Rückwärtskompabilität auch bei der Oberflächengestaltung gnadenlos durchgezogen. Offensichtlich ist auch das schlechteste Design noch besser als ein geändertes Design.


Ich kenne nur Dialoge wie OK, Abbrechen, Übernehmen oder OK, Nein, Abbrechen. Keine Ahnung wovon du redest. Ich hätte jetzt etwas technischeres mit Fensterdesign erwartet, zumal deine genannten Punkte bei Anwendungsprogrammen sowieso im Verantwortungsbereich vom Entwickler liegen.

Secunia hat da eine Statisktik am Start.
Frage: Wie kommst du auf 100 Patches? Wenn ich die Updates zähle, komme ich auf knapp 60, welche über Autoupdate eingespielt werden.
Die Zahl stammt von Winfuture: http://www.winfuture.de/UpdatePack

Pressemitteilung und FAQ von Novell ist drausen.

In der FAQ unter anderem:

Q8. What does this mean for Mono and its inclusion in non-SUSE distributions? Does Mono infringe Microsoft patents?

We maintain that Mono does not infringe any Microsoft patents. This agreement does not impact the rights and abilities of other distributions to bundle and ship Mono.

Novell is the leading contributor to Mono and we remain committed to the Mono project. Mono is a community project with many constituents and collaborators from companies, universities, governments and individuals.

The Mono project has a set of rules it uses to handle patents that might read on its implementation. The general policy is to work around, remove, or find prior technology on any patents that might read on any implementations in Mono. We continue to support this policy.

Pressemitteilung: http://www.novell.com/news/press/item.jsp?id=1199
FAQ: http://www.novell.com/linux/microsoft/faq_opensource.html

Erstaunlich das auch die Summen ganz öffentlich angesprochen werden. Zudem scheint sich das ganze ziemlich stark auf den Interop von Open Office zu konzentrieren.