Log4Shell: Klaffende Sicherheitslücke in Javas Log4j sorgt für Furore

Blödsinn... Das kannst du genau so wenig beweisen. Bekannt ist, dass M$ bereits mit CIA und NSA zusammengearbeitet hat. Gleiches gilt für andere Tech-Riesen wie AT&T, die sogar ganze Räume nur für die Wiretaps der NSA in den Rechenzentren hatten/haben. Wenn die Regierung nämlich entscheidet dich für ihre Zwecke zu missbrauchen, dann passiert das. Sonst lässt sich nämlich gar kein Geld mehr verdienen, weil die den Laden dicht machen oder zerschlagen.
Ich muss hier gar nichts beweisen denn DU bist derjenige der hier Behauptungen aufstellt, nicht ich. Somit bist DU in der Bringschuld dafür Belege zu liefern. Immer dieser durchschaubare Versuch der Beweislastumkehr...

Rein Feature-technisch nicht. Nur der Support ist besser. Den braucht man aber auch wenn regelmäßig schädliche Macros in der Windoof/Office/AD-Umgebung randalieren.
Der Support ist besser? Definiere besser... So ein kleines Paket (Word, Excel, PP, Draw) gegen das gesamte Office Paket zu setzen ist gelinde gesagt "mutig".

Gegen schädliche Makros kann man sich auch in der Windows Umgebung gut absichern. Machen wir auch, sogar für alle unsere Kundenumgebungen als einer der größten deutschen, IT-Outsourcer.

Du kannst es drehen und wenden wie Du magst, 95% der Offices arbeiten mit MS. Alle mir bekannten Versuche ein Office komplett umzustellen auf Open Source (OS + Software) sind kläglich gescheitert, trotz Millionen Investitionen. Selbst wenn man damit sofort anfängt und es mit Open Source aufbaut scheitert es oft an der Kompatiblität zu anderen Firmen und deren Umgebung.

Cluster-Support, Performance, Stabilität, Anpassungsfähigkeit, Boardmittel, Update-Workflows. Brauchst du noch mehr? Es hat schon seinen Grund, dass auf nahezu jedem Supercomputer Linux läuft und auf KEINEM Windows.
Ja, einige Backendsysteme laufen definitiv besser auf Linux-Basis. Z.B. alle unsere Storage und COD Systeme laufen auf Linux. Trotzdem ist der Anteil von Windows vs Linux in unserem Datacenter bei schätzungsweise 70 - 30. Und da laufen tausende Server.

Supercomputer, was soll das für ein Argument sein? Die kann man an einer Hand abzählen und haben nichts, absolut gar nichts, mit dem Gesamtmarkt zu tun.


Code lässt sich einfach reviewen, keinerlei Kosten, Workarounds/Patches/Hotfixes sind i.d.R. schneller verfügbar, Software wird schneller portiert, Anpassungsfähigkeit und so weiter.
Der Code lässt sich reviewen, stimmt. Die zugrunde liegenden Libraries etc aber nicht unbedingt.

Keinerlei Kosten? Open Source entsteht aus Luft und Liebe? Du hast lustige Vorstellungen...

Dass Patches schneller verfügbar sind halte ich für ein Gerücht, ich schätze da wird es auf beiden Seiten "guten" und "schlechten" Support geben. Ich lasse mich gerne eines besseren belehren wenn ich dazu eine Statistik zu sehen bekomme. Ansonsten ist das eher eine Meinung als ein Fakt.

Software wird schneller portiert? Bitte Beispiele, da bin ich komplett anderer Meinung.

Anpassungsfähigkeit könnte man auch mit Mehraufwand gleichsetzen, denn dass ein Linux deutlich mehr Pflege und Konfiguration als ein Windows benötigt ist wohl klar.

Ja und? Das weiß jeder das C und PHP noch beschissener sind... Inwiefern macht das Java jetzt besser?
Nicht besser, aber auch nicht so schlecht wie Dein Beitrag es dargestellt hat. "Doppelt" so schlecht ist bei 6% vs 12% zwar richtig, aber das heißt eben nicht dass ein Großteil der Sicherheitslücken in Java gefunden wurden.
 
Das ist so ziemlich der größte Nightmare seit Heartbleed...



Hatte mir am WE ne Appliance von einem Hersteller angeschaut der für sein gehärtetes OS wirbt und in der Tat konnte ich log4j nicht triggern....nachdem ich mir dann root Rechte verschafft hatte, war auch klar warum ... die haben die letzten 10 Jahre vergessen ihr log4j zu patchen und waren noch auf 1.x.x ...Glück muss man haben.
Ich hab heut mitunter einem Kunden erklärt, wie man die Lücke in den verschiedenen Versionen schließt wenn ein Update aus irgendeinem Grund nicht aufspielbar. Wortwörtliche Aussage meinerseits: "Ältere Versionen sind nicht betroffen, die sollten aber nach knapp 10 Jahren eh nicht mehr unterwegs sein"

So kann man sich täuschen...
Jetzt geht's aber ab hier, Eternal Blue wurde von der NSA geheim gehalten, da wusste bis zur Meldung auch Microsoft nichts von. So die offizielle Version, alles andere ist wie gesagt "Aluhut", außer Du hast Belege die das Gegenteil beweisen.

Beispiele in denen ich proprietär für besser als Open Source halte. Achtung: persönliche Meinung! Das lässt sich am Ende eh niemals endgültig feststellen:

DLSS > FSR
Office > Open Office (wenn man das Gesamtpaket und die Pflege betrachtet)
Windows > Linux (wenn man die Anwenderfreundlichkeit und Kompatibilität betrachtet)

Genauso kann ich auch Beispiele liefern die ganz klar Open Source favorisieren. Wie gesagt, beides hat seine Vor- und Nachteile.
Erst neulich gehabt:
Microsoft Defender for Endpoint: Microsoft pusht ein Definitionsupdate, dass jegliche Microsoft Office Aktivität als Emotet erkennt. Hat mir eine "lustige" Nacht beschert. Das sind Fälle, wo die komplette IT und Firmenleitung um 3 Uhr früh aus dem Bett geholt wird unter der Annahme, dass das gesamte Firmennetzwerk im Eimer ist.
Und das war der zweite derartige Zwischenfall innerhalb weniger Wochen.
Aber ist ja tolle Software...

Welche Quelle willst du da? Alleine die Tatsache, dass man in Java Datentypen managen muss und in Python nicht macht Java potenziell fehleranfälliger.

Hier sieht man auch, dass Software auf Java-Basis doppelt so häufig Schwachstellen aufweist, wie bspw. Python: https://www.whitesourcesoftware.com/most-secure-programming-languages/
Musst du in Python mitunter auch. In C sowieso, in C++ und C# kann es notwendig werden, auch wenn das nach Möglichkeit dem Compiler überlassen wird.

Was die Häufigkeit von Schwachstellen angeht ist es halt ein ähnliches Argument wie bei den Geimpften im Krankenhaus. Java ist/war über Jahre hinweg die am meisten genutzte Programmiersprache, nona findet man dort mehr Sicherheitslücken
 
Zuletzt bearbeitet:
Erst neulich gehabt:
Microsoft Defender for Endpoint: Microsoft pusht ein Definitionsupdate, dass jegliche Microsoft Office Aktivität als Emotet erkennt. Hat mir eine "lustige" Nacht beschert. Das sind Fälle, wo die komplette IT und Firmenleitung um 3 Uhr früh aus dem Bett geholt wird unter der Annahme, dass das gesamte Firmennetzwerk im Eimer ist.
Und das war der zweite derartige Zwischenfall innerhalb weniger Wochen.
Aber ist ja tolle Software...

Nun ja, false-positives sind nicht gerade Microsoft Defender exklusiv. :schief:

Generell kann man sagen: Je restriktiver die Sicherheits-Software ist, desto mehr Konfigurationsaufwand hat man damit. Und dann kommen die Kunden und weichen alles noch mal richtig schön auf weil sie keinen Bock haben jede Mail mit potentiell gefährlichem Anhang manuell freizugeben... Am Ende sind vermutlich >90% der kompromittierten Geräte auf den Enduser zurückzuführen. Natürlich ausgenommen die bekannten (und unbekannten) Lücken zu denen die hier behandelte zählt.
 
Welche Quelle willst du da? Alleine die Tatsache, dass man in Java Datentypen managen muss und in Python nicht macht Java potenziell fehleranfälliger.
Wieso muss? Musst du nicht! Auch in Java kann die Typisierung sehr wohl an den Compiler übergeben werden. Du darfst gerne mal nach "Java var" googlen.

Btw. macht die statische Typisierung eine Programmiersprache sicherer da die Typisierung durch den Compiler kontrolliert werden kann. Bei der dynamischen Typisierung erfolgt die Bindung erst zur Laufzeit und da ballert es im Fehlerfall dann auch erst zur Laufzeit. Da ist mir ein Kompilierfehler wesentlich lieber.

"var" in Java basiert übrigens auf der sog. Typinferenz oder auch Typenrückschluss genannt. Das ganze ist für mich ein gangbarer Mittelweg zwischen Typsicherheit und Bequemlichkeit. Gerne auch hier mal googlen.

Sorry, aber dieses "Argument" ist keines. Es zeugt lediglich von deinen rein oberflächlichen Kenntnissen.

Hier sieht man auch, dass Software auf Java-Basis doppelt so häufig Schwachstellen aufweist, wie bspw. Python: https://www.whitesourcesoftware.com/most-secure-programming-languages/
Was aber nicht an Java, sondern an den Entwicklern liegt. Unsinn kann ich in jeder Programmiersprache programmieren. Und das bei einer Programmiersprache die deutlich weiter verbreitet ist, auch mehr Käse programmiert wird sollte doch auch einleuchten.
Ja und? Das weiß jeder das C und PHP noch beschissener sind... Inwiefern macht das Java jetzt besser?
OMG! Dieter Nuhr… :ugly:
 
Zuletzt bearbeitet von einem Moderator:
Wieso muss? Musst du nicht! Auch in Java kann die Typisierung sehr wohl an den Compiler übergeben werden. Du darfst gerne mal nach "Java var" googlen.

Btw. macht die statische Typisierung eine Programmiersprache sicherer da die Typisierung durch den Compiler kontrolliert werden kann. Bei der dynamischen Typisierung erfolgt die Bindung erst zur Laufzeit und da ballert es im Fehlerfall dann erst zur Laufzeit. Da ist mir ein Kompilierfehler wesentlich lieber.

"var" in Java basiert übrigens auf der sog. Typinferenz oder auch Typenrückschluss genannt. Das ganze ist für mich ein gangbarer Mittelweg zwischen Typsicherheit und Bequemlichkeit. Gerne auch hier mal googlen.

Sorry, aber dieses "Argument" ist keines. Es zeugt lediglich von deinen rein oberfächlichen Kenntnissen.


Was aber nicht an Java, sondern an den Entwicklern liegt. Unsinn kann ich in jeder Programmiersprache programmieren. Und das bei einer Programmiersprache die deutlich weiter verbreitet ist, auch mehr Käse programmiert wird sollte doch auch einleuchten.

OMG! Dieter Nuhr… :ugly:
Ist aber erst etwas "halbwegs" Neues, oder?
Meine Java-Zeit ist schon etwas her. Kann mich noch gut erinnern, als Lambda-Expressions in Java 8 der neue "heiße Scheiß" waren, da war variable Typisierung noch kein Thema soweit ich mich erinnern kann?
 
Ist aber erst etwas "halbwegs" Neues, oder?
Meine Java-Zeit ist schon etwas her. Kann mich noch gut erinnern, als Lambda-Expressions in Java 8 der neue "heiße Scheiß" waren, da war variable Typisierung noch kein Thema soweit ich mich erinnern kann?
Die Typisierung ist aber nicht „variabel“, sondern wird lediglich durch den Compiler vorgenommen. Das Typensystem bleibt ja nach wie vor statisch. Andere Programmiersprachen wie C# (var) oder auch C++ (auto) kennen dieses Feature sogar schon länger, wobei die .net Runtime sogar echte dynamische Typisierung mittels des Datentypen „dynamic“ zulässt.
 
Die Typisierung ist aber nicht „variabel“, sondern wird lediglich durch den Compiler vorgenommen. Das Typensystem bleibt ja nach wie vor statisch. Andere Programmiersprachen wie C# (var) oder auch C++ (auto) kennen dieses Feature sogar schon länger, wobei die .net Runtime sogar echte dynamische Typisierung mittels des Datentypen „dynamic“ zulässt.
Das mein ich damit.
Ich kenne es nur von C# (bei C++ zwar auch aber nie verwendet), bin in der Hinsicht aber auch eher konservativ unterwegs und deklariere meine Typen um Überraschungen zur Laufzeit vorzubeugen.
 
Ich muss hier gar nichts beweisen denn DU bist derjenige der hier Behauptungen aufstellt, nicht ich. Somit bist DU in der Bringschuld dafür Belege zu liefern. Immer dieser durchschaubare Versuch der Beweislastumkehr...
Was für ein Blödsinn. DU stellst genauso irgendwelche Behauptungen auf, ohne die tatsächliche Lage anzuerkennen. Oder glaubst du etwa wirklich, dass die rgoßen Konzerne nach den Snowden-Leaks auf einmal eine 180 Grad Wende hingelegt haben?
Der Support ist besser? Definiere besser... So ein kleines Paket (Word, Excel, PP, Draw) gegen das gesamte Office Paket zu setzen ist gelinde gesagt "mutig".
Ja der M$ Support ist natürlich besser. Aber nur weil Open Source i.d.R. keinen richtigen Support hat, sondern auf die Community angewiesen ist.
Gegen schädliche Makros kann man sich auch in der Windows Umgebung gut absichern. Machen wir auch, sogar für alle unsere Kundenumgebungen als einer der größten deutschen, IT-Outsourcer.
Klar kann man sich gut absichern. Bis der erste dann meint, dass er doch irgendein kritisches Feature braucht und der Chef das so absegnet. Viel besser als im Nachhinein abzusichern ist erst gar keine kritischen Komponenten in die Umgebung einzubringen.
Du kannst es drehen und wenden wie Du magst, 95% der Offices arbeiten mit MS. Alle mir bekannten Versuche ein Office komplett umzustellen auf Open Source (OS + Software) sind kläglich gescheitert, trotz Millionen Investitionen. Selbst wenn man damit sofort anfängt und es mit Open Source aufbaut scheitert es oft an der Kompatiblität zu anderen Firmen und deren Umgebung.
Ja, das nennt sich Vendor Lock-In und spricht nicht unbedingt für Qualität der eingesetzten Software, sondern eher für die Faulheit der User sich neues anzueignen.
Ja, einige Backendsysteme laufen definitiv besser auf Linux-Basis. Z.B. alle unsere Storage und COD Systeme laufen auf Linux. Trotzdem ist der Anteil von Windows vs Linux in unserem Datacenter bei schätzungsweise 70 - 30. Und da laufen tausende Server.
Ja klar und das sind vermutlich nur die Server-Systeme. Bei uns laufen noch unzählige Router, Switches und andere Netzwerk-Hardware auf Linux oder OpenBSD Basis. Dazu einige Debian-Webserver, Red-Hat Systeme, etc.. Alles in allem dürfte der Linux Anteil in vielen Rechenzentren überwiegen.
Supercomputer, was soll das für ein Argument sein? Die kann man an einer Hand abzählen und haben nichts, absolut gar nichts, mit dem Gesamtmarkt zu tun.
Das ist eine Indikation dafür, wie viel skalierbarer Linux-Systeme sind. Hätte man schon kapieren können, nachdem man explizit nach Vorteilen von Linux gefragt hat.
Der Code lässt sich reviewen, stimmt. Die zugrunde liegenden Libraries etc aber nicht unbedingt.
Kommt auf das Lizenz-Modell an. In den aller meister Fällen (GNU z.b.) sind auch die Libs OpenSource.
Keinerlei Kosten? Open Source entsteht aus Luft und Liebe? Du hast lustige Vorstellungen...
Ja Anschaffungskosten fallen bei Open Source Software in aller Regel weg. Du willst manche Argumente wirklich falsch verstehen oder?
Dass Patches schneller verfügbar sind halte ich für ein Gerücht, ich schätze da wird es auf beiden Seiten "guten" und "schlechten" Support geben. Ich lasse mich gerne eines besseren belehren wenn ich dazu eine Statistik zu sehen bekomme. Ansonsten ist das eher eine Meinung als ein Fakt.
Bestes Beispiel Print Nightmare. Das hat M$ nach knapp einem halben Jahr noch immer nicht im Griff. Für die Log4J Lücke die seit einigen Tagen hauptsächlich Apache-Server betrifft gab es bereits am ersten Tag Hotfixes, Workarounds und teilweise sogar ganze Patches.
Software wird schneller portiert? Bitte Beispiele, da bin ich komplett anderer Meinung.
Quasi jedes Spiel, das mit Proton läuft...
Anpassungsfähigkeit könnte man auch mit Mehraufwand gleichsetzen, denn dass ein Linux deutlich mehr Pflege und Konfiguration als ein Windows benötigt ist wohl klar.
Kommt auf das Linux an. Wenn man nicht allzu viel am System rumbastelt, braucht das eigentlich auch nicht mehr oder weniger Pflege als Windows. Nur wenn man entsprechende Anpassungen eben braucht, kann man das mit Windows i.d.R. vergessen, je nachdem wie umfassend die Änderungen am System sind. Linux lässt sich da komplett customizen.
Nicht besser, aber auch nicht so schlecht wie Dein Beitrag es dargestellt hat. "Doppelt" so schlecht ist bei 6% vs 12% zwar richtig, aber das heißt eben nicht dass ein Großteil der Sicherheitslücken in Java gefunden wurden.
Das hat auch keiner behauptet. Es ging darum, ob Java tendenziell unsicherer ist als andere Sprachen und genau das kann man mit der Statistik belegen. Es gibt von der ganzen getesteten Software nur 2 Sprachen die noch mehr Sicherheitslücken aufweisen als Java-basierte Applikationen...
 
Was für ein Blödsinn. DU stellst genauso irgendwelche Behauptungen auf, ohne die tatsächliche Lage anzuerkennen. Oder glaubst du etwa wirklich, dass die rgoßen Konzerne nach den Snowden-Leaks auf einmal eine 180 Grad Wende hingelegt haben?
Nene Kollege, Du hast mit dieser Behauptung angefangen und bisher keinen Beleg geliefert:

Bei proprietärer Software wüssten wir heute nichts von der Sicherheitslücke aber der Hersteller hätte den passenden Exploit Code dazu an die Geheimdienste verscherbelt.

Danach kamen nur "sei nicht so naiv" oder "Du glaubst doch selbst nicht" Argumente.


Ja der M$ Support ist natürlich besser. Aber nur weil Open Source i.d.R. keinen richtigen Support hat, sondern auf die Community angewiesen ist.
"Aber nur weil" interessiert keinen der die Software in seinem Unternehmen einsetzen möchte. Wenn ich mich entscheiden müsste zwischen:
A) Kostenlose Software - offizieller Support nicht vorhanden - Patching unklar
B) Kostenpflichtige Software - offizieller Support vorhanden - Patching (EOL Datum) geklärt

Dann nehme ich natürlich B. Da hängt im Zweifel mein Unternehmen dran...

Klar kann man sich gut absichern. Bis der erste dann meint, dass er doch irgendein kritisches Feature braucht und der Chef das so absegnet. Viel besser als im Nachhinein abzusichern ist erst gar keine kritischen Komponenten in die Umgebung einzubringen.
Sagte ich ja, einige Kunden benötigen für ihre uralt legacy Software leider Versionen jenseits von Gut und Böse. VaaS sozusagen (Vulnerability as a Service).


Ja, das nennt sich Vendor Lock-In und spricht nicht unbedingt für Qualität der eingesetzten Software, sondern eher für die Faulheit der User sich neues anzueignen.
Es spricht nicht unbedingt für die Qualität, sehr wohl aber für die o.g. Punkte (offizieller Support vorhanden - Patching (EOL Datum) geklärt). Außerdem ist die Kompatibilität innerhalb der MS Umgebung einfach da. Ich kann beispielsweise keinem Manager erklären dass er leider mit LibreOffice gelieferte Word / Excel Dokumente erst mal umformatieren muss damit sie ordentlich aussehen.


Ja klar und das sind vermutlich nur die Server-Systeme. Bei uns laufen noch unzählige Router, Switches und andere Netzwerk-Hardware auf Linux oder OpenBSD Basis. Dazu einige Debian-Webserver, Red-Hat Systeme, etc.. Alles in allem dürfte der Linux Anteil in vielen Rechenzentren überwiegen.
Der Windows Anteil überwiegt definitiv, frag mal hier im Forum rum bei Leuten die auch mit Datacentern zu tun haben. Das geschätzte Verhältnis (70:30) ist vermutlich sogar noch optimistisch für Linux. Das hat ganz einfach auch etwas mit verfügbaren Admins zu tun, die Linux-Fraktion ist einfach kleiner. Leider finde ich dazu keine Statistik im Web, nur Artikel mit Schätzungen und Meinungen.

Bei Netzwerk-Hardware bin ich allerdings bei Dir, natürlich laufen die nicht auf Windows Basis. Das sind aber auch keine Server...


Das ist eine Indikation dafür, wie viel skalierbarer Linux-Systeme sind. Hätte man schon kapieren können, nachdem man explizit nach Vorteilen von Linux gefragt hat.
Dem widerspreche ich auch gar nicht. Trotzdem ist das nicht die breite Masse an Servern.


Kommt auf das Lizenz-Modell an. In den aller meister Fällen (GNU z.b.) sind auch die Libs OpenSource.
Stimmt, mea culpa. Muss aber auch gemacht werden, also das reviewen.

Ja Anschaffungskosten fallen bei Open Source Software in aller Regel weg. Du willst manche Argumente wirklich falsch verstehen oder?
"Keinerlei Kosten" sagtest Du, nicht "keine Anschaffungskosten".

Bestes Beispiel Print Nightmare. Das hat M$ nach knapp einem halben Jahr noch immer nicht im Griff. Für die Log4J Lücke die seit einigen Tagen hauptsächlich Apache-Server betrifft gab es bereits am ersten Tag Hotfixes, Workarounds und teilweise sogar ganze Patches.

PrintNightmare ist etwas anderes, dazu muss man erst mal als authentifizierter User angemeldet sein und kann sich dann SYSTEM Rechte holen über den Spooler Dienst. Der Workaround ist "deaktivieren" des Dienstes, kein schlechter Workaround da man auf Servern eher selten den Usern erlauben muss selbst Druckertreiber zu installieren.

Log4J ist aktuell das beste Beispiel für Open Source mit Sicherheitslücke. Und es betrifft nicht erst "seit einigen Tagen" die Server, sondern es ist erst bekannt seit einigen Tagen. Hier ist der Angriffsvektor auch ungleich einfacher, man benötigt nicht mal einen authentifizierten User um das System komplett zu übernehmen. Die Hotfixes / Patches beinhalten aktuell auch größtenteils nur die Deaktivierung der Lookup Funktion oder gleich das Löschen der ganzen Klasse:

Die offizielle Empfehlung ist hier für Versionen ab 2.10: Das Setzen der Eigenschaft log4j2.formatMsgNoLookups auf true oder der Variable LOG4J_FORMAT_MSG_NO_LOOKUPS auf true.

Für die ebenfalls verwundbare Version 2.0-beta9 bis einschließlich 2.10 empfiehlt das Log4J-Team ein Vorgehen mit dem Holzhammer: das komplette Entfernen der JNDI-Lookup-Klasse aus der Anwendung:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class .

Das verhindert effektiv ein Ausnutzen der Lücke, da JNDI-Aufrufe dann nicht mehr ausgeführt werden können.

Je nachdem kann durch diesen Eingriff auch irgendetwas anderes nicht mehr funktionieren da man ja Funktionalitäten deaktiviert / löscht die vorher da waren.


Quasi jedes Spiel, das mit Proton läuft...
https://www.protondb.com/

Oh ja, super viele und immer super schnell. Nicht. Außerdem sprechen wir hier von Software, nicht nur von Games.

Kommt auf das Linux an. Wenn man nicht allzu viel am System rumbastelt, braucht das eigentlich auch nicht mehr oder weniger Pflege als Windows. Nur wenn man entsprechende Anpassungen eben braucht, kann man das mit Windows i.d.R. vergessen, je nachdem wie umfassend die Änderungen am System sind. Linux lässt sich da komplett customizen.
Dein Punkt war "Anpassungsfähigkeit" - dementsprechend steigt nach Anpassung der Pflege-Aufwand. Da tun sich die beiden Betriebssysteme nichts, ist für mich kein Vorteil von Linux. Man muss sich da eben entscheiden:
A) maximales Customizing - erhöhter Pflegeaufwand -> Linux
B) standardisiertes Produkt - geringer Pflegeaufwand -> Windows


Das hat auch keiner behauptet. Es ging darum, ob Java tendenziell unsicherer ist als andere Sprachen und genau das kann man mit der Statistik belegen. Es gibt von der ganzen getesteten Software nur 2 Sprachen die noch mehr Sicherheitslücken aufweisen als Java-basierte Applikationen...
Java + JavaScript bewegen sich in der Statistik ziemlich genau im Mittelfeld.
 
Nene Kollege, Du hast mit dieser Behauptung angefangen und bisher keinen Beleg geliefert:

Danach kamen nur "sei nicht so naiv" oder "Du glaubst doch selbst nicht" Argumente.
Du glaubst also, dass M$ nur das beste für dich will. Na dann viel Spaß die nächsten Jahre...
"Aber nur weil" interessiert keinen der die Software in seinem Unternehmen einsetzen möchte. Wenn ich mich entscheiden müsste zwischen:
A) Kostenlose Software - offizieller Support nicht vorhanden - Patching unklar
B) Kostenpflichtige Software - offizieller Support vorhanden - Patching (EOL Datum) geklärt

Dann nehme ich natürlich B. Da hängt im Zweifel mein Unternehmen dran...
Was für ein Blödsinn, das glaubst du ja wohl selbst nicht. Was nützt denn bitte offizieller Support wenn der Mist nachher nicht richtig funktioniert? Ich entscheide über die Adoption von Softwarelösungen anhand der Featuresets, dem Track-Record was Patches angeht und der generellen Anpassungsfähigkeit an meine Bedürfnisse. Wer Open Source prinzipiell ausschließt, weil er glaub der Support wäre irgendwie schlechter oder die Patches würden nicht kommen, der sollte sich einen anderen Beruf suchen.
Sagte ich ja, einige Kunden benötigen für ihre uralt legacy Software leider Versionen jenseits von Gut und Böse. VaaS sozusagen (Vulnerability as a Service).
Dann trägt der Kunde hier auch die Verantwortung und es gibt keine Support, fertig.
Es spricht nicht unbedingt für die Qualität, sehr wohl aber für die o.g. Punkte (offizieller Support vorhanden - Patching (EOL Datum) geklärt). Außerdem ist die Kompatibilität innerhalb der MS Umgebung einfach da. Ich kann beispielsweise keinem Manager erklären dass er leider mit LibreOffice gelieferte Word / Excel Dokumente erst mal umformatieren muss damit sie ordentlich aussehen.
Dir ist schon bewusst, dass auch für quelloffenen Software EOL-Daten existieren und regelmäßig gepatcht wird oder? Jemals ein Debian betrieben? Da funktioniert Patching und Support besser als bei jedem Windows Server den ich bisher betreut habe.
Der Windows Anteil überwiegt definitiv, frag mal hier im Forum rum bei Leuten die auch mit Datacentern zu tun haben. Das geschätzte Verhältnis (70:30) ist vermutlich sogar noch optimistisch für Linux. Das hat ganz einfach auch etwas mit verfügbaren Admins zu tun, die Linux-Fraktion ist einfach kleiner. Leider finde ich dazu keine Statistik im Web, nur Artikel mit Schätzungen und Meinungen.
Ich verstehe noch nicht inwiefern das jetzt für Windows spricht...
"Keinerlei Kosten" sagtest Du, nicht "keine Anschaffungskosten".
Das hätte man sich denken können. Folgekosten entstehen für nahezu jedes System.
PrintNightmare ist etwas anderes, dazu muss man erst mal als authentifizierter User angemeldet sein und kann sich dann SYSTEM Rechte holen über den Spooler Dienst. Der Workaround ist "deaktivieren" des Dienstes, kein schlechter Workaround da man auf Servern eher selten den Usern erlauben muss selbst Druckertreiber zu installieren.
Trotzdem hat M$ es nicht im Griff. Sowas muss innerhalb kürzester Zeit gepatcht sein.
Log4J ist aktuell das beste Beispiel für Open Source mit Sicherheitslücke. Und es betrifft nicht erst "seit einigen Tagen" die Server, sondern es ist erst bekannt seit einigen Tagen. Hier ist der Angriffsvektor auch ungleich einfacher, man benötigt nicht mal einen authentifizierten User um das System komplett zu übernehmen. Die Hotfixes / Patches beinhalten aktuell auch größtenteils nur die Deaktivierung der Lookup Funktion oder gleich das Löschen der ganzen Klasse:
Falsch. Die neue Version 2.15.0 stand direkt am Tag der Veröffentlichung zur Verfügung und behebt das Problem restlos.
https://www.protondb.com/

Oh ja, super viele und immer super schnell. Nicht. Außerdem sprechen wir hier von Software, nicht nur von Games.
Games sind Software falls dir das nicht aufgefallen ist. Für viele andere Software gibt es keinen Grund, diese zu portieren, da Linux meist bessere Alternativen in den offiziellen Paketquellen hat.
Dein Punkt war "Anpassungsfähigkeit" - dementsprechend steigt nach Anpassung der Pflege-Aufwand. Da tun sich die beiden Betriebssysteme nichts, ist für mich kein Vorteil von Linux. Man muss sich da eben entscheiden:
A) maximales Customizing - erhöhter Pflegeaufwand -> Linux
B) standardisiertes Produkt - geringer Pflegeaufwand -> Windows
Blödsinn. Auch angepasste Linux-Systeme können stabil laufen, bei Windows seh ich da schwarz. Da machst du die Kiste sofort instabil.
Java + JavaScript bewegen sich in der Statistik ziemlich genau im Mittelfeld.
JavaScript hat nichts mit Java zu tun. Java ist nicht im Mittelfeld sondern unter den Top 3. Kleine Medienkompetenzübung ;)
 
Du glaubst also, dass M$ nur das beste für dich will. Na dann viel Spaß die nächsten Jahre...
Wie oft ich das schon gehört habe, eingetreten ist der angekündigte Super-Gau bisher nie.


Was für ein Blödsinn, das glaubst du ja wohl selbst nicht. Was nützt denn bitte offizieller Support wenn der Mist nachher nicht richtig funktioniert? Ich entscheide über die Adoption von Softwarelösungen anhand der Featuresets, dem Track-Record was Patches angeht und der generellen Anpassungsfähigkeit an meine Bedürfnisse. Wer Open Source prinzipiell ausschließt, weil er glaub der Support wäre irgendwie schlechter oder die Patches würden nicht kommen, der sollte sich einen anderen Beruf suchen.
Wenn Du meinst. Der Großteil der Unternehmen setzt trotzdem auf Windows in seinen Offices.

Auch schließe ich Open Source nicht prinzipiell aus, trotzdem kaufen Unternehmen eher eine "Enterprise" Edition als sich auf komplett freie Open Source Software zu verlassen.

Dann trägt der Kunde hier auch die Verantwortung und es gibt keine Support, fertig.
Korrekt.

Dir ist schon bewusst, dass auch für quelloffenen Software EOL-Daten existieren und regelmäßig gepatcht wird oder? Jemals ein Debian betrieben? Da funktioniert Patching und Support besser als bei jedem Windows Server den ich bisher betreut habe.
Und ist Debian für Ursula am Empfang geeignet? Oder für den Manager Thomas der mal schnelle eine Präsentation erstellen möchte?

Ich verstehe noch nicht inwiefern das jetzt für Windows spricht...
Wenn Du keine Linux Admins hast, dann kannst Du auch keine Linux Server betreiben.

Das hätte man sich denken können. Folgekosten entstehen für nahezu jedes System.
Ich interpretiere so wenig wie möglich in Posts von anderen und beziehe mich auf die getätigten Aussagen.

Trotzdem hat M$ es nicht im Griff. Sowas muss innerhalb kürzester Zeit gepatcht sein.
Gibt doch einen Workaround?

Falsch. Die neue Version 2.15.0 stand direkt am Tag der Veröffentlichung zur Verfügung und behebt das Problem restlos.
Jo, "problemlos" behoben weil die Funktionalität abgeschaltet wurde. Das ist doch kein Fix, das ist ein Workaround. Von Heise:

Die Apache-Entwickler haben nach der vergangenen Freitag hastig veröffentlichten Version 2.15.0 zum Schließen der Log4Shell-Sicherheitslücke jetzt Log4j 2.16.0 fertig gestellt und darin die Schutzmaßnahmen verbessert. Auf der anderen Seite haben Sicherheitsforscher Proof-of-Concept-Code (PoC) zum Ausnutzen der Schwachstelle verfeinert – Angriffe funktionieren damit unabhängig von der Java-Version und bestimmten Java-Sicherheitseinstellungen. Verlässlichen Schutz bietet daher nur ein Update der Log4j-Bibliothek.

In Log4j 2.16.0 haben die Apache-Programmierer den Code entfernt, der Nachrichten in den Logs mit den fatalen URL-Einträgen zu potenziell bösartigen LDAP-Servern analysiert. Dazu deaktivieren die Entwickler das Java Naming and Directory Interface (JNDI) nun gänzlich.


Games sind Software falls dir das nicht aufgefallen ist. Für viele andere Software gibt es keinen Grund, diese zu portieren, da Linux meist bessere Alternativen in den offiziellen Paketquellen hat.
Ich geh dann mal in mein "Teams" Meeting, kannst ja von Deinem Linux aus joinen weil es da ja bestimmt eine bessere Alternative gibt. Das Protokoll legen wir dann auf dem MS Sharepoint ab, direkt im Teams, gibt's bestimmt auch auf Linux. :schief:

Ich würde ja drauf wetten dass Du auf Deinem Gaming PC Windows installiert hast...

Blödsinn. Auch angepasste Linux-Systeme können stabil laufen, bei Windows seh ich da schwarz. Da machst du die Kiste sofort instabil.
Klar, jegliche Anpassung und Windows ist instabil. Allgemeiner geht es nicht...

JavaScript hat nichts mit Java zu tun. Java ist nicht im Mittelfeld sondern unter den Top 3. Kleine Medienkompetenzübung ;)
Unter den Top 3 von 7 = Mittelfeld.
 
Die Typisierung ist aber nicht „variabel“, sondern wird lediglich durch den Compiler vorgenommen. Das Typensystem bleibt ja nach wie vor statisch. Andere Programmiersprachen wie C# (var) oder auch C++ (auto) kennen dieses Feature sogar schon länger, wobei die .net Runtime sogar echte dynamische Typisierung mittels des Datentypen „dynamic“ zulässt.
Die Datentypen var und dynamic sollte man in C# absolut vermeiden, wenn man performanten Code schreiben will, oder verhindern will, dass es zur Laufzeit knallt bzw. Überraschungen gibt. Die sind nur geeignet wenn man schnell was "hinrotzen" will/muss. Wer die immer nutzt sollte ggf. seine Berufswahl hinterfragen...
Ich geh dann mal in mein "Teams" Meeting, kannst ja von Deinem Linux aus joinen weil es da ja bestimmt eine bessere Alternative gibt. Das Protokoll legen wir dann auf dem MS Sharepoint ab, direkt im Teams, gibt's bestimmt auch auf Linux. :schief:

Mann kann an Teamsmeetings auch übern Browser teilnehmen und Sharepointwebseiten kann man auch mit jedem Chrome/Opera/Firefox nutzen. Also Ja das gibts auf Linux. :-P
 
Zuletzt bearbeitet:
GroupWise? Open-Xchange?
Oder auf was willst du hinaus?
Ich wollte darauf hinaus dass ich mit der "Office Suite" ein Gesamtpaket erhalte in dem alles miteinander vernetzt ist.

Active Directory - Exchange - Outlook - Teams - Sharepoint - Word/Excel/Powerpoint

Gibt's da auch was auf Linux? Dass es "Insel" Lösungen für Linux gibt ist mir durchaus klar...
 
Wie oft ich das schon gehört habe, eingetreten ist der angekündigte Super-Gau bisher nie.
Stimmt die Ransomware-Epidemie der letzten Jahre ist halb so wild. Genau wie die ganzen Exchange Server die mit irgendwelchen Crypto-Minern kompromittiert wurden. Hast du die vergangenen 5 Jahre unter einem Stein verbracht?
Wenn Du meinst. Der Großteil der Unternehmen setzt trotzdem auf Windows in seinen Offices.
Das Wort Vendor-Lockin hast du schon verstanden oder?
Auch schließe ich Open Source nicht prinzipiell aus, trotzdem kaufen Unternehmen eher eine "Enterprise" Edition als sich auf komplett freie Open Source Software zu verlassen.
Es gibt auch Enterprise Editionen von Open Source Software. Siehe Red-Hat.
Und ist Debian für Ursula am Empfang geeignet? Oder für den Manager Thomas der mal schnelle eine Präsentation erstellen möchte?
Keine Ahnung. Ist Windows denn für solche Leute "geeignet"? Weil irgendwie kriegen die auch das regelmäßig kaputt...
Wenn Du keine Linux Admins hast, dann kannst Du auch keine Linux Server betreiben.
No Shit Sherlock.
Gibt doch einen Workaround?
Ein Workaround bedeutet aber nicht, dass sie es im Griff haben. Da ist noch immer potenziell verwundbare Software auf dem Rechner. Die muss nicht unbedingt als Einfallstor genutzt werden, aber wer sagt, dass das im Zusammenhang mit einer anderen Sicherheitslücke nicht für Privilege Escalation missbraucht wird?
Sowas gehört gepatcht und zwar am besten gestern.
Jo, "problemlos" behoben weil die Funktionalität abgeschaltet wurde. Das ist doch kein Fix, das ist ein Workaround. Von Heise:
Ja, sowas ist ein Patch. Die Library kann ohne manuellen Workaround geupdated werden und funktioniert danach wie gewohnt, ohne dass sich schadhafte Aufrufe über die JNDI-Schnittstelle absetzen lassen. Wie hättest du das sonst behoben?
Ich geh dann mal in mein "Teams" Meeting, kannst ja von Deinem Linux aus joinen weil es da ja bestimmt eine bessere Alternative gibt. Das Protokoll legen wir dann auf dem MS Sharepoint ab, direkt im Teams, gibt's bestimmt auch auf Linux. :schief:
Wer's braucht... Ich persönlich hab ja kein Problem damit einfach nen Fileserver zu benutzen. Aber für die richtigen Pros muss es natürlich ein total überladenes und mäßig performantes Sharepoint sein, damit man auch auf jeden Fall von der nächsten Ransomware-Welle betroffen ist. In den ganzen AD/Sharepoint/Windows/Exchange/Office Umgebungen fühlt sich die Ransomware nämlich so richtig wohl. Heute schon deine SMB-Freigaben geprüft? Oder extra Anti-Virus Schlangenöl installiert, das das für dich erledigt?
Ich würde ja drauf wetten dass Du auf Deinem Gaming PC Windows installiert hast...
Jo sogar Windows 11. Deswegen ist es der Gaming PC und nicht mein Arbeitsgerät oder irgendein Server. Da ist es bumms wenn ich mir was einfange, den mach ich einfach Platt und da liegt eh nix wichtiges drauf. Wobei ich inzwischen auch echt viele Spiele via Proton auf meinem Hauptrechner laufen lassen kann.
Klar, jegliche Anpassung und Windows ist instabil. Allgemeiner geht es nicht...
Bei Windows mal versucht das ganze DE zu wechseln? Oder es auf ne andere Architektur zu portieren? Ach stimmt geht ja gar nicht, weil man den Quellcode nicht hat. Da muss man immer zu den M$-Göttern beten, um einen vernünftigen Port zu bekommen.
Unter den Top 3 von 7 = Mittelfeld.
Genau, deswegen interessiert sich bei Olympia auch niemand für Silber- und Goldmedaillen.
 
Ich wollte darauf hinaus dass ich mit der "Office Suite" ein Gesamtpaket erhalte in dem alles miteinander vernetzt ist.

Active Directory - Exchange - Outlook - Teams - Sharepoint - Word/Excel/Powerpoint

Gibt's da auch was auf Linux? Dass es "Insel" Lösungen für Linux gibt ist mir durchaus klar...

Microfocus OES + Enterprise Messaging:

eDirectory - GroupWise - Mailarchivierung - Mail Desaster Recovery - Teamworks - Filr - Instant Messaging - Content Editor

Das einzige was bis jetzt noch fehlt ist ein Videochat (den Trend hab ich persönlich sowieso noch nich kapiert). Aber dat läuft alles aus einer Hand auf Linux und vor allem on premise!
 
Microfocus OES + Enterprise Messaging:

eDirectory - GroupWise - Mailarchivierung - Mail Desaster Recovery - Teamworks - Filr - Instant Messaging - Content Editor

Das einzige was bis jetzt noch fehlt ist ein Videochat (den Trend hab ich persönlich sowieso noch nich kapiert). Aber dat läuft alles aus einer Hand auf Linux und vor allem on premise!
Cool, leider nicht gerade mit langem Support:

1639499193456.png



Gerade mal 2 Jahre und dann EOL? Also damit bekommt man keine Unternehmen dazu sich überhaupt zu interessieren.
Ja, sowas ist ein Patch. Die Library kann ohne manuellen Workaround geupdated werden und funktioniert danach wie gewohnt, ohne dass sich schadhafte Aufrufe über die JNDI-Schnittstelle absetzen lassen. Wie hättest du das sonst behoben?
Äh, nein, die Funktionalität wurde entfernt. Da funktioniert nichts "wie gewohnt" oder "wie vorher", siehe:
Dazu deaktivieren die Entwickler das Java Naming and Directory Interface (JNDI) nun gänzlich.

Dazu:
Vielmehr ist JNDI ein sogenanntes Service Provider Interface (SPI), das Herstellern erlaubt, eigene Lösungen in dieses Framework einzubinden.

Also jeder der sich auf das JNDI Interface etwas eigenes gebaut hat, der kann jetzt gucken was er macht.
 
Äh, nein, die Funktionalität wurde entfernt. Da funktioniert nichts "wie gewohnt" oder "wie vorher", siehe:
Doch. Das ist ein Logging-Framework. Das soll keine JNDI-Lookups machen.
Also jeder der sich auf das JNDI Interface etwas eigenes gebaut hat, der kann jetzt gucken was er macht.
Jeder der da was eigenes gebaut hat gehört sowieso in die Klapse. Mal ganz abgesehen davon, dass man bei solchen Dingen immer damit rechnen muss, dass es früher oder später keinen Support mehr dafür gibt. Gilt im Übrigen auch für alle selbst gebastelten Share-Point Listen und Verknüpfungen mit jeglichem Office-Makro-Blödsinn.
 
Cool, leider nicht gerade mit langem Support:

Anhang anzeigen 1382044


Gerade mal 2 Jahre und dann EOL? Also damit bekommt man keine Unternehmen dazu sich überhaupt zu interessieren.

Also erstens hat OES2018 mit den Service Packs insgesamt ca. 5 1/2 Jahre Support (dass man Service Packs installiert, versteht sich doch außerdem von selbst, oder?).

1639501125102.png


Das ist nicht kürzer als der Mainstream-Support für WinSrv2019 beispielsweise.

Und zweitens bedeutet dort das EOL nicht, dass das Produkt abgekündigt ist. Upgrade auf den nächsten Release und gut ist.

Auch die anderen Software-Lösungen haben recht lange Lifecycles (GroupWise 18 knapp 5 Jahre). Dann kommt halt die nächste Version und man sollte upgraden. Dass man das mit einer SaaS-Lösung à la Office 365 nicht vergleichen kann, sollte dir klar sein.
 
Zurück