Harald Brombach (digi.no) Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Offentliggjorde Windows-sårbarhet som Microsoft trolig har utsatt å fjerne Lenke til kommentar
tommyb Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Microoppdateringer. Microsoft må frigjøre seg fra måten Windows Update bulker sammen ting til de blir så store at det brekker og de ikke kan legge det ut. I alle fall sikkerhetsoppdateringer bør kunne gjøres i mindre biter, oftere, og om mulig uten reboot. Lenke til kommentar
digimator Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Microoppdateringer. Microsoft må frigjøre seg fra måten Windows Update bulker sammen ting til de blir så store at det brekker og de ikke kan legge det ut. I alle fall sikkerhetsoppdateringer bør kunne gjøres i mindre biter, oftere, og om mulig uten reboot. Forretningskundane til Microsoft bad om at oppdateringane blir utgitt samla ein gang per månad. Alle patchar oppgir om det er nødvendig med omstart, og Windows Update wil kun foreta omstart dersom det er nødvendig. 1 Lenke til kommentar
tommyb Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Forretningskundane til Microsoft bad om at oppdateringane blir utgitt samla ein gang per månad. Ikke tror jeg på det og ikke bryr jeg meg om det. En gang i måneden og opp til 90 dager på kjente sårbarheter er ikke akseptabelt. Og likevel er Microsoft jammen meg bedre på dette enn Android-OEMer. Lenke til kommentar
Bjowol Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Microsoft burde begynne å tydligere levere sikkerhetsfeil i systemet dems ... Selv om en slik sikkerhetsfeil ikke vil gjelde for de fleste brukere... Ikke at jeg aktivt søker etter Windows sikkerhetsfeil, men jeg blir jo ikke varslet om noe slikt heller Lenke til kommentar
digimator Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Forretningskundane til Microsoft bad om at oppdateringane blir utgitt samla ein gang per månad. Ikke tror jeg på det og ikke bryr jeg meg om det. En gang i måneden og opp til 90 dager på kjente sårbarheter er ikke akseptabelt. Og likevel er Microsoft jammen meg bedre på dette enn Android-OEMer. At du ikkje trur på det er nok noe Microsoft kan leva godt med. 90 dagar på å fiksa sårbarhetar er ikkje så ille når du tar med kor omfattande testing som er nødvendig. Lenke til kommentar
digimator Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Microsoft burde begynne å tydligere levere sikkerhetsfeil i systemet dems ... Selv om en slik sikkerhetsfeil ikke vil gjelde for de fleste brukere... Ikke at jeg aktivt søker etter Windows sikkerhetsfeil, men jeg blir jo ikke varslet om noe slikt heller Kjente sårbarhetar blir offentliggjort gjennom CVE: https://cve.mitre.org/ Lenke til kommentar
tommyb Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 (endret) Forretningskundane til Microsoft bad om at oppdateringane blir utgitt samla ein gang per månad. Ikke tror jeg på det og ikke bryr jeg meg om det. En gang i måneden og opp til 90 dager på kjente sårbarheter er ikke akseptabelt. Og likevel er Microsoft jammen meg bedre på dette enn Android-OEMer. At du ikkje trur på det er nok noe Microsoft kan leva godt med. 90 dagar på å fiksa sårbarhetar er ikkje så ille når du tar med kor omfattande testing som er nødvendig. 90 dager på å fikse sårbarheter som allerede er utnyttet er bortimot kriminelt. Og det er ingen selv i Microsoft som mener det er nødvendig å ha 90 dager til å teste alle manglende validering eller enkle buffer overflow-svakheter. At større patcher trenger lengre tid både til fiksing og testing er egentlig bare en bekreftelse av poenget mitt - at sikkerhetsfikser burde løsrives fra hverandre og andre patcher. Forøvrig kan man jo se for seg hvor på denne grafen en ny svakhet havner når svakheten offentliggjøres før den er patchet: Og årsaken til at Microsoft ikke får patchet den i tide er etter alle øremerker ikke fordi det tar mer enn 90 dager å patche og teste den - men at systemet ikke tar høyde for å slippe patchen når den er klar. Endret 20. februar 2017 av tommyb Lenke til kommentar
digimator Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 men at systemet ikke tar høyde for å slippe patchen når den er klar. Det har faktisk skjedd fleire gangar at patchar har blitt utgitt utanom "patch tuesday" der kritiske feil har blitt utnytta, og patchen har vore klar. Så systeme tillet det. Men det kan jo vera at du og Microsoft har forskjellig vurdering om kor tidskritisk det er å distribuera patchen. 1 Lenke til kommentar
tommyb Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Microsoft og Google også, med jevne mellomrom. Lenke til kommentar
_dundun_ Skrevet 20. februar 2017 Rapporter Del Skrevet 20. februar 2017 Buffer overflows etc. er jo også stort sett banale å fikse og helt uten risk for ringvirkninger, så jeg ser ikke hvorfor man skal teste så mye. 1 Lenke til kommentar
mmm... Skrevet 21. februar 2017 Rapporter Del Skrevet 21. februar 2017 Microoppdateringer. Microsoft må frigjøre seg fra måten Windows Update bulker sammen ting til de blir så store at det brekker og de ikke kan legge det ut. I alle fall sikkerhetsoppdateringer bør kunne gjøres i mindre biter, oftere, og om mulig uten reboot. Dream on .... Dette ville kreve totalt redesign av hele operativsystemet. Hele greia er en enste stor binærboble. Nylig kunne vi lese om at MS hadde måtte designe et eget filsystem-liknende grensnitt mot systemene for håndtering av kildekode for å kunne håndtere filmengden i windows-koden. Det var snakk om flere millioner filer. For utenforstående virker det som ren galskap å jobbe med så komplekse programpakker uten å dele dem opp i flere autonome pakker. Lenke til kommentar
tommyb Skrevet 21. februar 2017 Rapporter Del Skrevet 21. februar 2017 Microoppdateringer. Microsoft må frigjøre seg fra måten Windows Update bulker sammen ting til de blir så store at det brekker og de ikke kan legge det ut. I alle fall sikkerhetsoppdateringer bør kunne gjøres i mindre biter, oftere, og om mulig uten reboot.Dream on .... Dette ville kreve totalt redesign av hele operativsystemet. Hele greia er en enste stor binærboble. Nylig kunne vi lese om at MS hadde måtte designe et eget filsystem-liknende grensnitt mot systemene for håndtering av kildekode for å kunne håndtere filmengden i windows-koden. Det var snakk om flere millioner filer. For utenforstående virker det som ren galskap å jobbe med så komplekse programpakker uten å dele dem opp i flere autonome pakker. Godt poeng. Da vil jeg besvare med et par ting: - Microsoft har snakket om å skrive om Windows Update, og de har allerede begynt å rulle ut en ny modell for Windows Update. Det ser heller ut som de ønsker færre oppdateringer enn flere, så jeg er ikke optimistisk, men rammeverket er altså ikke satt i stein. - Microsoft har allerede skrevet om operativsystemet, og ved litt større jobber kan de flytte over problematiske deler til WinRT-rammeverkene der det ikke står like dårlig til. - Jeg klarer selv å se for meg flere muligheter til å legge inn mekanismer for microoppdateringer rundt begrensningene i operativsystemet, og da bør noen som er gode på arkitektur i alle fall få det til. Det betyr ikke at alle oppdateringer kan være microoppdateringer men at de som har potensiale til å være det, enklere kan rulles ut. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå