[Meltdown]

Zitat (RageT74: 13.02.2004, 22:18)

Könnte mir schon vorstellen das die jetzt Gas geben.
Aber anrufen kannste vergessen. Alles überlastet...

Was wäre denn so schlimm daran gewesen wenn sie vorher schon mal ein
SP2 herausgebracht hätten - und sei es nur dazu das System von Bugs zu bereinigen.
Stattdessen nur dieses halbherzige Security Rollup. Das es auch besser geht, hat ja
Rika schon bewiesen. Wenn man wenigstens alle 6-8 Monate was von MS hören würde
in Sachen Service-Packs.

Dieser Beitrag wurde von Meltdown84 bearbeitet: 19. Februar 2004 - 00:51

[Meltdown]

Zitat (shelby: 13.02.2004, 22:56)

Obwohl mir das der MS-Mitarbeiter gesagt hat, kann ichs mir nicht vorstellen, dass der SP 2 so schnell schon kommen soll, die Beta-Phase ist doch noch in vollem Gange.

Im Heute-Journal heute abend auch ein Bericht über Microsoft, ein c't-Redakteur wird zitiert mit den Worten, dass MS bekannt dafür ist ihre Produkte schnell und fehlerhaft zu veröffentlichen und dann nach und nach zu verbessern und der MS-Pressesprecher gibt irgendwelche Worthülsen von sich.

Ein schwarzer Tag für Microsoft.

So sieht's aus. Die haben sich ihr Wochenende auch anders vorgestellt.

Die sind nur deswegen solange mit dem Kram beschäftigt, weil sie soviel
Aufholbedarf haben. Seit dem SP1 ist eine Menge erschienen.

Mein Gott, was habe ich in der Zeit schon alles wieder von meinem Rechner gekickt.
Aber Microsoft will ja unbedingt neue Funktionen in das System einbauen - ob das
was bringt, steht allerdings noch in den Sternen. Dann wäre mir ein konventionelles
SP fürs erste lieber. Bei Win2k war man am Anfang doch auch nicht so zurückhaltend mit den ersten 2 Service-Packs. Das 3. kam erst mit großem Abstand.

Bei XP will man das ja anscheinend nicht. Wenn es aber viel zum Abdichten gibt, dann sollte man damit auch nicht warten. Das das SP2 noch getestet wird, liegt ja nicht an den enthaltenen Patches - sondern doch wohl eher an neuen Funktionen und Treibern.

Und "neuer" Code enthält i.d.R. auch neue Bugs. Ich halte sowas für kontraproduktiv im Moment. Naja, Gegenargumente lassen sich immer finden.
Aber - das nützt den Endanwendern im Moment überhaupt nichts...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 14. Februar 2004 - 11:32

[Rika]

Zitat

mainly because it is a simple matter for hackers to find Windows vulnerabilities without recourse to the code.

Zwar generell richtig, aber in diesem Falle leider völlig falsch. Der Code ist sehr gut strukturiert und verständlich, so dass das übliche "Ja, aber ohne die Designkriterien nützt ihnen der Code nix, weil sie ihn nicht durchschauen können." hier nicht greift.

Zitat

a 203MB file... representing around 1 percent...

203 MB -> dekomprimiert: 690 MB
Gesammtcode laut Microsoft: etwa 40 GB

690 MB / 40 GB = 1.725 % ~ 2 Prozent

Zitat

"We have seen previously that there are a lot of known security holes -- for example in the RPC interface, and that was probably found without the source code," he said.

Völlig falsch. RPC war bislang eine potentielle Sicherheitslücke (ich hatte schon lange davor gewarnt) und hat sich tatsähclih als sehr anfällig und fehlerhaft herausgestellt. Zumal RPC/DCOM per Default aus dem Internet erreichbar ist.

Wenn jetzt der Code vom RPC-Subsystem offenliegt, bedeutet das noch mehr potentielle Exploits und vor allem - weil RPC/DCOM ja per default immer erreichbar ist - weitere Wurmwellen. Weil einfach niemand kapiert, dass man RPC unbinden und DCOM deaktivieren sollte.

Zitat

However, the question is mainly hypothetical, he said.

Warum saugen sie sich nicht einfahc mal slebst den geklauten Code? Dann wüssten sie nämlich, dass die Teile, die sie vermutlich als wichtig bezeichnen, nämlich drin enthalten sind! Oder meint ihr etwa dieses lächerliche DRM? Nö, das ist nicht drin.

Zitat

"To exploit a vulnerability, there has to be a vulnerability," he said. "If the code is written sufficiently robustly in the first place then clearly you are going to minimise any risk."

Sorry, aber gerade weil der Code bislang Closed Source war und die meisten Codeteile nur von realtiv wenigen beäugt wurden, und weil es Microsoft-Programmierer sind, die von Sicherheit teilweise echt keinen Plan haben (oder warum haben sie den IE wie ein Scheunentor programmiert?), sind wahrscheinlich wirklich viele potentielle Fehler enthalten. Es stellt sich nur die Frage, wie groß der Anteil der Fehler ist, die praktisch ausgenutzt werden können - und in dieser Hinsicht sind genau die kritischsten Codeteile geleakt!

Dieser Beitrag wurde von Rika bearbeitet: 13. Februar 2004 - 23:24

[codes]

Its a little long but here it is:
--------


/* Source Code to Windows 2000 */

#include "win31.h"
#include "win95.h"
#include "win98.h"
#include "workst~1.h"
#include "evenmore.h"
#include "oldstuff.h"
#include "billrulz.h"
#include "monopoly.h"
#define INSTALL = HARD

char make_prog_look_big[160000];
void main()
{
while(!CRASHED)
{
display_copyright_message();
display_bill_rules_message();
do_nothing_loop();
if (first_time_installation)
{
make_50_megabyte_swapfile();
do_nothing_loop();
totally_screw_up_HPFS_file_system();
search_and_destroy_the_rest_of_OS/2();
make_futile_attempt_to_damage_Linux();
disable_Netscape();
disable_RealPlayer();
disable_Lotus_Products();
hang_system();
}
write_something(anything);
display_copyright_message();
do_nothing_loop();
do_some_stuff();
if (still_not_crashed)
{
display_copyright_message();
do_nothing_loop();
basically_run_windows_3.1();
do_nothing_loop();
do_nothing_loop();
}
}

if (detect_cache())
disable_cache();

if (fast_cpu())
{
set_wait_states(lots);
set_mouse(speed, very_slow);
set_mouse(action, jumpy);
set_mouse(reaction, sometimes);
}

/* printf("Welcome to Windows 3.1"); */
/* printf("Welcome to Windows 3.11"); */
/* printf("Welcome to Windows 95"); */
/* printf("Welcome to Windows NT 3.0"); */
/* printf("Welcome to Windows 98"); */
/* printf("Welcome to Windows NT 4.0"); */
printf("Welcome to Windows 2000");

if (system_ok())
crash(to_dos_prompt)
else
system_memory = open("a:\swp0001.swp", O_CREATE);

while(something)
{
sleep(5);
get_user_input();
sleep(5);
act_on_user_input();
sleep(5);
}
create_general_protection_fault();

[Rika]

hab garde mal nach strcpy im Code gesucht... das sieht gar nicht gut aus

[RageT74]

Wiederholung !

Den hatten wir schon mal.

[BOSS]

Zitat

203 MB -> dekomprimiert: 690 MB
Gesammtcode laut Microsoft: etwa 40 GB

690 MB / 40 GB = 1.725 % ~ 2 Prozent

Also ich hab irgendwo bei heise gelesen das der Code der in die öffentlichkeit gelangt ist (690MB) ca. 13,5 Mio. zeilen besitzt und Windows 2000 soll zwischen 35-50mio zeilen haben, wie soll das gehen? Wenn 690MB 13,5 mio zeilen sind wie können 37 GB 40mio zeilen sein?

[Meltdown]

Ich meine auch das es mehr sind.

Fallt aber ruhig über mich her, wenn es falsch ist...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 19. Februar 2004 - 00:52

[Rika]

Weil das der Kernel ist und die Shell ist.
BTW, es sind auch einige compilierte Dateien dabei, und auch Libs. Die tatsächlichen Codeanteile sind nur etwa 400 MB.

Dieser Beitrag wurde von Rika bearbeitet: 14. Februar 2004 - 14:17

[BOSS]

meint ihr, dass das stimmen könnte mit den 40GB quellcode?

[Dimension]

Kommt drauf an, was man alles zum Windows-Code zählt ... zusammen mit DirectX, allen Treibern, Scripting, dem Mediaplayer usw. sowie dem 9x-Kernel und verschiedenen Versionen verschiedener Bibliotheken ist es zwar immer noch viel, aber möglich.

[tecONE]

naja 40 Gig is ein bissl arg viel.... aber Sourcecode an sich ist viel größer als das Programm später.... Beim kompilieren wird das alles übersetzt und dadurch kleiner....

[Meltdown]

...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 19. Februar 2004 - 00:53

[Philipp]

also 40 GB ungezippt oder?