Eksperter: Microsoft bør lære af Linux-sikkerhed

I sikkerhedens navn bør Microsoft sørge for en central opdateringsfunktion af alle applikationer på samme måde, som det foregår i Linux, mener to sikkerhedseksperter.

Der findes næsten lige så mange forskellige måder at opdatere tredjepartsapplikationer på i Windows, som der findes applikationer. Og det er problematisk, fordi det gør det unødigt bøvlet for brugeren at holde sine tredjepartsprodukter up-to-date.

Opdateringen af produkterne er vigtig af sikkerhedsmæssige årsager, fordi adskillige hackerangreb er målrettet svagheder i upatchede tredjepartsapplikationer som Apples Quicktime og Adobes PDF-læser.

»Windows Update er nemt. Der er ikke noget at komme efter, man kunne ikke ønske sig, at det var meget nemmere. Det er jo lige så nemt, som på de mest brugervenlige Linux-distributioner. Men tredjepartsprogrammer er et problem, for de bruger forskellige installere, og de har forskellig filosofi for deres kommunikation,« siger teknisk chef i sikkerhedsvirksomheden Secunia Thomas Kristensen og tilføjer:

»Der har man virkeligt et kommunikationsproblem i forhold til, hvordan det kører på Linux.«

Microsoft bør lære af Linux

En oplagt løsning kunne ifølge Thomas Kristensen være at inkludere opdateringer til tredjepartsprodukterne i den Windows Update-funktion, som de fleste brugere efterhånden har vænnet sig til. En lignende funktionalitet bliver allerede brugt i diverse Linux-distributioner, som sikrer, at alt software bliver opdateret fra centralt hold.

»Microsoft bør og kan tage ved lære af den måde software bliver opdateret i Linux. I hvert fald hvis Microsoft ønsker, at sikkerheden skal øges for brugerne generelt,« siger Thomas Kristensen og tilføjer:

»Man er kommet langt med de initiativer, Microsoft selv har taget. Og man er nu kommet så langt, så fokus er blevet rettet et andet sted hen. Og hvis man ønsker at forfølge det, man har opnået hidtil, så vil det være et meget naturligt skridt at kigge i den retning der,« siger Thomas Kristensen og henviser til Linux-måden.

Fokus er ikke omkring brugernes sikkerhed

Også sikkerhedsekspert fra virksomheden CSIS Peter Kruse mener, at Microsoft bør skele til den måde, software bliver opdateret på under andre platforme end Windows.

»Microsoft har aldrig nogensinde taget skade af at hente noget inspiration fra andre, og det synes jeg måske godt, at de kunne tage at gøre her. Det er det, der skal til,« siger Peter Kruse.

Han mener, det ville være oplagt for Microsoft at inkludere funktionaliteten i den eksisterende Windows Update-funktion, fordi den tilhørende update-applikation allerede holder øje med visse komponenter på brugerens computer. Når tredjepartsapplikationer som udgangspunkt alligevel ikke bliver opdateret via Windows Update, så peger Peter Kruse på, at en forklaring kan være, at fokus ligger på noget helt andet end slutbrugerens sikkerhed.

»Der er sikkert en masse jura, en masse konkurrence og en masse andre faktorer, som gør, at man ikke er interesseret i det her. Men set ud fra en slutbrugers synspunkt, så ville det være det eneste rigtige at gøre,« siger Peter Kruse, som ikke tror, at det eksempelvis er Adobe, der blokerer for, at virksomhedens produkter finder vej til Windows Update.

»Jeg tror ikke, det er Adobe, der synes, det ikke er en god idé. Jeg tror heller ikke, det er Apple. Jeg tror mere, det ville være Microsoft, der synes, det ville være en skidt idé. På mange områder, der har Microsoft nogle produkter, der overlapper og er direkte konkurrerende,« siger Peter Kruse og tilføjer, at Windows Update er en service, Microsoft tilbyder brugere af Microsoft-produkter, så det er nemt at holde produkterne opdaterede.

Microsoft: Ikke noget vi styrer

Hos Microsoft afviser Windows-divisionschef i Danmark Mortimer Liebman blankt, at det skyldes modvilje fra Microsofts side, når tredjepartsprodukter ikke er en del af Windows Update.

»Det er ikke os, der beslutter det. Det er et spørgsmål om, at Adobe for eksempel måske i virkeligheden ønsker, at brugeren skal komme ind på Adobes hjemmeside, fordi der er en mulighed for mersalg, frem for at brugerne går på vores hjemmeside,« siger Mortimer Liebman.

Han henviser desuden til, at en del tredjepartsprodukter skulle have fundet vej til Microsofts automatiske opdateringsfunktion i Windows Vista.

»I Windows Vista er mængden af tredjepartsapplikationer jo også stigende i forhold til XP for eksempel. Så det er helt og holdent tredjepart, som styrer det. Det er jo ikke vores produkter. Vi har ikke nogen distributionsrettigheder over deres produkter,« siger han.

Mortimer Liebman peger på visse drivere, som et eksempel på noget tredjeparts, der kan opdateres via Windows Update.

»Jeg kan jo fortælle dig, at vi har en god aftale med Intel for eksempel på hele deres driver-platform.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm Blogger

Hvad er det helt præcis for en Linux-funktionalitet der efterlyses?

Umidelbart fortolker jeg 'tredjeparts-software' som software der ikke bliver distribueret af Microsoft/Linux-distributøren. Men der synes jeg ikke at Linux-distributørene gør noget specielt samlet over en kam?

Jo, med Debian-afledte distributioner kan tredjepart selvfølgelig oprette et passende repository som brugeren kan sætte ind i sin sources.list, men er det bare noget tilsvarende der efterlyses, altså at leverandøre kan tilføje egne kilder til Microsofts eksisterende værktøj?

Ikke at jeg er ganske tryg ved de sikkerhedsmæssige aspekter ved Debians model. Jeg tror det giver for store muligheder for tredjepart for at udskifte centrale dele af systemet uden at brugeren nødvendigvis er opmærksom på det. I hvert fald med de nuværende værktøjer: $EDITOR

PS: Jeg er ikke Microsoft-bruger, så klip gerne eventuelle misforståelser ud i pap.

  • 0
  • 0
Martin Filtenborg

Såfremt du ikke er Windows-bruger, er du lykkeligt uvidende om den hærskare af firmaspecifikke auto-update-'daemons', disse stakler skal leve med. Mangelen på centraliseret opdateringsfunktionalitet medfører et uoverskueligt roderi af småprogrammer som allesammen hver for sig søger at opretholde nutidighed på een given applikation, og derfor i længden trætter brugeren med popups, installations-finurligheder (sidder her bag en proxy, og adskillige af mine update-funktioner skal individuelt konfigureres; møgirriterende) og hvadharviher. Resultatet er ofte at folk ikke gider bøvle med det, og som følge deraf ender med gamle og dermed sårbare applikationer.

Den funktionalitet der efterspørges, er vel blot 'Sikkerhed - uden bøvl'. Hvilket adskillige mennesker - heriblandt undertegnede - har bemærket at bl.a. Debian-baserede linux-distributioner har en fiks løsning på: Centraliseret opdatering.

Hvorvidt der så i repository-modellen er indbygget andre uhensigtsmæssigheder er en anden historie. Personligt mener jeg nu nok at fordelene mere end opvejer ulemperne. Det ser jeg af at jeg automatisk forsøger at finde repositories til min sources.list, når jeg beslutter mig for at installere noget, som ikke er i den 'store' liste. Det giver en komfort, der ikke overgåes af alverdens installations-scripts. Sagt anderledes; jeg KAN godt installere noget fra en tarball, men jeg VIL helst ikke. Og det er dét, som er essensen af artiklen. Det skal være NEMMERE at vedligeholde en Windows-platform. MS' egne spplikationer er under Winupdate-administration - hvorfor ikke tilføje alt andet?
Hvem som så skal tage sig af teknikaliteterne og juraen er egentlig ikke så interessant - metoden forekommer indlysende rigtig.

Ikke desto mindre vil jeg glæde mig til at bevidne hundeslagsmålet :) Jeg kan simpelthen ikke tro at alle disse firmaer evner at danne fælles fodslag, uden at ryge i totterne på hinanden undervejs. So lean back and enjoy the fireworks...

  • 0
  • 0
Jimmi Hansen

Hvis der blev bygget en god og letanvendelig updateringsfunktion (dvs. noget andet end den eksisterende Windows Update), ville en masse mindre softwareleverandører hurtigt melde sig til.

Og så ville der fra brugerne komme pres på de større, Adobe m.fl.

Microsoft har spild masser af resourcer på mange dødssejlere. Men her gider de ikke få fingeren ud. Måske fordi det "bare" handler om at gøre livet lettere for slutbrugeren - som endnu engang bliver ignoreret af Microsoft.

  • 0
  • 0
Kim Domino

Det er også fint nok med Windows Update, bare ikke i en browser!

Hvorfor er det at Windows ikke har lavet et update program i stedet for, jeg har været ude ved en Windows Computer der ikke kunne opdater, fordi at exploreren havde en fejl... det er da noget S**T.

Hvorfor ikke gøre som Apple - lave et nemt og bekvemt Opdateringsprogram der lister alle de opdateringer der nu end er, og så kan man selv krydse af hvilke man vil have og ikke have... basta.

  • 0
  • 0
Søren Lund

@Peter

"Hvad er det helt præcis for en Linux-funktionalitet der efterlyses?"

Kort svar: "apt-get upgrade" :-)

Det gode ved "apt-get upgrade" (og tilsvarende på andre Linux-varianter) er, at det ikke kun er operativsystemet, der bliver opdateret, men også f.eks. The GIMP eller Flash (i.e. "tredieparts-software").

Med Windows Update er det kun er Windows, der bliver opdateret. I "gamle dage" fik du ikke engang opdateret din MS Office-installation (det er vistnok ændret).

Det er selvfølgelig (endnu) en fordel ved Open Source, idet "tredieparts-software" kan pakkes ind (.deb/.rpm/etc) og dermed kan komme med i opdateringerne.

Derudover er det, som du skriver, muligt, at tilføje ekstra repositories (f.eks. ikke-Open Source). Igen betyder det, at der kun skal én kommando (et klik) til at opdatere alle dele af systemet, selvom jeg er enig med dig i dine betænkeligheder ved (blindt) at tilføje ikke-officielle repositories.

  • 0
  • 0
Jonas Brunsgård

Jeg mener at det ville være ideelt at efterligne "Advanced packaging tool"-teknologien(APT), hvor ideen er at brungerne selv kan tilføje de "repository" som de ønsker(det kræver at softwareudvikleren har opsat et repository). Man kunne forstille sig, at det på sigt blev standard, at software instalerne første gang man installere en applikatio,n tilføjer softwareudviklerens egen repository til brugerens "sources".

På den måde ville man undgå juridiske komplikationer.

Men det ville kræve at MS tog sig sammen, og udviklede noget opdateringssoftware der frit kunne benyttes af tredjeparts-softwaerudviklere. Og hvor brugeren havde styringen. Dette tror jeg ikke på sker førend konkurrence fra OSX og Linux(my favorite) bliver større.

  • 0
  • 0
Niels Elgaard Larsen

Det er ikke noget, de styrer.

På Linux-distributioner er stort set alt fri software (undtagen et par videodrivere og Flash).

Det betyder at Ubuntu,Debian,Redhat,Suse bare kan oversætte software til deres egen distribution og putte i deres egne repositories og kalde de enkelte projekter for "upstream". På den måde bliver opdateringer meget let. Alting er konsistent, oversat på samme måde, og afhængighederne passer.

Men det kan Microsoft ikke gøre. De kan ikke bare oversætte acrobat eller Google Desktop til forskellige Windows versioner og holde dem opdaterede.

De kunne gøre det med Firefox, men det vil de jo nok ikke.

  • 0
  • 0
Kim Højgaard-hansen

"Ikke at jeg er ganske tryg ved de sikkerhedsmæssige aspekter ved Debians model. Jeg tror det giver for store muligheder for tredjepart for at udskifte centrale dele af systemet uden at brugeren nødvendigvis er opmærksom på det. I hvert fald med de nuværende værktøjer: $EDITOR"

den forstår jeg ikke? Du stoler ikke på de repositories eller?

En væsentlig "feature" for mig må være at en sikkerhedsopdatering ikke ændrer på funktionaliteten i det software jeg kører, hvilket i praksis ofte er ret umuligt da de færreste magter at backporte sikkkerhedsfiks...

Men det kan da undre mig at MS ikke har "opfundet" den model endnu :)

  • 0
  • 0
Flemming Sørensen

Altså, hvis jeg forstår det rigtigt, så skal man i Linux (og Windows?) have hhv. Linux distributørerne og Microsoft til at håndtere opdateringen af random tredje parts software, for at undgå roderiet med 117 forskellige opdaterings funktioner der alle sammen mere eller mindre gør det samme?

Jeg håber at jeg har misforstået det, for det er da det tåbeligste, og kan gøres langt smartere, uden at skulle rode styresystems-snedkerne ind i det.
Til Syllable har jeg planlagt en opdaterings model der én gang for alle løser problemet, og ikke betyder at vi skal bruge resourcer (mandskab osv.) på at håndtere andres opdateringer.
Hver gang et program starter skal det henvende sig til en opdaterings service (der kører lokalt på maskinen) og fortælle hvad program det er, hvilken version, og hvor der kan forventes at findes en opdatering. Dette er nogenlunde sådan vi håndtere filtype associationer i dag, så intet magisk der. Den lokale opdaterings service vil så tilføje programmet til sin liste, og på fastlagte tidspunkter (valgt af brugeren) vil det så checke for opdateringer af alle registrerede programmer.
Så er problemet løst; Du her central opdaterings funktion i dit system, som opdatere alle programmer der registrerer sig, på et tidspunkt du (som bruger) selv har valgt. Og vigtigst af alt, det er 100% uafhængigt af os :-)

  • 0
  • 0
Peter Makholm Blogger

Kim, du stiller et ganske godt spørgsmål. For selvfølgelig bør jeg aldrig sætte noget ind i min sources.list hvis jeg ikke har tillid til at ejeren af repositoriet ikke har onde hensigter. Alene det at installlere en Debian-pakke på et system giver reelt set pakke-byggeren root-adgang til maskinen.

Min mistillid handler mere om deres gode hensigter. For eksempel at de af ren og skær venlighed også lige "tilbyder" at opgradere nogle centrale pakker jeg allerede har. Hvis vi ikke lige holder tungen lige i munden og kommer frem til en fornuftig "best practise", så er det DLL-Hell om igen. En del af vejen kunne man komme med apt's eksisterende pinning-system hvor man kan vælge prioriteten af repositories på pakkeniveau, men jeg kunne også forestille mig at man kunne slå muligheden for at overskrive filer i eksisterende pakker (dpkg-divert) fra.

Apt er et fremragende system, men jeg tror der er en række ting man burde overveje hvis det skulle skalerer til at den almindelige bruger skulel have snesevis af repositories.

Med hensyn til sikkerhedsopdateringer, så er det en problematik der er helt uafhængig af hvordan man håndterer hvilke pakker der skal opdateres. Det er et rent QA-spørgsmål i pakkebyggeriet.

  • 0
  • 0
Rasmus Schultz

Hvad med en offentlig, åben XML-standard for software opdateringer?

Så kunne man "subscribe" til forskellige opdaterings "feeds" fra ét opdaterings-program på sin computer, a'la newsfeeds (RSS, ATOM, osv.).

Et XML-feed kan man jo lave fra en hvilken som helst server - og hvis standarden bliver åben, så er brugerne ikke bundet fast på nogen bestemt opdaterings-klient, klient eller server software.

  • 0
  • 0
C S

Til Flemming, Rasmus:

Kig på Zero Install http://0install.net/

Det virker som I begge beskriver.

Det bedste ved det er, at det ikke er centraliseret og man derfor ikke er bundet til én distro.

Ulempen ved repository-modellen, som den fungerer nu (Debian, SUSE osv) er, at som alm. bruger er det nogle gange svært at installere software, der ikke er en del af distroens godkendte repository. Det ville være rart med en standard, som alle benyttede, men det er ren utopi, at tro, at folk ville kunne blive enige.

  • 0
  • 0
Kim Højgaard-hansen

Ah, ja det gav mere mening :)

Jeg kan dog ikke se hvorfor det behøves være mange repositories. Jeg har det fint med kun at have 1

"Med hensyn til sikkerhedsopdateringer, så er det en problematik der er helt uafhængig af hvordan man håndterer hvilke pakker der skal opdateres. Det er et rent QA-spørgsmål i pakkebyggeriet."

Tja, jeg mener nu det er et spørgsmål om mandetimer. Jeg kan sagtens høre Adobe sige "Hvor i alverden skulle vi bruge tid på at lave sikkerhedsfix til version 7 når vi forventer at alle kører 8 ?" På den måde bliver du som bruger "tvunget" til at acceptere ny funktionalitet. Det vil jeg fx være meget ked af på et firmanetværk hvor folk bare forventer tingene virker. Så bliver patch-tuesday ligepludselig 10 gange værre :)

  • 0
  • 0
Jarnis Bertelsen

Jeg er enig i at Software Update på Mac OS X fungerer fortrineligt og giver brugeren god kontrol med hvad der opdateres. Desværre lider det af samme begrænsning som Windows Update, nemlig at det kun er Apple's egne programmer der opdateres. Derfor har man som på windows et væld af tredieparts produkter med egen opdateringsfunktion (og sågar apple's egne produkter - hvorfor har iTunes sin egen opdateringsfunktion på mac?).

Det ville klæde Apple at vise vejen og åbne Software Update for trediepartsprodukter på en måde der er en fordel for både brugere og leverandører.

Jarnis

  • 0
  • 0
Jarnis Bertelsen

Jeg er enig i at Software Update på Mac OS X fungerer fortrineligt og giver brugeren god kontrol med hvad der opdateres. Desværre lider det af samme begrænsning som Windows Update, nemlig at det kun er Apple's egne programmer der opdateres. Derfor har man som på windows et væld af tredieparts produkter med egen opdateringsfunktion (og sågar apple's egne produkter - hvorfor har iTunes sin egen opdateringsfunktion på mac?).

Det ville klæde Apple at vise vejen og åbne Software Update for trediepartsprodukter på en måde der er en fordel for både brugere og leverandører.

Jarnis

  • 0
  • 0
Jarnis Bertelsen

Jeg er enig i at Software Update på Mac OS X fungerer fortrineligt og giver brugeren god kontrol med hvad der opdateres. Desværre lider det af samme begrænsning som Windows Update, nemlig at det kun er Apple's egne programmer der opdateres. Derfor har man som på windows et væld af tredieparts produkter med egen opdateringsfunktion (og sågar apple's egne produkter - hvorfor har iTunes sin egen opdateringsfunktion på mac?).

Det ville klæde Apple at vise vejen og åbne Software Update for trediepartsprodukter på en måde der er en fordel for både brugere og leverandører.

Jarnis

  • 0
  • 0
Jarnis Bertelsen

Jeg er enig i at Software Update på Mac OS X fungerer fortrineligt og giver brugeren god kontrol med hvad der opdateres. Desværre lider det af samme begrænsning som Windows Update, nemlig at det kun er Apple's egne programmer der opdateres. Derfor har man som på windows et væld af tredieparts produkter med egen opdateringsfunktion (og sågar apple's egne produkter - hvorfor har iTunes sin egen opdateringsfunktion på mac?).

Det ville klæde Apple at vise vejen og åbne Software Update for trediepartsprodukter på en måde der er en fordel for både brugere og leverandører.

Jarnis

  • 0
  • 0
Log ind eller Opret konto for at kommentere