Was haltet ihr von Vista?

[DVD]

Was, du meinst, Microsoft hat eine vollständige semantische Analyse von Vista gemacht und den mathematischen Beweis geführt, daß das Programm keinerlei Pufferüberläufe etc. hat? (Kleiner Hinweis: Das ist schon bei einem eigenhändig in C geschriebenen Taschenrechner ein Riesenaufwand.)
Ich meine eben nicht, daß irgendwelche alten Viren Vista unterlaufen sondern eben, daß NTLOGON beliebige Daten in das eigene Codesegment schreibt, wenn man beim Remotelogin ein Paket schickt, das exakt 23403 Byte lang ist oder daß ein Fehler im IPv6-Stack die Firewall zum Absturz bringen kann, wenn ein manipulierter ICMP-Request kommt. Etwas in der Richtung. Es gibt keine derart komplexe Software ohne Sicherheitslücken und Bugs und direkt nach dem ersten Release gibt's davon immer einige.
1.) Was ist ein XP-Key? Meinst du Registryschlüssel?
2.) Denkst du wirklich, daß die Releaseversion von Vista zu den Betas und RCs völlig inkompatibel seind wird? Ich auch nicht. Also haben die Blackhats seit der ersten Beta Zeit gehabt, ihren Kram an die neue Registry anzupassen.

...

1. Ja, meine ich.
2. Ich habe nie behauptet, dass Vista absolut sicher ist. Nur fast alle "alten" Malwareprogramme (und das sind laut Kaspersky Labs immerhin ~200.000) werden nicht in der Lage sein, unter Vista zu laufen, wodurch Vista ein großes Stück sicherer als XP ist. Und falls mehr Vista-Viren kommen sollten: Man kann auch unter Vista ein Antivirenprogramm eines Drittanbieters installieren.

Genau das ist es. Weniger "zomg so böse" als "hey, was passiert eigentlich, wenn mir der Prozessor wegstirbt und ich ein neues TPM mit neuen Schlüsseln habe?". Zumindest vor ein paar Monaten war die Sache auf microsoft.com so beschrieben, daß der Festplatteninhalt bei einem TPM-Defekt wirklich weg ist.
Kann natürlich sein, daß sie das mittlerweile entschärft haben, damit machen sie aber auch die Verschlüsselung unsicher (weil umgehbar).

BTW, OS X und Linux unterstützen mittlerweile auch TPMs, also relativiert sich das eh alles (wobei man den Kram bei Linux auch einfach aus dem Kernel nehmen kann).

...

Man muss auch bei Vista nicht das TPM für Bitlocker verwenden, sondern kann auch ganz normal ein Passwort verwenden. Und bezüglich "Wenn das TPM weg ist, sind die Daten auch weg": Es ist genauso, wenn du das Passwort vergessen hast.
(Screenshot folgt, wenn VMWare hochgefahren ist)
EDIT:

[Jesus_666]

1. Ja, meine ich.
2. Ich habe nie behauptet, dass Vista absolut sicher ist. Nur fast alle "alten" Malwareprogramme (und das sind immerhin ~200.000) werden nicht in der Lage sein, unter Vista zu laufen, wodurch Vista ein großes Stück sicherer als XP ist. Und falls mehr Vista-Viren kommen sollten: Man kann auch unter Vista ein Antivirenprogramm eines Drittanbieters installieren.

...

In der Hinsicht war auch Windows XP weit sicherer als Me, 2000 als NT4 und 95 als 3.11. Würdest du Windows 95 deshalb als sicher bezeichnen?
Im Gegensatz zu Vista sind bei XP und 2000 allerdings die meisten Schwachstellen bekannt und viele wurden schon korrigiert. Vista hat massive Änderungen im Code und damit viele potentielle neue Fehler - es ist schlicht schlecht einschätzbar. Es hat schon seinen Sinn, warum viele Datencenter jetzt gerade ihre alten NT4-Kisten mit Windows 2000 ersetzen.

Ich persönlich würde mit dem Vista-Upgrade warten, bis SP1 draußen ist. XP hatte bis SP1 eklatente Mängel und Vista wird auch welche haben.

Man muss auch bei Vista nicht das TPM für Bitlocker verwenden, sondern kann auch ganz normal ein Passwort verwenden. Und bezüglich "Wenn das TPM weg ist, sind die Daten auch weg": Es ist genauso, wenn du das Passwort vergessen hast.

...

Im Gegensatz zu einem verlorenen Paßwort läßt sich ein verlorenes TPM aber schlecht umgehen. Beim Paßwort kann man immerhin den Raum der möglichen Paßwörter absuchen und im Ernstfall einfach bruteforcen; beim TPM ist das weniger machbar, da der zu durchsuchende Raum weit größer ist.
Außerdem ist es unwahrscheinlich, daß man ein Paßwort vergißt, das man täglich beim Boot eingibt, aber ein Hardwaredefekt ist jederzeit möglich. Was mich beim TPM wurmt ist eben, daß der Ausfall einer Systemkomponente (beispielsweise durch eine Spannungsspitze) den Totalverlust sämtlicher Daten zur Folge haben kann.

Falls du mir jetzt mit "wenn die Festplatte Kaputtgeht sind die Daten auch weg" kommst: Das Risiko besteht immer noch zusätzlich zu dem eines TPM-Defekts. Außerdem kann man im Ernstfall auch von defekten Festplatten noch Daten retten; bei unerreichbar verschlüsselten Daten hilft einem kein Datenforensiker der Welt.

[DVD]

In der Hinsicht war auch Windows XP weit sicherer als Me, 2000 als NT4 und 95 als 3.11. Würdest du Windows 95 deshalb als sicher bezeichnen?

...

Nein, aber weder 95, noch 2000, noch XP hatten bisher so viele neue Sicherheitsfeatures wie Vista. Z. B. ist XP für dieselben Viren anfällig, die auch Win2k infizieren können; Vista ist allerdings gegen fast alle XP-Viren immun. Und mit den ersten Updates werden sicher auch viele Lücken geschlossen, die von neuen Viren ausgenutzt werden.

Ich persönlich würde mit dem Vista-Upgrade warten, bis SP1 draußen ist. XP hatte bis SP1 eklatente Mängel und Vista wird auch welche haben.

...

Offensichtlich hast du meine vorherigen Posts nicht gelesen, in denen ich mehrmals erwähnt habe, dass ich mit dem Upgrade auf das SP1 warten werde.

Im Gegensatz zu einem verlorenen Paßwort läßt sich ein verlorenes TPM aber schlecht umgehen. Beim Paßwort kann man immerhin den Raum der möglichen Paßwörter absuchen und im Ernstfall einfach bruteforcen; beim TPM ist das weniger machbar, da der zu durchsuchende Raum weit größer ist.
Außerdem ist es unwahrscheinlich, daß man ein Paßwort vergißt, das man täglich beim Boot eingibt, aber ein Hardwaredefekt ist jederzeit möglich. Was mich beim TPM wurmt ist eben, daß der Ausfall einer Systemkomponente (beispielsweise durch eine Spannungsspitze) den Totalverlust sämtlicher Daten zur Folge haben kann.

Falls du mir jetzt mit "wenn die Festplatte Kaputtgeht sind die Daten auch weg" kommst: Das Risiko besteht immer noch zusätzlich zu dem eines TPM-Defekts. Außerdem kann man im Ernstfall auch von defekten Festplatten noch Daten retten; bei unerreichbar verschlüsselten Daten hilft einem kein Datenforensiker der Welt.

...

Also, erstens habe ich in meinem vorherigen Post bereits erwähnt, dass das TPM für die Verschlüsselung nicht erforderlich ist. Zweites geht aus meinem Screenshot hervor, dass man die Möglichkeit hat, ein Wiederherstellungspasswort anzulegen, womit man die Verschlüsselung ggf. aufheben kann. Und drittens werden die Daten beim Export auf ein anderes Medium sowieso automatisch entschlüsselt und lassen sich dann auf herkömmliche Weise verschlüsseln/sichern, z. B. mit Truecrypt.

[Jesus_666]

Nein, aber weder 95, noch 2000, noch XP hatten bisher so viele neue Sicherheitsfeatures wie Vista. Z. B. ist XP für dieselben Viren anfällig, die auch Win2k infizieren können; Vista ist allerdings gegen fast alle XP-Viren immun. Und mit den ersten Updates werden sicher auch viele Lücken geschlossen, die von neuen Viren ausgenutzt werden.

...

"Ist so sicher wie noch kein Windows bisher" ist etwas, das auch über XP und 2000 gesagt wurde. Und es war jedes mal wahr. Zugegeben, Vista hat einige wirklich gute neue Features (die von denen das wichtigste ist, daß man das Betriebssystem jetzt auch als Nichtadministrator brauchbar benutzen kann), aber auch die werden umgangen werden.
Vista steht atm unter dem gleichen Schutz wie OS X: Es ist einfach nicht populär genug, damit zehntausende Blackhats systematisch nach Schwachstellen suchen (auch deshalb, weil die Betas und RCs in bestimmten Details doch vom Endprodukt abweichen): Aber die Grundlagen werden schon studiert und nach dem pre-Rollout Ende des Jahres wird der Schutz abnehmen.
Sprich: Es ist relativ egal, ob alte Viren und Würmer laufen; es werden neue geschrieben werden. Und Rechteeskalation funktioniert auch, ohne daß der User mit einem Administratorkonto angemeldet ist. Daß die entsprechenden Löcher gepatcht werden ändert nichts daran, daß neue gefunden werden.

Offensichtlich hast du meine vorherigen Posts nicht gelesen, in denen ich mehrmals erwähnt habe, dass ich mit dem Upgrade auf das SP1 warten werde.

...

Ändert nichts daran, daß "warte auf das zweite Release" ein Ratschlag ist, den man nicht oft genug wiederholen kann. Und immerhin lesen auch noch andere Leute mit. ;)

Also, erstens habe ich in meinem vorherigen Post bereits erwähnt, dass das TPM für die Verschlüsselung nicht erforderlich ist. Zweites geht aus meinem Screenshot hervor, dass man die Möglichkeit hat, ein Wiederherstellungspasswort anzulegen, womit man die Verschlüsselung ggf. aufheben kann. Und drittens werden die Daten beim Export auf ein anderes Medium sowieso automatisch entschlüsselt und lassen sich dann auf herkömmliche Weise verschlüsseln/sichern, z. B. mit Truecrypt.

...

1.) Und mein Argument geht gegen den Einsatz des TPM zur Festplattenverschlüsselung, nicht gegen BitLocker an sich.
2.) Aus dem (übrigens grauenhaft übersetzten und fast unlesbaren) Text geht nicht hervor, daß man in der Lage ist, ein Paßwort anzugeben, das ein mit dem TPM-Schlüssel verschlüsseltes Volume entschlüsseln kann.
3.) Es ging mir eben darum, daß ein TPM-Verlust den Inhalt der Festplatte gefährden würde. Natürlich wären Backups ein Gegenmittel, aber es ist immer noch ein Problem.

[DVD]

"Ist so sicher wie noch kein Windows bisher" ist etwas, das auch über XP und 2000 gesagt wurde. Und es war jedes mal wahr. Zugegeben, Vista hat einige wirklich gute neue Features (die von denen das wichtigste ist, daß man das Betriebssystem jetzt auch als Nichtadministrator brauchbar benutzen kann), aber auch die werden umgangen werden.
Vista steht atm unter dem gleichen Schutz wie OS X: Es ist einfach nicht populär genug, damit zehntausende Blackhats systematisch nach Schwachstellen suchen (auch deshalb, weil die Betas und RCs in bestimmten Details doch vom Endprodukt abweichen): Aber die Grundlagen werden schon studiert und nach dem pre-Rollout Ende des Jahres wird der Schutz abnehmen.
Sprich: Es ist relativ egal, ob alte Viren und Würmer laufen; es werden neue geschrieben werden. Und Rechteeskalation funktioniert auch, ohne daß der User mit einem Administratorkonto angemeldet ist. Daß die entsprechenden Löcher gepatcht werden ändert nichts daran, daß neue gefunden werden.

...

Schön und gut; allerdings haben sich in den 5 Jahren, in denen XP und der IE6 auf dem Markt sind, viel mehr Viren und Malware angesammelt, als es für Vista je geben kann. Ich bezweifle nämlich, dass Vista auch fünf Jahre auf dem Markt ist, und Microsoft haben angekündigt, dass ab jetzt jedes Jahr ein neuer IE veröffentlicht werden soll, sprich: Die Hacker haben längst nicht soviel Zeit, sich an Vista/IE7 anzupassen, wie an XP. Und mal ganz nebenbei: Bei den Definitions-Updates für den Windows Defender muss man nicht auf den nächsten Patchday warten, sondern bekommt mehrmals wöchentlich ein neues Definitionspaket, das automatisch installiert wird, ohne dass man einen Finger krumm machen muss, und wieder gegen neue Malware schützt. Weder 95 noch 2000 noch XP noch irgendeine andere Windows-Version haben eine vergleichbare Funktion integriert.

1.) Und mein Argument geht gegen den Einsatz des TPM zur Festplattenverschlüsselung, nicht gegen BitLocker an sich.
2.) Aus dem (übrigens grauenhaft übersetzten und fast unlesbaren) Text geht nicht hervor, daß man in der Lage ist, ein Paßwort anzugeben, das ein mit dem TPM-Schlüssel verschlüsseltes Volume entschlüsseln kann.
3.) Es ging mir eben darum, daß ein TPM-Verlust den Inhalt der Festplatte gefährden würde. Natürlich wären Backups ein Gegenmittel, aber es ist immer noch ein Problem.

...

Mir ist leider klar, wie schlecht der Text übersetzt ist. Ist ja auch noch die Beta 2, daher wurden alle Hilfetexte nur maschinell übersetzt.
Ich werde mal aus dem Text zitieren:

If Bitlocker detects a system condition that could represent a security risk (...), it will lock the drive and require a special Bitlocker recovery key or password to unlock it.

...

Sprich, man kann mit einem vorher festgelegten Passwort das Laufwerk entschlüsseln, auch wenn das TPM fehlerhaft ist.

[Jesus_666]

Schön und gut; allerdings haben sich in den 5 Jahren, in denen XP und der IE6 auf dem Markt sind, viel mehr Viren und Malware angesammelt, als es für Vista je geben kann. Ich bezweifle nämlich, dass Vista auch fünf Jahre auf dem Markt ist, und Microsoft haben angekündigt, dass ab jetzt jedes Jahr ein neuer IE veröffentlicht werden soll, sprich: Die Hacker haben längst nicht soviel Zeit, sich an Vista/IE7 anzupassen, wie an XP. Und mal ganz nebenbei: Bei den Definitions-Updates für den Windows Defender muss man nicht auf den nächsten Patchday warten, sondern bekommt mehrmals wöchentlich ein neues Definitionspaket, das automatisch installiert wird, ohne dass man einen Finger krumm machen muss, und wieder gegen neue Malware schützt. Weder 95 noch 2000 noch XP noch irgendeine andere Windows-Version haben eine vergleichbare Funktion integriert.

...

1.) Vor Vista kamen die Windowse auch in kürzerem Abstand raus, hat auch nichts dran geändert, daß es haufenweise Exploits gab/gibt.
2.) Nein, Vista und nachfolgende Windowse werden nicht magisch gegen Exploits immun sein. Es gibt kaum eine Kombination von Kernel und Userland, für die es nicht innerhalb weniger Monate Exploits gibt - selbst OpenBSD ist nicht gegen sowas immun.
3.) Siehe "0-day".

Es wird besser, aber Vista ist keinesfalls eine Wunderwaffe gegen Sicherheitsprobleme. So etwas gibt es einfach nicht.

Mir ist leider klar, wie schlecht der Text übersetzt ist. Ist ja auch noch die Beta 2, daher wurden alle Hilfetexte nur maschinell übersetzt.
Ich werde mal aus dem Text zitieren:
Sprich, man kann mit einem vorher festgelegten Passwort das Laufwerk entschlüsseln, auch wenn das TPM fehlerhaft ist.

...

Zumindest auf dem von dir gezeigten Screenshot ist dieser Satz nicht zu finden.

[DVD]

1.) Vor Vista kamen die Windowse auch in kürzerem Abstand raus, hat auch nichts dran geändert, daß es haufenweise Exploits gab/gibt.
2.) Nein, Vista und nachfolgende Windowse werden nicht magisch gegen Exploits immun sein. Es gibt kaum eine Kombination von Kernel und Userland, für die es nicht innerhalb weniger Monate Exploits gibt - selbst OpenBSD ist nicht gegen sowas immun.
3.) Siehe "0-day".

Es wird besser, aber Vista ist keinesfalls eine Wunderwaffe gegen Sicherheitsprobleme. So etwas gibt es einfach nicht.

...

Habe ich nicht behauptet. Allerdings wird es auch längerfristig sicherer sein als XP, aufgrund der von mir erwähnten Definitionsupdates und einem schnelleren Fortschritt bezüglich Browsern, während XP (Browser 5 Jahre alt, keine Sicherheitsfeatures, ohne SPs große Sicherheitslöcher) auch in Zukunft anfällig für Viren bleiben wird. Und falls einem die Sicherheitsfeatures von Vista nicht reichen, kann man sich immer noch ein zusätzliches AV-Programm draufspielen.

Zumindest auf dem von dir gezeigten Screenshot ist dieser Satz nicht zu finden.

...

Lies dir mal meinen Screenshot genauer durch, ich habe wörtlich zitiert.

[Jesus_666]

Man bemerke, daß SP-lose XPs in der Regel nicht mit dem Internet verbunden sind oder vom User das Autoupdate deaktiviert bekommen haben - und das geht sicher auch bei Vista.

BTW, IE7 ist nicht fünf Jahre alt und wird AFAIK mitterweile allen XP-Usern als dringendes Update aufgedrängt. Abgesehen davon wird XP noch bis 12 Monate nach dem Vista-Launch mit Patches versorgt. Und man kann sogar Antivirensoftware installieren (wobei in der Regel ein NAT-Router bessere Dienste leistet).


Was deinen Screenchot angeht so habe ich den Satz wirklich nicht gefunden - allerdings habe ich auch nicht die Zeit, mir jeden einzelnen Satz genau durchzulesen. Es wäre hilfreich, wenn du mir wenigstens sagen könntest, in welchem Absatz das stehen soll.

[DVD]

Was deinen Screenchot angeht so habe ich den Satz wirklich nicht gefunden - allerdings habe ich auch nicht die Zeit, mir jeden einzelnen Satz genau durchzulesen. Es wäre hilfreich, wenn du mir wenigstens sagen könntest, in welchem Absatz das stehen soll.

...

Zweitletzter Absatz über "So aktivieren Sie Bitlocker".

Dass man als Vista User mit "regelmäßigen" IE Updates sicherer ist halte ich auch für ein Gerücht. Einerseits erscheint der Next frühestens in eineinhalb Jahren, andererseits ist der IE7 noch voller Lücken, die bereits in früheren Versionen vorhanden waren.

...

Die meisten IE-Lücken sind in Vista dank UAC nutzlos. Da der IE nämlich keine Admin-Rechte mehr besitzt und man allen damit vorgenommenen Zugriffen auf Systemordner zustimmen muss, können Skripts/Malware zwar durchkommen, aber im Vergleich zu XP größtenteils keinen Schaden anrichten.

Ich bin mir aber ziemlich sicher, dass alternative Browser noch einige Zeit über einen wesentlichen Sicherheitsvorteil verfügen werden.

...

Die sich unter Vista auch verwenden lassen, falls man gegen den IE Abneigungen hat. Ich habe sowohl Firefox als auch Opera unter Vista getestet, beide funzen einwandfrei.

[Jesus_666]

Zweitletzter Absatz über "So aktivieren Sie Bitlocker".

...

Bin die beiden Absätze vor "so aktivieren Sie..." durchgegangen. Dein Zitat steht da nirgends.

Die meisten IE-Lücken sind in Vista dank UAC nutzlos. Da der IE nämlich keine Admin-Rechte mehr besitzt und man allen damit vorgenommenen Zugriffen auf Systemordner zustimmen muss, können Skripts/Malware zwar durchkommen, aber im Vergleich zu XP größtenteils keinen Schaden anrichten.

...

Und jede vernünftige Serversoftware läuft nicht als root/Administrator, trotzdem kann man über Sicherheitslücken in der Software Administratorrechte erlangen. Der IE hat eine Sandbox, aber es bleibt abzusehen, ob die auch hält, was sie verspricht.

Außerdem reicht es schon, wenn ein Programm es schafft, sich für den aktuellen Nutzer einzurichten. Man braucht keinen Administratorzugriff, um einen Botnet-Client zu erzeugen. Datenschädigende Viren werden seltener, weil es viel profitabler ist, Computer zu Zombies zu machen und mit ihnen Spam zu verschicken.

[DVD]

Bin die beiden Absätze vor "so aktivieren Sie..." durchgegangen. Dein Zitat steht da nirgends.

...

Bitte sehr, dann streiche ich es dir mal rot an.

Und jede vernünftige Serversoftware läuft nicht als root/Administrator, trotzdem kann man über Sicherheitslücken in der Software Administratorrechte erlangen. Der IE hat eine Sandbox, aber es bleibt abzusehen, ob die auch hält, was sie verspricht.

...

Aber immer noch besser als die aktuelle Situation (von XP), den IE und alle ActiveX-Elemente im Admin-Modus laufen zu lassen. Bei Linux lässt man auch wohl kaum den Browser immer im Root-Modus laufen.

Außerdem reicht es schon, wenn ein Programm es schafft, sich für den aktuellen Nutzer einzurichten. Man braucht keinen Administratorzugriff, um einen Botnet-Client zu erzeugen. Datenschädigende Viren werden seltener, weil es viel profitabler ist, Computer zu Zombies zu machen und mit ihnen Spam zu verschicken.

...

In meiner Betaversion hatte Vista eine integrierte Zweiwege-Firewall, die bemerken würde, wenn ein Botnet-Client versucht, eine Internet-Verbindung herzustellen. Wurde aber AFAIK ab RC1 wieder rausgestrichen; man kann nur hoffen, dass sie mit dem SP1 wieder mitgeliefert wird.

[Jesus_666]

Bitte sehr, dann streiche ich es dir mal rot an.

...

Ah. Wenn du gleich gesagt hättest, daß du es paraphrasiert und nicht zitiert hast hätte ich auch gewußt, daß ich nicht nach dem Wortlaut suchen sollte.

Aber immer noch besser als die aktuelle Situation (von XP), den IE und alle ActiveX-Elemente im Admin-Modus laufen zu lassen. Bei Linux lässt man auch wohl kaum den Browser immer im Root-Modus laufen.

...

Was, nicht? Verdammt, das habe ich immer falsch gemacht!

In meiner Betaversion hatte Vista eine integrierte Zweiwege-Firewall, die bemerken würde, wenn ein Botnet-Client versucht, eine Internet-Verbindung herzustellen. Wurde aber AFAIK ab RC1 wieder rausgestrichen; man kann nur hoffen, dass sie mit dem SP1 wieder mitgeliefert wird.

...

Der Kram schützt einen auch nur solange er nicht unterlaufen wird - beispielsweise indem der Botnet-Client die Verbindung über ein legitimes Programm herstellt (siehe Thema "Exploits").

[mitaki]

BTW, IE7 ist nicht fünf Jahre alt und wird AFAIK mitterweile allen XP-Usern als dringendes Update aufgedrängt.

...

Wobei man sich auch gegen die Installation entscheiden kann, welche auch nur mit WGA prüfung möglich ist.
Davon abgesehen probiert MS hier ein neues Verteilungsystem aus, wodurch der IE7 über die nächsten Monate auf die XP PCs verteilt wird.

Dass man als Vista User mit "regelmäßigen" IE Updates sicherer ist halte ich auch für ein Gerücht. Einerseits erscheint der Next frühestens in eineinhalb Jahren, andererseits ist der IE7 noch voller Lücken, die bereits in früheren Versionen vorhanden waren.
Gut, ich kann nicht beurteilen, wie die Vista Sicherheitsfeatures die Situation verbessern. Ich bin mir aber ziemlich sicher, dass alternative Browser noch einige Zeit über einen wesentlichen Sicherheitsvorteil verfügen werden.

[rgb]

Ich halte auch nicht so viel von Vista.
Sieht zwar schick aus, aber meiner Meinung nach zu viel Schnick-Schnack dabei. Und auf Rechenleistung moechte ich deswegen auch nicht verzichten.