Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik-Blog

Mythen in Tüten: Sichere Software


Gestern hat Bill Gates ein Memo von sich gegeben laut dem die 'Trustworthy Computing' Initiative bei Microsoft erste Erfolge zählt. Dabei geht es darum die Sicherheitsmängel in Windows Clients und Server - und ganz allgemein in Microsofts Software zu verringern. Und diese Mängel sind tatsächlich ganz erheblich zurückgegangen, dem kann ich nur zustimmen. Allerdings: Normale Anwender haben davon bisher nichts mitbekommen - doch das wird sich bald ändern.

Was Microsoft so tut um die Sicherheit der eigenen Software zu verbessern liest man zum Beispiel bei Michael Howard nach.

Dem habe ich aber noch ein paar Dinge hinzuzufügen: Es gibt immer wieder ganz pauschale Behauptungen nach denen die Sicherheit von Open Source Programmen einfach besser wäre als das bei 'normalen' Anwendungen der Fall ist. Das ist natürlich Unsinn. Sicherer sind die sichereren Anwendungen - und die sichereren Anwendungen entstehen dort, wo Hersteller und Entwickler entsprechenden Wert auf Sicherheit legen. Genau darum gehts beim Trustworthy Computing, und Microsofts Investitionen seit dem erscheinen von XP machen sich tatsächlich bemerkbar.

Angefangen haben diese Bemühungen aber erst nachdem XP erschienen ist-  und das ist auch der Grund warum man als Anwender bisher nichts davon gemerkt hat: Das einzige größere Paket bei dem man die bisheringen Arbeiten bemerken kann ist der Windows 2003 Server (und ein paar andere Server) - und sowas hat man halt normalerweise nicht zu Hause oder im Ingenieurbüro.

Wir haben hier aber sehr wohl sowas stehen: Der Text den Sie gerade lesen wird von einem Internet Information Server (IIS) unter Windows 2003 ausgeliefert. Der Open-Source Konkurrent zum IIS ist der Apache - der mit weitem Abstand am weitesten verbreitete Webserver. (Nicht das hier irgendwelche Irrtümer aufkommen: Ich mag den Apache - ich betreibe auch ein paar Server damit.)

Wenn man sich nun ansieht welche Schwachstellen Security Focus zu den beiden Webservern gesammelt hat, dann erhält man ein deutliches Ergebnis: Beim IIS 6 gibts ein einziges Problem seit dessen erscheinen, beim Apache im gleichen Zeitraum 30. (Zugegeben, das ist nicht ganz ehrlich gezählt, denn vom Apache werden 2 Versionen parallel mitgeführt - trotzdem ist das ein recht deutlicher Hinweis.)

Und beim Windows 2003 Server sind extrem viele der Sicherheitsfeatures vom XP SP2 noch gar nicht drin - die sollen erst später in diesem Jahr per Service Pack ausgeliefert werden. Diese Aenderungen aus dem Service Pack 2 für XP werden die ersten sein, die auch die allermeisten Anwender betreffen: Windows ist tatsächlich und wahrhaftig auf dem Weg deutlich sicherer zu werden - die letzten beiden Jahre bringen nun die ersten Früchte.

Wenn Microsoft weiter an der Sicherheit arbeitet wie in den letzten beiden Jahren - und daran habe ich eigentlich keinen Zweifel, werden wir in den nächsten beiden Jahren mitbekommen wie die Anzahl der Sicherheitsprobleme bei Windows dramatisch sinken wird.


Besser lesen mit TFTs


Unter XP gibt es spezielle für Farb-LCDs (die zum Beispiel in Laptops eingebauten Displays) gedachte Option zum verbessern des Schriftbildes: ClearType

ClearType ist von Haus aus ausgeschaltet, kann aber einfach eingeschaltet werden. Das geht über die Eigenschaften der Anzeige unter 'Darstellung' -> Effekte:

Darüber hinaus kann man ClearType auch noch tunen. Dazu gibts eine Online-Tuning Seite. Ich benutze das auf meinen normalen Arbeitsrechner (Acer Travelmate 800) seit einigen Wochen und weiss beim besten Willen nicht mehr wie ich _ohne_ ClearType leben konnte. :-)


Windows XP SP2 RC1 - Keine weiteren Probleme


Nachdem sich das SP2 RC1 auf der ersten Testmaschine leider nicht installieren bzw. betreiben liess, wurde der Test kurzerhand auf einer weiteren Maschine durchgeführt. Dort liess sich der Release Candidate auch problemlos installieren - es gab keinerlei unerwarteten probleme. nachdem die fehlgeschlagene installation auf dem testsystem völlig problemlos deinstalliert werden konnte, gilt noch immer der rat: probieren sie die Sache jetzt schon aus - die neuen Sicherheitseinstellungen können durchaus unerwartete Ergebnisse haben.

Auch die D.I.E. Programme laufen einwandfrei unter dem RC1; es ist nach einem solch kurzen Test natürlich nicht auszuschliessen, das es die ein oder andere kleine Problemzone gibt: Der erste Eindruck ist aber der, das alles wie erwartet funktioniert.

Wer einen Work&Cash vertrag benutzt - und das sind ja praktisch alle Anwender von D.I.E. Programmen - muss allerdings noch ein bisschen Hand anlegen. Wie sie vielleicht wissen fungiert der Timeserver (das ist das Programm das sich mit dem kleinen roten 'D' neben der Uhr bemerkbar macht) als Server. Die anderen Programme verbinden sich mit dem Timeserver um verbrauchte Zeit auszutragen oder neue Zeit anzufordern.

Das erfolgt sowohl auf einem Einzelplatzrechner als auch im LAN per Netzwerkprotokoll: Es handelt sich also um ein 'echtes' Serverprogramm.

Aus diesem Grund erhalten Sie eine Warnung von der neuen Windows Firewall, sobald das Programm gestartet wird. Diese Warnung sie folgendermaßen aus:

Nachdem sie den Timeserver ja tatsächlich nutzen wollen, wählen sie hier die Option 'Sperrung des Programm aufheben'. Danach bietet der Timeserver seine Dienste wieder an.

Sie können bei der neuen Firewall aber noch ein bisschen mehr sicherstellen. Ist die Sperrung für ein Programm aufgehoben, dann bedeutet das, das dieses Programm prinzipiell von jedermann erreichbar ist. Hat der Rechner auf dem der timeserver läuft eine Internetverbindung, dann ist der Timeserver auch aus dem Internet erreichbar. Das ist aber gar nicht notwendig, denn sie brauchen bloss eine Kommunikationsmöglichkeit im LAN.

Das stellen sie über die Firewall-Konfiguration ein. Die finden sie beim sp2 in der Systemsteuerung. Sofern sie den Timeserver bei der vorherigen Meldung bereits zugelassen haben, dann taucht er in der Liste der zulässigen Programme der Firewall auf:

Hier markieren Sie den Timeserver und klicken dann auf 'Port'. Sie können dann festlegen über welchen IP-Port der Timeserver erreichbar sein soll, und von wo aus das möglich sein soll.

Der Timeserver verwendet zur Kommunikation mit den D.I.E. Programmen den Port 6000. Wenn sie in der Timeserver-Konfiguration nichts anderes eingestellt haben, dann geben Sie hier diese Port-Nummer an, wählen 'TCP' und geben einen Namen an. Der Name dient nur der Identifizierung für Sie selbst - hier können sie also beispielsweise einfach 'd.i.e. timeserver' eintippen.

Dann klicken Sie auf 'Bereich ändern'.

Jetzt kommt der interessante Teil: Mit diesem Dialog können Sie festlegen, von wo aus eine Verbindung mit dem Timeserver hergestellt werden darf: Nachdem Sie sicherlich nicht möchten, das eine Verbindung aus dem Internet zum Timeserver hergestellt wird, klicken sie hier auf 'nur für eigenes netzwerk'. Danach sollte der Timeserver nur noch aus ihrem LAN heraus erreichbar sein.


XP Service Pack 2 RC1 - Erster Test misslungen


leider ist momentan noch nicht viel zu sagen zum service pack 2. nach download und einem doch etwas länglichem setup auf dem testrechner ging zunächst gar nichts: der rechner bootete zwar noch, aber wesentlich mehr tat er nicht.

nun, der release-candidate ist beta-code: man muss darüber nicht böse sein das es eben manchmal nicht geht - genau um das herauszufinden, findet der betatest ja statt... :-)

ärgerlich ist die sache aber schon: nach insgesamt 5 stunden ist der testrechner wieder im ursprungsstadium, aber ich weiss immer noch nicht mehr über die funktionstüchtigkeit einer 'd.i.e.' installation unter sp2.

werde also einen anderen rechner als testgerät missbrauchen und nochmal von vorne anfangen: mehr, wenn das getan ist.


Windows XP Service Pack 2 - Technical Preview


mit dem release candidate 1 gibt es ab sofort eine öffentlich verfügbare version vom windows xp service pack 2. nachdem das sp2 eine ganze menge an dingen in windows xp ändert, ist das ein guter zeitpunkt, um die sache zumindest auf einem testsystem unter die lupe zu nehmen.

bei den änderungen im service pack 2 geht es hauptsächlich um sicherheitsrelevante änderungen: netzwerkverbindungen, outlook express und die windows firewall funktionieren anders und sind umfangreicher als zuvor.

vor allem große büros mit vielen workstations sollten das sp2 jetzt bereits testen, um auf die generelle einführung im juni vorbereitet zu sein. mehr infos zum sp2 rc1 hier.

ich werde hier bei D.I.E. natürlich auch eine testinstallation machen und übers weblog berichten auf was man achten sollte. gehe aber davon aus, das sich das sp2 wenn überhaupt, dann nur auf netzwerkinstallationen von work&cash auswirken werden.




Baustatik Demoversion ausprobieren »