Bernhard Reiter reiter@fsfeurope.org schrieb:
Am Mittwoch, 21. Oktober 2009 15:14:13 schrieb Volker Grabsch:
Henry Jensen hjensen@gmx.de schrieb:
es gibt nun eine erste Reaktion auf die FSFE-Meldung:
http://derstandard.at/1254312007572/Update-Probleme-auch-bei-Open-Source
"Dass sich Microsoft im Vergleich zu anderen Software-Anbietern besonders nachlässig verhalte, glaubt er nicht."
Das ist ein wichtiger Punkt, denn Microsoft hat in den letzten Jahren, auch durch Lobby-Arbeit, an seinem Image bzgl. Umgang mit Sicherheits-Schwachstellen stark verbessert. Ob dieses neue Image so gerechtfertigt ist, sei mal dahingestellt, aber zumindest geistert es in vielen Köpfen der IT-Welt herum.
Ja, unsere Pressemitteilung enthält zwei deutliche Beispiele, welche für einen besonders nachlässiges Verhalten sprechen. Vermutlich hätten wir das noch besser herausarbeiten müssen.
Ja, wahrscheinlich.
Für die FSFE bedeutet das, dass Pressemitteilungen, die in diese Kerbe schlagen, stets ein paar Quellenangaben mitliefern sollten. Das könnte in Zukunft verhindern, dass Pressemittelungen wie im obigen Artikel pauschal als Microsoft-Bashing abgetan werden.
Darüber hatte ich nachgedacht - es aber als zu verwirrend empfunden und wenig neu. Recht gut für die Vorgeschichte bis 2007 ist übrigens: http://www.dwheeler.com/oss_fs_why.html#security
Das geht in die richtige Richtung, ist aber nicht das, was ich meinte. Die Webseite zeigt auf, inwiefern Microsoft-Produkte von Sicherheitslücken betroffen sind, aber nicht, wie Microsoft damit umgeht. Das geht dort etwas unter, und wird eher indirekt erwähnt.
Natürlich ist es wichtig, Sicherheitsprobleme von vornherein zu vermeiden. Aber für die Pressemitteilung ist gerade die andere Seite der Medaille wichtig: Wenn ein Problem bekannt geworden ist, wie ging Microsoft in den letzten Jahren damit um?
Wie schnell warnten sie ihre Nutzer, wie wahrheitsgetreu/aufrichtig waren ihre Pressemitteilungen, wie schnell wurde Abhilfe bereit gestellt, etc.?
Gibt es zu diesem Aspekt gute Quellen? Wenn ja, hätte eine solche in die FSFE-Pressemitteilungen hinein gemusst, damit sie nicht pauschal als MS-Bashing abgetan werden kann.
Gruß,
Volker