29.10.2023, 21:45
Das geht jetzt zwar vom Thema ab, aber für die eigentlich thematisierte Sicherheitslücke gibt es seit ein paar Tagen einen Patch, also Update einspielen und glücklich werden. (Sofern Apple-Geräte mit Safari im Haus, sonst eh egal.)
Das ist sicher sehr sicher, aber für die Allgemeinbevölkerung im Alltag nicht praktikabel. Die meisten werden so einen hohen Sicherheitslevel nur fahren wollen, wenn es wirklich drauf ankommt. Whistleblower, Kriegsreporter usw...
Was die US-Regierung macht ist mir erst mal egal, sofern das keine neuen Katastrophen außerhalb ihrer Landesgrenzen auslöst. Das BSI wägt nicht bezüglich Firmeninteressen ab, aber filtert die Informationen an die allgemeine Öffentlichkeit (Bürger-CERT). Wenn es eh keine "Mitigation" gibt, wäre die Alternative für Normalbürger den Rechner bis zur Lösung des Problems vom Internet fern zu halten. Da wird dann bei den Warnungen abgewogen, ob z.B. schon kriminelle Aktivitäten festgestellt wurden. Nicht jedes Leak wird auch gleich ausgenutzt, viele Schwachstellen benötigen viel Spezialwissen, das die üblichen Scriptkiddies nicht haben.
Und was wir beim BSI sehen sind nur die für die allgemeine Öffentlichkeit freigegebenen Dokumente. Sicherheitsbeauftragte in den Behörden kommen an die anderen Dokumente ran (Einstufung nicht "weiß"). Und die Sicherheitsbeauftragten von Firmen kommen über äquivalente Informationsketten ebenfalls an die Informationen über kritische Schwachstellen, die bisher noch keinen Patch haben.
Was hilft es Millionen Bürgern die Pferde scheu zu machen, wenn noch keine Lösung (Mitigation) in Sicht ist? Und dabei womöglich noch Script-Kiddies auf dumme Ideen zu bringen? Offiziell bekannt ist eine fünfstellige Zahl von Sicherheitslücken, welche Privatleute wollen sich da durch flöhen? Klar, man kann Fan von irgendwem im Netz sein, und was der dann für relevant hält, ist eben relevant. Ich vertraue da lieber einer Behörde mit vielen Angestellten, oder Heise.de, als mich kirre machen zu lassen von einzelnen privaten Bloggern im Web.
(29.10.2023, 21:08)Cheryl Furse schrieb: Ich nutze auch (normalerwiese) nur Firefox und Tor ... auch ohne Java script auskommt.
Das ist sicher sehr sicher, aber für die Allgemeinbevölkerung im Alltag nicht praktikabel. Die meisten werden so einen hohen Sicherheitslevel nur fahren wollen, wenn es wirklich drauf ankommt. Whistleblower, Kriegsreporter usw...
(29.10.2023, 21:08)Cheryl Furse schrieb: Ich wusste es schon ... 3 Monate früher, bevor es dann auch die US Regierung veröffentlichte. BSI ist eine staatliche Institution und bevor die etwas veröffentlichen wird erst immer abgewogen, ob es der Firma schadet.
Was die US-Regierung macht ist mir erst mal egal, sofern das keine neuen Katastrophen außerhalb ihrer Landesgrenzen auslöst. Das BSI wägt nicht bezüglich Firmeninteressen ab, aber filtert die Informationen an die allgemeine Öffentlichkeit (Bürger-CERT). Wenn es eh keine "Mitigation" gibt, wäre die Alternative für Normalbürger den Rechner bis zur Lösung des Problems vom Internet fern zu halten. Da wird dann bei den Warnungen abgewogen, ob z.B. schon kriminelle Aktivitäten festgestellt wurden. Nicht jedes Leak wird auch gleich ausgenutzt, viele Schwachstellen benötigen viel Spezialwissen, das die üblichen Scriptkiddies nicht haben.
Und was wir beim BSI sehen sind nur die für die allgemeine Öffentlichkeit freigegebenen Dokumente. Sicherheitsbeauftragte in den Behörden kommen an die anderen Dokumente ran (Einstufung nicht "weiß"). Und die Sicherheitsbeauftragten von Firmen kommen über äquivalente Informationsketten ebenfalls an die Informationen über kritische Schwachstellen, die bisher noch keinen Patch haben.
Was hilft es Millionen Bürgern die Pferde scheu zu machen, wenn noch keine Lösung (Mitigation) in Sicht ist? Und dabei womöglich noch Script-Kiddies auf dumme Ideen zu bringen? Offiziell bekannt ist eine fünfstellige Zahl von Sicherheitslücken, welche Privatleute wollen sich da durch flöhen? Klar, man kann Fan von irgendwem im Netz sein, und was der dann für relevant hält, ist eben relevant. Ich vertraue da lieber einer Behörde mit vielen Angestellten, oder Heise.de, als mich kirre machen zu lassen von einzelnen privaten Bloggern im Web.
![[-]](https://www.gridtalk.de/images/collapse.png)