Die übliche Zeit für sowas ist deutlich kürzer als 90 Tage, Google hat hier bislang sogar 3mal mehr Zeit eingeräumt als es üblich ist, Cert-IST räumt z.B. dem Hersteller lediglich 30 Tage ein, bevor sie veröffentlichen: , und andere ähnliche Institutionen halten es genauso oder ähnlich, bei CERT sind es 45 Tage, die dem Hersteller eingeräumt werden, bevor veröffentlicht wird: . Googles 90 Tage sind vor dem Hintergrund und üblichen Verfahren also schon äußerst entgegenkommend und großzügig bemessen gewesen.

Irgendwas sollten Microsoft und Apple dann mal an ihrer QA und ihrem Sicherheits-Management ändern und verbessern, dass sie es schaffen, diese Fristen auch einzuhalten, statt die Latte zu reißen und zu jammern, wenn ihnen da jemand sogar das Doppelte oder gar Dreifache an Zeit einräumt und sie es trotzdem nicht in der nun schon großzügig außerhalb der Norm liegenden Zeit gebacken kriegen.

Es sind immer die Großen Unternehmen mit viel viel (unendlich) Geld, die sich einen dreck um Sicherheit kümmern. Die kleine Softwareschmiede um die Ecke fixt die, vor allem wenn diese kritisch sind zeitnah und nicht erst an vorher festgelegen Patchday.

Dazu müsste ein Apple-Mitarbeiter mal sagen, ob 90 Tage für Apple wenig oder viel sind. Aber genau das wird sicherlich nicht passieren

Die kleine Softwareschmide um die Ecke hat auch ein kleineres Programm, dass sie wartet. Da muss man schon aufpassen, dass man den Großen nicht unrecht tut. Zumindest Microsoft wird da mit einer gehörigen Menge an Hardware-Varianten klarkommen müssen. Oder umgedreht haben Sie ihren Hardware-Standard und die anderen müssen sich danach richten.

Kannst Du das umfassend einschätzen?

Ja die Sicherheit. Warum forscht Google eigentlich in dem Bereich?

30 Tage bzw. 45 Tage sind einzuhalten und zu schlagen. Das ist die Messlatte, das ist üblich. Nicht Googles großzügig bemessene 90 oder wie jetzt 104 Tage.

Cert-IST und CERT begründen sogar, warum sie das für vollkommen sinnvoll und ausreichend halten, selbst für große Organisationen und Firmen, und wann und warum sie manchmal sogar noch vor Abauf der eingeräumten Frist veröffentlichen und in welchen Ausnahmefällen sie eine Verlängerung einräumen:


Selbst wenn man Googles 90 bzw. 104 Tage betrachtet, gilt immer noch diese von Cert-Nist und CERT vorgegebene viel strengere Messlatte. Das ist im übertragenen Sinne sozusagen die Pflicht, Googles viel großzügiger bemessener Zeitraum für dieselben Fehler, die ja auch CERT gemeldet werden und dort eine Nummer bekommen, ist sozusagen die Kür. Wer Googles großzügiger zugestandenen Zeitraum also nicht einhält, der hat die allgemeingültige Latte für die Vorgaben von Cert-Nist und CERT also schon längst gerissen.

Wenn Google eine Lücke mitteilt, sollte es daraufhin deuten, dass es Google nicht um das Ausnutzen einer Lücke geht, sondern um das Schließen. Ist aber natürlich nur eine pure Vermutung.

U.a. hier kannst Du die Gründe und Motivation Googles das zu machen, nachlesen: , ,

Uns allen zum Vorteil. Google macht das auch aus Eigennutz für Software jeglicher Art, die sie selber bei sich und in ihrem Umfeld verwenden und sicherer haben wollen. Um bessere, sicherere Software und ein besseres, sichereres Internet-Erlebnis für sich selber und die Allgemeinheit zu haben.

sierkb

Es nutzt natürlich den Anwendern, dass Google im Bereich Sicherheit in Produkten anderer arbeitet. Dies würde es aber auch, würde es diskreter ablaufen. Da Google sich aber dermaßen damit in Szene setzt vermute ich die Intention eher im diskreditieren der betreffenden Anbieter.

macmuckel:

Wo setzen die sich selber damit denn in Szene? Doch nur, wenn der andere herummault, so wie im Fall Microsoft (Microsoft selber) und Apple (Apple Fans). Ansonsten geht das lautlos und still und ohne viel Aufhebens vonstatten. Gehe doch mal die Security Fixes von iOS und OSX bzw. Safari durch, wie hoch da der Anteil von gefundenen und gefixten Lücken des Google Security Teams ist. Wird klaglos und dankend hingenommen, dass die das einfach so machen. Profitieren tut Apple davon, tust Du, tun wir alle davon.

Wer wird da diskreditiert? Derjenige, der da laut herummault, diskreditiert sich doch höchst selber, zeigt doch höchst selbst auf, dass und wo er da offenbar eigene Schwächen hat. Wenn dann auch noch andere hingehen und einem den Job machen, den man eigentlich hätte selber machen und hinkriegen sollte, dann ist das kein Fehler desjenigen, der da den Finger in die Wunde legt, sondern eigentlich desjenigen, der da grad' getroffen aufjault. Bitte Ursache und Wirkung nicht vertauschen. Du als Anwender und Nutznießer solltest lieber dankbar darüber sein, dass Google das so macht und da Handlungsdruck ausübt, weil sonst weniger geschähe. Eigenartigerweise hat sich Apple ja auch leise verhalten, Apple weiß auch genau, warum (eben weil sie Google dafür eigentlich dankbar sein dürfen), Microsoft hingegen hat da die große Welle geschlagen – völlig zu unrecht. Getroffene Hunde bellen. Das Ganze wirft eher ein schlechtes Licht auf Microsoft und weniger ein schlechtes Licht auf Google. Und wie gesagt: Apple weiß, warum sie sich da grad' leise verhalten und sie nicht auch noch die Hand schlagen sollten, die ihnen da sehr hilft, ihre Software zu verbessern, und das ist auch gut so.

Notiz am Rande: vor dem Hintergrund darf übrigens auch zu einem Teil gesehen werden, dass Google mit Blink seinen eigenen WebKit-Fork gemacht hat, denn nicht nur Google ist da unzufrieden mit Apples offenbar langsamer Patch-Praxis gewesen, Opera ja auch, weshalb Opera im April 2010 Google dringend gebeten hatte , WebKit doch bItte Apples Kontrolle zu entführen und WebKit zu forken – auch im Namen größerer Sicherheit fürs Web, für die Nutzer. 3 Jahre später, im Mai 2013, geschah dann genau das, und Google entsprach Operas Bitte.

Was es da aus Deiner Sicht des Nutzers und Anwenders zu bemäkeln gilt, erschließt sich mir nicht. Wie gesagt: getroffene Hunde bellen. So auch hier. Verletzte Eitelkeit seitens Microsoft.
Sie können ja gerne anfangen, ihrerseits tätig zu werden und Sicherheitslücken und Fehler in den Produkten und Komponenten der Konkurrenz zu suchen und zu fixen (die sie selber ja auch einsetzen) und zur Jagd nach Fehlern aufrufen und diese auch so schöne belohnen wie Google das tut (mittlerweile zahlt Google sogar grundsätzlich, selbst wenn's keine so kritische Lücke ist, Hautsache), und Apple kann das gerne auch tun. Wäre doch auch mal was Feines, auch auf diesem Gebiet hier einen Konkurrenzkampf zu haben. Uns als Benutzern kann und könnte so ein Szenario nur recht sein, bedeutet es am Ende besserere, sicherere Produkte für uns.

sierkb

Wenn man das schon machen muss, kann man das auch, ohne es hinterher breitzutreten!

Ich bin im Bereich der Veranstaltungstechnik tätig und sehe bei Veranstaltungen, die ich privat besuche teils sehr "wagemutige" Konstruktionen. Deswegen renne ich noch lange nicht los und berichte öffentlich, dass Anbieter XY diesen oder jenen gefährlichen Fehler macht. Das geht mich einfach nichts an!

macmuckel:

Du vertauscht Ursache und Wirkung. Microsoft selber sind es gewesen, die da öffentlich rumgemault und die Aufmerksamkeit überhaupt erst darauf gelenkt haben durch ihr öffentliches Herumgeweine. Nicht Google selber. Und dann erst ist es in den Medien breitgetreten worden. Selbst schuld. Apple hat's anders gemacht, Apple hat dazu geschwiegen. Und sie wissen auch, warum, sie wissen ganz genau, dass sie Google eigentlich dankbar sein dürfen dafür, dass deren Leute einen großen Teil der Arbeit des Apple Security Teams machen bei Apples Produkten und Apple auf diese Weise sicherere Produkte bescheren. Nur Microsoft hat das groß zum Thema gemacht und auf die Tränendrüse gedrückt, um vom eigenen Versagen abzulenken und den anderen für eigene begangene Versäumnisse zu zeihen. Apple handelt da diebzgl. derzeit durchaus weiser und fairer, weil sie ganz genau wissen, dass sie Googles Security Team eher Dank schulden als ihnen das auch noch vorzuwerfen, dass sie deren Kastanien da aus dem feuer holen. Manche Apple Fans sehen das leider vielfach nicht, suchen den Schuldigen erstmal beim Anderen – wie Microsoft das jetzt auch getan und Durch sein lautes Herumweinen die öffentliche Berichterstattung überhaupt erst aufmerksam gemacht hat auf den Umstand und eben eigenes Versagen.

Es ist beides irgendwie richtig. Wenn man einmal auf einer Veranstaltung war, wird man wahrscheinlich so schnell nicht wieder mit der gleichen Firma zu tun haben. Mag sein, dass ein Subunternehmer mal einen schlechten Tag hatte und die Qualität somit nicht stellvertretend genommen werden kann. Also warum sollte man beim einzigen Mal den Lauten machen, Ball flach halten und eventuell drauf hinweisen, dann hat man seiner Verantwortung genüge getan.

Wenn es aber - wie im Fall von Apple - gewusst und nicht innerhalb von 90 Tagen behoben wird, dann riecht das nach systematisch. Ist bloß die Frage, was ist die richtige Messlatte für Apple. Wann sollten sie reagiert haben? Dies maße ich mir nicht an zu beurteilen.

Ein anderes Beispiel: ich möchte ein Konto bei einer Bank eröffnen und sage, was ich damit vorhabe. Die Bank sagt, dass sei für sie nicht interessant. Und ich bekomme kein Konto. Ist das ok? Wer legt fest, welche Rechte ein Kunde hat und welche Rechte er nicht hat? Legt sich Apple fest, bekanntgewordene Sicherheitslücken in einer bestimmten Zeit zu beseitigen? Wahrscheinlich nicht. Bei den Autoherstellern scheint es anders zu laufen, wenn da sicherheitsrelevante Teile nicht den Ansprüchen genügen gibt es Rückruftaktionen. Sonys Akkus waren ja auch im Computerbereich so ein ziemlich teurer Fall für Sony.