Ja, aber das ist nicht das Gleiche. In einer Sandbox bleibt der Schadcode in der Sandbox und kann nicht auf Dein System und die sensiblen Daten zugreifen. Der Schadcode in einem virtualisierten WinXP muss gar nicht ausbrechen, die sensiblen Daten sind schon in der VM oder zumindest die Applikation die auf die Daten zugreifent.
Falls Netzwerkzugriff besteht, wovon ich bei personenbezogenen Datenbeständen ausgehe, ist es doch unerheblich ob das OS in einer Sandbox läuft oder nicht. Wenn es um "Datenschutz" Bedenken geht, spielt es ja wohl keine Rolle ob jemand die Daten aus einer direkt auf Hardware laufenden Umgebung oder aus einer "Sandbox" abfischt. Der Schaden wäre so oder so angerichtet oder nicht?
Dann muss man natürlich mehrere Sandboxen benutzen. Genauso ist das mit dem Flash Player im Browser. Da hat z.b. jeder Tab seine eigene Sandbox. Vielleicht gibt es dann Probleme mit den Lizenten, wenn man mehrere Windows XP Installationen gleichzeitig benutzt.
Und wie soll der XP-Rechner auf die Daten zugreifen? Wenn er erstmal auf die Daten zugreift, muss er ja, hat der Hacker die auch gleich in der Hand.
Das iat bei einem Flash-Plugin im Browser anders weil das nur nach aussen kommunizieren muss und man deshalb eine durchgehende Mauer drumherum bauen kann. Ein Flash-Plugin muss nicht auf ein anderes Flash-Plugin oder Daten ausserhalb der Sandbox zugreifen. Alles was einmal in die Sandbox kommt oder con ihr aus zugaaenglich ist ist konterminiert.
Sofern der virtuelle Rechner im Netzwerk komplett abgeschottet (Eigenes vLan mit Client isolation) ist und die die benötigte Anwendung über Citrix oder ähnliche Programme auf den Client übertragen wird kann schon von einer gewissen Absicherung gesprochen werden.
Wenn dann noch ein HIPS mit erzwungenen Whitelisting zum Einsatz kommt, sind die "Hausaufgaben" für ein derart veraltetes System gemacht.
Ob dies allerdings umgesetzt wurde und wenn ja ob es eine ausreichende Abschottung ist kann ich nicht beantworten. Generell würde ich schauen, dass die Systeme abgeschaltet werden können ...
Von nichtmehrxpuser am Mo, 13. April 2015 um 17:19 #
Der gute Mann mag ja Recht haben, aber dennoch klingt die Forderung nach der eines Traumtänzers. Wenn die Verwaltung das machen würde, wäre der Schaden ungeheuer.
Ich denke, er möchte den Druck auf den Sauhaufen Berliner Verwaltung erhöhen, damit die Umstellung noch vor dem BER fertig wird. Ich bin der Meinung, dass die auch in 20 Jahren noch mit XP arbeiten würden, wenn man ihnen nicht ständig in den Hintern tritt.
Auch Windows schneidet alte Zöpfe ab. Ich glaube viele DOS-Programme laufen zb. ab Vista nicht mehr. Und es gibt noch sehr viele Software die auf DOS basieren und noch arbeiten. Dazu gibt es dann immer irgendwelche Speziallösungen. Diese Anwendungen verschwinden natürlich nach und nach, aber es braucht ganz einfach Zeit.
Windows ist hochgradig kompatibel. Auch unter OSX sieht es mit der Kompatibilität, soweit ich das für mich selbst beurteilen kann, sehr kompatibel zur alter Software. Ich nutze hier selber Programme, die 4-5 Jahre alt sind. Die haben Geld gekostet und arbeiten tadellos.
Das wiederum kann ich für Linux nicht behaupten. Früher habe ich hier auch Programme gekauft und zum Teil war es schon nach Distributions-Upgrade bereits Schluss. Und deswegen stecke ich zb. in Linux-Software keinen Cent.
Ich glaube viele DOS-Programme laufen zb. ab Vista nicht mehr.
Auf den 64bit-Versionen laufen keinerlei DOS-Programme mehr. Ebenso keine 16bit-Windows-Programme.
Das wiederum kann ich für Linux nicht behaupten. Früher habe ich hier auch Programme gekauft und zum Teil war es schon nach Distributions-Upgrade bereits Schluss.
Das ist kompletter Blödsinn. Die Programme würden problemlos laufen, wenn du dir nur 2 Sekunden Mühe gegeben hättest. Wenn ein Programm nach einem Distributionsupgrade nicht mehr läuft, dann liegt es in 99,999% der Fälle daran, dass das Programm eine bestimmte Bibliothek voraussetzt und diese nach einem Upgrade nicht mehr direkt verfügbar ist. Man kann diese aber jederzeit nachinstallieren.
Man bekommt z.B. relativ problemlos die uralten Loki-Games-Spiele unter modernen Distributionen zum Laufen. Man muss halt nur die alten Bibliotheken nachinstallieren.
Unter Windows ist das übrigens auch nicht anders:
Dort hat installieren z.B. viele Programme diverse MS-Laufzeitbibliotheken nach, weil Windows diese selbst nach mitliefert. Viele tun es aber nicht und funktionieren erst, wenn man die Bibliotheken händisch nachinstalliert.
Das ist kompletter Blödsinn. Die Programme würden problemlos laufen, wenn du dir nur 2 Sekunden Mühe gegeben hättest. Wenn ein Programm nach einem Distributionsupgrade nicht mehr läuft, dann liegt es in 99,999% der Fälle daran, dass das Programm eine bestimmte Bibliothek voraussetzt und diese nach einem Upgrade nicht mehr direkt verfügbar ist.
Weiß ich und habe es auch gemacht. Meist ist es so, das alte Bibliotheken durch neuere ersetzt werden und alte nicht mehr nachgeliefert werden. Dann muss man es halt neukompilieren. Dazu muss man sehen, wie die Abhängigkeiten zu einander stehen. Usw...
Alles schon gemacht und gehabt. Ändert nur nichts, da die neuere Distributionen inkompatibel sind zur alten Software. Das ist beim Windows/OSX also nicht so krass, wie bei Linux.
Meist ist es so, das alte Bibliotheken durch neuere ersetzt werden und alte nicht mehr nachgeliefert werden.
Genau das meinte ich.
Dann muss man es halt neukompilieren. Dazu muss man sehen, wie die Abhängigkeiten zu einander stehen. Usw...
Je nach Anwendung reicht es sehr häufig vollkommen die fehlenden Bibliotheken auf den Archiven der alten Distributionsversionen herunterzuladen und parallel zu installieren. In der Regel fehlen nicht mehr als ein oder zwei spezifische Bibliotheken.
Im Zweifelsfall bemüht man halt "Tante Google" und schaut ob irgendjemand ein Kompatibilitätspaket für diese Anwendung geschnürt hat. Bei den alten Loki-Games-Spielen bekommt man diese genauso zum Laufen.
Das ist beim Windows/OSX also nicht so krass, wie bei Linux.
Es kommt immer auf den Einzelfall an:
Unter OSX gibt es genügend alte Programme, die nicht mehr Laufen, weil Apple rigoros alte Zöpfe anschneidet. Unter Yosemite laufen ältere Adobe-Programme nur nach Basteln oder gar nicht. Systemnahe Programme funktionieren sehr häufig gar nicht mehr. Da hilft dann am Ende oft nur der Kauf eines Upgrades, weil es eben keine kostenlosen Upgrades gibt.
Mir persönlich fällt übrigens keine einzige, von mir gekaufte, Linux-Software ein, welche ich nach Jahren nicht mehr zum Laufen bekommen habe.
Wenn Du freie Software (in diesem Falle würde OpenSource sogar reichen), könntest Du die Software notfalls sogar anpassen (lassen). Wir haben seit über 10 Jahren kaum Probleme mit freier Software in produktiven Umgebungen. Fast alle Probleme waren innerhalb relativ kurzer Zeit lösbar... Einige Programme müssen vor der Verteilung intern selbst kompiliert werden bzw. in einer "alten Umgebung gefangen" werden!
Bei proprietärer Software haben wir da sehr häufig Probleme bei "Upgrade" und wir testen unsere Produktivsoftware bereits mit Release Canditates. Wenn z.b. die Software intern die Windowsversionsnummer prüft und nicht will, dann ist Schluss... Aus jahrelanger - leidiger Erfahrung kann ich sagen, dass die proprietären Systeme nicht nur direkt teuerer sind sondern auch aufwändiger in Wartung, Softwarepflege und -anpassungen sind. Besonders die Updatetests sind - meist wg. schlecht bzw. nicht dokumentierte Changelogs - sehr aufwendig, weil immer und immer wieder sehr aufwendig getestet werden muss. (allerdings ist es wohl immer noch günstiger als einen Ausfall zu riskieren).
Meine Erfahrung bezieht sich hier auf meine IT-Unterabteilung des Konfigurationsmanagements (incl. IT-QS) Leider können wir auch nicht verschweigen, dass wir einen Fachkräftemangel im Bereich System/Netzwerkadministration, -konfigurationsaudit, Anwendungsentwicklung haben - vor allem im unixoiden Umfeld.
...ist nicht sicherer als ein direkt installiertes. Das bringt nichts.
Ein Flash Player in einer Sandbox ist ja auch nicht sicherer als einer ohne Sandbox. Schließlich funktioniert der Schadcode in beiden.
Ja, aber das ist nicht das Gleiche.
In einer Sandbox bleibt der Schadcode in der Sandbox und kann nicht auf Dein System und die sensiblen Daten zugreifen.
Der Schadcode in einem virtualisierten WinXP muss gar nicht ausbrechen, die sensiblen Daten sind schon in der VM oder zumindest die Applikation die auf die Daten zugreifent.
Falls Netzwerkzugriff besteht, wovon ich bei personenbezogenen Datenbeständen ausgehe, ist es doch unerheblich ob das OS in einer Sandbox läuft oder nicht. Wenn es um "Datenschutz" Bedenken geht, spielt es ja wohl keine Rolle ob jemand die Daten aus einer direkt auf Hardware laufenden Umgebung oder aus einer "Sandbox" abfischt. Der Schaden wäre so oder so angerichtet oder nicht?
Dann muss man natürlich mehrere Sandboxen benutzen. Genauso ist das mit dem Flash Player im Browser. Da hat z.b. jeder Tab seine eigene Sandbox. Vielleicht gibt es dann Probleme mit den Lizenten, wenn man mehrere Windows XP Installationen gleichzeitig benutzt.
Und wie soll der XP-Rechner auf die Daten zugreifen? Wenn er erstmal auf die Daten zugreift, muss er ja, hat der Hacker die auch gleich in der Hand.
Das iat bei einem Flash-Plugin im Browser anders weil das nur nach aussen kommunizieren muss und man deshalb eine durchgehende Mauer drumherum bauen kann. Ein Flash-Plugin muss nicht auf ein anderes Flash-Plugin oder Daten ausserhalb der Sandbox zugreifen. Alles was einmal in die Sandbox kommt oder con ihr aus zugaaenglich ist ist konterminiert.
Ich denke, das ist schon vergleichbar.
Die virtuelle XP Instanz muss nur auf ihre Daten zugreifen können, nicht allgemein auf Netzwerkressourcen oder gar Internet.
Sofern der virtuelle Rechner im Netzwerk komplett abgeschottet (Eigenes vLan mit Client isolation) ist und die die benötigte Anwendung über Citrix oder ähnliche Programme auf den Client übertragen wird kann schon von einer gewissen Absicherung gesprochen werden.
Wenn dann noch ein HIPS mit erzwungenen Whitelisting zum Einsatz kommt, sind die "Hausaufgaben" für ein derart veraltetes System gemacht.
Ob dies allerdings umgesetzt wurde und wenn ja ob es eine ausreichende Abschottung ist kann ich nicht beantworten. Generell würde ich schauen, dass die Systeme abgeschaltet werden können ...
Aufkleber "Nur fuer den Dienatgebrauch. Hacken verboten!" drankleben. Dann koennte man auch von einer gewissen Absicherung sprechen...
Ohne Internetanbindung sehe ich da kein Problem.
Der gute Mann mag ja Recht haben, aber dennoch klingt die Forderung nach der eines Traumtänzers.
Wenn die Verwaltung das machen würde, wäre der Schaden ungeheuer.
Ich denke, er möchte den Druck auf den Sauhaufen Berliner Verwaltung erhöhen, damit die Umstellung noch vor dem BER fertig wird. Ich bin der Meinung, dass die auch in 20 Jahren noch mit XP arbeiten würden, wenn man ihnen nicht ständig in den Hintern tritt.
Der ist kein Traumtänzer, sondern nimmt pflichtgemäß seine Aufgabe wahr.
Ein Lebensmittelkontrolleur kann ja auch nicht sagen: "in bayrischen Landgasthöfen ist es halt dreckig, da kann man eh nix machen."
Die Aufgabe eines anderen ist dann ggf. abzuwägen, ob man sich aufgrund von "Sachzwängen" darüber hinwegzusetzen gedenkt.
So sehe ich das auch. Was aber viel schlimmer ist, das ist die grob fahrlässige Art der Politik die "Bürgerbezogenen Daten" zu handhaben !!
Es sind UNSERE Daten, die die Behörden in den Ämtern vor unbefugtem Zugriff zu schützen haben!
Wir wählen diese Leute um UNS, dem Volke,
zu dienen! Wir bezahlen mit unsern Steuern deren Gehalt!
Wählst Du noch?
Wen denn?
Bin für jeden Tip dankbar.
Der Atze
Wie ist das moeglich? Genau dies ist doch immer das Argument der MS-Befuerworter?
Auch Windows schneidet alte Zöpfe ab. Ich glaube viele DOS-Programme laufen zb. ab Vista nicht mehr. Und es gibt noch sehr viele Software die auf DOS basieren und noch arbeiten. Dazu gibt es dann immer irgendwelche Speziallösungen. Diese Anwendungen verschwinden natürlich nach und nach, aber es braucht ganz einfach Zeit.
Windows ist hochgradig kompatibel. Auch unter OSX sieht es mit der Kompatibilität, soweit ich das für mich selbst beurteilen kann, sehr kompatibel zur alter Software. Ich nutze hier selber Programme, die 4-5 Jahre alt sind. Die haben Geld gekostet und arbeiten tadellos.
Das wiederum kann ich für Linux nicht behaupten. Früher habe ich hier auch Programme gekauft und zum Teil war es schon nach Distributions-Upgrade bereits Schluss. Und deswegen stecke ich zb. in Linux-Software keinen Cent.
Man bekommt z.B. relativ problemlos die uralten Loki-Games-Spiele unter modernen Distributionen zum Laufen. Man muss halt nur die alten Bibliotheken nachinstallieren.
Unter Windows ist das übrigens auch nicht anders:
Dort hat installieren z.B. viele Programme diverse MS-Laufzeitbibliotheken nach, weil Windows diese selbst nach mitliefert. Viele tun es aber nicht und funktionieren erst, wenn man die Bibliotheken händisch nachinstalliert.
Weiß ich und habe es auch gemacht. Meist ist es so, das alte Bibliotheken durch neuere ersetzt werden und alte nicht mehr nachgeliefert werden. Dann muss man es halt neukompilieren. Dazu muss man sehen, wie die Abhängigkeiten zu einander stehen. Usw...
Alles schon gemacht und gehabt. Ändert nur nichts, da die neuere Distributionen inkompatibel sind zur alten Software. Das ist beim Windows/OSX also nicht so krass, wie bei Linux.
Im Zweifelsfall bemüht man halt "Tante Google" und schaut ob irgendjemand ein Kompatibilitätspaket für diese Anwendung geschnürt hat. Bei den alten Loki-Games-Spielen bekommt man diese genauso zum Laufen.
Es kommt immer auf den Einzelfall an:Unter OSX gibt es genügend alte Programme, die nicht mehr Laufen, weil Apple rigoros alte Zöpfe anschneidet. Unter Yosemite laufen ältere Adobe-Programme nur nach Basteln oder gar nicht. Systemnahe Programme funktionieren sehr häufig gar nicht mehr. Da hilft dann am Ende oft nur der Kauf eines Upgrades, weil es eben keine kostenlosen Upgrades gibt.
Mir persönlich fällt übrigens keine einzige, von mir gekaufte, Linux-Software ein, welche ich nach Jahren nicht mehr zum Laufen bekommen habe.
Wenn Du freie Software (in diesem Falle würde OpenSource sogar reichen), könntest Du die Software notfalls sogar anpassen (lassen).
Wir haben seit über 10 Jahren kaum Probleme mit freier Software in produktiven Umgebungen. Fast alle Probleme waren innerhalb relativ kurzer Zeit lösbar...
Einige Programme müssen vor der Verteilung intern selbst kompiliert werden bzw. in einer "alten Umgebung gefangen" werden!
Bei proprietärer Software haben wir da sehr häufig Probleme bei "Upgrade" und wir testen unsere Produktivsoftware bereits mit Release Canditates. Wenn z.b. die Software intern die Windowsversionsnummer prüft und nicht will, dann ist Schluss...
Aus jahrelanger - leidiger Erfahrung kann ich sagen, dass die proprietären Systeme nicht nur direkt teuerer sind sondern auch aufwändiger in Wartung, Softwarepflege und -anpassungen sind. Besonders die Updatetests sind - meist wg. schlecht bzw. nicht dokumentierte Changelogs - sehr aufwendig, weil immer und immer wieder sehr aufwendig getestet werden muss. (allerdings ist es wohl immer noch günstiger als einen Ausfall zu riskieren).
Meine Erfahrung bezieht sich hier auf meine IT-Unterabteilung des Konfigurationsmanagements (incl. IT-QS)
Leider können wir auch nicht verschweigen, dass wir einen Fachkräftemangel im Bereich System/Netzwerkadministration, -konfigurationsaudit, Anwendungsentwicklung haben - vor allem im unixoiden Umfeld.
Janosch