itst-Elfitst.net — 100 % β

Pro-bono-Beratung - Kostenlos, aber nicht umsonst.

Sicherheitsupdate, Patch, POC, Exploit, potenzielle Lücken, …

In dem [bereits erwähnten][stat0405] [Statistik-Artikel bei SpON][spon] berichtet Frank Patalong von den Problemen mit der Kommunikation wie auch immer benannten Sicherheitspatches:

>[…] “Ja, wir hatten ein paar Sicherheits-Updates, aber die waren dazu da, potenzielle Sicherheitslücken zu schließen”, sagte dazu Mozillas Chefentwickler Chris Hofmann in einem Interview mit CNet - reine Vorbeugung also. Hofmann: “Es gibt keine Meldungen darüber, dass Firefox-Nutzer Schaden genommen hätten, als sie den Browser benutzten. Ich bezweifle, dass es Beweise dafür gäbe, dass sich Nutzer von Firefox abwendeten, weil sie sich mit dem Browser nicht mehr sicher fühlten.”
>**Kein Wunder, denn Hofmann gehört zu den informierten Kreisen, die den Unterschied zwischen “Sicherheitsleck” und “Exploit” sehen.** […]
>Schon das aber ist zu komplex, um in der Publikumspresse wahrgenommen zu werden. […]

Nicht nur die Publikumspresse hat Probleme mit solchen Begriffen, auch die vermeintliche Fachpresse meldet gerne mal *Patch für Sicherheitslücke*, auch wenn es sich nur um einen simplen Bugfix für ein Problem handelt, das sowieso erst auftritt, wenn der böse Bube schon — vielleicht über ein ganz anderes Produkt auf der gleichen Maschine — Zugang zu bestimmten Dateibereichen, Weboberflächen usw. hat.

Problematisch ist auch die Kundenansprache der Hersteller, die auf der eien Seite ihre Kunden warnen wollen und möglichst viel Aufmerksamkeit bei ihnen erzeugen, auf der anderen Seite das Problem aber nicht schlimmer darstellen wollen, als es ist. Wie Diskussionen in Mailinglisten, Foren und Newsgroups immer wieder zeigen, geht das — fast immer — nach hinten los. Denn im Prinzip ist es egal, wie man solche Meldungen formuliert — man macht es immer falsch.

Beschreibt man das Problem und die — möglichen — Auswirkungen ehrlich und vollständig, beginnen im gleichen Moment die Panikattacken bei den Kunden. Formuliert man eher oberflächlich und kurz, beschweren sich Experten und solche die es werden wollen über diese Ungenauigkeiten und verbreiten Unmut und machen Stimmung gegen den Hersteller. Zusätzlich werden bei vielen Herstellern diese Meldungen durch Magazine und Newssites noch weiter verbreitet und erzeugen also auch dort Aufmerksamkeit, wo sie eigentlich garnicht notwendig wäre.

Wie der goldene Mittelweg aussieht… Keine Ahnung ;)

[spon]: http://www.spiegel.de/netzwelt/technologie/0,1518,355494,00.html
[stat0405]: http://www.itst.org/web/346-browserstatistik_phpbbde.shtml

Deine Meinung?