News Microsoft: Recall erhält Privatsphäre-Update und die Nutzer mehr Kontrolle

[Robo32]

Mal abseits der DSGVO und anderer Bedenken würde mich interessieren, wie gross die zusätzliche Belastung ist - null wird es sicher nicht sein (Stromverbrauch, zusätzliche Schreibzyklen usw.).

 

[jenhls]

A) es kaum kompatible Geräte gibt?

Wird noch kommen.

B) der Dienst nach DSGVO ein Opt-In ist?

M$ hat inzwischen jahrzehntelange Erfahrung darin, den Nutzern Nippes aufzudrehen. Und immer wieder einen langen Atem bewiesen, wenn es um Windows und seine Funktionen geht. Das wird schon.

C) die meisten Nutzer das ablehnen?

Hier in unserer Blase schon. Der Rest der großen weiten Welt? Der Masse wird's egal sein, und dann gibt man dem Gedrängel von M$ halt nach, um Ruhe zu haben. Siehe vorhergehenden Punkt B).

 

[Whitehorse1979]

Lässt sich deinstallieren. Mehr Info braucht man auch nicht.

 

[derLordselbst]

Richtig toll wäre RECALL in der ursprünglichen Ausführung auf unseren Firmenrechnern gewesen:
Die logische Konsequenz von Recall wäre die Verpflichtung zur Selbstanzeige:
"Hey, ich speichere Gesundheitsdaten von Patienten jetzt für Online-KI-Tools verfügbar für 3 Monate. Gesetzliche Vorgaben zur Datensparsamkeit, DSGVO-konforme Speicherung in der EU und zur Auftragsdatenverarbeitung ignoriere ich. Wie hoch ist mein Bußgeld - am besten gleich auch für den Wiederholungsfall, da wir es nicht abschalten können?

 

[Wishezz]

Ich hab tatsächliches vor kurzem die Suchfunktion im iPhone für mich entdeckt.
Die macht doch eigentlich auch nix anders oder?
Ich suche nach Auto und alle Bilder mit Auto werden angezeigt, selbst wenn es nur klein im Hintergrund ist.
Da wird doch auch schon alles im Vorfeld gesichtet und kategorisiert, oder nicht?
Ich kann mir nicht vorstellen, dass das alle sein Echtzeit passiert.

Warum bin ich dann aber selbst so gegen Windows aber für Apple?
Vermarktet Microsoft die falschen Sachen?
Manchmal vermarkten die gute Sachen ja gar nicht, bis sie dann Apple klaut und Werbung damit macht.
Und eigentlich bin ich ja für Linux, kann es leider aber nicht vollumfänglich gebrauchen und Apple kommt dem am nächsten.
Und dennoch habe ich NOCH keine Mac…… der Kauf ist geplant. Dann gibt es Windows nur noch für Gaming.

Komm ich vom Thema ab? Ja vielleicht…..

 

[Maviba]

Ach, davon liefert Microsoft doch selber mehr als genug

Linux ist auch schon lange kein 100% sicherer Hafen mehr.

Es hat zwar nicht unbedingt den Drang, selbst nach Hause zu telefonieren, ist durch die open source Geschichte recht anfällig für Manipulationen.

Und das gewisse Geheimdienste ein großes Interesse daran haben, Kontrolle über Linux-Systeme zu bekommen, und damit zum Teil Erfolg haben, sollte spätestens seit der xz-Geschichte auch dem letzten klar geworden sein.

 

[Termy]

ist durch die open source Geschichte recht anfällig für Manipulationen.

Linux an sich eher nicht. Bei kleinen Projekten mit wenigen Maintainern schon eher.

Und das gewisse Geheimdienste ein großes Interesse daran haben, Kontrolle über Linux-Systeme zu bekommen, und damit zum Teil Erfolg haben, sollte spätestens seit der xz-Geschichte auch dem letzten klar geworden sein.

Und du meinst ernsthaft, dass diese Problematik bei proprietärer Software nicht noch deutlich ausgeprägter wäre?

 

[Maviba]

Linux an sich eher nicht. Bei kleinen Projekten mit wenigen Maintainern schon eher.

Eins dieser kleinen Projekte mit wenigen Maintainern ist aber Bestandteil der meisten Linux-Distributionen und hätte um ein Haar einen Supergau ausgelöst, indem es den (vermutlich) russischen Hackern Zugriff auf Millionen von Servern auf der ganzen Welt gegeben hätte.

Und du meinst ernsthaft, dass diese Problematik bei proprietärer Software nicht noch deutlich ausgeprägter wäre?

Das es auch gerade für Windows
oder auch MacOS entsprechende Begehrlichkeiten gibt, habe nie abgestritten.
Nur rechnen MS und Apple mit sowas, sind entsprechend vorbereitet.
Und bei proprietärer Software ist es für den Einzelnen mit Sicherheit um einiges schwieriger, einem OS schon während der Entwicklung Schadcode unterzujubeln.

Aber meine Aussage war, das man nicht so naiv sein sollte, zu Denken das Linux über jeden Zweifel erhaben ist, und open source auch nicht immer safe ist.
Windows ist eine andere Geschichte.

 

[Termy]

Nur rechnen MS und Apple mit sowas, sind entsprechend vorbereitet.

DAS ist denke ich extremst blauäugig.

Zum einen unterliegen beide Firmen den US-Gesetzen, die Three Letter Agencies haben da drüben "etwas" Macht

Zum anderen gibt es bei Microsoft in der Windows-Entwicklung wohl kaum bis gar kein Code-Review (siehe z.b. https://blog.zorinaq.com/i-contribute-to-the-windows-kernel-we-are-slower-than-other-oper/ ), so dass ein einmal eingeschleuster Mitarbeiter wohl mit sehr wenig Aufwand für lange Zeit völlig unentdeckt Schadcode unterjubeln kann.

Und anders als z.b. bei deinem Beispiel xz ist es bei proprietärer Software eben nicht bzw quasi nicht möglich, dass "irgend ein Nerd" der Sache auf die Schliche kommt.

Aber meine Aussage war, das man nicht so naiv sein sollte, zu Denken das Linux über jeden Zweifel erhaben ist, und open source auch nicht immer safe ist.

Das behauptet denke ich auch keiner, der auch nur einen Funken Ahnung hat. Deine Aussage war aber "ist durch die open source Geschichte recht anfällig für Manipulationen." - in einer Formulierung, die den Eindruck aufkommen lässt, dass dies bei Windows nicht der Fall wäre.

Und ganz abgesehen von den prinzipbedingten Unterschieden bezog sich mein von dir zitierter Post ja darauf, dass Microsoft es mit bemerkenswerter Regelmäßigkeit schafft, sich durch grenzenlose Ignoranz und/oder Inkompetenz und/oder Dummdreistigkeit komplett lächerlich und eigentlich unbenutzbar zu machen. Und in der Hinsicht bewegt sich eben kein ernstzunehmendes FOSS-Projekt auch nur ansatzweise in der gleichen Galaxie.

 

[Maviba]

DAS ist denke ich extremst blauäugig.
Zum einen unterliegen beide Firmen den US-Gesetzen, die Three Letter Agencies haben da drüben "etwas" Macht

Was istcdaran blauäugig? Ein Konzern wie MS ist schon allein finanziell ganz anders aufgestellt, mit ganz anderen Sicherheitsvorkehrungen in Sachen Mitarbeiterauswahl, sobald es um die Arbeit an Windows geht. Da wird sicher nicht jeder Werkstudent am Kernel herumbasteln dürfen.
Davon, das sich die amerikanischen Geheimdienste da auch gerne eine Hintertür offen halten (wollen) gehe ich auch von aus.
Aber wenn es eine solches geben sollte, dürfen sich da auch nicht einfach mal eben so einloggen, um weltweit auf milliarden von Rechnern herumzuschnüffeln.

Da gibt es schon noch rechtliche Hürden, und selbst ein Konzern wie Microsoft würde sowas wahrscheinlich nicht überleben.

Mir ist auch noch kein Fall bekannt, bei dem die amerikanischen Geheimdienste über Microsoft weltweite Cyberattacken auf Windows-rechner ausgeführt hätten.
Von den russischen und chinesischen Geheimdiensten hingegen kommt sowas ständig.

Wäre der Angriff auf Linux-Rechner erfolgreich gewesen, wäre der Flurschaden enorm gewesen.

Zum anderen gibt es bei Microsoft in der Windows-Entwicklung wohl kaum bis gar kein Code-Review

Und anders als z.b. bei deinem Beispiel xz ist es bei proprietärer Software eben (...) quasi nicht möglich, dass "irgend ein Nerd" der Sache auf die Schliche kommt.

Es entbehrt aber nicht einer gewissen Ironie, das dieser Nerd ausgerechnet ein Microsoft Mitarbeiter war, der vir dem roll-out gerade noch rechtzeitig Alarm geschlagen hat.
Ganz so unerfahren und inkompetent, wie in dem von Dir verlinkten Blogeintrag beschrieben, scheinen die dort dann doch nicht zu sein.

Das perfide am Trojaner in xz-utils war ja, das der im Quellcode überhaupt nicht zu erkennen war, sondern -wie auch immer die das geschafft haben- erst mit der Kompilierung aktiv wurde.
Gutes Code rewiew hätte möglicherweise nicht viel geändert.

in einer Formulierung, die den Eindruck aufkommen lässt, dass dies bei Windows nicht der Fall wäre.

Nein, es sollte nur verdeutlichen, das mit open source eben auch zusätzliche zusätzliche Schwachpunkte entstehen können.

Und ganz abgesehen von den prinzipbedingten Unterschieden bezog sich mein (...) Post ja darauf, dass Microsoft es mit bemerkenswerter Regelmäßigkeit schafft, sich durch grenzenlose Ignoranz (...) komplett lächerlich (...) zu machen

Zumindest in drm Punkt sind wir uns einig.

 

[Termy]

Was istcdaran blauäugig?

Genau das, was du nach dieser Frage ausführst
Glaubst du wirklich, Microsoft führt gründliche Background-Checks durch, bevor jemand an Windows arbeiten darf? Ich gehe fast jede Wette ein, dass sich diese "Sicherheitsvorkehrungen" auf das Äquivalent des hiesigen Führungszeugnis beschränken dürften. Es wird halt genau der Minimalstandard nach Checkliste abgearbeitet, der für die gewünschte Zertifizierung nötig ist - aber kein Millimeter mehr. Die Skills und Referenzen der Bewerber werden da ganz sicher die zentrale Rolle spielen, alles andere sind abzuhakende Pflichtpunkte.

Mir ist auch noch kein Fall bekannt, bei dem die amerikanischen Geheimdienste über Microsoft weltweite Cyberattacken auf Windows-rechner ausgeführt hätten.
Von den russischen und chinesischen Geheimdiensten hingegen kommt sowas ständig.

So Enthüllungen wie PRISM und co sind tatsächlich völlig an dir vorbei gegangen? Oo

Dass man von russischen und chinesischen Geheimdiensten öfter was hört könnte ja eventuell an der Hemisphäre liegen, in der wir und unsere Medienlandschaft sich befinden

Ganz so unerfahren und inkompetent, wie in dem von Dir verlinkten Blogeintrag beschrieben, scheinen die dort dann doch nicht zu sein.

Die Entwickler ganz sicher nicht, nein. Die sind aber auch nicht das Problem. Sondern - wie schon mehrfach ausgeführt - das Management und die Kultur der Firma.

Das perfide am Trojaner in xz-utils war ja, das der im Quellcode überhaupt nicht zu erkennen war, sondern -wie auch immer die das geschafft haben- erst mit der Kompilierung aktiv wurde.
Gutes Code rewiew hätte möglicherweise nicht viel geändert.

Nein, das "perfide" war, dass die Backdoor in der Binary Payload eines Testcase versteckt war. Es lässt sich manchmal leider nicht vermeiden, so etwas in die Tests einzubauen und im nachhinein ist immer leicht reden - aber eigentlich sollten Tests unabhängig vom deployten Code sein.
Und erkennbar war es eben - durch den offenen Code - schon, nur eben gut versteckt. Es bleibt dabei, dass etwas ähnliches bei einer proprietären Software mit 99.9999%iger Sicherheit über Jahre und Jahrzehnte unentdeckt geblieben wäre, da wohl in keiner Firma so viel Zeit für die Untersuchung einer so minimalen Performance-Regression zur Verfügung gestellt werden würde.

Nein, es sollte nur verdeutlichen, das mit open source eben auch zusätzliche zusätzliche Schwachpunkte entstehen können.

Da widerspreche ich weiterhin. Das sind keine zusätzlichen Schwachpunkte - die selben Schwachpunkte hat auch jede proprietäre Software, solange zumindest eine ganz minimale Mitarbeiterfluktuation vorhanden ist.
Bei FOSS bleibt aber eben selbst bei mangelnder Sorgfalt bzw Oversights seitens der Maintainer die Möglichkeit, solche Dinge aufzudecken.
Bei proprietärer Software gibt es keinen "doppelten Boden", wenn der Schadcode mal gemerged wurde. Erfahrungsgemäß wird bestehender Code in aller Regel nur noch extrem selten wirklich gründlich gelesen, selbst beim Refactoring oder Cleanup. Eine Management-Mentalität, wie in meinem Link beschrieben, macht das Ganze natürlich noch bedeutend Schlimmer als es bei anderen Herstellern proprietärer Software vielleicht der Fall sein mag.
Aus meiner Erfahrung in diversen Industriezweigen ist die Tendenz des Managements aber überall gleich: Aufwände/Zeit/Kosten, die der Qualität dienlich wären, sind unerwünscht, solange sich diese Qualitätssteigerung nicht sehr direkt in besseren Zahlen oder weniger legaler Angriffsfläche niederschlägt.