Atkatla schrieb:
Man weist dich auf einen Umstand hin, der nicht nur für Cisco gilt, sondern auch für deren Konkurrenten (Fortinet, Palo Alto usw).
Mag ja sein. Aber hier geht es nun mal um Cisco und nicht um irgendwelche anderen Firmen.
Atkatla schrieb:
Und weil du dich nicht inhaltlich mit dem Argument auseinandersetzen kannst oder willst, kommst du mit so unsinnigen Fanboy-Sortierungen?
Lustig das Du das sagst und gleichzeitig das Argument mit den hardcoded Credentials komplett ignorierst.
Mir ist natürlich klar, warum. Weil das das mit nichts relativieren oder gar schönreden lässt.
Das ist einfach ein Epic Fail. Das ist so, als wenn Du ein Auto kaufst und dann ab und an mal die Bremsen nicht funktionieren. Wie gesagt: Wenn das EINMAL passiert, ok. War vielleicht ne Debug-Schnittstelle und die haben sie vergessen im Release rauszupatchen. Aber wenn das ein paar Mal vorkommt, dann spricht das dafür das es entweder Absicht ist oder der Entwicklungsprozess im Eimer ist. Beide Möglichkeiten sind sehr schlecht und disqualifizieren die Produkte.
Atkatla schrieb:
Zu deinem Argument: was soll der Vergleich mit großen Linux-Distributionen?
Naja. Um den Argument der komplexen Software und des riesigen Portfolios entgegen zu treten. Das Problem ist halt nicht Cisco-Exklusiv. Und wirklich was dagegen setzen konntest Du ja auch nicht.
Atkatla schrieb:
Sehr viele der Systeme kommen nicht originär von Cisco, sondern wurden durch Firmenübernahmen eingekauft und werden eingebunden.
Das zählt wohl kaum als Argument. Das war ja dann den ihre Entscheidung. Wenn die sich so viel an Land ziehen aber gleichzeitig nicht in der Lage sind sich darum adäquat zu kümmern, warum machen sie es dann?
Mir ist ehrlich gesagt ne Firma lieber, die ein kleines Portfolio hat aber die Produkte funktionieren dann auch.
Atkatla schrieb:
Wenn du glaubst, dass eine Linux-Distrubition deutlich komplexer sei, als das Ökosystem eines großen Systemausrüsters, dann hast du echt völlig falsche Vorstellungen.
Naja. Es ist schon ziemlich herausfordernd eine Linux-Distribution zu bauen. Heutzutage ist das vielleicht nicht mehr ganz so dramatisch, weil sich Prozesse etabliert haben und sich gewisse Dinge eingeschliffen haben und auch die Koordination verbessert hat. Trotzdem bleibt das Grundproblem: Du hast eine große Menge eigentlich unabhängiger Software die Du zu einem lauffähigen, möglichst fehlerfreien System zusammenbauen musst.
Und was das bedeutet, davon kann man sich mal überzeugen, wenn man mal durch die entsprechenden Mailinglisten und Bugtrackern schaut.
Und was man halt auch sagen muss ist, das Cisco (und von mir aus auch die anderen Hersteller) auch Opfer ihre selbstgeschaffenen Komplexität sind. Da wurde ja Feature um Feature eingebaut und klar steigt damit auch die potentielle Anfälligkeit für Bugs. Tragisch dabei ist, das viele der Features von vielen auch gar nicht gebraucht werden. Nur kriegt man ja auch kaum noch wirklich einfachen Geräte.
Das heißt, das ist auch ein stückweit bewusste Produktpolitik: Features bauen um Verkaufsargumente zu haben, auf Kosten der Sicherheit.
Kurzum: Komplexität ist ein schlechtes Zeichen und i.d.R. auch selbst verursacht. Wenn Du argumentierst, das die Situation bei Cisco komplex ist, dann ist das ein Argument GEGEN Cisco und nicht umgekehrt.
Atkatla schrieb:
Die Maßstäbe ändern nichts an dem Endergebnis, dass bei SOHO-Systemen die Lücken ungepatcht bleiben
Was hast Du bloß immer mit SOHO? SOHO ist sowas wie der Plaste-Router, den man von seinem Provider dazu kriegt, wenn man Internet bestellt. Das vergleichst Du jetzt ernsthaft mit Profi-Geräten von Cisco???
Das ist so, als würde ich Mercedes herumkritisieren und Du kommst dann mit nem klapprigen Trabant um die Ecke um zu belegen, das es ja noch schlimmer geht.
Atkatla schrieb:
Und lass bitte dieses Fanboy-Zeugs. Das ist echt peinlich.
Naja. Das sind Erklärungsversuche. Wenn man ein solches Gebaren wie das von Cisco verteidigt, da gibts halt nicht so viele rationale Argumente. :-)
Atkatla schrieb:
Wenn dort aber die Hardware keine neue Firmware mehr bekommt, dann besteht genau das genannte Problem.
Wie gesagt. Der Plasterouter vom Grabbeltisch kostet aber auch nur 30€
Und bei den Billig-Routern hab ich sogar noch ne relativ gute Chance irgendwie ein Linux zu installieren und mir dann darüber Updates und Funktionalität zu holen.
Cisco war da immer recht zugeknöpft. Das heißt, wenn ich (teuer) Cisco kaufe hab ich nicht mal die Option ggf. mein eigenes System zu installieren.
Atkatla schrieb:
Alle großen Systemausrüster hingegen fahren interne Tests um Lücken möglichst schnell zu finden, bevor sie jemand externes findet.
Das scheint ja nur semi-gut zu funktionieren, wenn man sieht, wie viel da noch durch rutscht.
Atkatla schrieb:
Auch wenn die Lücke intern gefunden und gefixt wird, wird das Ergebnis dennoch publiziert und geht in CVE.
Das wird ja nicht publiziert, weil die so nett und transparent sind, sondern weil es ungleich schwerer geheimzuhalten ist, wenn erst mal ein Patch da ist. Außerdem sind sie teilweise durch Regulierungen auch dazu gezwungen.
Und das ganze ist noch weit weg von dem, was so unter Open-Source Standard ist, wo so ziemlich der gesamte Prozess transparent ist. Wo man dann auch nachvollziehen kann, welche Lücke wann entdeckt wurde und wie schnell gefixt worden ist.
Ganz oft hat man ja auch den Fall in proprietären Systemen das der Hersteller zwar eine Lücke findet aber die erst mal nicht fixt. Klar; sich darum zu kümmern kostet Zeit und Ressourcen, die man ggf. nicht hat, weil man noch andere Dinge machen will (dringendere Bugs oder neue Features). Das könnte man nur in den Griff kriegen, wenn man mehr Ressourcen aufwendet. Aber das Geld will man halt nicht aufwenden, weil es den Gewinn schmälert.
Auf der anderen Seite kann man Cisco ja nun nicht vorwerfen, das sie wenig Gewinn machen. Offenbar wollen sie das lieber einstreichen, statt in Produktqualität zu investieren.
Atkatla schrieb:
Da Problem ist, dass er von der Softwareversorgung abgeschnitten und das Produkt EoL ist.
Wann war es jemals schon ein Problem, wenn Netzwerk-Produkte keine Softwareupdates mehr bekommen.
Du lieferst selbst Argumente für meinen Standpunkt, zieht aber nicht die Schlüsse daraus.