richtig so. unglaublich unprofessionell von Apple.

Immerhin hat Apple sich nicht über die Vorgehensweise (mehrfach) beschwert so wie es Microsoft gemacht hat.

Meine ich das nur oder nimmt das mit den Lücken überhand?

Da war doch mal was, Apple fix your shit, SSL-Lücke.

Und wie konsequent, bzw. "professionell" ist Google bei eigenen Sicherheitslücken?
Müsste man sich da nicht vielleicht auch an die eigene Nase fassen?

Nein, ich möchte die entdeckte Lücke nicht "schönreden", aber die Vorgehensweise lässt ein paar Fragen offen.

Ja, das Sicherheitsthema. Hier soll, darf, kann, muß Apple in jeglicher Hinsicht mehr machen: Kommunikativer, schneller, besser, direkter usw.

Kann denn Google Chrome inzwischen schon Passwörter mit Umlauten? Als ich das gesehen habe, obwohl es in Webkit ja geht, habe ich mich auch gefragt, was sie da treiben.

Baja, bei der aktuellen Version hat Apple die Lücke ja schnell geschlossen. Die alten Versionen bekommen halt seltener Fixe. Bestimmt ist das beim nächsten Update für Mavericks dabei.

Chrome ist schon lange nicht mehr Webkit.

Richtig, es verwendet Blink als Engine.

PS: Letztens gab es ein Update für Chrome.

Das ist mir nicht neu, es ist nur erstaunlich, dass sie Zugriff auf Webkit hatten und trotzdem diese Funktionalität nicht drin haben/hatten, weil das jeder mir bekannte Browser kann. Und den Zeichenvorrat vergrößern, ist auch der Sicherheit förderlich.

Wann war denn dieser Bug?

90 Tage....
Oh weh

Aber ist ja nicht Yosemite...
Was interessiert mich mein OS von gestern?

Ähm, Webkit ist soweit ich weiß eine Renderengine. Warum sollten damit Passwörter verarbeitet werden?

Die haben sich zurecht beschwert. Dieser drecksladen Google bringt alle in Gefahr mit seinem scheiß Egotrip. MS hatte sich letztes mal beschwert weil sie einen Patch hatten bei MS aber Donnerstag Patch Tag ist und der drecksladen Google nicht 2 Tage mit der Veröffentlichung warten wollte.

In meinen Augen ist so ein Vorgehen unverantwortlich. Die sollten mal vor ihrer eigenen Haustür kehren. Z.B. in ihrem Android Viren und Trojaner Store.

Na dann warte mal ab. Google ist noch nicht fertig mit dem Thema.

Als Google sich von Webkit verabschiedete.

Weil eine Rendering-Engine Zeichensätze kennen könnte, so wie die Passwortfunktio- nalität. Und wie sehr das voneinander getrennt ist, vermag ich nicht einzuschätzen.

Nee! Offensichtlich muss der Druck auf Firmen wie Apple und Microsoft deutlich erhöht werden!

Es gab ja auch öfter Beschwerden übers Apple Patch-Politik.

Umlaute gehen noch immer nicht. Mac OS X 10.7.5 und Google Chrome 39. Der Fokus von Google scheint auf ASCII zu liegen.

Wen wundert es das gerade Google im Applesystem
eine Lücke findet , wo doch Android geradezu die
Mutter aller Systemlücken ist.

Android ist die Lücke schlechthin

Eine sehr unpräzise Frage. Falls Du damit meinen solltest, dass bei HTTP Basic Authentication nicht jede Webapplikation Passwörter mit Umlauten und anderen Non-ASCII-Zeichen akzeptiert (bei Verwendung von Chrome), hast Du bedingt Recht. Chrome „kann“ durchaus Umlaute und sendet sie auch in Benutzernamen und Passwörtern bei HTTP-AUTH – allerdings codiert Chrome den gesamten Authorization-String in UTF-8 statt (wie alle anderen Browser) in ISO-8859-1. Die von mir gewartete Webapp kann damit umgehen, so dass man sich hier auch mit Goolge Chrome anmelden kann, wenn Umlaute im Passwort vorkommen.

Also zunächst mal verhält sich Google Chrome anders als die anderen Browser. Darin stimmen wir überein. Somit kommen wir zur Frage, was unterschiedlich ist.

Liefert der Webserver eine Info über den Default-Zeichensatz, der dann auch für die Basic Authentication verwendet wird, und Chrome ignoriert diese Angabe?

Ja, wenn man weiß, was Chrome macht, kann man es gegebenenfalls kompensieren.

Gratulation! Eigentlich geht es ja um eine Lücke bei Apple. Aber Ihr habt es wieder wunderbar geschafft mit dem Finger auf Andere zu zeigen. Einfach nur Schwachsinn!!!

Du hast recht, dass Apple sich bei Google für das Entdecken der Lücke bedanken sollte. Eigentlich. Da sie sich aber im Wettbewerb bis thermonuklearen Krieg befinden (seit Tim Cook ja vielleicht nicht mehr), fällt das gerade flach.

Ob es ok ist, Sicherheitslücken in der Öffentlichkeit zu diskutieren, dürfte strittig sein, Apple macht es jedenfalls eher nicht.

MacRudi
Soweit ich das verstehe, gibt es so eine Art "Ehren-Codex", nach dem ein Entdecker von Sicherheitslücken dem Betroffenen Zeit gibt, zu patchen oder zumindest Stellung zu nehmen. Und hier ist bei weitem nicht nur Google aktiv, sondern auch Leute, die als eher neutral gelten. Apple äußert sich teilweise aber gar nicht oder ignoriert einfach gefährliche Fehler! Und das müsste hier doch diskutiert werden und nicht ob es Google zusteht am Saubermann-Image von Apple zu kratzen!

In der Sache mit der Lücke bin ich nicht anderer Meinung. Deshalb ist mein Beitrag nicht so gemeint gewesen, dass Google kein Recht hat, diese Lücke zu veröffentlichen. Diese Lücke sehe ich als ein ziemliches Insiderdetail, wohingegen mein genanntes Problem relativ elementar ist. Und da frage ich mich, wie das zusammengeht.

MacRudi
Leider hat man bei Apple manchmal den Eindruck, dass die manche Lücken oder Gefahren schlicht weg verschlafen. Natürlich ist es problematisch, Cyberkriminelle auf Lücken hinzuweisen. Allerdings kann man auch nicht warten, bis der Betroffene irgendwann die Lücken schließt, denn wenn Google die finden kann, wie lange brauchen dann einschlägige Netzwerke? Ich denke 90 Tage sind lange genug, zumindest für eine Stellungnahme oder Kundeninfo. Und was Google angeht: natürlich ist das ein "Wie Du mir, so ich Dir!"-Spielchen! Apple hat nun den schwarzen Peter, darf man das heute noch sagen?, und muss reagieren.

Ich kann es nicht beurteilen, wieviel an der Stelle dranhängt an Abhängigkeiten. Mir kommt gerade der Vergleich mit einem Auto: es wird gekauft, obwohl man damit ums Leben kommen kann. Hinkt der Vergleich? Rennt man als Software-Hersteller immer den Hackern zeitlich hinterher oder gibt es DIE SICHERE SOFTWARE? Für kleinere Programme ja, für größere, ich weiß es nicht? Zumindest könnte man von Apples Seite mehr tun, ohne Frage. Bin mal gespannt, wann Apple begreift, dass die Software wichtiger ist, als es Apple momentan sieht. Im Augenblick kostet man den Siegeszug der Hardware aus.

Soll man das Verhalten von Apple jetzt bejubeln?! Bei MS war es so, dass ein Patch, einen Tag nach der Veröffentlichung ausgeliefert hat. MS hat darum gebeten, zur Sicherheit seiner Nutzer, diesen Patchday abzuwarten. Im zweiten Fall, gab es erhebliche Kompatibilitätsprobleme, weshalb ein Patch nicht rechtzeitig fertig wurde und auch in diesem Fall hat MS Google, im Sinne der Anwender, von einer Veröffentlichung abzuhalten versucht. Es ist ja nicht so, als ob Google bereits bekannte Sicherheitslücken herausposaunt. Eine Ausnutzung ohne Bekanntwerden der Lücke, darf man als sehr gering einschätzen. Apple hält keinerlei Reaktionen für notwendig und das macht es in meinen Augen eben noch schlimmer. Google darf man aber auch sehr kritisch sehen. Massenhaft lassen sie Android-Anwender, mit offenen Sicherheitslücken im Regen stehen, ohne auch nur die geringste Aussicht auf einen Patch. So ganz kann ich also die Argumentation nicht nachvollziehen, man handle im Sinne der Kunden und wolle mehr Druck auf die Hersteller ausüben, Sicherheitslücken schneller zu beheben. Das MS durchaus sauer war, kann ich sehr gut verstehen.