Internet Explorer gewinnt im Juni dazu


Anwender können heute zwischen einer großen Auswahl an Webbrowsern wählen. Die Weiterentwicklung im Browsermarkt geht mit großen Schritten voran. Microsoft selbst hat gerade mit der Veröffentlichung der dritten Platform Preview für den Internet Explorer 9 in der letzen Woche gezeigt, wohin aus unserer Sicht die Reise gehen wird. Gerade im Hinblick auf die Geschwindigkeit wird IE9 durch die Nutzung der Beschleunigungsfunktionen moderner Grafikkarten neue Maßstäbe setzen.

Die große Auswahl an Webbrowsern bedingt natürlich auch einen Wandel in der Nutzung über die Zeit. Die Marktforscher von Net Applications erstellen seit langer Zeit regelmäßig Statistiken über die Popularität und Nutzung von Webbrowsern. Dazu nutzen sie Besucherdaten von über ~40.000 Webseiten ihrer Kunden.

Während der Marktanteil des Internet Explorers in den letzten Monaten kontinuierlich abgenommen hatte, konnten wir beobachten, dass diese Abnahme immer langsamer wurde. Mit jedem Monat wurden außerdem Verschiebungen innerhalb der Browserversionen deutlicher. Internet Explorer 8 konnte davon zunehmend profitieren – im Mai 2010 nahm der Anteil von Internet Explorer 8 2,5 mal schneller zu, als der von Google Chrome.

Nach den neuesten Statistiken von Net Applications hat sich dieser Trend im letzten Monat nochmal verstärkt. Der Anteil des Internet Explorers wächst wieder weltweit! Mit einem Wachstum von 0,57% stieg der Marktanteil des Internet Explorers wieder auf >60%. Während parallel der Marktanteil von Firefox sinkt, wächst die aktuellste Internet Explorer Version mit der Nummer 8 weiterhin am schnellsten unter allen großen Browsern und liegt mit einer Zunahme von 0,66% jetzt im Wachstum um den Faktor 3 vor Google Chrome!

Obwohl Anwender in Europa durch das  Browserauswahlfenster eine sehr einfache Möglichkeit haben, konkurrierende Browser vorzuziehen, belegt die Zunahme um 0,88% in Europa, dass immer mehr Kunden sich bewusst für den Internet Explorer entscheiden. Wenn wir auf andere Regionen blicken, wächst der Marktanteil auch in Asien (0,81%) und in den USA (0,12%). Der Internet Explorer 8 erreicht mit einem Wachstum von 1.22% in Amerika mittlerweile >40% Marktanteil.

Die Nutzungsdaten sind natürlich nur ein Merkmal unter vielen, anhand derer man den Erfolg eines Browsers ablesen kann. Wir freuen uns über den wachsenden Erfolg, den wir hier in den vergangenen Monaten erreicht haben. Natürlich macht eine Schwalbe allein keinen Sommer – allerdings kommt die Internet Explorer 9 Platform Preview unglaublich gut an. Neben den hervorragenden Beurteilungen in der Presse zeigen über 2 Million Downloads das riesige Interesse am Internet Explorer, was uns optimistisch in die Zukunft blicken lässt.

Comments (37)

  1. MikeH says:

    Hallo da muss ich jetzt aber was dazu sagen.

    Ich behaupte die Zahlen warum IE8 gerade so zulegt ist einzig und allein dem Erfolg von Windows 7 geschuldet, weil IE8 halt da schon enthalten ist. Windows 7 gilt als sicher und damit gibt der eine oder andere dem IE8 eine Chance.

    Außerdem haben viele Benutzer mittlerweile eben die Erfahrung gemacht, dass Firefox eben auch *** und fett geworden ist. Worauf man klar hindeuten muss, ist der Erfolg von Chrome, welcher von vielen (noch) nicht wahrgenommen wird. Mit der Entscheidung quasi Apples Webkit als Grundlage zu verwenden verwenden, kam ein superschneller Browser heraus.

    Da kann MS noch so viel hypen mit Geschwindigkeit und Testsuites. Letztendlich – und das sollte MS selber wissen – entscheidet der Markt wo es langgeht und da ist der Zug schon lange in Richtung HTML5 und Webkit abgefahren.

    Es mögen viele PCs in der Welt stehen aber es gibt mit Sicherheit demnächst mehr Smartphones als PCs. Damit ist das Rennen über die Browsermarktführerschaft bereits entschieden bevor Microsoft überhaupt bemerkt wo es langgeht.

    Man muss nur mal anschauen wer mittlerweile Webkit als Grundlage benutzt: Apple mit Mac und IPhone mit Konsorten, Chrome, Blackberry, Nokia und nicht zu vergessen Android!

    Allein die Tatsache, dass MS es nicht schafft seinen alten IE Mobile Browser auf eine vernünftige Plattform zu stellen sagt bereits alles: social.msdn.microsoft.com/…/4233a7b5-6b70-4318-96f1-6683e2c38c03

    Selbst unter dem Heilsbringer Windows Phone 7 wird man also mit dem alten abgedroschenen IE von anno dazumal vorlieb nehmen müssen. Silverlight ist toll, ich war von fast Anfang an begeistert davon, bis ich dieses Jahr zum Touchvergleich ein iPad kaufte und erlebt habe, was Touch heißt und wie Touch funktionieren sollte. Ich gebe zu der Vergleich mit einem HP Touchsmart IQ810 mit Windows 7 ist nicht ganz fair aber er hat mir die Augen geöffnet.

    Und anstatt wirklich zu schauen dass WP7 ein Erfolg wird, hält man sich mit unnötigem Spielzeug wie KIN auf. Tja mit Mobiles hat man bei MS immer nur das Falsche gemacht dabei wäre soviel Potential (CE6 bzw. 7) da, wenn man rechtzeitig die Weichen gestellt hätte. Stattdessen werden Millionen und demnächst Abermillionen von iPhones und Androids verkauft.

    Also liebe MSler freut euch über euer Minibrowserwachstum und lasst die Sektkorken knallen aber lasst euch gesagt sein, der Abschwung kommt bestimmt! Aber wird dafür umso heftiger.

    Prosit!

  2. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern künftig die

  3. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  4. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  5. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  6. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  7. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  8. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  9. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  10. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  11. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  12. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  13. Anonymous says:

    Gestern konnte man viel lesen über über die Ankündigung von IBM , von seinen Mitarbeitern

  14. Torsten says:

    1.) Wo bleiben denn die Statements zum Thema "Kompatibilität zu vorhandenen Webstandards, die nicht von Microsoft sind"? siehe zum Beispiel

    scr3.golem.de

    2.) Tja, wer zum Herunterladen der "nicht völlig unbekannten" Software IrfanView auf http://www.irfanview.de (nicht .com) surft, dann das Icon recht oben anklickt, kann u.a. folgen Zahlen (unter "system tracking") sehen:

     Firefox 3          1780177    51.31%  

     MSIE 7          684218    19.72%  

     MSIE 6          304432    8.77%  

     MSIE 8          303863    8.76%  

    3.) "Windows 7 gilt als sicher und damit gibt der eine oder andere dem IE8 eine Chance." hat nur selbe LNK-Lücke wie Windows XP (siehe

    http://www.heise.de/…/Microsoft-bestaetigt-USB-Trojaner-Luecke-1039915.html ) – sieht so Fortschritt vom Sympathischen Weltmarktführer mit Service und Support aus?

  15. Daniel Melanchthon [MSFT] says:

    @MikeH: Deine Behauptung ist leicht zu widerlegen. Wer von Windows Vista auf Windows 7 aktualisiert, behält seinen vorher installierten Webbrowser. Wer Windows 7 neu aufsetzt, wird in der Regel auch seinen vorher benutzten Webbrowser wieder installieren.
    Alle Anwender von Windows XP, Windows Vista und Windows 7, die in der EU leben, wurden über den Ballot Screen sogar aufgefordert, sich für einen Browser explizit zu entscheiden. Bei Windows 7 wurde dafür zum Beispiel auch das IE-Icon aus der Taskbar entfernt.
    Trotz allem sank der Marktanteil des Internet Explorers nicht mehr. Er stieg sogar etwas an.

    Noch ein Punkt zum Thema Webstandards. Internet Explorer 9 ist wirklich stark im Bereich HTML5. Das Thema Interoperabilität ist aber nicht so einfach, wie Du vielleicht denkst. Du führst Webkit als Beispiel an, welches die Grundlage der Browser bei Apple
    Mac OS X, iPhone und iPad sowie Google Chrome, Blackberry, Nokia und nicht zu vergessen Android ist.

    Nimm einfach mal den
    HTML5 Border Radius Test
     und führe ihn in Safari, Chrome und/oder den mobilen Browser aus. Alle von Dir genannten Browser nutzen die gleiche Renderengine. Trotzdem unterscheiden sich die Ergebnisse des gleichen Tests drastisch! Wenn selbst die gleiche Renderengine
    schon zu unterschiedlichen Ergebnissen bei dem selben Test führt, erkennst Du vielleicht, dass Interoperabilität nicht so simple ist.

    @Torsten: Zu 1) was meinst Du mit "vorhandenen Webstandards, die nicht von Microsoft sind"? Der ACID3-Test, auf den Du anscheinend abhebst, ist kein sinnvoller Test von Webstandards und auch kein öffentlich anerkannter Test vom World Wide Web Consortium
    (W3C). Das "Web Standards Project", welches hinter dem Test steht, ist eine private Vereinigung von Web-Enthusiasten, die mit Acid3 aber deutlich über das Ziel hinausgeschossen sind. Wenn es Dich wirklich interessiert, kannst Du ja mal nachlesen, was andere
    Experten darüber schrieben:

    Eric Meyer: Acid Redux
    meyerweb.com/…/acid-redux

    "The real point here is that the Acid3 test isn’t a broad-spectrum standards-support test. It’s a showpiece, and something of a Potemkin village at that. Which is a shame, because what’s really needed right now is exhaustive test suites for specifications–
    XHTML, CSS, DOM, SVG, you name it."

    Mike Shaver: The missed opportunity of acid 3
    shaver.off.net/…/the-missed-opportunity-of-acid-3

    "Ian’s Acid 3, unlike its predecessors, is not about establishing a baseline of useful web capabilities. It’s quite explicitly about making browser developers jump — Ian specifically sought out tests that were broken in WebKit, Opera, and Gecko, perhaps
    out of a twisted attempt at fairness. But the Acid tests shouldn’t be fair to browsers, they should be fair to the web; they should be based on how good the web will be as a platform if all browsers conform, not about how far any given browser has to stretch
    to get there."

    "What I disagree with is the idea that if you cherry-pick enough obscure and difficult corners of a bunch of different specifications and mix them all together into a spicy meatball of difficulty, it constitutes a useful test of the specifications you
    cherry-picked. Because the one does not automatically follow from the other. For example, suppose I told you that WebKit had implemented just the bits of SMIL-related SVG needed to pass the test, and that in doing so they exposed a woefully incomplete SVG
    implementation, one that gets something like 2% pass rates on actual SMIL/SVG tests. Laughable, right? Yes, well."

    Rob Sayre: Acid3 is basically worthless
    blog.mozilla.com/…/acid3-is-basically-worthless

    "I was looking over the spreadsheet covering Mozilla’s Acid3 failures, and it struck me that very few of the fixes would substantially improve the Web or the browser. They are bugs and they will be fixed (except maybe SMIL… wtf?), but they don’t impact
    authors or users at all."

    Das Rennen zwischen Apple und Opera, den Test als erstes zu bestehen, um es dann marketingtechnisch ausschlachten zu können, führte bei Apple zum Beispiel auch dazu, die Darstellung der bei Acid3 verwendeten Schrift Ahem

    speziell für den Test so anzupassen
    , damit der Test 100 Punkte anzeigt.

    Das ist nicht wirklich der Sinn eines Tests auf Webstandards. BTW: Der Link, auf den Du Dich beziehst, zeigt einen älteren Build von IE9. IE9 erreicht mittlerweile
    83/100 Punkte
    95/100 Punkte
    (und der kommende Build wird noch besser).

    Unser Ansatz ist hier ein anderer. Wir arbeiten primär mit dem W3C zusammen, damit die offiziellen Testsuites der einzelnen Working Groups umfassend verbessert werden. Welche Organisation wäre sonst geeigneter, authorative Tests für HTML5 zu definieren?
    Die Ergebnisse kannst Du im
    Internet Explorer Testcenter
    einsehen.

    Zu 2) Es geht nicht um Ergebnisse einer einzelnen Webseite. Er geht auch nicht um den absoluten Marktanteil von Browsern. Diese Angaben können nicht repräsentativ ermittelt werden. Was man aber machen kann, ist mit einer großen Population (~40.000 Webseiten)
    die Veränderung der Marktanteile über die Zeit zu beobachten. Damit bekommt man deutlich repräsentativere Ergebnisse, die vor allem Trends aufzeigen. Um diese Trends geht es in dem Posting.

    Zu 3) Der Fehler ist sehr unschön. Es handelt sich um eine Remote Code Execution Vulnerability beim Anzeigen von Icons. Keine Frage – wir wären alle froher, wenn es ihn nicht gegeben hätte. Allerdings sind die Schlußfolgerungen, die Du daraus ziehst, meiner
    Meinung nach falsch. Jeder Fehler, der in Windows oder im Internet Explorer gefunden wird, bekommt eine sehr hohe Aufmerksamkeit. Überproportional mehr als bei allen anderen Herstellern und Produkten. Daraus wird manchmal der falsche Schluß gezogen, dass das
    Produkt generell unsicher oder unsicherer als die Konkurrenz sei. Wenn man einen Blick auf andere Betriebssysteme oder Brower wirft, wird man sehen, dass dort genauso Fehler regelmäßig gefixed werden, wobei allein die Anzahl solcher Fehler dort wesentlich
    höher ist.

  16. Torsten says:

    Die Site netmarketshare.com ist wieder erreichbar. Ich lese unter dem von D.M. bereitgestellten Link folgendes:

    September, 2009 65.71% 23.75% 3.17% 4.24% 2.19% 0.95%

    October, 2009 64.64% 24.07% 3.58% 4.42% 2.17% 1.12%

    November, 2009 63.62% 24.72% 3.93% 4.36% 2.31% 1.06%

    December, 2009 62.69% 24.61% 4.63% 4.46% 2.40% 1.21%

    January, 2010 62.12% 24.43% 5.22% 4.53% 2.38% 1.31%

    February, 2010 61.58% 24.23% 5.61% 4.45% 2.35% 1.77%

    March, 2010 60.65% 24.52% 6.13% 4.65% 2.37% 1.67%

    April, 2010 59.95% 24.59% 6.73% 4.72% 2.30% 1.71%

    May, 2010 59.75% 24.32% 7.04% 4.77% 2.43% 1.69%

    June, 2010 60.32% 23.81% 7.24% 4.85% 2.27% 1.51%

    July, 2010 60.74% 22.91% 7.16% 5.09% 2.45% 1.66%

    Im Juli 2010 fast 5 Prozent unter September 2009 – und im September 2009 gab es das Browserwahlfenster noch gar nicht. 0,99%-Schwankung kann auch durch Win7-Deployment entstehen, bis die Leute wieder "ihren" Browser installieren.

    > Allerdings sind die Schlußfolgerungen, die Du daraus ziehst, meiner Meinung nach falsch.

    Eine (unausgesprochene) Schlussfolgerung/Vermutung war: bereits vorhandener Code (Icon-Anzeige im nicht-abwählbaren Explorer) wird nicht auf Sicherheitslücken des Niveaus "Remote Code Execution" untersucht/getestet. Das Niveau "RCE" ist auf meiner Skala "kurz vor der Kernschmelze". Wo sind die Tatsachen, die meine (unausgesprochene) Schussfolgerung widerlegen? "sind meiner Meinung nach falsch" ist keine Tatsache.

    > Wer Windows 7 neu aufsetzt, wird in der Regel auch seinen vorher benutzten Webbrowser wieder installieren.

    Verstehe ich das richtig: Die Installation von IE 6 oder 7 unter Windows 7 ist möglich und supported?

    Übrigens, muss ich scheinbar 2x auf Post klicken, damits "schnackelt".

  17. Daniel Melanchthon [MSFT] says:

    @Torsten: Zu 2) Ich habe nie bestritten, dass der Martkanteil abgenommen hat. Zitat: "Während der Marktanteil des Internet Explorers in den letzten Monaten kontinuierlich abgenommen hatte, konnten wir beobachten, dass diese Abnahme immer langsamer wurde." Das Auswahlfenster wird aber erst seit März 2010 und nicht seit September 2009 in Europa ausgeliefert. Ergebnis: Internet Explorer 60,65% im März 2010 vs. 60,74% im Juli 2010 (zum Vergleich Firefox im gleichen Zeitraum -1,61%). Darauf habe ich mich in dem Artikel bezogen. Wenn man ein bißchen Mathematik bemüht, sieht man im Vergleich Was willst Du denn nun eigentlich aussagen?

    Zu 3) Niemand hat betritten, dass es sich bei dem LNK-Bug um einen schwerwiegenden Fehler in Windows handelt. Der Hotfix dagegen wird ausser der Reihe heute verteilt. Dass ein solcher Fehler niemals auftreten sollte, da sind wir alle ganz bei Dir. Nur ist dieser Fehler aber passiert. Microsoft hat entsprechend reagiert. Was erwartest Du denn sonst? Niemand ist bei der Programmierung komplexer Software absolut fehlerfrei.

    Zu IE6/IE7 unter Windows 7) Natürlich kannst Du IE6/IE7 nicht unter Windows 7 direkt installieren (ausser Du nimmst XP Mode als Workaround). Das habe ich aber auch nicht gesagt. Bleibt die Frage: Was bezweckst Du mit Deinen Kommentaren eigentlich?

    VG, Daniel

  18. Gerd says:

    > bereits [seit XP] vorhandener Code (Icon-Anzeige im nicht-abwählbaren Explorer) wird nicht auf Sicherheitslücken des Niveaus "Remote Code Execution" untersucht/getestet.

    Gibt es dazu Fakten?

  19. Daniel Melanchthon [MSFT] says:

    Torsten meint vermutlich das
    Microsoft Security Bulletin MS10-046 – Sicherheitsanfälligkeit in Windows Shell kann Remotecodeausführung ermöglichen
    . Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn das Symbol einer speziell gestalteten Verknüpfung angezeigt wird.
    Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Endbenutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben
    als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

    Zur  Problemumgehungen konnte man die automatisierte Fix it-Lösung aus dem
    Knowledge Base-Artikel 2286198
    nutzen (Neustart erforderlich). Seit Montag gibt es für alle unterstützten Windows-Versionen ein

    Sicherheitsupdate
    , dass das Problem löst.

  20. Schild2 says:

    > Internet Explorer 60,65% im März 2010 vs. 60,74% im Juli 2010 (zum Vergleich Firefox im gleichen Zeitraum -1,61%)

    Und Chrome hat seit Sept. 2009 seinem Marktanteil mehr als verdoppelt – Das ist Wachstum.

    Und Chrome 5 (vom Mai 2010) unterstützt natürlich WinXP. Office 2010 unterstützt scheinbar auch noch XP, so dass die Plattform wohl noch "in freier Wildbahn" in ausreichender Zahl existiert). Wie siehts mit der XP-Unterstützung von IE9 aus?

    > Ich behaupte die Zahlen warum IE8 gerade so zulegt ist einzig und allein dem Erfolg von Windows 7 geschuldet, weil IE8 halt da schon enthalten ist.

    ACK, das wird hier sogar sozugegeben – ich keine kein Unternehmen, dass Betriebssystemupdates durch Inplaceupdates machen, sondern nur wipe-n-reload.

    Siehe auch "UK.gov sticks to IE 6 cos it's more 'cost effective', innit" unter http://www.theregister.co.uk/…/uk_government_sticks_with_ie_6 vom 30.7.2010, also aktuell.

  21. Daniel Melanchthon [MSFT] says:

    Was hat Chromes Wachstum seit Sept. 2009 mit meiner Aussage zur Entwicklung des Internet Explorers in den letzten Monaten zu tun? Mein Punkt ist, dass Internet Explorer keine Marktanteile verliert (was er vorher monatelang getan hat), sondern seit den letzten Monaten wieder gewinnt. Das hier eine Entwicklung verändert und ein Trend gebrochen wurde.

    Und wie Wachstum für mich aussieht, kann ich Dir ganz leicht erklären: Über alle Versionen betrachtet war das Wachstum bei Chrome im Juli (-0,08%) genauso wie bei Firefox (-0,9%) negativ! Da gab es gar kein Wachstum, sondern Verluste. Dagegen hat Internet Explorer (+0,42%) in Summe am meisten weiter zugelegt und ist damit der am schnellsten wachsende Browser mit relevantem Marktanteil. Auch wenn Du auf die einzelnen Versionsnummer schaust, wirst Du sehen, dass Chrome in der Version 5 zwar im Juli mit 0,34% leicht zugelegt hat, dagegen aber Internet Explorer 8 mit +1,03% deutlich stärker gewachsen ist. Das ist mehr als eine dreimal so hohe Wachstumsrate. So sieht Wachstum für mich aus.

    Neben Chrome 5 (vom Mai 2010) unterstützt auch Internet Explorer 8 natürlich Windows XP. IE9 wird XP nicht mehr unterstützen, weil wir uns nicht von fehlenden Funktionen einer schon fast 10 Jahre alten Plattform abhängig machen wollen. Schau Dir einfach mal die Unterschiede zwischen Chrome und IE9 in den Performance-Tests an. Da liegen Welten zwischen beiden Browsern. Internet Explorer läuft hier Chrome nicht nur den Rang ab, er steckt Chrome locker in die Tasche.

  22. BadL says:

    > "Neben den hervorragenden Beurteilungen in der Presse"

    http://www.chip.de/…/Internet-Explorer-9-Vierte-Preview-erschienen_44151176.html schreibt dazu "Die Leistungsfähigkeit beweist Microsoft
    mit einem Vergleich aller populären Browser, unter denen die Platform Preview 4 den vierten Platz belegt. " (hinter den für XP erhältlichen Chrome und Opera).

    > "Eine (unausgesprochene) Schlussfolgerung/Vermutung war: bereits vorhandener Code (Icon-Anzeige im nicht-abwählbaren Explorer) wird nicht auf Sicherheitslücken des Niveaus "Remote Code Execution" untersucht/getestet."

    Etwas anders kann man kaum vermuten, zumal die Herangehensweise (d.h. ohne Code) bzgl. Softwaretest (Verfahren) von Microsoft kaum bis gar öffentlich dokumentiert ist. Baut das Vertrauen auf?

    > Nur ist dieser Fehler aber passiert. Microsoft hat entsprechend reagiert. Was erwartest Du denn sonst?

    Transparenz beim Defect-tracking. Für die Desktopumgebung "gnome" gibt es "Bugzilla" (https://bugzilla.gnome.org/).  Wann wurde der "Bug" gemeldet? Wann als Bug verifiziert? Die Qualität
    des Fixits ist bekannt, und die Dauer von Fixit bis zum Patch auch.

    Außerdem: Warum wurde der Bug nicht von der DEP (Data execution prevention) erfasst, und zwar auf keiner Plattform?

    > der Abschwung kommt bestimmt! Aber wird dafür umso heftiger.

    Wenn man mit neuer Software auch 61,87% der Kunden nicht versorgt, dann ist das sehr wahrscheinlich. Quelle für die Prozentzahl:

    http://www.netmarketshare.com/operating-system-market-share.aspx

    Edit: auch hier 2x Klicken auf "post" erforderlich

  23. Daniel Melanchthon [MSFT] says:

    http://www.golem.de/…/76994.html: "In den von Microsoft veröffentlichten Sunspider-Benchmarks liegt der IE9 damit vor Apples aktuellem Browser Safari 5 (Anm. d. Red: und mehr als
    deutlich vor Firefox). Lediglich Chrome 5 und 6 sowie Opera 10.6 sind in dem Benchmark des Webkit-Projekts noch schneller als der Internet Explorer 9 … Das Wesentliche aber bleibt: Der IE9 liegt in Sachen Javascript-Geschwindigkeit auf Augenhöhe mit der
    Konkurrenz und ist in der aktuellen Vorabversion rund zehnmal schneller als sein Vorgänger."

    In Sachen Javascript-Performance liegen also die Unterschiede unter den ersten Browsern nur noch im Millisekundenbereich. Während zwischen IE8 und Opera 10.6 noch 3,5s liegen, sind es bei IE9 nur noch 80ms (Firefox 3.6.3: 490 ms).

    "Neu ist dabei in der Platform Preview 4 die hardwarebeschleunigte Darstellung von mit Javascript animierten SVG-Grafiken. Microsoft demonstriert dies unter anderem mit einem Würfelspiel namens SVG Dice. Die Demo läuft in Firefox vergleichsweise ruckelnd
    ab, Safari zwingt sie in die Knie."

    Bei HTML5 sieht man, wozu IE9 geschwindigkeitstechnisch fähig ist. Die Nutzung der GPU zur hardwarebeschleunigten Darstellung von Grafiken, Texten, Audio und Videos wird ganz neue Webanwendungen ermöglichen.

    @Schild2 & BadL: Welches Haar in der Suppe wollt Ihr noch suchen?

    Zu der LNK-Lücke: Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer eigenen Code ausführen lassen kann. In Sachen Transparenz beim Defect-tracking
    zitiere ich mal Linus Torvalds:

    "Security people are often the black-and-white kind of people that I can’t stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in that they make such a big deal about concentrating on security to the point where they pretty much admit that
    nothing else matters to them." Sehr lesenswert der gesamte Thread:
    thread.gmane.org/…/focus=706950

  24. UITAG says:

    >  In Sachen Transparenz beim Defect-tracking zitiere ich mal Linus Torvalds: "Security people are often the black-and-white kind of people that I can't stand. I think the OpenBSD crowd is a bunch of … monkeys

    Ist Linus Toralds ein Microsoft-Mitarbeiter oder OpenBSD ein Microsoft-Produkt? Falls zweimal nein, wo ist dann die Relevanz zu Microsoft?

    > Warum wurde der Bug nicht von der DEP (Data execution prevention) erfasst, und zwar auf keiner Plattform?

    Interessante Frage an jemanden, der laut XING über ein Jahr Security Evangelist bei Microsoft war.

    > Das Niveau "RCE" ist auf meiner Skala "kurz vor der Kernschmelze".

    Der Patch kam doch erst nach Auftreten bei einem süddeutschen Automobilbauer, oder? Wäre da "kurz NACH der Kernschmelze" nicht angemessener?

  25. Daniel Melanchthon [MSFT] says:

    Hallo UITAG,

    natürlich ist Linus Torvalds kein Microsoft-Mitarbeiter und OpenBSD kein Microsoft-Produkt. Das war doch eine rhetorische Frage, oder? Relevant wird das, wenn Du der Argumentation von BadL folgst. BadL führt als Beispiel für Transparenz beim Defect-tracking
    das Open Source-Projekt "gnome" an. Ich konterte mit einem Zitat des "Erfinders" von Linux, das zeigt, dass Offenheit eben nicht gerade mit Transparenz gleichgesetzt werden kann. Was hilft es denn, wenn man theoretisch nachvollziehen kann, wann ein Bug gemeldet/verifiziert
    wurde, wenn die Qualität des Fixes und die Dauer bis zum Patch bekannt ist, etc. solange man z.B. Auswirkung, Schweregrad, etc. eines Bugs nicht klassifiziert?

    BTW: Der Patch kam auch nicht erst nach Auftreten bei einem süddeutschen Automobilbauer (bei dem auch nur in

    <1% der Virenvorfälle ein Zusammenhang mit der LNK-Lücke
    bestand), sondern wurde gemäß unserem normalen,

    formalisierten Prozess
    behandelt. Ich wäre mit Begriffen wie "Kernschmelze" etwas vorsichtiger. Vom Schweregrad war SQL Slammer zum Beispiel wesentlich gefährlicher.

    Da die Diskussion gerade mit den letzten Beiträgen nun aber arg off topic geworden ist, werde ich weitere Beiträge, die nichts mit dem Thema des ursprünglichen Artikels zu tun haben, nicht weiter beantworten, solange nicht etwas substantiell Neues hinzukommt.

    VG, Daniel

  26. UITAG says:

    Tomshardware meint aktuell dazu "IE9 does not deliver …. The performance we have seen so far is mediocre at best" –>

    http://www.tomshardware.com/…/internet-explorer-chrome-firefox-safari-opera,11103.html <– Inklusive Benchmarks

    Zitat von da: "Microsoft recently gained some points back, but we should be realistic and see that this trend may be short-lived as it is due to an advertising campaign Microsoft has launched across multiple TV channels. As soon as the campaign stops, Microsoft’s
    share is likely to drop again."

    > werde ich weitere Beiträge, die nichts mit dem Thema des ursprünglichen Artikels zu tun haben, nicht weiter beantworten

    Da stelle ich die Frage: Was hat die persönliche Einstufung (eines Nicht-Microsoft-Mitarbeiters) der OpenBSD-Security-Praktiken ("Only two remote holes in the default install, in more than 10 years!") mit dem Marktanteil von InternetExplorer zu tun? Hauptsache,
    mit Dreck nach der "Konkurrenz" geworfen?

  27. Daniel Melanchthon [MSFT] says:

    Da Tomshardware den Anstieg des IE-Marktanteils nicht vorhergesagt hat, haben sie vermutlich auch keine verläßliche Kristallkugel, die ihnen einen sicheren Ausblick in die Zukunft ermöglicht. Eine verläßliche Beurteilung der Beta ist erst möglich, wenn die
    Beta draussen ist. Sich auf Screenshots zu verlassen, die irgendjemand ins Netz gestellt hat und die IE9 Beta zeigen sollen – wie verläßlich sind solche Spekulationen? Auch bezieht sich der von Dir zitierte Kommentar nur auf einen Teilaspekt der Browserperformance,
    nämlich auf die Javascript-Performance (wo IE9 übrigens Firefox abhängt). Die beeindruckende HTML5-Performance von IE9 wird einfach abgetan mit
    "Seriously, how many HTML 5 web sites do you know that benefit from hardware acceleration?". Mit IE9 werden gerade völlig neue Möglichkeiten mit HTML5 möglich. Das war bei Javascript genauso. Und die Spekulation über die Gründe des Zuwachs des IE-Marktanteils
    und über einen möglichen zukünftigen Rückgang sind auch nur reine Spekulation.

    Zu "Was hat die persönliche Einstufung (eines Nicht-Microsoft-Mitarbeiters) der OpenBSD-Security-Praktiken ("Only two remote holes in the default install, in more than 10 years!") mit dem Marktanteil von InternetExplorer zu tun? Hauptsache, mit Dreck
    nach der "Konkurrenz" geworfen?"
    kann ich nur wiederholen, was ich schon vorher geantwortet habe. Die Relevanz liegt in der Argumentation von BadL. BadL führt als Beispiel für Transparenz beim Defect-tracking das Open Source-Projekt "gnome" an. Von ihm
    kommt der Ausflug in Richtung Open Source. Da muß es doch erlaubt sein, darauf hinzuweisen, dass offener Quelltext gerade nciht nicht automatisch mehr Transparenz bedeutet.

    Der zitierte Thread zeigt das doch deutlich. Es geht mir dabei nicht um "Dreck nach der Konkurrenz" zu werfen. Für die Sprache, die Linus verwendet, kannst Du nicht mich verantwortlich machen. Aber Du kanst dem Thread entnehmen, dass bei Fehlerbehebungen
    eben nicht geschaut wird, ob diese sicherheitsrelevant sind, was katastrophale Folgen haben kann und wie die Praxis zeigt, auch hat. Ein aktuelles Beispiel gefällig?

    Wojtczuk schlägt in seinem Paper als Lösung vor, für einen Mindestabstand von einer Speicherseite (Guard Page) zwischen Stack und anderen Speicherbereichen zu sorgen.
    Diese Funktion wurde in den Kernel-Versionen 2.6.32.19, 2.6.34.4 und 2.6.35.2 bereits implementiert – jedoch ohne explizit auf das Problem hinzuweisen.
    Root-Rechte durch Linux-Kernel-Bug

    Offene Software bedeutet eben gerade nicht automatisch transparente Entwicklung.

  28. OMG says:

    Wenn Tomshardware meint "IE9 does not deliver …. The performance we have seen so far is mediocre at best", frag ich mich, wer solch einen Artikel veröffentlicht. Der gehört eigentlich zurückgezogen. Die Zahlen sind falsch:

    – Acid score is 95%

    – HTML5test score is 96

    – At least on my computer i5-760 + HD4770 Spider runs faster than in Safari 5.0.1 (contrary to PP3).

    – Since PP3 IE9 supports HTML5 canvas element (and it's GPU accelerated, providing impressive and unmatched speed for something you qualified as "critical").

    Der "geleakten" Screenshots sehen exakt aus wie IE8 mit einem Downloadmanager. Photoshop   läßt grüßen? Und der einzige Benchmark, der in dem Artikel hervorgehoben wird, ist nicht neutral, sondern von Google. Was für eine Überraschung, das Chrome da gewinnt! So sieht für mich nicht seriöser Onlinejournalismus aus.

  29. SCUG says:

    Wieviel remote holes in the default install hat den InterntExplorer, sagen wir Version 6 (die sind ja sicher alle alle sofort gefixt) Oder Windows 7? Oder Windows XP? OpenBSD hat seine Zahl genannt, was ist die Zahl von Microsoft? Nicht-Information ist keine Information, Informatiker würden sagen "das leere Wort Epsilon ist Teil keiner Grammatik".

    >  Da muß es doch erlaubt sein, darauf hinzuweisen, dass offener Quelltext gerade nciht nicht automatisch mehr Transparenz bedeutet.

    Behauptung ohne Beweis? Von Gnome kann ich den kompletten Quellcode runterladen, und auch auf den Bugzilla (Defekt-Tracking) zugreifen. Wo finde ich den Quellcode von InternetExplorer und den entsprechenden "Bugzilla"?

    > Für die Sprache, die Linus verwendet, kannst Du nicht mich verantwortlich machen.

    Nur für die Wiederholung von Linus' Aussagen. Beispiel: Frauenwahlrecht in der Schweiz ( de.wikipedia.org/…/Frauenstimmrecht_in_der_Schweiz  ) – Bei der politischen Diskussion sind sicher Aussagen gefallen, die heute wiederholt sicherlich Tomatenwürfe zur Folge haben. Einfach ausprobieren, Herr Melanchton.

    > Aber Du kanst dem Thread entnehmen, dass bei Fehlerbehebungen eben nicht geschaut wird, ob diese sicherheitsrelevant sind, was katastrophale Folgen haben kann und wie die Praxis zeigt, auch hat.

    Wieviel Jahre arbeiten Sie denn schon bei Open-Source-Projekten mit, um beurteilen zu können, ob " geschaut wird, ob diese sicherheitsrelevant sind"

    Wo genau sind denn die katastrophalen Auswirkungen? Sagen Sie, Patche kann man nicht de-installieren bei Linux und UNIX?

  30. Daniel Melanchthon [MSFT] says:

    @SCUG: Du vergleichst Äpfel mit Birnen und was da rauskommt, ist maximal Mus. Du mußt schon vergleichbare Dinge vergleichen. OpenBSD hat einen ganz anderen Funktionsumfang als Windows. Bitte lies doch erst einmal den verlinkten Thread, bevor Du hier offtopic
    postest. Falls Du noch nicht alles gelesen hast, dann lies folgenden Satz von Linus:

    "So I personally consider security bugs to be just "normal bugs". I don’t cover them up, but I also don’t have any reason what-so-ever to think it’s a good idea to track them and announce them as something special."
    http://thread.gmane.org/gmane.linux.kernel/701694/focus=706950

    Soviel zum Thema Transparenz. Die Offenheit des Quellcodes allein sagt nichts über die Qualität und Fehlerfreiheit. Und die Frage, was daran katastrophale Folgen haben kann, kannst Du Dir selbst beantworten:

    "SUSEs Maintainer Andrea Arcangeli hat bereits im September 2004 einen Fix für das Problem

    angeboten
    , der aber aus unbekannten Gründen nicht in den allgemeinen Kernel aufgenommen wurde, wie Marcus Meissner vom Suse-Security-Team gegenüber heise Security erklärt. SUSE selbst hat den Fix zumindest in SUSE Linux
    Enterprise 9 und 11 sowie openSUSE 11.1-11.3
    eingepflegt
    .
    http://www.heise.de/newsticker/meldung/Root-Rechte-durch-Linux-Kernel-Bug-Update-1061153.html

  31. UITAG says:

    Das Fass "Meinung von Torvalds über OpenBSD" haben Sie aufgemacht, Herr Melanchton.

    > was daran katastrophale Folgen haben kann

    Auf einmal nur "haben kann" statt "hat"? Und wenn XP bis Win7 tatsächlich vorhandene Sicherheitslücken hat (für die MS sogar Patches anbietet), dann ist das nicht "katastrophal"? Soll man mal bei Daimler nachfragen? Und: Ich muss mich mal informieren, wie "Glaubwürdigkeit" in Untetrschleißheim definiert wird.

    >  Die Offenheit des Quellcodes allein sagt nichts über die Qualität und Fehlerfreiheit.

    Die Qualität eines Codes kann durch automatisierte Tests und durch menschliches Draufgucken sicher-gestellt werden. Wo ist die Doku von Microsoft zu dem Thema? Aber Behauptungen ohne Beweis sind hier ja Standard, wie SCUG schon festgestellt hat.

  32. OMG says:

    Sag mal haben SCUG und UITAG eigentlich mal gelesen, was da von Herrn Melanchton zitiert wurde? Eventuell auch den ganzen Thread? Es geht da gar nicht gegen OpenBSD, sondern um den intransparenten Umgang mit einem Fehler im Linuxkernel, der wirklich katastrophale Security-Auswirkungen hatte. Da sieht man auch, dass das nicht zum ersten mal vorkam und Torvalds erklärt einfach, dass er Bugs fixed, ohne um die Security-Relevanz sich Gedanken zu machen. Das ist intransparent und der offene Code reicht dagegen nicht aus.

    Wenn die  Qualität eines Codes durch automatisierte Tests und durch menschliches Draufgucken allein sichergestellt werden kann, wie konnte dann der OpenSSL-Fehler in Debian passieren? Oder der Bug von gerade eben, der schon seit 6 Jahren bekannt war. Nur wude die Lösung nicht übernommen, so dass nur die Distri von SuSE den Fix hatte.

    Die Doku von Microsoft zu dem Thema findest Du dagegen sehr leicht. Schau einfach mal nach dem Security Development Lifecycle: http://blogs.msdn.com/b/sdl/

  33. Laeppi says:

    > Wenn die  Qualität eines Codes durch automatisierte Tests und durch menschliches Draufgucken allein sichergestellt werden kann

    Von "nur" les ich da nix. Und bei Microsoft kommt der Arnold Schwarzenegger vorbei und prüft den Code mit beiden Fäusten, da ist dann alles "sauber"? Seeehr glaubhaft. Oder ist es manchen nur ein Bedürfnis, ihren Hass auf Linux hier völlig freien Lauf zu lassen? Das erklärt auch das Zitat "masturbating Monkeys" von D.Melanchton. Was hat das mit Marktanteilen von Microsoft-Software zu tun?

    > intransparenten Umgang mit einem Fehler im Linuxkernel, der wirklich katastrophale Security-Auswirkungen hatte.

    Was genau ist an einer Diskussion auf einer Mailingsliste (o.ä.) "intransparent"? Die Mailingliste ist ja öffentlich. Seeehr glaubhafter Diskussionsbeitrag, ja wirklich. Wie sollen sonst Enwickler kommunizieren, sodass jeder lernen kann, wo was in der Software wie warum gemacht wird – mit einfacher (!) Möglichkeit zu sagen "ja halte mal, warum sorum und nicht besser dadarum?"

    Wo genau sind denn die "katastrophalen Security-Auswirkungen"? Behauptungen ohne Beweise fördern nicht die eigene Glaubwürdigkeit.

  34. OMG says:

    Lesen scheint nicht wirklich jedermanns Stärke zu sein. Also auch nochmla für Dich: Die Doku von Microsoft zu dem Thema heißt Security Development Lifecycle. Schau doch mal hier

    http://www.heise.de/…/Sichere-Softwareentwicklung-nach-dem-Security-by-Design-Prinzip-403663.html und hier
    http://blogs.msdn.com/b/sdl/:

    "Firmen wie Microsoft, die früh mit den Auswirkungen unsicherer Software konfrontiert wurden, suchen seit Jahren nach Lösungen und haben sie für sich gefunden, umgesetzt und kontinuierlich überarbeitet. Microsofts Prinzip heißt ‘Security by Design’ und steht
    für integrierte Softwaresicherheit beziehungsweise setzt voraus, Sicherheit als explizite Anforderung in den Entwicklungsprozess aufzunehmen sowie ganzheitliche Sicherheitsmaßnahmen von der Initialisierung an zu berücksichtigen, umzusetzen und zu testen …
    Security by Design ist keine Technik, sondern eine Sicherheitsmaßnahme, die den Entwicklungsprozess begleitet und oft als Security Development Lifecycle (SDL) bezeichnet wird."

    Wie Du da jetzt auf "Hass auf Linux" kommst, ist mir ein Rätsel. Das Zitat ist nicht von Melanchton, sondern vom einem der wichtigsten Personen aus dem Linuxlager, der sich öffentlich hinstellt und sagt, dass ihn Securityaspekte beim Fixen von Softwarebugs
    nicht interessiert. An der  Diskussion ist natürlich nicht die  Mailingsliste intransparent. Hier wurde ja die Behauptung aufgestellt, wenn nur der Code und die Bugdatenbank frei zugänglich sind, ist die Softwareentwicklung transparent. Das stimmt halt nicht.
    Wenn Du die Links, die hier gepostet wurden, mal lesen würdest, müsste man Dir das nicht vorkauen. Die katastrophalen Security-Auswirkungen sind zum Beispiel, dass in Debian jahrelang ein Fehler eingebaut war, durch den nur noch einfachst knackbare Schlüssel
    erzeugt werden konnten:
    http://www.heise.de/…/Konsequenzen-des-OpenSSL-Debakels-207829.html. Obwohl der Quellcode offen lag. Obwohl (angeblich) tausende Augen diesen offenen Code akribisch prüfen. Obwohl die Kommunikation dazu öffentlich über Mailinglisten geführt wurde. Obwohl selbst
    eine Unbedenklichkeitsbestätigung von der  OpenSSL-Entwicklerliste eingeholt wurde.

    Oder das aktuelle Beispiel mit den Root-Rechten durch einen Linux-Kernel-Bug:
    http://www.heise.de/…/Root-Rechte-durch-Linux-Kernel-Bug-Update-1061153.html. Für das Problem wurde schon im September 2004 von SUSEs Maintainer Andrea Arcangeli ein Fix angeboten, der aber aus unerfindlichen Gründen nicht in den allgemeinen Kernel aufgenommen
    wurde. Das Problem selbst ist schon seit den 90ern bekannt. Wir haben hier also die Situation, dass seit 1998 qualifizierte Bedenken gegen eine Lösung gab, dass dann tatsächlich ein echter Fehler identifiziert worden ist,

    dass Andrea Arcageli bei SuSE im Jahr 2004 einen Patch angegeben hat, der eine seit mehr als 20 Jahre bekannte Lösung benutzt, das alles bis heute ignoriert worden war und jetzt plötzlich dieser Fehler eingestanden wird. Bestenfalls hat es also nur SECHS
    Jahre gedauert, bis ein nachgewiesener Fehler, der Rootrechte ermöglicht als solcher bei kernel.org akzeptiert worden ist, und eine Fehlerbereinigung angeboten wird.

    Wenn das nicht katastrophal ist, was dann? Oder andersherum: Wenn der Code, die Entwicklung und die Diskusion darüber offen sind und wenn die  Qualität eines Codes durch automatisierte Tests und durch menschliches Draufgucken  sichergestellt wird, dürften
    solche Fehler nicht vorkommen. Ein sicherer Softwareentwicklungsprozess wie SDL bringt da deutlich mehr Transparenz hinein. Und darum dreht sich die ganze Diskussion hier. Also liebe SCUG, UITAG und Laeppi (falls ihr nicht alle eine Person seit): Bitte nicht
    weiter ablenken und von Hass auf irgendwas schwafeln, sondern einfach mal lesen und verstehen und sich von dem womöglich selbst vorhandenen eigenen Hass auf Microsoft oder den IE nicht blenden lassen.

  35. Laeppi says:

    Und was genau ist die "Erklärung" für die "DLL-Lücke", die bereits aktiv ausgenützt wird (gemäß http://www.heise.de/…/Angreifer-nutzen-DLL-Luecke-in-Office-und-Co-Update-1068169.html sind u.a. "Microsoft Office, Windows Mail" betroffen) – und: Die NSA hat bereits vor 12 Jahren vor dem zugrunde liegenden Problem gewarnt und vor über zwei Jahren hat auch Microsoft-Sicherheitsexperte David LeBlanc in seinem Blog auf die Gefahr hingewiesen.

    Einfach lächerlich, wie hier Fragen "beantwortet" werden…

  36. Sweet Home Alabama says:

    Einfach lächerlich machst hier nur Du Dich allein. Was genau hilft Dir denn eine "Erklärung" für die "DLL-Lücke" im Hinblick auf den Umgang mit Sicherheitsfreagen bei quelloffenen Produkten, die hier als überlegen angeführt wurden? Du willst wohl nur vom Thema ablenken. Ausserdem ist die Lücke in Anwendungen zu finden, die auf unsichere Weise nach einer DLL suchen, nicht in Windows: support.microsoft.com/…/en-us

  37. OMG says:

    Nur mal so zum Lesen: "So there's been a lot of fuss over the last few days about the Microsoft Insecure Library Loading Could Allow Remote Code Execution vulnerability and quite a few folk have been making the age old point that Linux could never be affected by such a problem. I'm not sure I agree with that though."

    http://www.nth-dimension.org.uk/blog.php

    Dank Debian/Ubuntu findet man das auch in Linux: "I discovered that the /usr/bin/couchdb script on Debian/Ubuntu sets an

    insecure LD_LIBRARY_PATH environment variable, such that libraries from the current directory are loaded.  If a local attacker placed a maliciously crafted shared library in a directory and an administrator were tricked into launching CouchDB from this directory, arbitrary code execution could be achieved. The vulnerability was introduced by Debian patch 'mozjs1.9_ldlibpath.patch' on 3/24/2009."

    http://www.openwall.com/…/7