Adobe heeft kritieke beveiligingslekken in Photoshop, Illustrator en Flash gedicht, maar de patch is er alleen voor klanten die upgraden naar Photoshop CS6, meldde Tweakers onlangs. Daarna ontstond er geheel voorspelbaar de nodige ophef, waarna Adobe op haar aankondiging terugkwam.
De kritiek kwam min of meer neer op “we zijn gewend dat security patches gratis zijn”, plus “het is heel dom om juist securitypatches niet gratis weg te geven want dat zorgt alleen voor meer ongepatchte systemen”. En die kritiek is zeer terecht.
In Nederland kunnen we daar nog een argument aan toevoegen: software móet veilig zijn want anders is deze niet conform de gewekte verwachtingen. Net zoals een magnetron veilig moet zijn. Dat is namelijk het logisch gevolg van het Hoge Raad arrest van begin deze maand, dat bepaalde dat software gekocht kon worden.
Dat was wenselijk “omdat de kooptitel een uitgewerkte regeling geeft inzake conformiteit, klachtplicht en verjaring”, zo formuleerde onze hoogste rechter het. En deel van die conformiteitsregel is dat de verkoper gratis tot herstel of vervanging van het product moet overgaan als het product fouten blijkt te bevatten die je niet hoefde te verwachten.
Wel vraag ik me al langer af hoe ver dat precies gaat. Je hebt immers geen recht op een foutloos product. Als je moet weten dat bepaalde dingen mis kunnen gaan, dan is dat deel van de verwachting. Een bank verkleurt over de jaren. De letters op je toetsenbord slijten eraf. En software wordt gehackt.
Arnoud
Even een vergelijking met een auto. Als deze, door productie/ontwerp fouten, niet veilig is wordt deze auto terug geroepen naar dealer en daar gratis gerepareerd. Dat software “producenten” hier anders naar kijken is waarschijnlijk omdat er nog nooit doden gevallen zijn bij security problemen met software.
Zelf vind ik security-updates voor software altijd een ontwerpfout van het product en dus gratis update. Wel vind ik dat software producenten eerder een eind-datum mogen geven. (Een auto van bv 7 jaar wordt ook niet meer terug geroepen naar dealer). Bv Microsoft XP is al zo oud dat het wat mij betreft al einde security updates mag zijn.
De letters op mijn toetsenbord slijten er helemaal niet af. ’t is maar of je voor kwaliteit kiest of voor goedkope rommel.
De letters op mijn toetsenbord slijten er helemaal niet af. ’t is maar of je voor kwaliteit kiest of voor goedkope rommel.
Het idee dat (security)patches gratis moeten zijn is nogal achterhaald. Gezondheidszorg is ook niet gratis en toch maken mensen er gebruik van. Gratis bestaat namelijk niet. Het kost Adobe geld om die patches te maken. Men kan dus besluiten om een bepaalde patch, die eigenlijk wel gewenst is, vanwege de kosten niet te ontwikkelen. Door patches kostendekkend te maken verhoog je juist de kans dat er ook daadwerkelijk een patch wordt uitgebracht.
In de wet staat dat de verkoper moet zorgen voor een product conform de verwachtingen. Een securitylek is niet conform de verwachtingen, dus is de verkoper nalatig. En dan moet hij (volgens de wet wederom) dit kosteloos repareren of vervangen.
Oke, maar wat nu als het product ten tijde van de oorspronkelijke release wel veilig was en door de jaren heen de (hack)techniek dermate vooruit is gegaan dat de software, naar hedendaagse begrippen, niet meer als veilig kan worden geacht? Dan lijkt het mij niet dat de leverancier hiervoor verplicht is een gratis patch uit te brengen, daarvoor dient ment te upgraden naar de nieuwere versie welke naar de hedendaagse stand der techniek wel conform is.
De echte vraag lijkt mij daarom, tot hoe lang na de release danwel laatste verkoop van die versie dient de leverancier gratis te patches?
Wesley: realiseer je wel dat “hack-techniek” voor het overgrote deel bestaat uit het zoeken naar fouten. De andere helft van het security veld gaat over betere technieken om te beschermen, en dit gebeurd vooral (maar niet alleen) omdat bedrijven zoals bijvoorbeeld Adobe tekens makkelijk te misbruiken software op de markt brengen.
Okay, okay, security bestaat uit meer dan dat (CIA, protocols, crypto, network security en meer van dat fijns), maar het gaat me nu even specifiek om het feit dat veel software security problemen gereduceerd kunnen worden door een foutje van een programmeur of groep van programmeurs.
Oja, en Arnoud, nu we het toch over security en bugs hebben, ik zie dat je reactie-plaatser de undocumented feature heeft voor het gebruik van <small> ;).… in de preview, maar niet in de output zie ik nu.@5 Inderdaad, en dat zou ik zeggen hangt af van de verwachtingen die je hebt. Ik zou zeggen bij een Photoshop CS6 van een goede duizend euro wel een beetje langer dan een iApp van een paar euro. Bij CS6 zou ik ook toch wel kunnen verwachten dat bij een update van Windows of OSX het programma ook nog werkt.
Oh ja, en bij zakelijk gebruik zijn patches natuurlijk nu al helemaal niet gratis, daar verdienen een Oracle en een SAP bijvoorbeeld heel goed aan…
@Wesley: Software wordt niet gehackt door voortschrijdende hacktechniek, software wordt gehackt doordat er ontwerpfouten in zitten (bugs). Die fouten zijn al lang en breed gecategoriseerd, gedocumenteerd en bekend bij softwareontwikkelaars. Zie bijvoorbeeld http://cwe.mitre.org/top25/
@Wesley: Software wordt niet gehackt door voortschrijdende hacktechniek, software wordt gehackt doordat er ontwerpfouten in zitten (bugs). Die fouten zijn al lang en breed gecategoriseerd, gedocumenteerd en bekend bij softwareontwikkelaars. Zie bijvoorbeeld http://cwe.mitre.org/top25/
@Rene: Eens. Als ik een code review of Pentest laat uitvoeren is een van mijn eisen dat de top-10 lekken in software wordt gecontroleerd. Die lijst is al heel lang hetzelfde maar helaas niet zo bekend bij programeurs….
Geldt dat ook als je een software-applicatie van een derde patij aan je klanten aanbiedt? Bijvoorbeeld open-source CMS of blogsoftware. De leverancier kan het dan wel gratis aanbieden, maar jij moet het alsnog implementeren/toepassen/installeren/configureren* op de website van je klant.
*streep door wat niet van toepassing is 😉
“waarschijnlijk omdat er nog nooit doden gevallen zijn bij security problemen met software” Dat is helaas niet zo: http://www.cs.tau.ac.il/~nachumd/horror.html
De Diginotar situatie heeft waarschijnlijk voor doden gezorgt en geen idee of er doden zij gevallen toe de certrifuges op hol sloegen.
@Franc:. OK… Ik neem mijn woorden terug.
Diginotar was een configuratiefout en niet direct een software-lek. Updates waren er maar werden niet geinstalleerd. En… als je een RootCA altijd aan laat staan en ook nog op netwerk heb je niet helemaal begrepen hoe PKI in elkaar zit.
@killerog, bij gratis software kom je onder Nederlands recht nog weg met “garantie tot de hoek” als je er dat bij het aanbod bij zet. Bij software die je verkoopt kun jij als verkoper aangesproken worden op fouten in de software en zul je met een consument-klant moeten zoeken naar een oplossing. Als de maker van de software niet mee wil werken kan dat vervelend uitpakken. (Bij Open Source kun je zelf een programmeur inhuren om een bug te fixen; probeer dat eens bij Windows.)
denk dat het zo is..
product moet eerste ja gratis update daarna niet meer.. als nieuwe hack technieken komen wist je dat voor een jaar geleden niet.
en trouwens product werkt, toch gewoon dus ja bedoel de functies van het product(dat andere mensen toegang er ophebben staat er even buiten)..
@Arnoud: Die verwachtingen moeten wel redelijk zijn. Foutvrije producten bestaan niet. Dat geldt ook voor software. Als je lang genoeg zoekt, heeft ieder product gebreken. Het is echter niet redelijk om van een leverancier of fabrikant te verwachten dat een product ook in de verre toekomst voldoet aan de dan geldende verwachtingen. De mate waarin een product aan de verwachtingen van een koper kan voldoen is aan slijtage onderhevig. Een auto van 10 jaar oud voldoet ook niet aan de hedendaagse veiligheidsnormen. Toen de slagmethode voor cilindersloten bekend werd, voldeden een hoop cilindersloten ineens niet meer aan de eisen. Zo zijn er nog wel meer praktijkvoorbeelden.
Softwarepatches moet je zien als een vorm van garantie die gedurende een beperkte tijd wordt verleend. Daarna is het redelijk als er een vergoeding wordt gevraagd voor de patches.
Het lijkt me in elk geval redelijk dat de EOL van een softwareproduct ruim voorbij de volgende major release ligt, omdat je anders situaties krijgt zoals de OP beschreef, dat de fabrikant de klant dwingt tot de aanschaf van dure nieuwe versies door veiligdheidsgaten in de oude versies te laten zitten.
Hoe ruim hangt van de releasecycle af. Producten als Mozilla Firefox en Google Chrome mogen wat mij betreft nooit verlopen, omdat de fabrikant daar bewust de eigen releasecycle saboteert (moet ‘ie ook maar op de blaren zitten).
Ik denk dat bij software ook rekening gehouden dient te worden met het besturings-systeem dat de fabrikant verwacht dat de gebruiker zal gebruiken. Als software voor Windows XP is ontwikkeld dan kun je verwachten dat deze gebreken gaat vertonen onder Windows Vista. En nog meer problemen met Windows 7. En mogelijk niet eens werkt met Windows 8. Hetzelfde geldt eigenlijk met de beveiliging die eigenlijk afhankelijk is van de hack-methodes die ten tijde van productie het meest bekend zijn. Maar naast nieuwe besturings-systemen komen er ook steeds meer aanvals-vectoren bij op oude software, die mede daardoor minder veilig wordt. Daar kan een fabrikant eigenlijk geen rekening mee houden.
Ik denk dat daarnaast de prijs van software ook meespeelt. Weinig mensen maken zich druk om software van een paar tientjes die beveiligings-lekken bevatten. Toch zijn er veel third-party drivers en software dat bij diverse hardware-producten wordt meegeleverd en die je dus bij de hardware koopt. Zo heb ik vandaag nog een LaCie Rikiki gekocht, een harde schijf van 1 TB die een heeft waarmee je twee partities kunt maken op die schijf. (Eentje FAT32 en de ander NTFS.) Maak ik mij druk om beveiligingsproblemen in die software? Niet echt. Op de schijf stonden verder nog enkele tools waaronder iets genaamd “USB Boost”. Geen idee wat het is maar wil het toch niet gebruiken. Schijnt transfer-snelheden over USB te kunnen versnellen. Maar ja, is het veilig? Zijn er updates voor? Kan ik security patches opeisen voor dit soort extra software? Het ging mij uiteindelijk alleen maar om een extra schijfje van 1 TB. En nee, ik heb geen garantie dat die software ook veilig is, wat meetelde in mijn besluit deze niet te installeren. Maar voor anderen is dit vast minder zwaarwegend…
Er is nog een punt dat niet naar voren gebracht wordt, namelijk het volgende: Er zijn reële kosten verbonden aan het maken van een patch. Zeker voor een ouder product dat nog maar weinig gebruikt wordt, is het redelijk dat er geen patches meer gemaakt worden. Daarentegen is er een punt te maken dat het redelijk is dat als er patches bestaan, dat deze dan ook gratis beschikbaar gesteld worden.
Dus uit afweging tussen legitieme verwachting en kosten: – Voor oudere software is het niet altijd redelijk om patches te maken, ook voorveiligheidsfouten. – Als er echter patches gemaakt worden is de verwachting redelijk dat deze gratis of tegen kostprijs (vrijwel gratis) beschikbaar zijn.
BorlandCodeGearEmbarcadero’s RAD Studio kost ook al gauw een half maandsalaris. Microsoft Office is ook vrij duur in de aanschaf. Zelfs een upgrade van Windows heeft een hoog prijskaartje voor mensen met een klein budget. En indien deze upgrades niets bieden waar de consument op wacht, zal de consument ook niet snel een upgrade uitvoeren. En zeg nou zelf, Wat biedt Word 2010 nou meer dan Word 2002 van Office XP?Ik denk dat je als software fabrikant er rekening mee moet houden dat je voor lange tijd ondersteuning moet leveren voor oude producten, mede omdat gebruikers soms niet het nut van een upgrade zien. Upgrades zijn kostbaar maar kosten ook tijd omdat je moet gaan installeren, waarna je alle instellingen weer moet instellen zoals gewenst en moet wennen aan de nieuwe gebruikers-interface. En daarna ook even controleren of je oude werk nog bruikbaar is in de nieuwe software. (Bij diverse software dient namelijk een upgrade-procedure voor oude data toegepast te worden.)
Ik denk, mede door mijn ervaring als software ontwikkelaar, dat je rekening moet houden dat gebruikers tot wel 3 versies terug nog steeds blijven gebruiken. Als je hoofd-versies 1.0, 1.1, 2.0, 3.0, 3.5 en 4.0 maakt en je wilt versie 5.0 op de markt brengen dan zullen veel van je gebruikers dus nog op versies 3.0, 3.5 en 4.0 zitten en mogelijk nog een enkeling op 2.0, hoewel die al genegeerd zouden kunnen worden.
Adobe moet er dus gewoon van uit gaan dat CS6 nu uit is maar er dus nog veel gebruikers niet upgraden en dus aan CS5.5 blijven vasthouden, simpelweg omdat CS6 geen toegevoegde waarde biedt voor deze gebruikers. Ik kan sowieso niet vinden wat de voordelen zijn van CS6 tegenover CS5.5 want Adobe lijkt hier geen aandacht aan te geven. Ik kan er wel iets over vinden maar vraag mij af of dit wel een upgrade waardig is. Veranderingen in de user interface is hetzelfde als parfum spuiten over een mesthoop. Het ruikt misschien wel lekkerder maar eronder ligt nog steeds dezelfde sh[beep]…
De vraag is dan ook waarom gebruikers zouden upgraden? Alleen maar zodat ze nieuwe patches ontvangen? Of gewoon omdat Adobe meer geld nodig heeft?
@19: Wim, ik vind je mesthoopvergelijking wel goed; een bedrijf dat gatenkaas aflevert in plaats van betrouwbare software mag wat mij betreft flink op de blaren zitten. Dat het maken (en testen) van patches geld kost dat is aan het (vorige) management te wijten; had maar geïnvesteerd in kwaliteit.
Nu we vastgesteld hebben dat de maker/verkoper aansprakelijk is voor herstel van software fouten komt de lastige vraag: voor hoe lang? Ik durf te beweren dat een termijn van de helft van de auteursrechtbeschermingsperiode redelijk is; anders had het auteursrecht niet zo lang hoeven duren 😉 Serieuzer: een jaar of zeven lijkt me voor “gebruikssoftware” redelijk. (Dat is: fouten gemeld binnen zeven jaar na het einde van de algemene beschikbaarheid van nieuwe exemplaren)
@MathFox, de vergelijking met een mesthoop is interessant indien de gebruikers vliegen zijn. 🙂 Een nieuwe geur eraan schrikt hen mogelijk zelfs af.
zoals ik al aangeef lijkt de beste termijn voor verplichte updates het beste te relateren aan de tijd die de fabrikant voor drie nieuwe versies nodig heeft. Eventueel ook gerelateerd aan de levensduur van het onderliggende besturings-systeem want ik zie het nut er niet van in om fabrikanten nu nog patches te laten maken voor systemen die voor MS-DOS ontwikkeld zijn en die klanten misschien nu nog steeds gebruiken. Een vorige werkgever van mij was in 2004 nog steeds bezig met patches te maken met Delphi 1 voor een Windows 3.11 omgeving, domweg omdat de software gebruik maakte van antieke hardware waar geen 32-bit drivers voor beschikbaar waren en die er ook nooit zouden komen. En de klant wilde niet over op nieuwe hardware en dus kregen we geen opdracht om deze software naar 32-bits te migreren. Maar ja, dat was een B2B kwestie en ging uurtje-factuurtje naar de rekening van de klant, die bereid was te betalen voor de patches. In 2004 ging mijn voormalige werkgever overigens ook failliet dus toen hielden de patches ook op…
Maar hoe lang wachten gebruikers gemiddeld genomen tot ze besluiten een upgrade uit te voeren naar een nieuwe versie? Mijn persoonlijke ervaring is dat men meestal hooguit 2 grote versies overslaat, dus hooguit om de 3 versies schaffen ze een upgrade aan. Wie langer wacht is mogelijk niet meer geinteresseerd in de software of ziet geen meerwaarde in de upgrades.
@Wim, Ons bedrijf heeft bestanden van meer dan 10 jaar oud, die nog minstens 15 leesbaar moeten blijven om wettelijk verplichte ondersteuning voor een product te kunnen leveren.
Waar het gaat op machines of (medische) apparaten dan blijft een model al snel 15 jaar in productie (kan met een paar updates soms opgerekt worden naar 25 jaar) en daarna moet nog de economische levensduur (10 tot 20 jaar) onderhoud en ondersteuning geleverd worden. Het is niet ondenkbaar dat je (denk aan productaansprakelijkheid) na 30 tot 45 jaar wil nagaan waarom een bepaalde ontwerpbeslissing genomen is. Probeer maar een CAD programma te vinden dat 30 jaar oude 3D bestanden kan inlezen. (Embedded computer hardware en besturingssystemen zijn ook een probleem… 5 jaar leverbaar betekent regelmatige ontwerpaanpassingen.)
@MathFox, Klopt wel, maar je praat met dergelijke hardware/software wel over B2B oplossingen en dus niet over consumenten-belangen. De software van Adobe wordt ook door consumenten aangeschaft voor hobby-doeleinden en omdat ze op amateur-gebied bezig zijn. De post van Arnoud vermeldt het niet, maar er zit verschil tussen hoe Adobe kan omgaan met consumenten en met andere bedrijven. In dit geval profiteren bedrijven van het feit dat CS5 ook aan consumenten wordt geleverd en die consumenten dus gratis patches eisen. In geval van B2B kan het leveren van patches met algemene voorwaarden fors beperkt worden en als je dit als bedrijf accepteert ben je ook sneller gedwongen om mee te upgraden. Bij B2B is vooral de formulering van belang en Adobe verkoopt geen software maar gebruiks-licenties. Adobe heeft verschillende soorten webwinkels, namelijk voor consumenten en thuiskantoors, voor studenten en voor bedrijven. En de business store verkoopt licenties, geen software.
Maar goed, jij hebt het niet over Adobe maar over fabrikanten die embedded oplossingen leveren die eigenlijk alleen door bedrijven worden gebruikt. Dan praat je toch echt over B2B contracten waarbij ik aanneem dat daarin ook het een en ander vermeldt staat over het opleveren van patches en de daaraan verbonden kosten. En vast ook dat de software niet gegarandeerd foutloos is en men dus geen 100% goede werking kan garanderen. Ieder slim bedrijf zal allerlei clausules laten toevoegen om niet meteen overal voor verantwoordelijk te zijn en in geval van B2B is dat tot zeker niveau gewoon toegelaten.
In de kwestie rond ImageSan heeft deze beschermings-clausules geen invloed gehad omdat de software gewoon niet deed wat was beloofd. Niets geen veiligheidslek dat een patch nodig had maar een ernstig gebrek in de software. En dat is een groot verschil, want software hoort te werken zoals opgegeven. Maar beveiliging is niet te garanderen.
Het gaat ook om programma’s die normaal door consumenten gebruikt worden: besturingssysteem, tekstverwerking, spreadsheets, email…
En waar het gaat over onderhandelen over licentievoorwaarden… dankzij het auteursrecht kunnen de makers van B2B software de licentievoorwaarden dicteren aan hun kleinere afnemers.
Besturings-systemen… Even denken. Windows 8 is nog niet op de markt en we hebben nu Windows 7. De voorganger ervan is Windows Vista, dat ook nog wordt gebruikt. En daarvoor Windows XP waar ook nog een aantal gebruikers van zijn, die nog steeds updates kunnen krijgen. En daarvoor Windows 2000 dat eigenlijk niet meer gebruikt wordt, volgens mij. Tekstverwerkers… Office 15 komt eraan, Office 2010 is nu op de markt, Office 2007 kent ook nog veel gebruikers, Office 2003 kent er ook nog een aantal en Office XP kom je nog maar erg weinig tegen. En met Office heb ik dus tekstverwerkers, spreadsheets en email… Visual Studio dan? Die is nu op versie 2010 maar 2008 kom je nog wel tegen. Her en der ook versie 2005. Versie 2003 en ouder kom je eigenlijk niet meer tegen.
Dit is overigens allemaal onder de mainstream gebruikers. Er zullen altijd enkele exoten zijn die nog werken met Visual Studio 97 onder Windows NT maar ik vraag mij af of je als fabrikant echt nog zo’n kleine groep van patches zou moeten voorzien. Is dat nog wel redelijk? Valt het nog wel te verwachten dat je na zoveel nieuwe versies van de software nog support kunt krijgen voor iets “antieks”? Wie lang genoeg met software omgaat weet nu eenmaal dat software (en hardware) snel verouderd en er dus upgrades nodig zijn om bij te blijven. Hoe lang software mee kan gaan is naar mijn mening sterk afhankelijk van de regelmaat van nieuwe, grote upgrades. Bij Windows is er een nieuwe versie om de 2, 3 jaar. Andere software heeft om de 12 tot 18 maanden een nieuwe upgrade. Hangt volledig af van het product.
Is het niet ook gewoon heel logisch dat de software ontwikkelaar een voor de release vastgesteld schema heeft voor patches en de lengte van support, zoals Microsoft dat zo netjes geregeld heeft? Je kan hard roepen tegen Microsoft, maar ze geven toch netjes 10 jaar support en ze maken het ruim vantevoren bekend. Op zich zou het niet verkeerd zijn om een wettelijke redelijke termijn te stellen, tenzij de ontwikkelaar voor de verkoop duidelijk aangeeft wat de lengte van support is.
Dan blijft er echter nog wel steeds het probleem van software zonder support, of met enorme gaten. Stel bijvoorbeeld dat de webserver van Apache een groot gat bevat dat niet gepatcht word omdat het gat zich in een obscure branch bevind. Of is er bij gratis producten simpelweg geen ‘redelijke verwachting’?
@Wim ik denk niet dat je Adobe met Microsoft kan vergelijken. Windows XP released in 2001 en extended support loopt tot 2014, Vista released 2007 extended support loopt tot 2017. Windows 7 released 2009 extended support 2020. Office is minimaal 5 jaar support even als normale mainstream support voor Windows. 5 jaar is meer dan genoeg daarna kan je extended support afnemen als Adobe dat had gedaan was het in orde geweest. Het lijkt er tegenwoordig op dat alleen releases tellen en niet meer hoe goed je software is en hoe goed het supported wordt.
@We are Borg, waar het mij om gaat is het aantal nieuwe versies dat moet verschijnen voor een oude versie echt van de markt verdwenen is. Ik denk daarbij aan drie nieuwe versies voordat patches en ondersteuning zaken zijn die je op je buik kunt schrijven. Een andere methode is door te kijken naar het aantal aktieve gebruikers van een verouderde versie. Microsoft lijkt beide een beetje vol te houden. Ze weten dat XP nog op grote schaal wordt gebruikt en brengen dus met tegenzin upgrades uit. Sowieso zijn besturingssystemen wel aparte gevallen omdat een besturingssysteem meestal net zolang meegaat als de hardware. De vraag is dan vooral hoe lang de oude hardware gebruikt blijft worden.
Adobe doet het inderdaad fout door releases te tellen en geen versies. Een nieuwe versie hoort ook nieuwe functionaliteit te bevatten waar de gebruiker wat aan heeft. Een nieuwe release is meer iets met kleine aanpassingen en patches. Maar Adobe probeert de gebruiker nu ook meer te dwingen om een Cloud-oplossing te gebruiken met meer een soort abonnements-service dan een daadwerkelijke koop. En meer bedrijven willen over op abonnementen in plaats van verkoop. Daar maak ik mij meer zorgen om, om eerlijk te zijn.
Maar goed, ik gebruik geen Photoshop want dat pakket is puur overkill voor mijn toepassingen. Ik werk nog steeds met Paint Shop Pro 8, dat nu toch al 9 jaar oud is. Waarom? Omdat alle nieuwe versies van deze software (nadat Corel het overnam) geen toegevoegde functionaliteit hebben waar ik wat aan heb. En dus loop ik daarmee al ruim 5 versies achter. (Mede ook omdat ik geen goed alternatief kan vinden.) (Wat weer komt omdat ik niet aktief zoek!)
Wel Microsoft heeft gewoon goed opgelet op wat de markt deed XP wordt nog veel gebruikt in bedrijven en ook sommige consumenten gebruiken het nog. Zelfs al stopt de ondersteuning op XP denk ik dat je nog 12 tot 18 maanden er mee kan draaien voordat je last krijgt van beveiligings problemen. Microsoft is natuurlijk niet gek genoeg om bedrijven niet te ondersteunen, de kans dat die naar een concurrent verhuizen is groter dan een particulier.
Office heeft Microsoft ook een briljante zet gedaan sinds een aantal jaar hebben hun de Student/Home versie die voor een prikkie te koop is. Apple doet het zelfde met hun besturings systeem upgrades kosten bijna niets.
Adobe is momenteel alleen maar achter het grote geld aan wat het product niet ten goede komt dat was vroeger een stuk beter bij hun veel updates en ook nieuwe functies die toegevoegd werden. Nu is nieuwe functies gelijk aan upgraden tegen betaling kijk maar naar CS5 en CS5.5 dit gaat waarschijnlijk ook weer gebeuren met CS6. Misschien toch maar een wet aannemen die regelt dat betaalde software minimaal 3 jaar na uitbrengen ondersteund moet worden, met minimaal beveiligings updates.
@We are Borg, klopt. Microsoft kan namelijk data bijhouden betreffende het gebruik van hun besturings-systemen indien deze een “call home” uitvoeren. Er zijn veel programma’s die dit b.v. al doen om de licentie te valideren. En hoewel dit gezien kan worden als een inbreuk op je privacy, helpt het natuurlijk ook om te bepalen of support op een bepaald product nog wel de moeite loont.
Overigens verkoopt ook Adobe Photoshop voor een prikkie, hoewel het relatief gezien best nog een duur prikkie is. Maar voor 230 Euro is de studenten-versie te koop. Zo’n 80% korting, alleen moet je wel aantonen dat je een student bent of dat je voor een opleidings-instituut werkt.
Maar inderdaad probeert Adobe met deze actie extra inkomsten binnen te krijgen. Want Adobe heeft het tegenwoordig best moeilijk. De markt voor foto-bewerking krijgt steeds meer serieuze concurrenten die veelal goedkoper zijn dan Adobe. Daarnaast is Windows enorm populair aan het worden voor fotobewerking terwijl dit voorheen meer het domein was van de Mac. Op MacOS had Adobe weinig concurrentie maar nu de grafische artiesten steeds vaker voor Windows kiezen is de concurrentie een stuk zwaarder aan het worden.
Maar een wet die verplicht om een x aantal jaren beveiligingsupdates te leveren gaat ook weer iets te ver, lijkt mij. Sommige software is nu eenmaal nooit ontworpen om heel lang gebruikt te worden. Dit zijn zaken die de markt zelf moet regelen, en een dergelijke houdbaarheid is ook geheel afhankelijk van het product. Verder is de markt ook sterk aan het veranderen en wil men gewoon van het koop-principe af. Als ik b.v. denk aan mijn WinZip licentie, daar betaal ik een klein bedrag voor en dan koop ik een bepaalde versie plus voor een jaar lang gratis upgrades en patches. Een simpel iets, maar die patches zijn dus onderdeel van wat ik koop, als een soort abonnement. Iets vergelijkbaars heb ik met Altova’s Missionkit (XmlSpy en zo) waarmee ik een jaar lang gratis alle upgrades en patches ontvang. Maar daarna houdt het op. En ja, je weet van tevoren dat software nooit foutloos is, dus hele kleine gebreken kunnen voorkomen. Pas bij een zwaarwegend gebrek (b.v. dat de software niet doet wat wordt beloofd) dan kun je alsnog patches eisen van de softwarebouwer, vind ik. Dan hoor je gewoon support te krijgen die het probleem oplost. Maar ja, wat is een groot probleem?
Als ik de studente versie mag kopen voor 230 euro zou ik het direct voor sparen en dan kopen. Misschien dat ze daar eens over na moeten gaan denken. Een licentie zoals WinZip is misschien wel een oplossing i.p.v. hoge bedragen maar dat zie ik ook niet gebeuren voor alle software. Ik heb tijden geleden het plan geopperd om Auteursrecht en prijzen aan elkaar te koppelen des te meer een bedrijf aan een particulier geeft des te langer hij het auteursrecht behoud. Bedrijven stichtingen etc etc vallen hier buiten dit gaat puur om auteursrecht.
Er is met software zoals Adobe Photoshop natuurlijk ook een exclusiviteits-element bij betrokken. Doordat de prijs zo duur is, zijn er ook maar weinig personen die het kopen en zij die het kopen zullen het ook redelijk intensief gebruiken. Zo krijg je een groep Photoshop professionals met goede kennis van de software, de mogelijkheden en die meestal wel goed vakwerk zullen afleveren. Maar als de software dusdanig goedkoop is dat zo’n beetje iedere amateur deze voor EUR 200 kan aanschaffen dan krijg je naast veel professionele auteurs ook een markt die verzadigt raakt met autodidactische amateurs. Mensen zoals ikzelf, die goedkoop software aanschaffen (Poser Pro, Vue 9, Paint Shop Pro) en daarmee aan de slag gaan om afbeeldingen te maken die misschien niet super-professioneel zijn, maar waar veel bedrijven best wel genoegen meenemen omdat amateurs hun werk al gauw gratis of voor weinig weggeven. Digitale camera’s zorgen er nu al voor dat veel nieuwssites deze amateur-fotografen inschakelen voor het aanleveren van nieuwsfoto’s. Het beroep van professionele nieuws-fotograaf is daardoor flink verandert en ondervindt veel concurrentie door deze amateurs. Hoe kun je als professional tegen concurreren indien deze amateurs hun werk zowat voor nop weggeven? De komst van goedkope (gratis) ontwikkel-omgevingen zoals de Gnu C++ compiler, PHP, Apache, Linux en ga zo maar door zorgt er ook voor dat professionele software ontwikkelaars concurrentie moeten voeren met amateuristische schript-kiddies. Voor professionals valt het hier nog mee omdat veel amateurs toch een enorme chaos weten aan te richten waardoor vroeg of laat professionele hulp noodzakelijk is, hoewel het ook vaak voorkomt dat projecten hierdoor volledig de mist in gaan en worden geschrapt.
De hoge prijs voor Photoshop is misschien ook ingegeven om zo de professionals een betere kans te geven op de arbeidsmarkt omdat ze met een beter product ook betere kwaliteit kunnen opleveren. De rest is afhankelijk van deze professionals, hoewel ik toegeef dat ook daar veel prutsers tussen zitten. Maar het idee is dat de kostbare software de amateurs moet afschrikken.
Veel professionele ontwerpers zijn gewoon begonnen met huis, tuin en keuken gebruik. Het is moeilijk te zeggen op voorhand dat amateurs niet op professioneel gebied mee kunnen komen. Daarbij kunnen mensen de software gewoon illegaal verkrijgen, het zelfde gebeurde met Microsoft Word en met Excel terwijl er gewoon programma’s beschikbaar waren die gratis waren of bijna niets koste. Microsoft is in dat geval slimmer geweest door een Home/Studente versie in het leven te roepen. Dit is wat ik zei wat Adobe ook kan doen niet commercial gebruik voor Home/Student versie, het effect kan zijn dat je nieuw talent vindt die juist interessant zijn voor de industrie, dit is ook met Office gebeurd.
@Borg, klopt wel maar het zorgt wel voor een groot aantal amateurs tussen de enkele professionals. Misschien dat 10% van die amateurs uiteindelijk goed genoeg wordt om als professional aan de slag te kunnen maar de overige 90% brengt de waardering voor een bepaald vak flink omlaag. Programmeurs waren 25 jaar geleden de pure elite van de ICT wereld en nu is het gewoon een vak dat tevens door veel amateurs beoefent wordt. Maar ja, inderdaad kunnen amateurs alsnog illegaal aan de software komen. Maar dan lopen ze vaak een versie achter of missen ze bepaalde updates. Die amateurs blijven of hangen bij een verouderde versie of gaan vroeg of laat ervoor kiezen om het product daadwerkelijk aan te schaffen indien de prijs in een redelijke verhouding staat met wat het hen oplevert. En Adobe verkoopt ook gewoon studenten-licenties maar die zijn toch nog redelijk prijzig (EUR 233) gezien het budget van studenten en vereisen dat je aantoont dat je daadwerkelijk studeert. Maar het verschil met Microsoft is dat de Home editie van Windows redelijk wat functionaliteit mist vergeleken met de duurdere versies. Dat maakt commercieel gebruik wat lastiger. Bij Photoshop is dat iets lastiger te realiseren want dat zou betekenen dat er diverse filters en andere functies moeten verdwijnen die het pakket juist een meerwaarde bieden.
Maar goed, heeft Photoshop nieuw talent nodig? Vast wel, maar niet in grote aantallen anders wordt het betreffende vakgebied gewoon minder waard. Net zoals de waarde van programmeurs de afgelopen jaren gewoon minder is geworden. Mijn idee is gewoon dat Adobe bezig is het vakgebied te beschermen tegen dergelijke devaluatie.
De programmeurs van 25 jaar geleden deden alsof ze de elites waren maar iedereen die een beetje kon leren en interesse had in computers kon zich opwerken.
Dat je amateurs onder de professionele mensen komen maakt niet uit in de grafische industrie als je daar in wilt werken vragen ze in meeste gevallen een portfolio. Als men daar mensen op aan neemt dan zijn de amateurs goed genoeg met wat ze maken, dit betekend nog niet dat ze het werk in een bedrijf kunnen doen.
Waarom zou je functionaliteit willen veranderen juist dat mensen er thuis mee bekend raken betekend in meeste gevallen dat ze op het werk het zelfde verwachten.
Tja, aangezien ik een programmeur van 25 jaar geleden ben, ben ik ook wel bekend met de “elite-wereld” van die tijd. En in die tijd was er geen Internet en was het best lastig om aan de juiste middelen te komen om het vak te leren. Ik weet er alles van want indertijd was ik ook maar een amateurtje. Maar met de medewerking van andere professionals, de nodige studies en uiteindelijk ook het zelf investeren in bepaalde zaken ben ik best een behoorlijk respectabele programmeur geworden. Maar wat ik in mijn vakgebied gewoon merk is dat er steeds meer amateurs bijkomen die wel goede ideeen hebben voor diverse projecten, maar niet de ervaring om er mooie code voor te schrijven die jarenlang onderhoudbaar is. Een beetje hit&run principe waarbij ze snel iets in elkaar zetten wat doet wat de specificaties aangeven en her en der de fouten maskeren die in het systeem zitten om vervolgens naar de volgende werkgever te hoppen waarna de achtergebleven professionals overblijven met ongedocumenteerde chaos waar veel tijd in gaat zitten voor zelfs de kleinste aanpassingen…
Sinds de opkomst van digitale fotografie en vele goedkopere fotosoep-software is ook dit marktaandeel aan het veramateuriseren. En ja, dat is goed voor de amateurs die zo ook werk krijgen en kunnen laten zien wat ze kunnen. Maar het gaat uiteindelijk ten koste van de kwaliteit van het werk in het algemeen. Het Internet staat tegenwoordig vol met foto’s waarin teveel is weggeshopt door een amateur die snel even wat doet om door te gaan naar de volgende, betaalde opdracht.
Maar is het erg voor al die amateurs dat ze slecht werk afleveren? Niet echt, zolang de klant maar tevreden is. Het probleem zit hem alleen dat men niet altijd de bewerker de schuld geeft maar de software waarmee het is gemaakt. Foutje in een plaatje? Vast de schuld van Photoshop. En dat doet schade aan de reputatie van deze software, die toch bekend staat wegens zijn kwaliteit. Een reputatie die men hard nodig heeft nu er steeds meer goedkope alternatieven op de markt verschijnen.
Daarom wil Adobe ook vooral beperkt blijven tot professionals zodat de amateurs worden afgeschrikt om de software aan te schaffen. (En het werkt, want ik gebruik goedkopere alternatieven! En veel andere amateurs ook, zodat Photoshop niet de schuld krijgt van de slechte kwaliteit die wij amateurs kunnen opleveren.)
Voor een heleboel diensten en zeker voor creatieve dingen geldt dat een goede amateur beter werk levert dan een slechte professional. Als je zelf capabel genoeg bent om het kaf van het koren te scheiden, waarom zou je dan niet met een “amateur” in zee gaan?
Mag je als zelfstandige zonder personeel de “home” versie van Microsoft Office installeren op de PC thuis waar je ook je administratie op doet?
@MathFox, dat is een goede vraag die je daar stelt. Microsoft zegt dat dit niet mag. Op SuperUser worden hier wel eens vragen over gesteld. Bij Office staat dit op de buitenkant van de verpakking dus leesbaar voor je de doos openmaakt en installeert. Een bindende voorwaarde, eigenlijk. Bedenk verder dat je als eenmansbedrijf dus een B2B contract aangaat met Microsoft bij aanschaf van hun software. Daar kunnen strictere regels aan verbonden zijn.
Maar goed, naast “Office Home and Student” is er ook een “Office Home and Business” waar je Outlook bij krijgt. De eerste versie is echter voor 3 gebruikers binnen 1 huishouden en de tweede versie voor 1 gebruiker op 2 computers. En de tweede is bijna twee keer zo duur… Is Outlook de extra 100 Euro waard voor een thuisbedrijf?
Ach, ik gebruik thuis Google Apps met GMail onder mijn eigen domeinnaam. Outlook gebruik ik alleen op mijn werk, en dan nog met tegenzin… Vandaar dat ik mijn Office Pro 2007 laatst heb opgewaardeerd naar Office 2010 Thuis en studenten. Meer heb ik niet nodig om thuis te werken. Mag het alleen niet voor commerciele, non-profit of winstgevende bedrijfsactiviteiten of gebruik door overheidsorganisaties. Het staat er in kleine letters op de verpakking. Tja, ik denk dat het afhangt van welke Home versie je hebt aangeschaft. Met de ene mag het wel, de andere mag het niet.
Ik denk dat je beveiligings-lekken lost moet zien van andere software-fouten. Als een “normale” fout bekend wordt, dan kan je als gebruiker besluiten om de software toch te blijven gebruiken: je hebt een tijd lang geen last gehad van die fout, dus zal de fout in de toekomst waarschijnlijk ook niet zo hinderlijk zijn.
Als er een beveiligings-fout wordt ontdekt, dan is de situatie heel anders. Ontdekte beveiligingsfouten zijn een stuk gevaarlijker dan niet-ontdekte beveiligings-fouten, dus als je de fout niet patcht, dan kan je de software plotseling niet meer op een redelijk veilige manier gebruiken.
Aan de ene kant is het redelijk om te verwachten van software-ontwikkelaars dat zij patches voor beveiligingsfouten maken, en die gratis beschikbaar stellen. Voor grotere software-pakketten worden er soms elke maand wel een paar beveiligingsfouten ontdekt, en een koper mag verwachten de software meer dan een paar maanden te kunnen gebruiken. Aan de andere kant kan de software-ontwikkelaar dit niet onbeperkt blijven doen.
De bestaande praktijk is vaak dat de software-ontwikkelaar bij verkoop belooft om gedurende een bepaalde periode updates te leveren. Dit lijkt me redelijk: de koper weet dan bij aankoop al waar hij aan toe is, en gaat daar mee akkoord.
Ik ben wel geïnteresseerd in wat er na die periode zou moeten gebeuren. Een paar ideeën: * Door geen updates meer te leveren, geeft de ontwikkelaar aan niet meer geïnteresseerd te zijn in de verkoop van die versie van het product. Aangezien het auteursrecht (primair) bedoeld is ter bescherming van die verkoop, zou het auteursrecht dan moeten te komen vervallen? Omgekeerd redenerend geeft dit misschien een natuurlijke grens aan de “patch-plicht” van de ontwikkelaar: zodra het auteursrecht verloopt, hoeft hij geen patches meer te maken.
Ik denk dat je beveiligings-lekken lost moet zien van andere software-fouten. Als een “normale” fout bekend wordt, dan kan je als gebruiker besluiten om de software toch te blijven gebruiken: je hebt een tijd lang geen last gehad van die fout, dus zal de fout in de toekomst waarschijnlijk ook niet zo hinderlijk zijn.
Als er een beveiligings-fout wordt ontdekt, dan is de situatie heel anders. Ontdekte beveiligingsfouten zijn een stuk gevaarlijker dan niet-ontdekte beveiligings-fouten, dus als je de fout niet patcht, dan kan je de software plotseling niet meer op een redelijk veilige manier gebruiken.
Aan de ene kant is het redelijk om te verwachten van software-ontwikkelaars dat zij patches voor beveiligingsfouten maken, en die gratis beschikbaar stellen. Voor grotere software-pakketten worden er soms elke maand wel een paar beveiligingsfouten ontdekt, en een koper mag verwachten de software meer dan een paar maanden te kunnen gebruiken. Aan de andere kant kan de software-ontwikkelaar dit niet onbeperkt blijven doen.
De bestaande praktijk is vaak dat de software-ontwikkelaar bij verkoop belooft om gedurende een bepaalde periode updates te leveren. Dit lijkt me redelijk: de koper weet dan bij aankoop al waar hij aan toe is, en gaat daar mee akkoord.
Ik ben wel geïnteresseerd in wat er na die periode zou moeten gebeuren. Een paar ideeën: * Door geen updates meer te leveren, geeft de ontwikkelaar aan niet meer geïnteresseerd te zijn in de verkoop van die versie van het product. Aangezien het auteursrecht (primair) bedoeld is ter bescherming van die verkoop, zou het auteursrecht dan moeten te komen vervallen? Omgekeerd redenerend geeft dit misschien een natuurlijke grens aan de “patch-plicht” van de ontwikkelaar: zodra het auteursrecht verloopt, hoeft hij geen patches meer te maken.
@Corné, goed punt over beveiligingsfouten maar wanneer zijn dergelijke fouten eigenlijk kritisch genoeg om een patch te eisen? Photoshop en vergelijkbare software is voornamelijk een desktop product met een redelijk laag aantal gebruikers. Het is lastig om hier met een bepaalde aanvalsvector op binnen te dringen. Ik maak mij in dit soort gevallen dan ook meer druk om de diverse drivers van videokaarten, printers en randapparatuur dan van Photoshop. En ook hier is sprake van software die eigenlijk weinig gepatcht wordt, zeker als het al wat oudere hardware betreft. Ik heb tegenwoordig een netwerk-printer thuis staan om via het netwerk op te kunnen afdrukken. Mooie laserprinter van HP die mooie kleur-afdrukken kan maken. Staat veilig opgesteld achter mijn router en is van buitenaf niet echt bereikbaar. Hoe onveilig is deze dan wel niet? Moet ik daat niet wekelijks een nieuwe patch voor binnenkrijgen? (Okay, hij staat meestal uit, maar toch…)
Naast het beveiligingsrisico moet je ook even kijken naar het gebruik van software. Een product als Office wordt in principe bedrijfsmatig iedere werkdag wel flink gebruikt, waarbij Outlook vaak ook nog de gehele dag mail aan het verwerken is. Dit is een belangrijke aanvalsvector. Maar een bedrijf met misschien een in-house grafische designer en verder 50 man personeel heeft maar weinig risico. Er zijn immers 49 medewerkers die geen last van een aanval op deze software zullen hebben. Tja, een klein grafisch bureau heeft mogelijk meer last maar ook die bedrijven hebben personeel in dienst dat helemaal geen Photoshop gebruikt. (Administratie, secretaresses, directie.) Photoshop heeft relatief weinig gebruikers. Hoe gevaarlijk zijn beveiligingsproblemen dan?
Denk hierbij ook aan Apple, dat eigenlang al decennialang erom bekend staat dat er geen virussen voor bestaan in het wild. Wel, vrijwel geen. Voor Windows komen er dagelijks honderden bedreigingen erbij, voor MacOS misschien 1 per jaar. Het idee alleen al dat de Mac in principe een onveilig besturings-systeem is wordt door velen domweg genegeerd omdat het systeem tot voor kort helemaal niet interessant was om aan te vallen. Zo ook met Photoshop.
Het moet wel in verhouding staan met de risico’s. Eigenlijk is vooral de Adobe Reader een kwetsbaar onderdeel maar die kun je gratis upgraden. (En er zijn goede alternatieven!) Maar verder zijn er gewoon te weinig mensen geinteresseerd om de Adobe producten goed onder vuur te nemen in het wild.