nicht angemeldet
Wie kann OpenSource sicherer sein als kommerzielle Software?
Hallo,
mich beschäftigt eine Frage: Es werden des öfteren Behauptungen aufgestellt, dass Open Source-Software sicherer sei, als kommerzielle Produkte.
Da stellt sich mir die Frage, wie kann das sein? Bei Open-Source programmiert jeder mit... jeder könnte sich ein Hintertürchen einbauen. Jeder hat Einblick in den Quellcode und sieht daher direkt, falls es Schwachstellen geben sollte und kann diese gezielt nutzen.
Bei kommerzieller Software kennt keiner den Quellcode... die Suche, wo eine Sicherheitslücke ist, bleibt ein Ratespielchen.
Daher müsste kommerzielle Software doch sicherer sein, da im Gegensatz zu Open-Source die "Bauanleitung" (der Quellcode) zur Umgehung von Sicherheitstechniken nicht direkt mitgliefert wird...?
Grüsse
Sven
-
Hi,
mich beschäftigt eine Frage: Es werden des öfteren Behauptungen aufgestellt, dass Open Source-Software sicherer sei, als kommerzielle Produkte.
guter Anfang!!!
Da stellt sich mir die Frage, wie kann das sein? Bei Open-Source programmiert jeder mit... jeder könnte sich ein Hintertürchen einbauen. Jeder hat Einblick in den Quellcode und sieht daher direkt, falls es Schwachstellen geben sollte und kann diese gezielt nutzen.
das ist der Punkt:
JEDER kann in den Quellcode sehen, d.h. es kontrollieren (teils mehrere tausend) viele Leute die Quellen -> unabhängig.Bei kommerzieller Software kennt keiner den Quellcode... die Suche, wo eine Sicherheitslücke ist, bleibt ein Ratespielchen.
genau: Ratespiel! Meist für die entwickelnde Firma selbst!
Daher müsste kommerzielle Software doch sicherer sein, da im Gegensatz zu Open-Source die "Bauanleitung" (der Quellcode) zur Umgehung von Sicherheitstechniken nicht direkt mitgliefert wird...?
siehe oben
Gruß
Reiner -
Moin Moin !
Hintertüren sind nicht das einzige Software-Problem:
void fox(void)
{
char a[10]="";
strcpy(a,"The Quick Brown Fox Jumps Over The Lazy Dog");
puts(a);
}a ist zu klein, strcpy weiß nicht, wie groß a ist. Ergebnis ist ein Buffer Overflow und (in komplexeren Programmen) ein mögliches Sicherheitsloch.
In Closed Source Projekten fällt sowas den paar Leuten auf, die für Qualitätskontrolle zuständig sind. Oder eben auch nicht.
In Open Source Projekten fällt das vielleicht auch jemandem auf, der nur mal so rumstöbert, der den Fehler sucht, oder der schlicht den Quelltext als Testobjekt für eine Forschungsarbeit (http://www.stanford.edu/~engler/p401-xie.pdf) nutzt.
Fehler in Closed Source Projekten muß man mit einem neuen Binary ausbügeln (oder einem Patch-Programm für Binaries), das dauert.
Fehler in Open Source Projekten kann man in Form einer diff-Datei ausbügeln, die man mit patch auf den Quelltext anwendet. Das funktioniert innerhalb von Stunden.
Und übrigens: Auch kommerzielle Software kann Open Source sein, genauso wie nicht kommerzielle Software Closed Source sein kann.
Alexander
--
Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!" -
Hallo,
mich beschäftigt eine Frage: Es werden des öfteren Behauptungen aufgestellt, dass Open Source-Software sicherer sei, als kommerzielle Produkte.
Open Source kann auch kommerziell sein. Open Source ist nicht gleich FreeWare. Aber es ist klar, was gemeint ist.
Da stellt sich mir die Frage, wie kann das sein? Bei Open-Source programmiert jeder mit... jeder könnte sich ein Hintertürchen einbauen. Jeder hat Einblick in den Quellcode und sieht daher direkt, falls es Schwachstellen geben sollte und kann diese gezielt nutzen.
Jeder kann aber auch alle "Hintertürchen" sehen, die andere Programmierer eingebaut haben. Du kannst davon ausgehen, dass sich die Programmierer für ihr Produkt verantwortlich fühlen. Das heißt, viele Augen können Schwachstellen sehen und werden diese nicht ausnutzen (wofür auch?), sondern beseitigen. Man darf halt nur keine Open-Source-Software aus unseriösen Quellen beziehen. Das muss man aber auch nicht, da sich die Preise weit unter denen kommerzieller Software bewegen.
Bei kommerzieller Software kennt keiner den Quellcode... die Suche, wo eine Sicherheitslücke ist, bleibt ein Ratespielchen.
*g*
Wer hat die Software programmiert, wenn keiner den Quellcode kennt? Die meisten Hacker-Angriffe passieren aus der eigenen Firma heraus. Es ist eben leider viel Geld damit zu verdienen.Daher müsste kommerzielle Software doch sicherer sein, da im Gegensatz zu Open-Source die "Bauanleitung" (der Quellcode) zur Umgehung von Sicherheitstechniken nicht direkt mitgliefert wird...?
Nein. Open-Source aus sicheren Quellen ist durch viele Entwickler-Augen geprüft. Außerdem kann jeder, der sich auskennt den Quellcode prüfen und so Sicherheitslücken aufdecken. Der Hersteller wird bestrebt sein, diese zu beseitigen, sonst käme er bald in Verruf. Der Endverbraucher ist also ziemlich sicher.
Den Quellcode herkömmlicher kommerzieller Software kennen "nur" die Entwickler, Hacker, Cracker.... Oft wird diese teure Ware schwarz kopiert oder irgendwelche cracks unbekannter Hersteller werden benutzt, um die CD-Keys zu bekommen oder die Registrierung zu umgehen. Der Hersteller muss Sicherheitslücken selbst veröffentlichen, da ja kein Anderer offiziell den Quellcode kennt. Rate mal, wie groß das Interesse der Hersteller an solchen Veröffentlichungen ist.
viele Grüße
Axel
-
Moin!
mich beschäftigt eine Frage: Es werden des öfteren Behauptungen aufgestellt, dass Open Source-Software sicherer sei, als kommerzielle Produkte.
Diese Behauptung ist nur aufgrund theoretischer Überlegungen natürlich nicht fundiert.
Da stellt sich mir die Frage, wie kann das sein? Bei Open-Source programmiert jeder mit... jeder könnte sich ein Hintertürchen einbauen. Jeder hat Einblick in den Quellcode und sieht daher direkt, falls es Schwachstellen geben sollte und kann diese gezielt nutzen.
Richtig. Du vergißt aber, dass die Leute, die reinschauen und die Kompetenz habe, eine Sicherheitslücke zu entdecken, vermutlich viel eher dazu tendieren, diese Lücke den Entwicklern auch mitzuteilen.
Darüber hinaus: Es ist wesentlich einfacher, eine mögliche Sicherheitslücke durch Analyse des Codes zu entdecken, als die so entdeckte Lücke tatsächlich für böse Sachen auszunutzen. Das erfordert nochmal wesentlich mehr Wissen.
Bei kommerzieller Software kennt keiner den Quellcode... die Suche, wo eine Sicherheitslücke ist, bleibt ein Ratespielchen.
Dennoch werden Sicherheitslücken in Closed-Source-Software gefunden. Das Geheimhalten hilft also nicht.
Und das Problem bei Closed-Source ist, dass Updates, die die Lücke schließen, in der Regel ziemlich lange auf sich warten lassen. Open-Source ist bei sowas in der Regel wesentlich schneller.
Daher müsste kommerzielle Software doch sicherer sein, da im Gegensatz zu Open-Source die "Bauanleitung" (der Quellcode) zur Umgehung von Sicherheitstechniken nicht direkt mitgliefert wird...?
Kenntnis des Quellcodes hilft, ist aber nicht notwendig. Im Gegenteil: Trotz Kenntnis des Quellcodes ist der Apache Webserver anerkanntermaßen schon lange Zeit sehr sicher. Der Microsoft IIS hingegen hat immer mal wieder Sicherheitsprobleme. Das dürfte doch nach deiner Definition gar nicht sein, oder?
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
Hallo!
Darüber hinaus: Es ist wesentlich einfacher, eine mögliche Sicherheitslücke durch Analyse des Codes zu entdecken, als die so entdeckte Lücke tatsächlich für böse Sachen auszunutzen. Das erfordert nochmal wesentlich mehr Wissen.
Wieso? Wenn ich eine Lücke finde, dann finde ich die weil ich weiß warum der Code eine Lücke darstellt. Das kann ich aber nur wissen wenn mir bekannt ist wie man diese Lücke ausnutzt, oder?
Grüße
Andreas-
Moin!
Darüber hinaus: Es ist wesentlich einfacher, eine mögliche Sicherheitslücke durch Analyse des Codes zu entdecken, als die so entdeckte Lücke tatsächlich für böse Sachen auszunutzen. Das erfordert nochmal wesentlich mehr Wissen.
Wieso? Wenn ich eine Lücke finde, dann finde ich die weil ich weiß warum der Code eine Lücke darstellt. Das kann ich aber nur wissen wenn mir bekannt ist wie man diese Lücke ausnutzt, oder?
Ok, die ganz dummen Lücken sind natürlich ganz einfach nutzbar. Sowas ist in größeren Projekten aber mit Sicherheit nicht anzunehmen.
Aber ich hatte unlängst ein Beispiel im Forum gepostet, welches dann leider keine allzu große Beachtung mehr fand: http://forum.de.selfhtml.org/archiv/2003/5/47438/#m259396
Entscheidend zum Nachweis, dass ein Sicherheitsproblem besteht, ist die Tatsache, dass vom Programm benutzte Variablen vom Angreifer mit seinen eigenen Werten vorbelegt werden können. Das ist ein Sicherheitsproblem.
Wie man dieses Problem jetzt ausnutzen könnte, ist in der Problembetrachtung nicht wirklich von Belang. Es ist schwierig, das abzuschätzen (mit Glück ist es nicht schlimm, bzw. hat keine bösen Auswirkungen). Aber genau das ist für den Angreifer, der die Lücke ausnutzen will, entscheidend.
Es geht also im Prinzip darum: Die Sicherheitsprüfung muß nur das Loch finden. Der erfolgreiche Angreifer hingegen muß durch das Loch hindurch irgendwo ankommen, wo er Schaden anrichten kann.
- Sven Rautenberg
--
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|
-
-
-
Hi!
mich beschäftigt eine Frage: Es werden des öfteren Behauptungen aufgestellt, dass Open Source-Software sicherer sei, als kommerzielle Produkte.
Naja, nicht zwangslaeufig. OSS hat das *Potential*, sicherer zu sein. Das Potential besteht darin, dass jeder den Sourcecode durchlesen und Fehler/Sicherheitsluecken finden kann. Wenn es ein so unbekanntes Projekt ist, dass sich keiner fuer den Source interessiert, nuetzt das ganze Potential aber nichts. Von allein wird nichts sicherer.
Da stellt sich mir die Frage, wie kann das sein? Bei Open-Source programmiert jeder mit... jeder könnte sich ein Hintertürchen einbauen. Jeder hat Einblick in den Quellcode und sieht daher direkt, falls es Schwachstellen geben sollte und kann diese gezielt nutzen.
Und warum sollten die das tun? Die grosse Mehrzahl derer, die eine Schwachstelle finden, sorgt dafuer, dass sie korrigiert wird und nutzt sie nicht aus. Schwachstellen selbst einbauen klappt auch nur in der Theorie. In der Praxis kann nicht jeder hergehen und in irgendein OSS-Projekt eigenen Code einbringen. Der Code ist in der Obhut einiger (meist weniger) Maintainer, und nur die koennen Code aendern/ergaenzen. Als Aussenstehender kann man denen zwar meist Patches senden, aber ob der dann auch eingepflegt wird, steht auf einem ganz anderen Blatt. Zumindest wird ein Maintainer sich den Patch genau angucken, bevor er ihn einspielt. Also einfach so boesen Code einschleussen ist nicht.
Und Fehler, die fast zwangslaeufig entstehen, werden dank der offenen Verfuegbarkeit des Codes meist schnell gefunden. "Peer review" nennt man das, wenn tausende andere Leute sich das Geschreibsel eines Entwicklers anschauen. Mit Closed Source bist Du an der Stelle halt aufgeschmissen, und genau das ist der Hauptgrund, warum CS tendenziell viel unsicherer ist.
Bei kommerzieller Software kennt keiner den Quellcode... die Suche, wo eine Sicherheitslücke ist, bleibt ein Ratespielchen.
Es gibt genug Leute, die so gut mit ihrem Disassembler oder sonstigen Tools umgehen koennen, dass der fehlende Source fuer sie keine unueberwindbare Huerde darstellt. Wir sehen das ja regelmaeszig, wenn wieder eine Sicherheitsluecke in einem Closed-Source-Produkt bekannt wird. Allen voran ist wohl der IE, bei dem hoechstens zwei Wochen zwischen zwei Meldungen vergehen.
Daher müsste kommerzielle Software doch sicherer sein, da im Gegensatz zu Open-Source die "Bauanleitung" (der Quellcode) zur Umgehung von Sicherheitstechniken nicht direkt mitgliefert wird...?
Ja, das ist die typische Microsoft-Argumentation (die stellen das nicht als Frage, sondern behaupten das einfach). Das ist aber ein Trugschluss. Es gibt einfach deutlich mehr "good guys" als "bad guys". Daher funktioniert das OS-Prinzip.
So long
--
According to Information Week, the tab for the Year 2000 software fix alone will
hit $600 billion. That's enough to buy 461,893,764 iMacs at $1299 each (although
if you place such a large order, you should probably demand a discount).
(http://www.macnologist.com/y2k/)-
Tach auch,
Und warum sollten die das tun?
Um darueber andere Systeme zu knacken? Um irgendwelche Verbrechen zu verueben? Genauso wie die die geschlossene Software knacken. Ich kann da keinen Unterschied entdecken.
Die grosse Mehrzahl derer, die eine Schwachstelle finden, sorgt dafuer, dass sie korrigiert wird und nutzt sie nicht aus.
Eben. Die grosse Mehrzahl. Die kleine Minderheit reicht ja schon um sehr grossen Schaden anzurichten.
Schwachstellen selbst einbauen klappt auch nur in der Theorie.
So? Den OpenSSH Trojan hat es also nur in der Theorie gegeben?
Und Fehler, die fast zwangslaeufig entstehen, werden dank der offenen Verfuegbarkeit des Codes meist schnell gefunden. "Peer review" nennt man das, wenn tausende andere Leute sich das Geschreibsel eines Entwicklers anschauen. Mit Closed Source bist Du an der Stelle halt aufgeschmissen, und genau das ist der Hauptgrund, warum CS tendenziell viel unsicherer ist.
Gegenthese: Bei Closed Source (insbesondere bei MS) gibt es Millionen unentgeltliche Beta Tester. Und Tausende von Leuten die es lieben Sicherheitsluecken aufzuspueren, schon um MS einen auszuwischen. Daher werden die Fehler noch viel schneller gefunden als bei Open Source. ;-)
Ja, das ist die typische Microsoft-Argumentation (die stellen das nicht als Frage, sondern behaupten das einfach). Das ist aber ein Trugschluss. Es gibt einfach deutlich mehr "good guys" als "bad guys". Daher funktioniert das OS-Prinzip.
Irgendwie hoert sich diese Argumentation nach "typischer Open Source Argumentation" an. Da wird auch viel behauptet. _Jeder_ kann sich den Quellcode ansehen. Na ja, jeder? Wirklich jeder? Das wuerde mich wundern...
Gruss,
Armin--
Location: Swindon/Wiltshire/England/UK/Europe/Northern Hemisphere/Planet Earth/Solar System/Milky Way Galaxy/Universe
http://www.ministryofpropaganda.co.uk/-
Moin Moin !
Irgendwie hoert sich diese Argumentation nach "typischer Open Source Argumentation" an. Da wird auch viel behauptet. _Jeder_ kann sich den Quellcode ansehen. Na ja, jeder? Wirklich jeder? Das wuerde mich wundern...
find /usr/src/linux -name \*.[chS] -print -exec cat {} ; | less
Ist aber nur eine Möglichkeit von vielen.
Alexander
--
Nein, ich beantworte keine Fragen per eMail. Dafür ist das Forum da.
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so!"-
Tach auch,
Irgendwie hoert sich diese Argumentation nach "typischer Open Source Argumentation" an. Da wird auch viel behauptet. _Jeder_ kann sich den Quellcode ansehen. Na ja, jeder? Wirklich jeder? Das wuerde mich wundern...
find /usr/src/linux -name \*.[chS] -print -exec cat {} ; | less
Ist aber nur eine Möglichkeit von vielen.
Und? Was hilft mir das? Dann sehe ich lauter Quellcode. Und dann? Meine Definition von Ansehen (in diesem Zusammenhang) schliesst verstehen, interpretieren, analysieren mit ein.
Hier verfaellt naemlich die Open Source Gemeinde in genau den Fehler den sie MS vorwirft: Leere Schlagworte die hinterfragt eigentlich nicht viel bedeuten.
Gruss,
Armin--
Location: Swindon/Wiltshire/England/UK/Europe/Northern Hemisphere/Planet Earth/Solar System/Milky Way Galaxy/Universe
http://www.ministryofpropaganda.co.uk/
-
-
Hallo,
Und Fehler, die fast zwangslaeufig entstehen, werden dank der offenen Verfuegbarkeit des Codes meist schnell gefunden. "Peer review" nennt man das, wenn tausende andere Leute sich das Geschreibsel eines Entwicklers anschauen. Mit Closed Source bist Du an der Stelle halt aufgeschmissen, und genau das ist der Hauptgrund, warum CS tendenziell viel unsicherer ist.
Gegenthese: Bei Closed Source (insbesondere bei MS) gibt es Millionen unentgeltliche Beta Tester. Und Tausende von Leuten die es lieben Sicherheitsluecken aufzuspueren, schon um MS einen auszuwischen. Daher werden die Fehler noch viel schneller gefunden als bei Open Source. ;-)
Gefunden schon, aber auch beseitigt?
Jedenfalls ist die Argumentation "Code ist sicherer, wenn er geheim ist" Unsinn, weil es keinen geheimen Code gibt. Da ist die Aussage "Offener Code ist sicherer, weil Viele die Programmierfehler sehen können." für mich logischer. Was viele Leute sehen und anmahnen, wird schnell verbessert, weil sonst das Ansehen der Herstellerfirma leidet. Man könnte auch sagen, wer seinen Code verstecken muss, hat Angst vor unliebsamen Entdeckungen.Ja, das ist die typische Microsoft-Argumentation (die stellen das nicht als Frage, sondern behaupten das einfach). Das ist aber ein Trugschluss. Es gibt einfach deutlich mehr "good guys" als "bad guys". Daher funktioniert das OS-Prinzip.
Irgendwie hoert sich diese Argumentation nach "typischer Open Source Argumentation" an. Da wird auch viel behauptet. _Jeder_ kann sich den Quellcode ansehen. Na ja, jeder? Wirklich jeder? Das wuerde mich wundern...
Jeder nicht, aber viel mehr kompetente Leute als bei Closed Source. Da sehen ihn sich, außer den Programmierern der Herstellerfirma, oft wirklich nur Hacker und Cracker an.
viele Grüße
Axel
-
Moin!
Und warum sollten die das tun?
Um darueber andere Systeme zu knacken? Um irgendwelche Verbrechen zu verueben? Genauso wie die die geschlossene Software knacken. Ich kann da keinen Unterschied entdecken.
Naja, es ging an der Stelle um die Vielzahl von Leuten, die sich einfach so den Code anschauen koennen, weil er offen liegt. Im Vergleich zur CS-Situation ist hier der Anteil derer, die das in guter Absicht tun, sehr wahrscheinlich viel hoeher. Oder was meinst Du, welche Motivation jemand hat, sich durch megabyteweise decompilierten/disassemblierten Code zu wuehlen, um Fehler in Programmen zu finden, die sich die Softwarefirmen teuer bezahlen lassen? Es gibt Leute, die werden fuer diese Art Fehlersuche bezahlt, das duerften aber die wenigsten sein.
Die grosse Mehrzahl derer, die eine Schwachstelle finden, sorgt dafuer, dass sie korrigiert wird und nutzt sie nicht aus.
Eben. Die grosse Mehrzahl. Die kleine Minderheit reicht ja schon um sehr grossen Schaden anzurichten.
Das stimmt. Dennoch scheint es die kleine Minderheit bisher nicht hingekriegt zu haben, Luecken in OS-Programmen in deutlich groesserem Maszstab auszunutzen als in CS-Software. Oder habe ich was verpasst und tatsaechlich hoeren wir 10 mal so oft von Wuermern fuer anfaellige OSS wie fuer CSS?
Schwachstellen selbst einbauen klappt auch nur in der Theorie.
So? Den OpenSSH Trojan hat es also nur in der Theorie gegeben?
Dieser kleine Trojaner war nicht im Quellcode von OpenSSH selbst, sondern in dem Downloadpackage versteckt. Das widerspricht meiner Behauptung nicht. Dass einem ein gefaelschtes Package untergeschoben wird, ist zwar auch keine schoene Sache, aber es faellt nach dem Download sofort auf, wenn man die Signatur des Pakets prueft (und das machen wir doch ganz vorbildlich, oder?). Im Unterschied zu einer MD5-Checksumme kann die Signatur naemlich nicht einfach an das gefaelschte Paket angepasst werden. (Mysterioeserweise wurde in diesem speziellen Fall auch die MD5-Datei nicht angepasst.) Sobald die Faelschung entdeckt wird, kann der Autor ein sauberes Paket bereitstellen.
Und Fehler, die fast zwangslaeufig entstehen, werden dank der offenen Verfuegbarkeit des Codes meist schnell gefunden. "Peer review" nennt man das, wenn tausende andere Leute sich das Geschreibsel eines Entwicklers anschauen. Mit Closed Source bist Du an der Stelle halt aufgeschmissen, und genau das ist der Hauptgrund, warum CS tendenziell viel unsicherer ist.
Gegenthese: Bei Closed Source (insbesondere bei MS) gibt es Millionen unentgeltliche Beta Tester. Und Tausende von Leuten die es lieben Sicherheitsluecken aufzuspueren, schon um MS einen auszuwischen. Daher werden die Fehler noch viel schneller gefunden als bei Open Source. ;-)
Ein Blick in die Welt zeigt jedoch, dass meine These irgendwie haltbarer als Deine ist. ;-)
Ja, das ist die typische Microsoft-Argumentation (die stellen das nicht als Frage, sondern behaupten das einfach). Das ist aber ein Trugschluss. Es gibt einfach deutlich mehr "good guys" als "bad guys". Daher funktioniert das OS-Prinzip.
Irgendwie hoert sich diese Argumentation nach "typischer Open Source Argumentation" an. Da wird auch viel behauptet. _Jeder_ kann sich den Quellcode ansehen. Na ja, jeder? Wirklich jeder? Das wuerde mich wundern...
Ja klar, kann jeder. Diese Aussage ist zwar nicht besonders sinnvoll, aber sie stimmt. *g* Zum Glueck habe ich sie nicht gemacht. Was wolltest Du jetzt eigentlich sagen?
So long
--
Kommt ein Vektor zur Drogenberatung: "Bitte helfen Sie mir. Ich bin linear abhängig."-
Schwachstellen selbst einbauen klappt auch nur in der Theorie.
So? Den OpenSSH Trojan hat es also nur in der Theorie gegeben?
Dieser kleine Trojaner war nicht im Quellcode von OpenSSH selbst, sondern in dem Downloadpackage versteckt. Das widerspricht meiner Behauptung nicht. Dass einem ein gefaelschtes Package untergeschoben wird, ist zwar auch keine schoene Sache, aber es faellt nach dem Download sofort auf, wenn man die Signatur des Pakets prueft (und das machen wir doch ganz vorbildlich, oder?). Im Unterschied zu einer MD5-Checksumme kann die Signatur naemlich nicht einfach an das gefaelschte Paket angepasst werden. (Mysterioeserweise wurde in diesem speziellen Fall auch die MD5-Datei nicht angepasst.) Sobald die Faelschung entdeckt wird, kann der Autor ein sauberes Paket bereitstellen.
Dann haben die Leute, die Probleme mit dem Trojan hatten, wohl das Paket nicht überprüft? Folgern wir also daraus, dass kommerzielle Software zumindest einfacher zu bedienen ist? ;)
Ein Blick in die Welt zeigt jedoch, dass meine These irgendwie haltbarer als Deine ist. ;-)
Nicht wirklich... die OpenSource-Gemeinde schreit nur lauter.
Dir ist sicher die jetzige Situation mit SCO bekannt? Die Reaktion der Linux-Community, die die Leute dazu aufrief, DoS-Attacken auf die SCO-Website durchzuführen, zeigt wohl vom Niveau der selbigen... ;-)
btw. grade brandaktuell: "Linux öfter gehackt als Windows" - http://www.pcwelt.de/news/viren_bugs/31673/
Grüsse
Lars-
Tach auch,
btw. grade brandaktuell: "Linux öfter gehackt als Windows" - http://www.pcwelt.de/news/viren_bugs/31673/
Da steht hier mehr: http://www.pro-linux.de/news/2003/5605.html
Obwohl auch da nichts gross neues steht: Der groesste Unsicherheitsfaktor ist der schlampige Systemadministrator/PC-Benutzer. Und je mehr sich Open Source verbreitet desto mehr schlampige Systemadministratoren/PC-Benutzer werden Open Source-Systeme nicht auf dem neuesten Stand halten. Da gibt's dann halt lauter Systeme mit unsicherem Linux-Kernel oder veraltetem Apache drauf. Womit irgendwann eine aehnliche Situation wie bei MS eintritt und das Open Source Gegenstueck zu Code Red und Konsorten sich auf den Weg macht...
Gruss,
Armin--
Location: Swindon/Wiltshire/England/UK/Europe/Northern Hemisphere/Planet Earth/Solar System/Milky Way Galaxy/Universe
http://www.ministryofpropaganda.co.uk/-
Hallo Armin
[...] und das Open Source Gegenstueck zu Code Red und Konsorten sich auf den Weg macht...
Son ein Quatsch. Open-Source Viren/Würemer haben überhaupt keine Chance. Jeder könnte da den Quelltext lesen, und ein Gegenprogramm entwickeln. Ich glaube da täuschst du dich. ;-)
*SCNR*
Gute Nacht
Johannes
--
ss:| zu:) ls:[ fo:) de:] va:) ch:? sh:( n4:& rl:( br:< js:| ie:{ fl:( mo:}
-
-
Hallo Lars,
Dir ist sicher die jetzige Situation mit SCO bekannt? Die Reaktion der Linux-Community, die die Leute dazu aufrief, DoS-Attacken auf die SCO-Website durchzuführen, zeigt wohl vom Niveau der selbigen... ;-)
Spinner gibt es überall... Und ich würde vorsichtig sein, ein paar Spinner als "Linux-Community" zu bezeichnen.
btw. grade brandaktuell: "Linux öfter gehackt als Windows" - http://www.pcwelt.de/news/viren_bugs/31673/
Das ist das gleiche wie "Fiat öfter geklaut als Opel", wenn die Türen offen stehen gelassen und der Zündschlüssel auf dem Sitz liegengelassen worden ist. Systemadministratoren, die Patches nicht einspielen sind _immer_ ein Sicherheitsproblem - sowohl unter Windows als auch unter Linux. Viel interessanter wäre dagegen mal ein Vergleich der Reaktionszeit auf Sicherheitslücken Closed Source <--> Open Source.
Viele Grüße,
Christian -
Moin!
Dann haben die Leute, die Probleme mit dem Trojan hatten, wohl das Paket nicht überprüft?
Sieht ganz so aus. Wieviele Leute waren das eigentlich?
Folgern wir also daraus, dass kommerzielle Software zumindest einfacher zu bedienen ist? ;)
Haeh? Wo ist da jetzt der Zusammenhang?
Ein Blick in die Welt zeigt jedoch, dass meine These irgendwie haltbarer als Deine ist. ;-)
Nicht wirklich... die OpenSource-Gemeinde schreit nur lauter.
Ach? Noch lauter als M$ mit seiner taeglichen Portion FUD? Wie kommst Du darauf?
Dir ist sicher die jetzige Situation mit SCO bekannt? Die Reaktion der Linux-Community, die die Leute dazu aufrief, DoS-Attacken auf die SCO-Website durchzuführen, zeigt wohl vom Niveau der selbigen... ;-)
Erstens, was hat das mit dem Thema Sicherheit von OSS zu tun? Zweitens, die Behauptung, "die Linux-Community" wuerde zu DoS-Attacken aufrufen, ist wirklch *sehr* gewagt, so sehr, dass Du das belegen koennen solltest.
btw. grade brandaktuell: "Linux öfter gehackt als Windows" - http://www.pcwelt.de/news/viren_bugs/31673/
Hat wieder nichts mit dem Thema zu tun, wie Dir Armin und Christian bereits erlaeutert haben. Aber um trotzdem darauf einzugehen: Zunaechst frage ich mich, wie irgendeine selbsternannte Sicherheitsfirma einen Ueberblick ueber saemtliche erfolgreichen Angriffe auf Server-Systeme haben will. Sie wird wohl kaum alle DAU-Systeme mit ihrer Windows-XP-Home-Installation mitgezaehlt haben, bei denen schonmal jemand einen Schadprgramm eingeschleusst hat. (Wenn Du jetzt mit dem Begriff "Server" wortklauben willst, schlage ich vor, Du faengst mit einer genauen Definition an.) Und letztlich ist wohl weniger die absolute Zahl von Einbruechen interessant als vielmehr das Verhaeltnis von erfolgreichen zu veruschten Angriffen. Darueber sagt die Meldung jedoch nichts.
Alles in allem habe ich den Eindruck, Du wolltest einfach auch mal was posten, aus welchem Grund auch immer. Dafuer geh doch bitte in den Heise-Kindergarten (http://www.heise.de/foren/), da bist Du mit sowas besser aufgehoben.
So long
--
Life is complex. It has real and imaginary parts.
-
-
-
-
-
Moin,
Bei kommerzieller Software kennt keiner den Quellcode... die Suche, wo eine Sicherheitslücke ist, bleibt ein Ratespielchen.
Du gehst davon aus, dass Security by Obscurity auch nur annähernd funktionieren könnte. Das ist definitiv nicht so. Security by Obscurity funktioniert nicht. Nie.
Da wir ja alle Vergleiche lieben, hier mal einer von einem meiner Professoren: Security by Obscurity wäre, wenn ich eine nicht abgeschlossene Tür mit einem Vorhang verdecke und dann behaupte, dass niemand einbrechen kann, da er ja die Tür nicht sieht.
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~ -
Hi Sven,
Bei kommerzieller Software kennt keiner den Quellcode... die Suche, wo eine Sicherheitslücke ist, bleibt ein Ratespielchen.
Deswegen gibt es auch keine Cracks für kopiergeschützte Spiele. Weil da ja niemand den Quellcode kennt.
Daher müsste kommerzielle Software doch sicherer sein, da im Gegensatz zu Open-Source die "Bauanleitung" (der Quellcode) zur Umgehung von Sicherheitstechniken nicht direkt mitgliefert wird...?
Da bringst du die Gefährlichkeit von Closed Source auf den Punkt. Open Source Sicherheitstechniken müssen prinzipiell sicher sein, nicht durch Geheimhaltung!
Bei Closed Source verspricht dir das nur der Hersteller, er kann aber ebensogut auf das Prinzip Hoffnung setzen.Gruss,
Carsten