Moin!

Und warum sollten die das tun?

Um darueber andere Systeme zu knacken? Um irgendwelche Verbrechen zu verueben? Genauso wie die die geschlossene Software knacken. Ich kann da keinen Unterschied entdecken.

Naja, es ging an der Stelle um die Vielzahl von Leuten, die sich einfach so den Code anschauen koennen, weil er offen liegt. Im Vergleich zur CS-Situation ist hier der Anteil derer, die das in guter Absicht tun, sehr wahrscheinlich viel hoeher. Oder was meinst Du, welche Motivation jemand hat, sich durch megabyteweise decompilierten/disassemblierten Code zu wuehlen, um Fehler in Programmen zu finden, die sich die Softwarefirmen teuer bezahlen lassen? Es gibt Leute, die werden fuer diese Art Fehlersuche bezahlt, das duerften aber die wenigsten sein.

Die grosse Mehrzahl derer, die eine Schwachstelle finden, sorgt dafuer, dass sie korrigiert wird und nutzt sie nicht aus.

Eben. Die grosse Mehrzahl. Die kleine Minderheit reicht ja schon um sehr grossen Schaden anzurichten.

Das stimmt. Dennoch scheint es die kleine Minderheit bisher nicht hingekriegt zu haben, Luecken in OS-Programmen in deutlich groesserem Maszstab auszunutzen als in CS-Software. Oder habe ich was verpasst und tatsaechlich hoeren wir 10 mal so oft von Wuermern fuer anfaellige OSS wie fuer CSS?

Schwachstellen selbst einbauen klappt auch nur in der Theorie.

So? Den OpenSSH Trojan hat es also nur in der Theorie gegeben?

Dieser kleine Trojaner war nicht im Quellcode von OpenSSH selbst, sondern in dem Downloadpackage versteckt. Das widerspricht meiner Behauptung nicht. Dass einem ein gefaelschtes Package untergeschoben wird, ist zwar auch keine schoene Sache, aber es faellt nach dem Download sofort auf, wenn man die Signatur des Pakets prueft (und das machen wir doch ganz vorbildlich, oder?). Im Unterschied zu einer MD5-Checksumme kann die Signatur naemlich nicht einfach an das gefaelschte Paket angepasst werden. (Mysterioeserweise wurde in diesem speziellen Fall auch die MD5-Datei nicht angepasst.) Sobald die Faelschung entdeckt wird, kann der Autor ein sauberes Paket bereitstellen.

Und Fehler, die fast zwangslaeufig entstehen, werden dank der offenen Verfuegbarkeit des Codes meist schnell gefunden. "Peer review" nennt man das, wenn tausende andere Leute sich das Geschreibsel eines Entwicklers anschauen. Mit Closed Source bist Du an der Stelle halt aufgeschmissen, und genau das ist der Hauptgrund, warum CS tendenziell viel unsicherer ist.

Gegenthese: Bei Closed Source (insbesondere bei MS) gibt es Millionen unentgeltliche Beta Tester. Und Tausende von Leuten die es lieben Sicherheitsluecken aufzuspueren, schon um MS einen auszuwischen. Daher werden die Fehler noch viel schneller gefunden als bei Open Source. ;-)

Ein Blick in die Welt zeigt jedoch, dass meine These irgendwie haltbarer als Deine ist. ;-)

Ja, das ist die typische Microsoft-Argumentation (die stellen das nicht als Frage, sondern behaupten das einfach). Das ist aber ein Trugschluss. Es gibt einfach deutlich mehr "good guys" als "bad guys". Daher funktioniert das OS-Prinzip.

Irgendwie hoert sich diese Argumentation nach "typischer Open Source Argumentation" an. Da wird auch viel behauptet. _Jeder_ kann sich den Quellcode ansehen. Na ja, jeder? Wirklich jeder? Das wuerde mich wundern...

Ja klar, kann jeder. Diese Aussage ist zwar nicht besonders sinnvoll, aber sie stimmt. *g* Zum Glueck habe ich sie nicht gemacht. Was wolltest Du jetzt eigentlich sagen?

So long