Schwachstellen selbst einbauen klappt auch nur in der Theorie.

So? Den OpenSSH Trojan hat es also nur in der Theorie gegeben?

Dieser kleine Trojaner war nicht im Quellcode von OpenSSH selbst, sondern in dem Downloadpackage versteckt. Das widerspricht meiner Behauptung nicht. Dass einem ein gefaelschtes Package untergeschoben wird, ist zwar auch keine schoene Sache, aber es faellt nach dem Download sofort auf, wenn man die Signatur des Pakets prueft (und das machen wir doch ganz vorbildlich, oder?). Im Unterschied zu einer MD5-Checksumme kann die Signatur naemlich nicht einfach an das gefaelschte Paket angepasst werden. (Mysterioeserweise wurde in diesem speziellen Fall auch die MD5-Datei nicht angepasst.) Sobald die Faelschung entdeckt wird, kann der Autor ein sauberes Paket bereitstellen.

Dann haben die Leute, die Probleme mit dem Trojan hatten, wohl das Paket nicht überprüft? Folgern wir also daraus, dass kommerzielle Software zumindest einfacher zu bedienen ist? ;)

Ein Blick in die Welt zeigt jedoch, dass meine These irgendwie haltbarer als Deine ist. ;-)

Nicht wirklich... die OpenSource-Gemeinde schreit nur lauter.

Dir ist sicher die jetzige Situation mit SCO bekannt? Die Reaktion der Linux-Community, die die Leute dazu aufrief, DoS-Attacken auf die SCO-Website durchzuführen, zeigt wohl vom Niveau der selbigen... ;-)

btw. grade brandaktuell: "Linux öfter gehackt als Windows" - http://www.pcwelt.de/news/viren_bugs/31673/

Grüsse
Lars