nicht angemeldet
Hi Christoph,
irgendwie finde ich, daß Du das Ganze in diesem Fall etwas verkomplizierst. Nur noch mal zur Erinnerung, worum es hier geht:
Es geht um ein kleines Progrämmchen, das Fensteraktivitäten aufzeichnen kann und bei Bedarf bestimmte Fenster nicht zuläßt - entweder wird ein Paßwort verlangt oder das Fenster wird geschlossen. Um mehr geht es hier nicht. Das Progrämmchen ist für den Einsatz auf einem Einzelplatzrechner gedacht und soll nicht dazu dienen, das System abzuschotten. Es überwacht keine Ports, es prüft keine Dateien. Deshalb (und auch aus Zeitgründen) möchte ich nur auf die wesentlichsten Punkte Deines Postings eingehen.
Ja, und wo ist das Problem? Da ist irgendwo ein Programm im Angebot. Wenn es jemandem gefällt - wozu braucht er dann den Quältext?
Zur einfachen Kontrolle, Anpassung und Reparatur. Alles drei muß er nicht selber machen, das kann er auch an Dritte abgeben. Z.B. an den Autoren des Originals, also Dich.
Ich glaube, Du darfst hier nicht von Dir ausgehen. Wer meint, das Programm zu brauchen, lädt es sich herunter und setzt es ein. Findet der Anwender es nützlich, setzt er es weiter ein, wenn nicht, wird es gelöscht. Das war es dann. Bis jetzt hat mich noch niemand gefragt, wie ein Programm funktioniert, ob nun dieses oder ein anderes. Und die Masse der Anwender (abgesehen von Teilen meiner Zielgruppe) dürfte mit dem Quelltext nichts anfangen können. Man muß auch auf dem Boden der Tatsachen bleiben.
Hier geht es um Sicherheitssoftware, da gelten andere Maßstäbe. Für ein Tetrisspiel braucht kein Anwender den Quellcode, möchte ihn auch gar nicht haben, aber für so tiefe Eingriffe, wie einen Logger ist Quelloffenheit zwingend.
Was bezeichnet man als Sicherheitssoftware? Die Sache ist transparent, die Logs können jederzeit auch unformatiert angesehen werden. Da sieht man, was aufgezeichnet wird. Nochmal: Ich bin nicht darauf angewiesen, Software zu verkaufen. Entweder jemand nutzt dieses Tool oder eben nicht.
Oder analysierst Du bei jedem Update Deines Antivirenprogramms auch immer erst den Source?
Ja, das tue ich. Aber ich werde dafür ja auch bezahlt.
Deshalb schrieb ich oben, daß Du nicht unbedingt von Dir ausgehen darfst. Ich weiß nicht, wo Du als was arbeitest, aber wenn Du Quelltexte analysierst, gehörst Du garantiert nicht zu der Zielgruppe.
Es ist auch egal, ob das jeder selber tut, denn dank Internet und verlustfreier Replikation auch und vor allem über's Netz reicht es, wenn es irgendjemand tut und an halbwegs prominenter Stelle veröffentlicht.
Mittlerweile habe ich schon mitbekommen, daß Du zur Open-Source-Gemeinde gehörst. Ich finde das gut, _nutze_ es ja auch. Da mitzumachen - dazu habe ich aber gar keine Zeit und _vor allem_ nicht die Kenntnisse. Aber trotzdem gehe ich nicht davon aus, daß für _jede_ Sicherheitssoftware der Code irgendwo frei verfügbar ist. Und, ohne auf Deine anderen Punkte dazu einzugehen, ich bleibe bei der Meinung: Man kann aus Sicherheitssoftware schnell auch Unsicherheitssoftware erstellen. Wahrscheinlich werden wir uns hier nicht einigen können. Ich erlebe dazu zu viel auf Arbeit.
Ja und? Schließe die Sicherheitslücke, die dieser spezielle Schädling ausnutzt und schon kann jeder darin rumfuhrwerken wie er möchte, es wäre rein akademisch.
Du kannst diese Sicherheistlücke nicht selber schließen und auch keinen anderen beauftragen sondern mußt warten, bis irgendjemand bei dieser großen Softwarefirma so gnädig ist und einen Patch rausbringt, nach dessen Einspielung eine gute Handvoll anderer Programme nicht mehr läuft? Warum? Kein Quellcode?
Die Frage ist dann aber, wie schnell man auf solch ein Problem reagiert.
Und ich behaupte steif und fest: es gibt gar keine Hunde auf dem Platz, die man wecken könnte. Man hätte es nämlich längst gemerkt, soviele Blaskapellen, wie in den letzten Jahren da durchgezogen sind.
s. o.
Nur mal so: Ich weiß gar nicht, warum Du Dich an der Sache so hochziehst.
Ich versuche nur die Nutzer etwas dafür zu sensibilisieren, das sie in Sachen Sicherheit keine Abstriche machen sollen. Oder sich zumndest im Klarem darüber sind, _wann_ sie welche machen und bei Sicherheitssoftware ohne Quellen ist der Abstrich groß. Zu groß meiner Meinung nach, aber das sollen die Abnehmern natürlich selber entscheiden. Damit sie das aber können müssen sie darüber auch Bescheid wissen.
Und genau hier ist aus meiner Sicht der Trugschluß. Anwender sensibilisieren ist eine sehr wichtige Angelegenheit, das versuche ich auch tagtäglich. Aber was sollen die dann mit dem Quelltext?
Sicher - da gebe ich dir Recht, die Schwächen und Stärken von Sicherheitssoftware sollte bekannt sein. So bin ich z. B. auch der Meinung, daß PFWs mehr Schaden anrichten können, als sie in der Masse nutzen. Aber dazu brauche ich nicht den Source dieser PFWs, da reicht etwas Logik. Aber ich möchte nicht abschweifen.
Normalerweise nicht, hier schon, da es sich um Sicherheitssoftware handelt. Es kann in Deinem Logger alles mögliche drinstecken, das weiß man nicht ohne offenen oder gar öffentlichen Code. Du vertreibst hier Software, die in sehr sensible Bereich vordringt. Damit könntest Du Unsinn anstellen, der evt auf mehr oder weniger direktem Wege auf mich zurückfällt. Nett, wenn ich dafür bezahlt werde, den Schaden zu reparieren, weniger nett, wenn durch irgendeinen unglücklichen Zufall das Netz mal wieder ... äh ... blockiert ist.
Persönlich wünsche ich es Dir (man kann ja heute über jeden Auftrag froh sein) ;-)
Aber wie ich weiter oben schon schrieb: Die Logs sind einsehbar (sonst würden sie ja nicht erstellt werden).
Dir ist das auch aufgefallen, deshalb möchtest Du nicht, das der Code veröffentlicht wird, damit keiner darin rumpfuschen kann und oben beschriebenen Unsinn damit anstellt. Derjenige, der den Code ändern kann, kann das Programm aber auch selber schreiben (Du hast selber gesagt, das es sehr einfach ist).
Kennt er sich hingegen nicht mit dem Code aus, dann besorgt er sich 'was Fertiges.
Die Wahrscheinlichkeit, das andere mit Deinem Code Blödsinn anstellen ist also extrem gering und würde im Zweifel auch nicht auf Dich zurückfallen. Entweder gibst Du den Code nur gegen Bezahlung raus, dann hast Du einen Nachweis, wer alles Deine Code hat oder Du machst ihn öffentlich, dann bist Du auch aus dem Schneider, denn Du kannst beweisen, das der maligne Code nicht von Dir ist.
Wie ich schon mehrfach schrieb, biete ich das Tool an, ohne davon abhängig zu sein. Von mir aus gebe ich den Code heraus, ich habe damit kein Problem.
Warum also sträubst Du Dich so vehement dagegen, den Code öffentlich zu machen?
Insgesamt nochmal: Warum sollte ich? Wenn Du ihn haben möchtest, bitteschön. Aber was hat der Anwender davon? Dem Anwender bringt der Code nichts, es sei denn, er lädt den Code herunter, um ihn "anzupassen". Das kenne ich z. B. von mir selbst vor einigen Jahren.
Die meisten Leute betreiben ihr Hobby, weil ihnen diese Beschäftigung Freude bereitet. Warum möchtest Du denn nicht auch für Geld tun, was Dir Freude bereitet? Feigheit?
*g* Würdest Du einen Job (in Festeinstellung) aufgeben, für den Du studiert und Dich danach noch ständig weitergebildet hast? Einen Job, in dem Du aufgehst, der Dir Spaß macht?
Gut, das könnte ich verstehen; wenn ich nicht damals dazu gezwungen gewesen wäre, würde ich immer noch einen Job machen, der mir zwar meine Butter auf's Brot beschafft, aber keine wirkliche Freude bereitete. (Wenn Du Familie mit kleinen Kindern hast, wäre das natürlich weniger mutig als übermütig und hat dann selbstverständlich auch rein gar nichts mit Feigheit zu tun)
Unsere Kinder sind zum Glück schon in dem Alter, in dem sie über das Ausziehen nachdenken.
Um die Sache mal abzuschließen:
Du vertrittst die Positionen der Open-Source-Gemeinde. Das finde ich gut, das unterstütze ich und als Anwender habe ich auch Nutzen davon. Ich habe Achtung davor - das ist wirklich ernst gemeint.
Ich bin Dozent und habe als Hobby VB/VBA, usw. Manche Ergebnisse davon veröffentliche ich, wobei das nur kleine Progrämmchen sind. Ich bin in manchen Foren als "Antworter" bekannt und die "Fragenden" sind die Zielgruppe meiner Seiten.
Ich schreibe keine Riesenprogramme (außer mal Warenwirtschaften, usw.), bin kaum bekannt, habe nur zwischen 500 und 1000 Sessions pro Tag. Ich habe auch nicht vor, eine große Softwarefirma auf die Beine zu stellen oder einen Browser zu schreiben.
Deshalb bewegen wir uns in ganz verschiedenen Regionen und werden hier wahrscheinlich keine Einigung erzielen.
Nun kommt Besuch, ich muß aufhören.
Schönes WE
Jörg