Hi,

Ich glaube, wir missverstehen uns grundlegend: Mir ging es nur um die hiesige Beispielsituation eines bestimmten Softwaretyps und die konkreten Vorteile der potentiellen Quelloffenheit für den Endbenutzer.

Ja, das kam gut raus. Warum meinst Du, das ich das mißverstanden habe?

Nein, warum denn? Die Quellen sind öffentlich, jeder ist in der Lage sie zu kontrollieren. (...)
Es ist absolut kein Vertrauen notwendig.

Mein ganzes Posting drehte sich darum, dass eben nicht ?jeder? in der Lage ist. Ich möchte mich nicht vollinhaltlich wiederholen, ich denke, dass ich diesen Kernpunkt durchaus verständlich herausgearbeitet hatte.

Ja, das hast Du.
Ich hingegen habe dargelegt, das dieser Umstand keine Rolle spielt. Das schien dann aber wirklich nicht klar rausgekommen zu sein.

"Absit enim, ut negemus accurate cogitasse, qui non satis accurate loquuntur. Puerile est, erroris redarguere eum, qui ab errore immunem possedit animum, propterea quod parum apta succurrerint verba, quibus mentem suam exprimere poterat."

Ah, Danke, Aphthonius, für diesen Trost ;-)

Nochmal kurz und auf den Punkt:
Closed-Source kann ich _nicht_ kontrollieren, ich _muß_ dem Ersteller vertrauen.
Open-Source _kann_ ich kontrollieren, ich muß dem Ersteller _nicht_ vertrauen.

Die Aussage meines Postings war eben, dass die in diesen Sätzen »ich« bezeichnete Person eben nicht gleich ?jeder Anwender? ist.

Ja, und? Es spielt keine Rolle; das "ich" ist hier nur rethorischer Zug. Vor und nach diesem recht brutal aus dem Kontext gerissenem Zitat ist das aber erklärt.

Solche Software, ob nur als Binärdateien oder als Quellen erhältlich, kann der Anwender selbst nicht kontrollieren.

Ja, soweit sind wir uns einig.
Aber es gibt die Möglichkeit der Analyse, wenn die Programme klein genug sind, wie z.B. Viren und Würmer oder wenn man nur nach einem bestimmtem schädlichem Stück Logik sucht (Ein versteckter Trojaner, "nach Hause telephonieren" etc) und vor allem: wenn es den sehr hohen Preis rechtfertigt.
Irgendeiner ist also tatsächlich dazu in der Lage. Die Allgemeinheit hat von dieser Investition ebenfalls einen Nutzen, denn sie kann dank der leichten Kopierbarkeit von Software diese Analyse z.B. in Form eines Virenscanners erwerben. Meistens geschieht dieser Erwerb käuflich, aber das ist nicht unbedingt zwingend.

Du kannst dieses Zeug nicht analysieren, ich kann das nicht, aber diese Leute können und sind auch dank moderner Vertriebstruktur in der Lage das Ergebniss rasch zu verteilen.

Bist Du soweit mit mir einverstanden?
Gut.

(Das ist eine Tautologie, weil diese Aussage schon in der Bedeutung des Wortes »Anwender« steckt: der Endbenutzer. Derjenige, der mit einem Automobil fährt, ohne selbst das Know-How und das Equipment zu haben, ein Automobil selbst zu bauen.)

Vergleiche von Autos und Software funtkionieren nie, da die Herstellung von Autos nicht nur Wissen benötigt sondern auch physisches Equipment und Material. Das ist bei Software nicht der Fall.

Auf Öffentlichkeit? Warum sind Gerichtsverfahren in der Regel öffentlich? Genau: damit man kontrollieren kann, das auch ja kein Richter Unsinn macht. Dafür müssen aber keine Volljuristen im Publikum sitzen. Es besteht jedoch die Möglichkeit welche hinzuschicken

Darum ging es mir die ganze Zeit: Mangels eigener Kompetenzen dem Urteil von Fachmenschen zu vertrauen, die der Anwender hier nicht einmal direkt beauftragt und entlöhnt, sondern die ihm eher fremd sind und zu denen er in keinem Verhältnis hat.

Aber ein wichtigen Punkt hast Du unterschlagen: der Richter weiß nicht, wer im Publikum sitzt, also muß er davon ausgehen, das da ein Fachman sitzt. Aber manmuß den Fachleuten nicht vertrauen, sie müssen nur in ausreichender Anzahl da sitzen dürfen.

oder gar selber die Juristerei zu erlernen

Selbst die Feinheiten der Softwareentwicklung zu lernen, ist für den Anwender keine Option, das schloss ich von Anfang an aus.

Warum schließt Du das einfach aus? Das Programmieren zu erlernen - es zumindest soweit zu lernen, Code lesen zu können kostet nur Zeit, mehr nicht. Auf der Closed-Source-Seite investiert man Geld und auf der Open-Source-Seite eben Zeit.
Es selber zu lernen ist also tatsächlich für einige Anwender eine Option, die kannst Du nicht einfach ausschließen.
Vor allem: das es so viel an Open-Source-Software gibt, ist ja schon ein Zeichen dafür, das es zumindest einige getan haben müssen, oder?

Nein, man muß sich bei OpenSource auf rein gar nichts verlassen, da man einfach kontrollieren kann.

Mein Punkt war eben: Der gewöhnliche Anwender (»man«) einer stinknormalen Software hat nicht (direkt) die Möglichkeit, (unmittelbar) die Entwicklung der Software zu kontrollieren, und schon gar nicht »einfach«.

Gut über "einfach" läßt sich diskutieren, über einfach jedoch nicht. Die Quellen sind offen, eine Kontrolle ist ohne weiteres möglich, lesen reicht. Wie einfach soll das noch sein?

Es geht nicht darum, das der "normale Anwender" (den es eh nicht gibt) es nicht vermag, es geht darum, das er die Möglichkeit dazu hat. Bei Closed-Source hat er _keine_ Möglichkeit dazu. Dafür müßte er soviel Zeit investieren, das es überhaupt nicht rentabel wäre, es sei denn, er verdient Geld mit dem Ergebnis. Ein Ergebnis, das nur zustande kommt, weil es am Anfang Closed-Source war. Wir er zu dem Ergebnis kam muß er übrigens auch geheimhalten, sonst "könnt' ja jeder kommen".

Bei OpenSource steht es dem Anwender jedoch völlig frei, dem Ersteller vollkommen zu vertrauen, jemand vertrauenswürdiges zu engagieren, genügend zu engagieren (ja, das ist ein Unterschied, später mehr dazu) oder gar - man glaubt es kaum - es selber zu erlernen.

Man muß dazu auch nicht unbedingt die Entwicklung der Software kontrollieren können (aber ich nehme mal an, das das eine versehentliche Formulierung war?), denn man kann es ja selber reparieren oder reparieren lassen oder bei entsprechender Lizenz die Entwicklung sogar selber übernehmen ("forken"). Ob dieses Unternehmen überlebt und wie steht dann z.B. bei Darwin et al gut beschrieben.

Und im Falle der mittelbaren Kontrolle muss er (für gewöhnlich, das heißt bei kleineren OSS-Projekten) Leuten Vertrauen schenken, deren Glaubwürdigkeit er im Grunde nicht einschätzen kann.

Nein, er _muß_ nicht, er _will_. Das ist ein ungeheurer Unterschied!

Es spielt für die Sicherheit keine Rolle, ob die Möglichkeit zur Kontrolle auch ausgeübt wurde.

Der gemeine Anwender muss notwendigerweise davon ausgehen, dass alle Möglichkeiten der Kontrolle schon von gewissen Menschen ausgeübt wurden ? wie gesagt.

Nein, genau wie oben:er _muß_ es nicht, er _will_ es.

Denn: wird es gebraucht, kann nachkontrolliert werden.

Ja. Aber nicht durch den Anwender. Letztlich sind es (in den meisten Fällen) ehrenamtliche Mitglieder der jeweiligen Community, die sich um das Projekt gebildet hat. Als Privatanwender muss ich mich ? ich wiederhole mich ? auf diese Menschen verlassen.

Und nochmal:er _muß_ es nicht, er _will_ es.

Ja, und warum hast Du sie nicht erkannt? Die Möglichkeit dazu war ja gegeben, da die Quellen offenliegen.

Weil ?ich? als Anwender diese Möglichkeit ?nicht? habe.

Aber natürlich hast Du sie: Du kannst jemanden beauftragen, mehrere beauftragen oder es gar selber machen.
Im Gegensatz zu Closed-Source hast Du hier eben die Möglichkeit der Wahl!

Wenn Du sie nicht nutzt ist das Deine eigene Entscheidung und nicht dem Prinzip anzulasten.

?Ich? als Anwender habe keine andere Wahl. Das »Prinzip« stellt sich aus ?meiner? Perspektive hinsichtlich der Frage des Vertrauens nicht grundlegend anders da als das Closed-Source-Prinzip.

Das Prinzip ist grundlegend anders, da man eben doch die Wahl hat.
Closed-Source ist im Grunde nicht kontrollierbar, Ausnahmen bestätigen nur die Regel.
Open-Source hingegen ist vollständig kontrollierbar. Jeder kann es, die einzige Voraussetzung ist das Erlernen der Programmiersprache, in dem das zu kontrollierende Programm geschrieben wurde. Im Gegensatz zum Autobau reicht das aber schon. Um ein Auto zu bauen ist physisches Werkzeug nötig und physisches Material, das läßt sich nicht einfach kopieren, die Menge ist begrenzt.
Bei Software hingegen lassen sich Material und Werkzeug unendlich oft kopieren. Eine Mengenbegrenzung ist nur künstlich möglich.

Bei OpenSource unterliegt die Kontrollmöglichkeit des einzelnenAnwenders also dem freiem Willen des Anwenders, bei Closed-Sorce ... nunja, da heißt es, für beide Seiten allerdings: friß oder stirb.

Mathematisch ausgedrückt:
Bei Closed-Source-Software ist die Wahrscheinlichkeit, das dieses Programm Deine Daten in's Nirvana schickt zu jedem Zeitpunkt exakt 0,5, denn das ist eine Blackbox, Du weißt nicht, was drinsteckt.
Bei OpenSource-Software kann diese Wahrscheinlichkeit aktiv geändert werden. Je mehr unabhängige(!) Fachleute den Code beschauen, desto geringer die Wahrscheinlichkeit, das ein Fehler Deine Daten in's Nirvana schickt. Dafür ist es auch nicht nötig den Fachleuten zu vertrauen, sie müssen nur voneinander unabhängig sein (was zwar zugegebenermaßen auch nicht immer leicht ist, aber schon deutlich einfacher als bei Closed-Source, wo man evt um Arbeitsplätze oder eine Klage fürchten müßte oder andere meist finanzielle Interessen im Wege stehen könnten), den Rest erledigt die Wahrscheinlichkeitsrechnung. Schon alleine das es keine Blackbox ist verringert die Wahrscheinlichkeit des Datenverlustes auf unter 0,5. (Die einzelnen Ereignisse sind mathematisch nicht mehr unabhängig. Wieweit ist natürlich unbekannt, deshalb nur $P_{Verlust} < P_{Sicherheit}$ ohne genaue Werte.)

Für Beipiele reicht der Platz nicht mehr liebes Forum? Na, dann eben nicht ;-)

so short

Christoph Zurnieden