Auge: Nicht alles, was zu glänzen scheint, ist per se Gold.

Beitrag lesen

Hallo

An der konkreten Lösung stört mich etwa, dass du nicht erwähnst, ob und wie die Datenbank verschlüsslert werden könnte/sollte, und auf welche weise der Nutzer sich beim Server authentifiziert. Eine Lösung selber zu stricken entspricht in meinen Augen grober Fahrlässigkeit.

Nun, wenn man es selbst Strickt, macht man sich auch selbst Gedanken über die Sicherheit.

Und was qualifiziert dich oder mich denn dafür? Ich erwarte hierauf keine Antwort, ich will nur darauf hinaus, dass es mit Sicherheit sehr viel höher qualifizierte Fachkräfte für solche Aufgaben gibt.

Bei einer fertigen Lösung muss man darauf vertrauen, dass sich der entsprechende Entwickler darüber ausreichend Gedanken gemacht hat.

Nicht bei OpenSource-Software. Da kannst du dich auch selber von der Qualität überzeugen.

Aber auch nur, falls ich dafür qualifiziert (s.o.) bin, sonst nutzt mir die Möglichkeit, das zu dürfen, nichts.

Und es ist ja nicht so, dass nur die kompetentesten Entwickler Anwendungen erstellen. Und selbst wenn: Auch die kochen nur mit Wasser.

Die Kochen mit Wasser. Aber die _entwickeln_ mit Zeit, Geld einer hochspezialisierten Ausbildung und guten Erfahrungsschätzen, großen oder kleinen Teams, öffentlichen Communities… usw.

…  oder allein.

Dass es geht und dass es erwünscht ist, OSS gemeinsam zu erstellen und zu prüfen, heißt noch lange nicht, dass es grundsätzlich auch passiert. Die meisten OSS-Projekte sind Ein- oder Zweimannprojekte und die meisten, die OSS nutzen, sind eben nicht fähig, diese zu analysieren.

Ja, Fehler werden entdeckt, weil es geht, und ja, Fehler werden behoben, weil es geht. Aber das ist eben kein Automatismus. Oft genug werden Fehler nicht systematisch gesucht und damit eher irgendwann und zufällig gefunden und bei der Behebung an der Quelle liegt auch oft einiges im Argen. Von Verzögerungen bei Freizeitprojekten bis persönlichen Animositäten zwischen den Beteiligten ist alles dabei.

Dass das im Zweifel immer noch besser ist, als ohne die Möglichekeit einer öffentlich zugänglichen Prüfung auf den Hersteller einer Software vertrauen zu müssen, bestreite ich nicht. Und dass Fehler, wenn auch spät, mitsamt dem damit einhergehenden Getöse auf Heise-Foren-Niveau gefunden werden, ebenfalls nicht.

Nur, OSS systematisch zu vertrauen, nur weil es eben OSS ist, halte ich für blauäugig. Im Zweifelsfall – sicherheitskritische Software zähle ich unbedingt dazu – braucht man auch bei OSS qualifizierte Beratung und Unterstützung.

Tschö, Auge

--
Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
Terry Pratchett, "Wachen! Wachen!"
ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
Veranstaltungsdatenbank Vdb 0.3