Hallo
In Closed-Source-Software (CSS) gibt es nur den Hersteller und eventuell von ihm Beauftrage, die die Quellen inspizieren können. Der Hersteller fällt als Fehlerfinder in vielen Fällen wegen Betriebsblindheit o.ä. mehr oder minder aus. Bleiben die eventuell hinzugezogenen Begutachter (mit Kenntnis der Quelltexte) und Anwender, denen ein Fehlverhalten auffällt, ohne die Quellen zu kennen.
Aber es gibt doch immer öfters diese Bug-Bounty-Programme, wo das Melden von Fehlern belohnt wird.
Ja, die gibt es. Siehst du da einen Widerspruch zu dem von mir Geschriebenen? Fehler kann ich sowohl im Quelltext finden, falls ich darauf Zugriff habe, als auch durch Beobachtung des Programmverhaltens, also quasi „von außen“ ohne Zugriff auf dei Quellen. Die Ursache für den Fehler kann man so aber typischerweise nicht finden.
2.) Wer gezielt nach Zero-Day-Exploits sucht (z.B. Geheimdienste) nutzen solche Sicherheitslücken auch oft jahrelang unbemerkt und ungehindert aus.
Das tun Kriminelle und Geheimdienste aber unabhängig davon, ob diese Fehler in OSS oder CSS gefunden werden. Das ist kein Argument gegen oder für OSS bzw. CSS.
Es geht mir nur darum zu verstehen, warum OSS in der Praxis sicherer sein soll
Wer sagt denn das?
ich kann das nicht wirklich sehen.
Es ist ja auch nicht so.
Ich halte es für ein Wunschdenken.
Wünschen kann man sich viel. Jeder, der bei Verstand und ohne rosarote Brille unterwegs ist, weiß, dass nichts oberhalb einer „Mindestkomplexität“ fehlerfrei ist. Software gehört in (fast(?)) jedem Fall in diese Kategorie.
Ja, theoretisch kann nur OSS sicher sein. In der Praxis ist aber auch OSS nicht sicher.
Das hat, hier in diesem Diskussionsstrang, niemand bestritten.
Man darf auch nicht vergessen, dass jeder OSS schreiben kann, ohne dass bekannt ist, welche QS überhaupt stattfindet. Vielleicht nicht mehr als "funzt in meinem Lieblingsbrowser" — oder so.
Wenn diese Software von kaum jemandem benutzt wird, schaut vermutlich auch kaum jemand rein und wenn jemand Bugs meldet, die der Programmierer nicht behebt — wer weiß dann davon? Trotzdem haben ggfs. alle Rechner, auf denen die Software läuft, ein Sicherheitsproblem, je nachdem was diese Software da öffnet.
Ja.
Ich werde auch nie behaupten, das CSS sicher ist. Software hat immer Lücken, das ist auch mir klar. 😂
Eben.
Tschö, Auge
Wenn man ausreichende Vorsichtsmaßnahmen trifft, muss man keine Vorsichtsmaßnahmen mehr treffen.
Toller Dampf voraus von Terry Pratchett