Moin!

Deine Beobachtung hat sich zu sehr auf OSS beschränkt, identische Beobachtungen hättest du auch bei geschlossener Software machen können. Die letzten zwei großen Trojaner-Wellen gab es genau deshalb: Geheimdienste haben Sicherheitslücken, die in geschlossener Software vorhanden sind, geheim gehalten und bei bekannt werden wurden die dann ausgenutzt.

Nein, ich habe das auch bei geschlossener Software beobachtet. Die letzten Trojaner-Wellen habe ich auch verfolgt und einige Hintergrund-Artikel dazu gelesen. — Es ging mir schlicht um die These, dass Software sicherer ist, wenn jeder den Quelltext lesen kann.

Ich bin mir sicher, dass die überwiegende Menge der FLOSS-Verfechter diese Annahme so unterschreiben würde. Wahrscheinlich aber schon, wenn dort ein „potenziell sicherer“ ergänzt würde.

Bei Heartbleed hat sich gezeigt, dass chronisch unterfinanzierte FLOSS-Projekte mit Personalmangel (ein hauptamtlicher Entwickler für eine riesige Code-Basis, die noch Code für längst vergessene Betriebsysteme enthält), das von der halben IT-Welt verwendet wird, keine gute Idee ist. Mittlerweile hat OpenSSL mehr Entwickler und andere Organisationen, wie Mozilla, die Linux-Foundation sowie die EU bezahlen Security-Audits wichtiger Programme und Bibliotheken.

Ansonsten muss man auch sagen, dass sich um Sicherheitslücken im allgemeinen und 0-days im speziellen ein ganz massiver Schwarzmarkt gebildet hat, der es unattraktiv macht, solche Probleme zu veröffentlichen. Verkaufen ist da einfach viel lukrativer.

Das ist doch die Praxis, dass Sicherheitslücken absichtlich geheim gehalten werden, um davon zu profitieren. Insofern hat OSS doch keinen Sicherheitsvorteil gegenüber CSS (bestenfalls einen theoretischen, den ich ja verstehe - nützt nur nichts, wenn die Praxis ein florierender Schwarzmarkt ist).

Das Problem der Vergleichbarkeit ist aber, dass FLOSS-Projekte nicht 1:1 mit Closed-Source-Projekten vergleichbar sind. Man müsste exakt das gleiche Projekt (gleiche Entwickler, exakt gleicher Code, gleiche Strukturen bzw. Hierarchien) ein mal als FLOSS und einmal als CSS haben, um das vergleichen zu können, was nicht möglich ist.

Dass Security by Obscurity keine gute Idee ist, dürfte als allgemein anerkannt gelten.

Nein, da hast du etwas missverstanden. Apples Weg ist nicht security by obscurity

Das habe ich auch nie behauptet, das wurde mir untergeschoben. 😉

Naja, ich hatte deine Argumentation in die Richtung eingeordnet (und Christian hat vermutlich das gleiche getan), aber das hattest du ja bereits klar gestellt.

Gruß
Julius