code-sicherheit von freier und unfreier software

[soul_rebel]

ich habe hier mal einen neuen thread aufgemacht um die diskussion (bitte sachlich) aus dem "telefoniert osx nach hause"-thread fortzusetzen.

Wenn SuSE und Co da was reinfummeln, fällt das erstmal nicht auf.
Aber das ist alles zu theoretisch, fakt ist, man könnte immer wenn man wöllte.

da alle distirbutionsspezifischen patches einzeln veröffentlicht werden müssen und von den anderen projekten meistens auch direkt angeguckt werden würde das sofort auffallen.
fakt ist auch, dass suse linux danach tot wäre. es gibt schließlich genug alternativen die ähnlich sind (auch würde sich innerhalb stunden ein fork ohne backdoor gründen und das alte projekt ersetzen)...

bei windows oder osx würde es erstmal lange dauern bis sowas überhaupt aufällt und am aller wichtigsten, es würde erst aufallen nachdem missbruach schon stattgefunden hat. bei freier software stehen die chancen gut, dass vor der ersten installation der software die sache schon auffliegt.
außerdem kann ein nutzer von unfreier software ja auch nicht den anbieter wechseln, wenn er von so einem missbrauch gehört hat, die meiste unfreie software wird ja so gemacht ihre nutzer fest an die anbieter zu binden (keine offenen formate oder schnittstellen etc).

Du willst wissen was die Software tut, bezahlst jemanden dafür das rauszufinden und es Dir zu sagen

wäre mir neu dass ich als privatanwender einsicht in osx oder windows quellcode kriege wenn ich ein nda unterzeichne und/oder ein bisschen geld bezahle.

Alles was ich behaupte ist, dass OpenSource schon lange nicht mehr vom Community-Gedanken beherrscht wird bzw. die Community sich nicht mehr aus vielen Hobby-Entwicklern zusammen setzt, sondern da richtiges Geld von kapitalistisch orientierten Unternehmen und Konzernen dahinter steckt.

hast du irgendwelche konkreten fakten/analysen oder ähnliches die diese these stützen?
das kde projekt als eins der größten freien projekten (mit über 1000 codern) hat hauptsächlich hobby-programmierer, diejenigen die geld dafür bekommen, bekommen dies in den meisten fällen für ihre unabhängige arbeit an kde und ohne direkten zusammenhang/auftrag der firma die sie bezahlt.
wie das z.b. bei freebsd aussieht kann ich dir nicht sagen, aber du kannst ja mal ne umfrage starten.

Die Projekte, die nicht von finanzstarken Unternehmen gestützt werden agieren leider oft am Rand der Unbedeutsamkeit (sorry, OpenBSD).

also ist der fakt, dass auf allen nicht windows-system weltweit openssh als ssh client und server genutzt wird ein beweis der unbedeutsamkeit?

Und das Argument, dass Open Source Software für alle einsehbar und veränderbar ist, ist nicht wahr[...]

also die meisten verträge der eu werden in englisch und/oder französisch verfasst, da könnte ich als deutscher natürlich sagen: "oh nein ich kann ja garkein französisch, da können sie die verträge auch gleich geheim lassen" aber ich glaube daran, dass es genug leute gibt die diese sprachen können und diese verträge lesen wenn sie erst mal öffentlich sind, und dass von diesen leuten auch ein paar schlau genug sind einen skandal zu entdecken und kritisch genug diesen öffentlich zu machen.
ist mir zumindest lieber als "denen da oben" zu vertrauen, wie viele dass bei unfreier software machen (obwohl da "die da oben" andere sind - auch wenn die interessenn oft ähnlich sind ).

grüße
soul_rebel

p.s: freut mich dass ein paar der "groupies" für lebhafte "gesellschafts"-threads wieder vorbeikommen

 

[Athaba]

Weil vincentvega OpenBSD ansprach: OpenSSH ist ja so unbedeutsam, der gute WLAN-Support (besser als in den "kommerziellen" OpenSource-Projekten) ist unbedeutsam. Deshalb spenden auch Firmen, wie godaddy oder andere OpenSource-Projekte, gell?

Und von der Userbase gesehen können deine Behauptungen auch nicht stimmen. NetBSD hat eindeutig mehr Unterstützer oder User, die viel Geld haben (NASA, DARPA, ..) und das sage obwohl ich NetBSD um vieles lieber, als OpenBSD habe.

 

[Vincent Vega]

Eigentlich wollte ich ja nichts mehr dazu schreiben, aber mir ist's gerade langweilig bzw. ich drück mich vorm Lernen....

da alle distirbutionsspezifischen patches einzeln veröffentlicht werden müssen und von den anderen projekten meistens auch direkt angeguckt werden würde das sofort auffallen.

Code kann auch so veröffentlicht werden, dass die Veröffentlichung nahezu nutzlos ist. So haben sich z.B. die KHTML Entwickler vor einiger Zeit laut über die Safari-Entwickler bei Apple beklagt, die ihren Code immer auf einen Schlag freigegeben haben. So kamen riesige Patches bei KHTML an, die kein Mensch mehr verwenden konnte. Formal war also die Bedingung "Code freigeben" erfüllt, aber verstehen oder gar verwenden konnte man ihn fast nicht.

Freier Quellcode bzw. zurückfließender Code ist also nicht immer von Nutzen. Zwar wird Apple so zwar keinen Schadcode oder ähnliches in KHTML einschmuggeln können, allerdings kann der Code ja durchaus in Safari vorhanden sein obwohl genau diese Teile freigegeben wurden.

fakt ist auch, dass suse linux danach tot wäre. es gibt schließlich genug alternativen die ähnlich sind (auch würde sich innerhalb stunden ein fork ohne backdoor gründen und das alte projekt ersetzen)...

Jetzt übertrag das obige Beispiel einfach auf SuSE. Zwar müssen die ihre distributionsspezifischen Patches offen legen, aber keiner kann sie dazu zwingen, dies auch so zu tun, dass es jemandem nützt.

Während ich glaube, dass SuSE sich damit sehr schaden würde, glaube ich nicht, dass sich innerhalb Stunden ein Fork bilden würde. Ein Projekt wie SuSE Linux startet man nicht eben mal, indem man ein Forum auf einem VServer aufsetzt und dort Quellcode anbietet.

bei windows oder osx würde es erstmal lange dauern bis sowas überhaupt aufällt und am aller wichtigsten, es würde erst aufallen nachdem missbruach schon stattgefunden hat. bei freier software stehen die chancen gut, dass vor der ersten installation der software die sache schon auffliegt.

Die Chancen stehen besser, aber nicht gut. Ich behaupte einfach mal, wer SuSE kauft, der kauft vor allem den Support. Entweder den von SuSE oder von anderen Herstellern, die garantieren, dass ihr Produkt auf SuSE Linux läuft. Wohlgemerkt, ich rede nicht von Privatanwendern, sondern von Unternehmen. Meine Erfahrung hat gezeigt, dass sich dort keiner hinsetzt, einen Vanilla-Kernel übersetzt und tausend Anpassungen vornimmt, sondern dass man das Produkt mal eben installiert und es hoffentlich bis zur nächsten Wartung (*hust*) laufen lässt und vergisst. Denn je mehr lokale Anpassungen und Veränderungen vorgenommen wurden, desto schlechte stehen die Chancen auf Support. Keiner ausserhalb SuSE und vielleicht der Konkurrenz schaut sich ernsthaft die Quellen von SuSE Linux an, richtig breiten Review erfährt wahrscheinlich nur das, was SuSE versucht in den Mainline-Kernel aufzunehmen.

außerdem kann ein nutzer von unfreier software ja auch nicht den anbieter wechseln, wenn er von so einem missbrauch gehört hat, die meiste unfreie software wird ja so gemacht ihre nutzer fest an die anbieter zu binden (keine offenen formate oder schnittstellen etc).

Außer Privatanwendern (wenn überhaupt), kann niemand mal eben die Software wechseln, ob jetzt frei oder quelloffen oder nicht. Stell Dir mal vor, ein Unternehmen müsste alle Rechnungen, Korrespondenzen, etc. vom einen Tag auf den andern von z.B. KOffice auf OpenOffice (oder umgekehrt) umstellen. Versuch mal, die Datenbank dieses Forums von MySQL nach PostgreSQL zu migrieren. Software ist, wenn man sie ernsthaft einsetzt, eine Platform, die man nicht mal eben wechselt.

wäre mir neu dass ich als privatanwender einsicht in osx oder windows quellcode kriege wenn ich ein nda unterzeichne und/oder ein bisschen geld bezahle.

"Ein bisschen" wird's in den allermeisten Fällen nicht tun, aber da sich's ja i.A. um kapitalistisch orientierte Unternehmen handelt entscheidet mit höchster Wahrscheinlichkeit die Summe. Belegen kann ich's natürlich nicht, aber ich denke nicht, dass sich jemand wie Sun, IBM, Microsoft, Apple oder wie sie alle heißen bei entsprechenden Summen noch groß hinter Ideologien stellt.

Alles was ich behaupte ist, dass OpenSource schon lange nicht mehr vom Community-Gedanken beherrscht wird bzw. die Community sich nicht mehr aus vielen Hobby-Entwicklern zusammen setzt, sondern da richtiges Geld von kapitalistisch orientierten Unternehmen und Konzernen dahinter steckt.

hast du irgendwelche konkreten fakten/analysen oder ähnliches die diese these stützen?

Ja, die Gehaltslisten von IBM, RedHat, Google, Novell, etc.

Jemand hat im letzten halben Jahr die Commit Logs des Linux-Kernels ausgewertet. Die Resultate sind offen zugänglich, der Link lässt sich bestimmt über Google finden. Kaum einer der regelmäßigen Commiter arbeitet völlig frei am Linux-Kernel, die allermeisten werden von einer der vier genannten Firmen bezahlt.

Das ganze gilt übrigens nicht nur für Linux, andere Projekte wie Java, die meisten Apache Projekte und natürlich PHP und MySQL gibt es in ihrer Form nur, weil dahinter eine gehörige Finanzkraft steht.

das kde projekt als eins der größten freien projekten (mit über 1000 codern) hat hauptsächlich hobby-programmierer, diejenigen die geld dafür bekommen, bekommen dies in den meisten fällen für ihre unabhängige arbeit an kde und ohne direkten zusammenhang/auftrag der firma die sie bezahlt.

wie das z.b. bei freebsd aussieht kann ich dir nicht sagen, aber du kannst ja mal ne umfrage starten.

Kannst Du selbst machen , aber hier ein paar Beispiele aus dem Kopf: Scott Long z.B. arbeitete bei Adaptec, Cisco hat den kompletten SCTP Stack entwickelt und finanziert, selbst Nvidia hat vor einiger Zeit konstruktiv an FreeBSD mitgewirkt, ob jetzt durch Code oder ob's da "nur" Diskussion gab kann ich nicht sagen.

also ist der fakt, dass auf allen nicht windows-system weltweit openssh als ssh client und server genutzt wird ein beweis der unbedeutsamkeit?

Wohoo, Vorsicht mit solchen Aussagen. SSH.com lebt auch noch.

Du hast zwar Recht, dass OpenSSH einen gewissen grad an Bedeutung erreicht hat (und den auch hält), aber mir scheint, als beschränke sich die Entwicklung dort v.a. auf Wartung. Jedenfalls ist das der Eindruck, den das CVSweb des OpenSSH Projekts vermittelt.

OpenSSH ist nicht vollkommen unbedeutend, OpenBSD ebensowenig, aber darum geht's mir auch gar nicht. Es geht auch gar nicht darum, welches Projekt wie viel Geld von welchem Konzern erhält und welches Projekt aus wievielen freien Entwicklern und Mitstreitern besteht.

Was ich sagen will ist, dass der Gedanke von freier Software toll ist, aber leider in der Praxis nicht überall gelebt wird. Damit meine ich nicht, dass es unfreie Software gibt, sondern dass sogenannte freie Software von ganz und gar "unfreien" Gedanken beeinflusst und gelenkt wird.

 

[greenone]

Was ich sagen will ist, dass der Gedanke von freier Software toll ist, aber leider in der Praxis nicht überall gelebt wird. Damit meine ich nicht, dass es unfreie Software gibt, sondern dass sogenannte freie Software von ganz und gar "unfreien" Gedanken beeinflusst und gelenkt wird.

das schöne an Open Source ist doch gerade, dass diese unfreien Einflüssen wiederum der Community zugute kommen. Wenn mir der Patch nicht passt nehme ich eine ältere Version oder Forke. Geforkt wird ja in letzter Zeit sehr oft.

Bei proprietären Anbietern ist das ja meist anders rum, wenn man freiwillig in seiner eigenen Zeit Fehler findet und einreicht wird dies ignoriert oder man selbst bekommt Probleme mit Juristen. Cisco die du erwähntest sind da auch ganz gross. Microsoft sei mal als Aussnahme genannt, die sich sehr über Bug-Reports freuen und sich auch drum kümmern, wenn man sie nicht gleich überall veröffentlicht.

Außer Privatanwendern (wenn überhaupt), kann niemand mal eben die Software wechseln, ob jetzt frei oder quelloffen oder nicht. Stell Dir mal vor, ein Unternehmen müsste alle Rechnungen, Korrespondenzen, etc. vom einen Tag auf den andern von z.B. KOffice auf OpenOffice (oder umgekehrt) umstellen. Versuch mal, die Datenbank dieses Forums von MySQL nach PostgreSQL zu migrieren. Software ist, wenn man sie ernsthaft einsetzt, eine Platform, die man nicht mal eben wechselt.

du vergleichst Äpfel mit Birnen, da MySQL und PostgreSQL ander schnittstellen benutzen. Vergleichbar wäre z.B. eine MySQL migration von SuSe auf Debian. Wobei das in einer Produktivumgebung trotzdem zuerst in einer Testumgebung intensiv getestet werden will.

Allerdings was der Vorposter wohl meinte ist die zugänglichkeit von Schnittstellen. Versuch mal an das Windows ADS ran zu kommen mit einer Anwendung ohne Lizenzkosten auszuhandeln. Selbst Samba die nichts anderes machen als SMB reverse engineering kann kein komplettes ADS simulieren in der aktuellen Version.

 

[rudy]

Hallo Gemeinde,

also vorneweg bin OpenSource Fan ohne wenn und aber, stehe zwar Firmen wie Novell und gerade besonders diese eher ablehnend gegenüber ( Der bekannte Deal mit einem Closed Sorurce Unternehmen). Aber die Antwort kam ja prompt mit GPL 3 und das ist auch gut so...

OpenSource wurde zu Anfang sehr belächelt sogar herablassend abqualifizier, was sind das nur für Spinner die da in Ihrer Freizeit Programme schreiben und diese auch noch kostenlos jedenfalls zum überwiegenden Teil anderen zur Verfügung stellen war da der Tenor......

Was die programmieren einen Browser und jetzt ist der Feuerfuchs derjenige welcher den Standard definiert oder und das völlig quelloffen jeder kann daraus seinen eigenen Browser entewickeln zum Beispiel KMeleonj fällt mir da spontan ein....

Niemand zwingt einen zu irgendwas wenn Du Bock hast kannste die Quellsources lesen oder wenn nicht auch gut DeinDing oder Du kannst daraus was neues machen oder auch nicht alleine Deine Entscheidung....

Du stellst Deinen Code öffentlich zur Verfügung und ist doch toll wenn andere den sogar noch verbessern oder so lernt mann/frau immer dazu....

OpenSource gehört die Zukunft und ist diese, Closed Source das ist Vergangenheit und manchmal auch der Tod einer Applikation siehe BeOS ( Zeta ) ...

OpenSource ist nicht nur Linux oder Unix oder BlueBottle Open Source ist viel mehr ein Lebensgefühl eine Überzeugung die vom Austausch lebt..

Austausch ist der Anfang allen Wissens

in diesem Sinne der rudy

 

[solarix]

i
fakt ist auch, dass suse linux danach tot wäre.

Soul_rebel das ist Quatsch. Selbst wenn es so wäre Novell kann SuSE relativ egal sein, denen gehts nur um SLES plus das die Restbestände wie Groupwise und co.

bei windows oder osx würde es erstmal lange dauern bis sowas überhaupt aufällt und am aller wichtigsten, es würde erst aufallen nachdem missbruach schon stattgefunden hat. bei freier software stehen die chancen gut, dass vor der ersten installation der software die sache schon auffliegt.
außerdem kann ein nutzer von unfreier software ja auch nicht den anbieter wechseln, wenn er von so einem missbrauch gehört hat, die meiste unfreie software wird ja so gemacht ihre nutzer fest an die anbieter zu binden (keine offenen formate oder schnittstellen etc).

Das ist ja nicht unbedingt eine neue Erkenntnis, oder? Wer wechselt schon alle Tage die Software, das hat nicht mal unbedingt was mit freier oder unfreier Software zu tun? Es wird evaluiert und im Normalfall wird man dann mit der evaluierten und für gut befundenen Lösung fuer die nächsten paar Jahre leben.

wäre mir neu dass ich als privatanwender einsicht in osx oder windows quellcode kriege wenn ich ein nda unterzeichne und/oder ein bisschen geld bezahle.

Man muss es ja nicht nutzen... Freedom of choice.

Was KDE betrifft.. zumindest früher... ich weiss nicht wie es aktuell ist, war SuSE einer der groessten Foerderer des KDE Projektes und hat eigene Mitarbeiter fuer das Projekt abgestellt.

Bei allem Konfliktpotential solcher Themen...
man sollte die Kirche doch mal im Dorf lassen, Software ist Software und keine Religion und ob die Software frei oder unfrei ist... eines bleibt immer gleich... sobald ein Projekt eine kritische Masse erreicht hat, wird damit Geld verdient, oder man versucht damit Geld zu verdienen. Das ist der Lauf der Dinge.
IBM wuerde sich auch nicht im Linuxmarkt engagieren wenn die dort nichts rausholen könnten.

SUN z.B. wird sein Solaris auch nicht nur zum Wohle der Menschheit unter eine Open Source Lizenz stellen. SUN verspricht sich davon etwas und hofft dadurch den Umsatz anzukurbeln. Wobei ich an der Strategie zweifle, aber das gehört wo anders hin.

 

[soul_rebel]

Formal war also die Bedingung "Code freigeben" erfüllt, aber verstehen oder gar verwenden konnte man ihn fast nicht.

änderungen an einem gpl oder lgpl code müssen lesbar und verständlich veröffentlich werden. ein riesen diff ist vielleicht nicht toll aber man kann den code auf jeden fall lesen und verstehen.
ist dies nicht der fall, fällt das unter die rubrik "diliberately obfusccated code" und ist eine verletzung der gnu-linzenzen.

Zwar wird Apple so zwar keinen Schadcode oder ähnliches in KHTML einschmuggeln können, allerdings kann der Code ja durchaus in Safari vorhanden sein obwohl genau diese Teile freigegeben wurden.

ich denke nicht, dass sie eine backdoor in die rendering engine einfügen würden, aber egal. auf jeden fall gehe ich davon aus , dass commits in freien und offenen projekten gelesen werden, selbst bei webkit.

Wer wechselt schon alle Tage die Software, das hat nicht mal unbedingt was mit freier oder unfreier Software zu tun? Es wird evaluiert und im Normalfall wird man dann mit der evaluierten und für gut befundenen Lösung fuer die nächsten paar Jahre leben.

Außer Privatanwendern (wenn überhaupt), kann niemand mal eben die Software wechseln, ob jetzt frei oder quelloffen oder nicht.

"mal eben" wechselt ja auch niemand, "mal eben" gibts ja auch keine komplett neuen pakete in den repos. updaten tun die firmen meistens ja nur selten, und bis dahin ist die backdoor längst gefunden.
bei freier software muss man ja auch nicht zur konkurrenz wechseln und ein fork muss ja erstmal nichts anderes sein als die letzte version vor einer änderung.
das ist schnell gemacht und jemand der die version ohne backdoor pflegt schnell gefunden <-> angebot-nachfrage, du meinst doch der markt kontrolliert alles, oder nicht?

Das ganze gilt übrigens nicht nur für Linux, andere Projekte wie Java, die meisten Apache Projekte und natürlich PHP und MySQL gibt es in ihrer Form nur, weil dahinter eine gehörige Finanzkraft steht.

dass es diese proejekte in der form gibt heißt doch genau, dass es nicht auf das geld ankommt! wie meinst du haben die sich sonst entwikckelt (mit ausnahme von java vielleicht)? die linux kernel gab es und wird es immer geben, egal wieviel wer dareinsteckt. ich glaube auch, dass die entwicklung genau wieder in community-development geht weil sich die gemeinde immerweiter fragmentiert und die leute halt gerne ihre eigenen süppchen kochen und löffeln.

Damit meine ich nicht, dass es unfreie Software gibt, sondern dass sogenannte freie Software von ganz und gar "unfreien" Gedanken beeinflusst und gelenkt wird.

weil ich auch glaube, dass dies in eigenen fällen (bei weitem aber nciht der ganzen community) der fall hast und bestimmte konzerne da viel macht haben bin ich auch in der fsfe.
da kann man dafür kämpfen, dass es weiter um die freiheit geht!
außerdem kann man halt auch immer einfach freie software schreiben und so sienen beitrag leisten.

sobald ein Projekt eine kritische Masse erreicht hat, wird damit Geld verdient, oder man versucht damit Geld zu verdienen. Das ist der Lauf der Dinge.
IBM wuerde sich auch nicht im Linuxmarkt engagieren wenn die dort nichts rausholen könnten.

SUN z.B. wird sein Solaris auch nicht nur zum Wohle der Menschheit unter eine Open Source Lizenz stellen. SUN verspricht sich davon etwas und hofft dadurch den Umsatz anzukurbeln. Wobei ich an der Strategie zweifle, aber das gehört wo anders hin.

mir ists völlig egal was irgendeine firma für pläne oder hoffnungen hat, es geht mit um freie software! wenn sie frei ist kann ich sie nämlich nehmen und verändern und weiterverbreiten und bin also genau nicht dem profitstreben dieser firma unterworfen.
selbst wenn ich nicht programmieren könnte, könnte ich sie vielleicht nicht selber anpassen, aber die chance bei den 6milliarden menschen da draußen einen zu finden, der programmieren kann und das auch will, oder der es für geld macht, ist besser als sich dem wohlwollen der firma zu unterwerfen. und bei der konkurrenz gehe ich davon aus, dass es immer billiger ist einen progammierer zu finden der ein feature in einer freien software umsetzt als ein großunternehmen dazuzukriegen etwas für einen in ihre software einzubauen, oder?

 

[Athaba]

Also ich kann vincentvegas Gedanken teilweise etwas abgewinnen.
Vor allem eher kleine, nicht so berühmte Dinge können größere Sicherheitsprobleme haben. Aber wenn man sich mal den Apache ansieht. Der scheint doch relativ oft durchkämmt zu werden. Ist meine Schlussfolgerung, wenn ich mir auf Sicherheit bezogene Seiten (z.B. securityfocus) und Mailinglisten ( z.B. Bugtraq) so ansehe. Auch andere bekannte Software, wie Squirrelmail dürfte, nehme ich an, noch zu den häufiger betrachteten Werken zählen. Nur wird da wohl nicht alles gleich häufig angeguckt. Aber OSS würde ich trotz allem als sicherer ansehen. Der Code wirdwohl von mehr Leuten verstanden. Egal, ob man jetzt etwas irgendwo dazu bauen will oder selbst programmieren lernen oder seine Kenntnisse weiterbilden will. Da kann man nur offenen Code nehmen. Wobei in so einem Fall komplexere Fehler auch nicht auffallen werden. Ich denke trotzdem, dass Firmen, Regierungen oder Militärs, die ja auf die Sicherheit ihrer Server achten werden darauf wert legen den Code sicher zu halten. Es ist ja wohl in ihrem eigenen Interesse, wenn sie solche Information weitergeben.

An und für sich ist es doch gut, wenn Konzerne OpenSource nutzen und weiterentwickeln. Probleme entstehen eher, wenn Entwicklung ausschließlich durch einen stattfindet, da dadurch auch die Sicherheit leiden kann (aber nicht muss!).

Athaba

 

[greenone]

Wobei in so einem Fall komplexere Fehler auch nicht auffallen werden. Ich denke trotzdem, dass Firmen, Regierungen oder Militärs, die ja auf die Sicherheit ihrer Server achten werden darauf wert legen den Code sicher zu halten.

OS wird durchaus auch in extrem sicheren bereichen angewendet.

Bei Sicherheit muss man auch immer unterscheiden, wieso etwas unsicher ist konzeptionelle Fehler das etwas einfach falsch geplant und eingesetzt wird z.B. telnet Server mit Klartext zur Fernadministration. Gegen sowas ist weder OpenSource noch ClosedSource gefeit. Da muss der Anwender wissen, ob er sowas benutzen will. Allgemeine Programmier Fehler diese kommen oft genug vor sowohl in OpenSource als auch in ClosedSource, da ist es eine Frage wie stark das Audit bei einem solchen Programm ist und da gibt es beides in beiden Lagern. Und es gibt noch die absichtlichen Lücken, die als Backdoor eingebaut werden, was aber nur sehr selten vorkommt.

der erste Punkt ist Anwendersache und der Dritte eine Vertrauensfrage, welches bei OpenSource natürlich leichter aufzubauen ist durch Überreichen des Source Codes.

Die grössten Sicherheitslücken gehen aus Programmierfehlern hervor und da ist wirklich audit und Reaktion auf das Bekanntwerden einer Lücke das grösste Kriterium. Wobei proprietäre Hersteller ihre Lücken gerne totschweigen:
http://www.heise.de/security/news/meldung/62244
Bei OpenSource Projekten fühlen sich dann zwar manche Entwickler persönlich angegriffen und es geht entsprechend rau in den Mailinglisten zu Aber der User erfährt davon. Mal ganz abgesehen von der Zeit die ein Entwickler Team braucht um Patches heraus zu bringen, ist eine Veröffentlichung der Fehler nach bekannt werden und etwas verstrichener Zeit für die Entwickler zum Patch schreiben, auch eine Erhöhung der Sicherheit, da man selbst Workarounds benutzen kann oder wenn man eine Umgebung plant diese Programme nicht benutzen.

Die Haltung Fehler von denen niemand weiss sind keine, die gerne von proprietären Anbietern gepredigt werden ist schlicht Falsch. Fehler die erst einmal gefunden wurden werden auch ausgenutzt und verbreiten sich in entsprechenden Kreisen.

Somit finde ich kann man nicht pauschal sagen, ob OpenSource oder ClosedSource sicherer ist. Nur bei OpenSource ist es nahezu unmöglich Fehler im System rechtlich zu verschleiern. Bei ClosedSource ist es eine Vertrauensfrage in die Firmenpolitik. Das ist die Crux an der Sache, denn die einen behaupten dadurch ist es sicher, weil dann nicht alle die Fehler kennen und die anderen dadurch wird es unsicher, da die Fehler nicht gepatcht werden.

Wobei die Gerichtsverfahren treffen nur die Leute die auf Probleme aufmerksam machen wollen und nicht diejenigen die gefundene Lücken aktiv ausnutzen. Und Fehler verbreiten sich auch trotz Verfügungen. Jedenfalls meine Erfahrung.

 

[solarix]

mir ists völlig egal was irgendeine firma für pläne oder hoffnungen hat, es geht mit um freie software! wenn sie frei ist kann ich sie nämlich nehmen und verändern und weiterverbreiten und bin also genau nicht dem profitstreben dieser firma unterworfen.
selbst wenn ich nicht programmieren könnte, könnte ich sie vielleicht nicht selber anpassen, aber die chance bei den 6milliarden menschen da draußen einen zu finden, der programmieren kann und das auch will, oder der es für geld macht, ist besser als sich dem wohlwollen der firma zu unterwerfen. und bei der konkurrenz gehe ich davon aus, dass es immer billiger ist einen progammierer zu finden der ein feature in einer freien software umsetzt als ein großunternehmen dazuzukriegen etwas für einen in ihre software einzubauen, oder?

Das mag Dir egal sein. Kann es ja auch. Trotzdem sollte man sich keinen Illussionen hin geben.

IMHO dreht sich auch bei OSS Programmierern (zumindest wenn ein Projekt eine gewisse Groessenordnung erreicht hat) irgend wann ums Geld allein von Luft und Liebe kann man nicht leben.

Grossunternehmen werden ein Feature in Ihre Software einbauen wenn die Kunden es verlangen.

Ist doch eigentlich ganz einfach, oder?

 

[Athaba]

OS wird durchaus auch in extrem sicheren bereichen angewendet.

Das habe ich doch gesagt. Hast du verstanden, dass OpenSource dort nicht angewendet wird? Ich meinte, dass es da angewendet wird und OSS deshalb sicher ist. Ich meinte nur, dass größere Fehler kaum von Leuten entdeckt werden, die den Code lesen um sich selbst programmieren beizubringen.

Athaba

 

[Daemotron]

Ich denke, über die Vorteile von Open gegenüber Closed Source braucht nicht wirklich diskutiert werden. Allein die Verbesserungen, die Produkte erfahren, weil User sich in die Entwicklung einbringen (und sei es nur durch Tests, Reviews oder Übersetzung) ist viel Wert. Auch die meist demokratisch und transparent arbeitenden Entscheidungsgremien und Entwickler-Teams tragen dazu bei, dass OpenSource-Produkte wohl generell als vertrauenswürdiger eingestuft werden können als ihre Closed-Source Pendants.

Manipulationsmöglichkeiten seitens der Entwickler gibt es aber auch im OpenSource-Bereich. Denn machen wir uns bitte nichts vor: viele große Projekte wie z. B. der Linux-Kernel oder OpenBSD hängen im Grunde an einigen wenigen Personen, die nahezu uneingeschränkte Macht über das Produkt hätten, würden sie auf die Regeln der Community pfeifen (was auch hin und wieder geschieht und zu für Außenstehende lustig zu lesenden Hasstiraden auf den Projekt-Mailinglisten führt).

Also nur mal angenommen, Andrew Morton und Linus Torvalds würden eine Verschwörung verabreden und dem nächsten Kernel-Release ein bisschen Extra-Code einpflanzen, der den IP-Stack so manipuliert, dass bestimmte Informationen an einen Zielrechner übermittelt werden, ohne dass der Anwender darüber in Kenntnis gesetzt wird.

Ich behaupte, in der Praxis würde diese Manipulation höchstwahrscheinlich nicht durch Code-Reviews gefunden werden, sondern irgend jemand mit einer brauchbaren Netzwerk-Konfiguration würde das ganze anhand der Auswirkungen feststellen. Daraufhin erst würde - falls es denn öffentlich wird - der Code von dritten geprüft und das Easteregg vielleicht gefunden. Damit würde die Manipulation auf dieselbe Weise zu Tage gefördert, wie es bei einem ClosedSource-Produkt der Fall gewesen wäre (mit Ausnahme des folgenden Code-Reviews).

Doch was veranlasst mich zu dieser These?

1. Die bereits erwähnten herausragenden Einzelpersonen (wie Linus, Andrew oder Theo) haben aufgrund ihrer Reputation und ihres Status im Projekt einen enormen Vertrauensvorschuss.
2. Sie könnten aufgrund ihrer Zugriffsrechte Änderungen im Code durchführen, ohne die anderen Entwickler darüber zu informieren
3. Auch OpenSource-Entwickler stehen bei anstehenden Releases mächtig unter Zeitdruck und Stress. Wird kurz vor einem Release ein Zweig von einem vertrauenswürdigen Kernentwickler als stabil und release-fähig gekennzeichnet, wird kaum einer der anderen Entwickler "just for fun" darin herumstochern. Es gibt zwar lobenswerter Weise OS-Projekte, bei denen gezielte Code-Audits zur Philosophie gehören - aber das sind einige wenige Ausnahmen.
4. Am wichtigsten ist aber die schiere Größe der Projekte. Die Sourcen des Linux-Kernels sind gepackt über 40MB groß; ähnliche Größenordnungen gelten auch für andere große OpenSource-Projekte. Und was den Kern-Entwicklern entgangen ist, entdeckt auch ein Endanwender nicht - mal Hand auf's Herz, wer von Euch hat schon mal den Kernel-Quellcode seines OpenSource-OS' auf Parasiten überprüft?

Meiner Meinung nach ist es also nicht die Art und Weise, auf die eine Wanze gefunden würde, die ein (theoretisch) verseuchtes Open- von einem Closed Source Produkt unterscheidet. Ich glaube aber, dass die Reaktion der Anwenderschaft und der Co-Entwickler eine ganz entschieden andere wäre. Bei einem Closed-Source-Hersteller würde man ein solches Verhalten ja fast schon erwarten - aber bei einem OpenSource-Projekte würde sich eine solche Affäre garantiert zum Skandal ausweiten. Entwickler würden abspringen oder forken, Anwender auf andere Produkte ausweichen und jede Firma, die bisher als Sponsor auftrat, sich das noch einmal genau überlegen. Schließlich hat jeder einen Ruf zu verlieren, und der der OpenSource-Community ist momentan entschieden besser - dementsprechend tiefer wäre auch der Fall...

 

[asg]

"Man geht davon aus das commits gelesen werden"
Eben, genauso kann man sagen "Ich gehe davon aus das MacOSX, wenn es nach Hause telefoniert, nur abfragt ob neue SW da ist, und nichts weiteres macht"

Um es klar zu formulieren: Man kann sich NIE sicher ein, egal ob OSS oder closed source. Damit ist eine Diskussion darüber hinfällig, denn auf der Basis von "gehe davon aus", ist keine Diskussion möglich die zu einem Ende führt, sondern sie führt ausschliesslich in die Richtung der eigenen Überzeugung/Religion/was auch immer.

Ja, OSS ist toll, das bestreitet niemand, aber man sollte die rosa-rote Brille abnehmen und nicht mit dem Finger immer auf andere zeigen. Die Geschichte lehrt, das man dabei den Blick auf sich selbst verliert und irgendwann die gleichen Probleme hat.
Genauso wie immer noch einige der Überzeugung sind das Linux per se sicher ist, und Windows so wie so unsicher.

 

[oenone]

Ob OSS oder nicht, an sicherheitsrelevanten Stellen wird immer der Source verlangt und von "Experten" geprüft. Selbst Microsoft gibt seinen Source raus, wenn die richtigen Leute das verlangen.

Regierungen und Militärs beauftragen meistens mehrere Firmen zur Entwicklung von ihren Softwaresystemen und lassen diese von Dritten überprüfen, und wählen dann die beste Version aus.

auf bald
oenone