Sicherheit in den letzten Tagen/Wochen

[asg]

Was haltet Ihr, aus aktuellem Anlass, noch von der Sicherheit im OpenSource Bereich?

Schreibt wie Ihr Euer System evtl. sicherer macht, welche Software Ihr einsetzt (statt sendmail bsp. postfix, qmail, exim) und was Ihr von der Sicherheit und den Meldungen der letzten Wochen haltet.

 

[current]

Ich finde die Formulierung "Fehler kommen auf" schlecht. Die Fehler kommen nicht auf, sondern werden "entdeckt" oder "gefunden".

 

[asg]

Naja, naja, man weiss doch was gemeint ist.
Zähneknirschend gebe ich Dir dann aber doch recht, das es eine bessere Formulierung dafür gibt im deutschen...

 

[saintjoe]

Ich habe mir die Freiheit genommen und die Formulierung angepasst

 

[asg]

Nase, habe ich auch gerade, da ich langsamer war,..., steht nun meine neue Formulierung dort.
Und nachdem wir uns nun über 4 Posts über die Formulierung unterhalten haben, hoffe ich dass nun Posts kommen die etwas zum Thema als Inhalt vorzweisen haben.

 

[current]

Ja, so ist's gut

Danke!

 

[Berufspenner]

Hi@all

Ob OpenSource oder ClosedSource, Software wird von Menschen geschrieben und die sind ja bekanntlich fehlbar. Bei OpenSource besteht aber für jeden Einzellnen die Möglichkeit, im Quellcode den einen oder anderen Fehler auszumertzen. Bei ClosedSource ist das schon viel schwiriger bis unmöglich, da man auf das Handeln eines Unternehmens angewiesen ist.

Cu
André

 

[XPectIT]

Es werden zwar mehr Fehler aufgedeckt, aber die sind auch ebenso schnell gefixt
Hätte ich gerne genommen, aber "nur" weil es OpenSource ist, heisst das ja nicht das mehr Fehler drinnen sind.
Hier wäre doch eine Mehrfachnennung interessant.
Denn ich finde es beunruhigend, ich glaube das die Verbreitung etwas mit der Fehlerfindung zu tun hat und denke auch, das die gefundenen Fehler schneller beseitigt werden.... und was soll ich jetzt wählen?

 

[oBdA]

Tach auch!

Es gibt Leute die behaupten Software könne gar nicht fehlerfrei sein, dieser Meinung bin ich nicht. Irgendwann, so hoffe ich, wird mir mal fehlerfreie Software begegnen (wann das wohl sein wird? - und ich meine kein "Hello World" :-) ).

Im Endeffekt ist es egal ob Open- oder ClosedSource, die Programme sind nur so gut wie Ihre Entwickler und die machen nun leider mal Fehler.

Sorgen mache ich mir keine, die meisten Fehler werden recht schnell beseitigt, was vermutlich daran liegt, daß es sich oft um die selbe Art von Fehlern handelt. Ich denke da an sowas wie falsch bemessene Stacks, fehlerhafte Invarianten usw. .

Das Auffinden von Fehlern in OS ist vermutlich einfacher, da der Quellcode ja offenliegt, aber ich muß zugeben mir noch nicht die Mühe gemacht zu haben mir sowas mal anzusehen.

Obiges ist nur meine persönliche Meinung zu diesem Thema und soll nicht als Dogma verstanden werden (auch ich mache Fehler - selten abba ... :-) ).

hang lost

 

[lars]

Ich glaube auch nicht, dass Software jemals fehlerfrei sein wird.
Weder logisch, noch sysntaktisch. Dazu ist die Software-Entwicklung
einfach zu komplex, wie auch die meiste Software.

Wieso so viele Meldungen in letzter Zeit?
IMHO, weil das Bewusstsein für solche Probleme gestiegen ist,
und weil immer mehr Leute OSS benutzen und anschauen,
da ist die statistische Basis schon breiter.

 

[Maledictus]

Original geschrieben von oBdA

Im Endeffekt ist es egal ob Open- oder ClosedSource, die Programme sind nur so gut wie Ihre Entwickler und die machen nun leider mal Fehler.

stimmt, programme sind nur so gut wie ihre entwickler, und genau aus diesem grund ist OSS besser als Proprietäre Software, mehr Entwickler, unterschiedlichere Entwickler, besser motivierte Entwickler.
Das einzige was fehlt ist gute Bezahlung

Dazu liest sich ganz gut:
The Cathedral & The Bazaar
von Eric S. Raymond

Um bei der Diskussion über "perfekte" Software mitzumischen, ich glaube schon daran, dass es sowas irgendwann gibt. Stimmt schon, dass Menschen sowas nicht überblicken können, aber es gibt sicherlich irgendwann ausgereifte Automatismen.

Was ich für meine Sicherheit tue?
1. sendmail_enable="NO"
2. IPFW
3. Bugtraq, Freebsd-security, etc. lesen
4. ab und an mal updaten

gruss
Male

 

[ReinerWein]

Habe für Punkt 2 gestimmt.

Es werden zwar mehr Fehler aufgedeckt... ,

egal, Open oder ClosedSource: Fehler gibt es überall. Sie sind menschlich und verzeihlich.

...aber die sind auch ebenso schnell gefixt

das ist für mich der entscheidende Punkt: Fehler werden kommuniziert und werden schnellstmöglichst gefixt. So wird Vertrauen hergestellt. Bei ClosedSource habe ich so eine Herangehensweise wie bei OpenSource-Projekten leider sehr selten feststellen können.

Gruß
RW

 

[Illuminatus]

Ich werde mal kurz die umfassende Betrachtung dieser Frage verlassen und ein konkretes Beispiel aufgreifen:

http://openbsd.org/33.html#new
Integration of the ProPolice stack protection technology, by Hiroaki Etoh, into the system compiler. This protection is enabled by default. With this change, function prologues are modified to rearrange the stack: a random canary is placed before the return address, and buffer variables are moved closer to the canary so that regular variables are below, and harder to smash. The function epilogue then checks if the canary is still intact. If it is not, the process is terminated. This change makes it very hard for an attacker to modify the return address used when returning from a function.

ich meine Auch dass es niemals 100% Sicherheit, egal in welchen Bereichen, geben wird. Aber vielleicht kann man mit Technologien wie Sie bei OpenBSD entwickelt wurden den häufigsten Fehlerquellen vorbeugen, sodass im Falles eines Sourcefehlers dieser sich nicht auf die Sicherheit des Systems auswirkt.

Mir war der Aspekt der Sicherheit besonders wichtig wie man gewiss heraushört. Das die Software langfrisitg und in verschiedensten Situationen funktioniert möchte man natürlich auch....Ich sehe also diese zwei Fehlerkategorien:

1. Sicherheitskritische und
2. Funktionsweise beeinträchtigende

die Ursachen von Fehlern sind ja bereits klar...

und jetzt korrigiert mich bitte ;-)

 

[Maledictus]

es gibt sowas wie hundertprozentige sicherheit, nämlich mathematische.
weiss noch jemand wie dieses betriebsystem hiess, welches nur aus 20.000 Zeilen Code bestand und von vorne bis hinten durchbewiesen wurde?

das ist ja das gute an computern, sie beruhen auf mathematischen modellen, und diese lassen sich vielleicht beweisen. nur ist es in der regel zu komplex, aber wie gesagt, vielleicht kann ein computer auch irgendwann mal selber beweisen, dass der source korrekt ist.

 

[CW]

Original geschrieben von Maledictus
es gibt sowas wie hundertprozentige sicherheit, nämlich mathematische.

Da irrst du dich gewaltig, denn kein Mathematiker auf diesem Planeten würde behaupten, dass es eine mathematische Sicherheit gäbe.

Das was wir als mathematisch sicher ansehen, ist im Grunde genommen nur ein Ausschnitt des Ganzen, das wir nicht mit unserer Mathematik fassen können. Mathematik ist eigentlich eine Art Philosophie, eine bestimmte Art, die Welt zu betrachten, Und wie bei jeder anderen Betrachtung auch spielt nicht nur das Betrachtete, sondern vielmehr auch der Betrachter eine sehr, sehr wichtige Rolle. Die ist so wichtig, dass der Betrachter durch seine "Betrachtung" die Informationen über den betrachteten Gegenstand "verfälscht" bzw. auf Kosten anderer Informationen bestimmte Informationen über den Gegenstand gewinnt.

Knapp gesagt: du kannst eine bestimmte Sache niemals zu 100% fassen. Alles was du an Informationen einerseits gewinnst, kostet dich Informationen auf der anderen Seite.

Das ist der Preis für unseren "so menschlichen" Betrachtungswinkel.

Und ich sage nicht, dass dies "schlimm" wäre, jedoch ist es eine Tatsache, die uns ständig begleitet.

Auch durch die Softwareprogrammierung.

Das beste Beispiel dafür ist der diametrale Gegensatz zwischen Security und Useability.

Und zu meiner oberen (zugegeben: leicht philosophischen) Ausführung führe ich einige Links auf, die nicht direkt mit Software zu tun haben, jedoch zum Verständnis der Problematik der "Genauigkeit" führen können. Und solltet ihr an einer Diskussion darüber interessiert sein, so bitte ich darum, erst einmal diese Artikel zu lesen, damit wir alle ein gewisses Gleichgewicht an Informationen haben (und zugleich auf andere verzichten

Falls ihr diese bereits kennt, dann könne wir direkt "in die Diskussion einsteigen"

Hier die Links:

http://www.joerg-rudolf.lehrer.belwue.de/kurse/lkphysik_00/unschaerferelation/

http://de.wikipedia.org/wiki/Heisenbergsche_Unsch%E4rferelation

http://www.science1.net/unschaerferelation.htm

http://de.wikipedia.org/wiki/Wahrscheinlichkeitstheorie

http://www.mathematik.uni-osnabrueck.de/script/

weiss noch jemand wie dieses betriebsystem hiess, welches nur aus 20.000 Zeilen Code bestand und von vorne bis hinten durchbewiesen wurde?

Ich kenne das OS nicht, jedoch kann ich diese Website empfehlen: http://www.netzmafia.de/skripten/bs/

das ist ja das gute an computern, sie beruhen auf mathematischen modellen, und diese lassen sich vielleicht beweisen.

Genau das sage ich auch: sie lassen sich vielleicht beweisen. Oder noch genauer: zum Teil erfassen. Niemals wird irgendeiner von uns alles erfassen können.

nur ist es in der regel zu komplex,

Du sagst es! Genau so ist es auch.

aber wie gesagt, vielleicht kann ein computer auch irgendwann mal selber beweisen, dass der source korrekt ist.

Ein Quantencomputer der zugleich in mehreren Zuständen sein könnte (also nicht nur: 0 oder 1), wäre in der lage in einem bestimmten Moment mehrere Möglichkeiten (mehrere Kenntnisse/Informationen) zu haben.

Dadurch könnte man verschiedene Szenarien in einem bestimmten Moment durchspielen können. Solche Gedanken werden vornehmlich in der Kryptoanalyse geäußert. Dort geht es darum, schwer knackbare Codes (für die man Jahrmillionen bräuchte, um sie zu knacken) innerhalb von Minuten zu brechen, weil eben ein Quantencomputer zugleich viele Millionen/Milliarden Knackversuche unternehmen kann und nicht wie heute, eines nach dem anderen.

So, das waren ein paar Worte von mir zu der ganzen Thematik.

Gruß

CW

 

[Maledictus]

Original geschrieben von CW
Da irrst du dich gewaltig, denn kein Mathematiker auf diesem Planeten würde behaupten, dass es eine mathematische Sicherheit gäbe.

Ich glaube du irrst gewaltig, denn eine mathematische sicherheit heißt ja nicht 100 prozentige sicherheit. deswegen schrieb ich auch _sowas_ wie hundertprozentige sicherheit. eine mathematische sicherheit würde mir persönlich bei einem OS schon genügen, auch wenns keine Gottgleiche sicherheit ist, die ja auch keiner verlangt.

Das was wir als mathematisch sicher ansehen, ist im Grunde genommen nur ein Ausschnitt des Ganzen, das wir nicht mit unserer Mathematik fassen können.

wie gesagt, dass reicht mir vollkommen, weil es die größte sicherheitsstufe ist, die ich mir vorstellen kann, und es (um auf deinen link vorwegzugreifen) _höchst_ unwahrscheinlich ist, dass jemand so eine software "knackt".
Natürlich immer vorausgesetzt, der beweis ist richtig.

Mathematik ist eigentlich eine Art Philosophie, eine bestimmte Art, die Welt zu betrachten,

Naja, mathematik kann man auch als hilfswissenschaft betrachten, aber ich weiss was du sagen willst.

Und wie bei jeder anderen Betrachtung auch spielt nicht nur das Betrachtete, sondern vielmehr auch der Betrachter eine sehr, sehr wichtige Rolle.

von solchen "kleinigkeiten" muss man aber absehen, wenn man mathematik betreibt, denn sonst kann man es gleich sein lassen.
außerdem kann ich mich mit dieser theorie nicht anfreunden, und wenn wir schonwieder die idee der wahrscheinlichkeit einbringen wollen:
irgendwann konvergiert die wahrscheinlichkeit gegen null, dass man als beobachter einen einfluss hat, die richtige herangehensweise vorausgesetzt.

Die ist so wichtig, dass der Betrachter durch seine "Betrachtung" die Informationen über den betrachteten Gegenstand "verfälscht" bzw. auf Kosten anderer Informationen bestimmte Informationen über den Gegenstand gewinnt.

wie gesagt, ich finde es nicht so wichtig, also nicht in diesem speziellen fall, in der physik sind solche herangehensweisen enorm wichtig, aber die mathematik behindern sie.

Knapp gesagt: du kannst eine bestimmte Sache niemals zu 100% fassen. Alles was du an Informationen einerseits gewinnst, kostet dich Informationen auf der anderen Seite.

für mich auch mehr eine glaubensfrage, ich glaube einfach daran, dass n + n = 2n ist, für n element N.
wenn ich daran nicht glaube sollte ich es einfach sein lassen.
die kunst an der sache ist das ganze so weit zu vereinfachen, dass man es im ganzen erfassen kann (natürlich mit bestimmten axiomen).

Das ist der Preis für unseren "so menschlichen" Betrachtungswinkel.
Und ich sage nicht, dass dies "schlimm" wäre, jedoch ist es eine Tatsache, die uns ständig begleitet.
Auch durch die Softwareprogrammierung.

und der mensch war gerade in der mathematik immer bestrebt sich aus seiner eingeschränkten art zu befreien, auch wenn er es niemals schaffen wird, per definitionem.
das gute ist, alle anderen sind auch nur menschen

Das beste Beispiel dafür ist der diametrale Gegensatz zwischen Security und Useability.

dem kann ich so überhaupt nicht zustimmen.

Und zu meiner oberen (zugegeben: leicht philosophischen) Ausführung führe ich einige Links auf, die nicht direkt mit Software zu tun haben, jedoch zum Verständnis der Problematik der "Genauigkeit" führen können. Und solltet ihr an einer Diskussion darüber interessiert sein, so bitte ich darum, erst einmal diese Artikel zu lesen, damit wir alle ein gewisses Gleichgewicht an Informationen haben (und zugleich auf andere verzichten

warum, willst du uns mit diesen links verdummen und so ein gleichgewicht herstellen?
sorry, aber ich fand obige aussage von dir recht anmaßend

Falls ihr diese bereits kennt, dann könne wir direkt "in die Diskussion einsteigen"

natürlich, herr oberstudiendirektor

Hier die Links:

http://www.joerg-rudolf.lehrer.belwue.de/kurse/lkphysik_00/unschaerferelation/

http://de.wikipedia.org/wiki/Heisenbergsche_Unsch%E4rferelation

http://www.science1.net/unschaerferelation.htm

http://de.wikipedia.org/wiki/Wahrscheinlichkeitstheorie

http://www.mathematik.uni-osnabrueck.de/script/


Ich kenne das OS nicht, jedoch kann ich diese Website empfehlen: http://www.netzmafia.de/skripten/bs/

der letzte ist besonders gut, selten eine so leerreiche (!) abhandlung zum thema betriebssysteme gelesen, vor allem dieser eindeutige schwerpunkt zu betriebsystemen aus dem hause microsoft, hat mich wirklich umgehauen.

Genau das sage ich auch: sie lassen sich vielleicht beweisen. Oder noch genauer: zum Teil erfassen. Niemals wird irgendeiner von uns alles erfassen können.

das ist ja auch kein problem, und derjenige wäre auch ein ganz schöner narr.
wie gesagt die kunst ist alt und neu, es war die art zu allen zeiten ähhhh
also, vereinfachen bis man es erfassen kann, ja darum gehts.

Ein Quantencomputer der zugleich in mehreren Zuständen sein könnte (also nicht nur: 0 oder 1), wäre in der lage in einem bestimmten Moment mehrere Möglichkeiten (mehrere Kenntnisse/Informationen) zu haben.

nun, ich muss zugeben, die genaue art und weise der quantenzustände noch nicht ganz durchschaut zu haben, aber selbst ein quantencomputer kann sich nicht selbst erfassen.

Dadurch könnte man verschiedene Szenarien in einem bestimmten Moment durchspielen können. Solche Gedanken werden vornehmlich in der Kryptoanalyse geäußert. Dort geht es darum, schwer knackbare Codes (für die man Jahrmillionen bräuchte, um sie zu knacken) innerhalb von Minuten zu brechen, weil eben ein Quantencomputer zugleich viele Millionen/Milliarden Knackversuche unternehmen kann und nicht wie heute, eines nach dem anderen.

naja, ein rechner mit QBits ist auch keine eierlegendewollmilchsau.
es sind ja auch nur 2,5 zustände statt 2.
ein quanten computer ist dadurch sowas besonderes, dass er besonders gut "raten" kann, was uns einerseits stark verblüfft, und andererseits versteht keiner was da wirklich abgeht.

So, das waren ein paar Worte von mir zu der ganzen Thematik.

Gruß

CW

so, dieser erguss musst mal sein, CW wird sonst so wenig widersprochen, und ich muss zugeben mir geht es hier eher um den spaßfaktor als um wirkliche wissenschaftliche korrektheit.

und genau deswegen geh ich jetzt mal die nächste flasche wein aufmachen

also leute haut rein
Maledictus

 

[ReinerWein]

@CW
Da muß ich Dir wiedersprechen: die von der Quantentheorie vorhergesagte "Zufälligkeit" von Position und Geschwindigkeit von Elementarteilchen hat NICHTS mit der Beweissicherheit innerhalb mathematischer Zahlentheorien zu tun.
Somit kann ich mich der Schlußfolgerung (OSe sind schon aufgrund der Unschärferelation unsicher) nicht ganz anschließen

Gruß
RW

 

[asg]

Original geschrieben von CW
Und zu meiner oberen (zugegeben: leicht philosophischen) Ausführung führe ich einige Links auf, die nicht direkt mit Software zu tun haben, jedoch zum Verständnis der Problematik der "Genauigkeit" führen können. Und solltet ihr an einer Diskussion darüber interessiert sein, so bitte ich darum, erst einmal diese Artikel zu lesen, damit wir alle ein gewisses Gleichgewicht an Informationen haben (und zugleich auf andere verzichten

1. Es geht hier um Sicherheit, und andere haben andere Meinungen, und auch andere Quellen, daraus folgt...
2. ...das es doch etwas seht "arrogant" ist jemanden seine Quellen aufzuzwingen um bei einem sehr weitreichenden Thema mitreden zu könen
3. Es ging hier im Security, inbesondere bezogen auf die Meldungen der letzten Wochen und nicht um eine Grundsatzdiskussion die, der werte Leser mag es erahnen, ganz schnell wieder in die philosophische Richtung abdriftet.

CW, bitte nicht ganz so von oben herab und bei der Kernthematik bleiben, danke.

 

[Doomshammer]

Ich finde die Umfrage ein wenig komisch. Nur weil zufaellig die letzte Woche mehrere Kritische Bugs gefunden und gefixt wurden, heisst das noch lange nicht, dass Software immer unsicherer wird. Wer Bugtraq, Full-Disclosure, etc liest, der weiss, dass taeglich Bugs im 2-3 Stelligen "gefunden" werden. Und i.d.R. werden den Advisories auch gleich ein passender Patch angehaengt. Mich beunruhigt das ganze kein bisschen. Ganz im Gegenteil es beruhigt mich, dass nach Fehlern gesucht wird, sie gefunden und gefixt werden.

 

[asg]

Original geschrieben von Doomshammer
Ich finde die Umfrage ein wenig komisch. Nur weil zufaellig die letzte Woche mehrere Kritische Bugs gefunden und gefixt wurden, heisst das noch lange nicht, dass Software immer unsicherer wird. Wer Bugtraq, Full-Disclosure, etc liest, der weiss, dass taeglich Bugs im 2-3 Stelligen "gefunden" werden. Und i.d.R. werden den Advisories auch gleich ein passender Patch angehaengt. Mich beunruhigt das ganze kein bisschen. Ganz im Gegenteil es beruhigt mich, dass nach Fehlern esucht wird, sie gefunden und gefixt werden.

Dafür gibt es ja dann "Es werden zwar mehr Fehler aufgedeckt, aber die sind auch ebenso schnell gefixt".
Komisch? Nun, in letzter Zeit kamen einige Security Alerts/Advisories in den mailinglisten raus, und/oder auf freebsd.org wurde darauf hingwiesen. Das spricht dafür das es sich um "grössere" Schnitzer handelt.
Das ständig irgendwo, irgendwie, irgendwas (Grüsse an Nena) gefunden wird ist klar.

 

[CW]

Original geschrieben von asg
1. Es geht hier um Sicherheit, und andere haben andere Meinungen, und auch andere Quellen, daraus folgt...

Und ich habe halt meine Quellen, wenn es um die Sicherheit (programmiertechnische, nicht nur die Sicherheit im Allgemeinen) geht. Und andere habe ihre Quellen. Wo ist da das Problem?

2. ...das es doch etwas seht "arrogant" ist jemanden seine Quellen aufzuzwingen um bei einem sehr weitreichenden Thema mitreden zu könen

Ich war weder "arrogant" noch habe ich etwas aufzwingen wollen. Ich habe (und das kannst du nachlesen) gesagt, wenn man darüber reden WILL, dann sollte man dies gelesen haben. Und wenn man diese Sachen BEREITS kennt, dann kann man direkt in die Diskussion einsteigen.

Ich wüsste nicht, wo ich da arrogant war. Aber, das sei jedem überlassen. Und ein Vorschlag so einfach wegzufegen, ist für mich der Gipfel der Arroganz.

3. Es ging hier im Security, inbesondere bezogen auf die Meldungen der letzten Wochen und nicht um eine Grundsatzdiskussion die, der werte Leser mag es erahnen, ganz schnell wieder in die philosophische Richtung abdriftet.

Nein, es hatte zwar einen philosophischen Unterton (den ich auch sofort zugegeben habe --> lies nach), jedoch handelt es sich um anerkannte Theorien, wenn es darum geht, die Sicherheit des Auftretens eines Vorganges (also auch eines Bugs z.B.) zu beweisen. Diese Theorien sich sehr allgemein und arbeiten auf der atomaren Grundlage. Und auf dieser Grundlage werden kommende Computertechnologien arbeiten. Es wird einfach mehr als nur 0 oder 1 geben.

Wenn man Sicherheit erreichen möchte, muss man umgekehrt vorgehen und sich fragen: wie sicher ist es denn, dass ein Fehler X in meinem OS/Programm auftritt. Und nicht, wie sicher ist, dass keine Fehler auftreten werden.

Und erst, wenn du dein System 100% kennst (von allen Blickwinkeln aus), dann kannst du (wiederum von allem Blickwinkeln aus) das Auftreten eines Bug vorhersehen und PROAKTIV diesen beseitigen.

Ich hoffe, dass ich jetzt verstanden worden bin. Und ich hoffe, dass man jetzt meine Quellen (und die Begriffe dahinter) in dieses Thema einordnen kann. Lesen muss man sie nicht, denn ich werde mir jetzt Mühe geben, sie zu erläutern.

Und was die Sache mit der PROAKTIVEN (also im Voraus ansetzenden) Sicherheit angeht, so geht doch auf die OpenBSD.org Webseite.

Man frisst sich durch den ganzen Code hindurch und versucht schon im Vorfeld, die Fehler zu beseitigen (die nicht nur sicherheitskritisch sein müssen), um in der Zukunft keine Probleme an einer bestimmten Stelle zu haben. Natürlich wird auch beim OpenBSD-Projekt der Code nicht von allen Seiten gesehen (denn es sind auch nur Menschen dort), jedoch ist dies der erste, gute Ansatz, meiner Meinung nach.

Und ein Quantencomputer könnte noch mehr erledigen:

a) erwürde seinen Code zugleich aus mehreren Blickwinkeln sehen können

b) er würde mehrere Code-Lesezustände kennen (LOAD-Operation)

c) er würde mehrere Schreib-Zustände kennen (WRITE in den Speicher/Speichergeräte)

d) er würde jeden sich überlagernden Code erkennen (REDUNDANZ beseitigen)

Das sind einige der Möglichkeiten.

Und wenn wir schon über das Thema Sicherheit reden, dann müssen wir auch aus unseren stark verengten Denken rauskommen und sich mit Maschinen/Technologien beschäftigen, die eher dafür ausgelegt sein werden als die Technologie die wir heute kennen.

Wisst ihr denn nicht, dass es seit rund 30 Jahren keine neue Computergeneration gegeben hat?

Daher wundere ich mich nicht, dass es so viele Sicherheitsprobleme gibt.

Man muss erst einmal die Grundlagen schaffen (Technik), die dann programmiert werden kann.

Und die vielmehr AKTIV gegen Fehlen vorgehen kann. Ein AKTIVER Computer/Betriebssystem.

Das beste Beispeil ist doch die Tatsache, dass die W^X unter der i386-Technologie beim OpenBSD-Projekt erst in der Version 3.4 voll funktionsfähig war, weil die i386-Plattform keine klare Trennung von lesendem/schreibenden Code kennt. Andere Technologien kannten sowas bereits und die Implementierung des Frameworks ging schneller vonstatten. Und daher sind die Leute auch von dem neuen AMD Hammer so begeistert, weil eben viele Sicherheitsfeatures dort endlich implementiert werden können. Aber jetzt lasse ich es mit den Links sein. Geht googeln und findet selber raus, wie wichtig auch die darunterliegende Technologie ist.

Ich habe keine Lust, nochmal welche Links zuposten, die dann abgeschlagen werden.

Aber O.K. .... wenn kein Interesse zu dieser Thematik besteht, dann lasse ich es sein. Ich hoffe, dass ich aber jetzt verstanden worden bin.

CW, bitte nicht ganz so von oben herab und bei der Kernthematik bleiben, danke.

Ich wüsste nicht, wo ich so "oben herab" geblieben bin?

Gib mir ein Beispiel, keine Tipps die auf subjektiven gründen beruhen.

CW

 

[CW]

Original geschrieben von ReinerWein
@CW
Da muß ich Dir wiedersprechen: die von der Quantentheorie vorhergesagte "Zufälligkeit" von Position und Geschwindigkeit von Elementarteilchen hat NICHTS mit der Beweissicherheit innerhalb mathematischer Zahlentheorien zu tun.

Dann heißt es für dich, dass du bei einem beliebigen OS zu 100% vorhersagen kannst, dass er in einem Zustand X (mit einer Operation Y) keinesfalls Fehlfunktionen produzieren wird. Denn eine Fehlfunktion ist auch ein Bug.

Also, ich kann es nicht vorhersagen. Und das können auch die Programmierer der OSe nicht vorhersagen. Sie haben zwar einen bestimmten Blickwinkel und halten sich an die Richtlinien, jedoch ist die Welt (die Umstände, die Vorgänge) so vielseitig, dass man das Verhalten eines Programms niemals für jede belibige Situation vorhersagen kann.

Daher bemühen sich einige Programmierer ihren Code schon im Vorfeld auf jeden noch so kleinen Bug zu untersuchen, der VIELLEICHT in der Zukunft problematisch wäre.

Somit kann ich mich der Schlußfolgerung (OSe sind schon aufgrund der Unschärferelation unsicher) nicht ganz anschließen

OSe sind aufgrund der Unschärferelation in der sie sich befinden (die Welt mit ihren vielen Vorgängen) anfällig.

Du kannst einen Gegenstand doch nicht isoliert von allem anderen betrachten (betreiben).

Erst wenn du alles VORHERSAGEN könntest, was passieren könnte, dann wäre es für dich möglich, einen Code zu schreiben, der gegenüber jeder Situation immer "sauber und sicher" wäre.

Es ist also nicht das Problem, diesen Code zu schreiben, sondern eben ALLE Situationen zu erfassen.

Und daher werden Quantencomputer (die auf einer anderen Technologie beruhen) in dieser Hinsicht Vorteile gegenüber heutigen haben.

Sie würden mehr Zustände als die bekannten 0 und 1 kennen. Sie würden mehrere Zustände (Milliarden meintwegen) eingehen können und somit einen Code auf viele Situationen zugleich im VORAUS testen.

Somit könnte man in einem Moment X (in der Zeit) wissen, was alles passieren könnte in einer Situation Y.

Gruß

CW

 

[asg]

gelöscht da nicht ontopic

 

[CW]

Original geschrieben von Maledictus
Ich glaube du irrst gewaltig, denn eine mathematische sicherheit heißt ja nicht 100 prozentige sicherheit. deswegen schrieb ich auch _sowas_ wie hundertprozentige sicherheit. eine mathematische sicherheit würde mir persönlich bei einem OS schon genügen, auch wenns keine Gottgleiche sicherheit ist, die ja auch keiner verlangt.

Ich habe niemals behauptet, dass es erstens: eine mathematische Sicherheit gäbe und zweitens: dass diese mit der Code-Sicherheit was zu tun hätte.

Und die Sache mit der "gottgleichen Sicherheti" sollte man wohl beiseite lassen, sonst reden wir noch über Dinge die noch ungenauer zu fassen sind.

wie gesagt, dass reicht mir vollkommen, weil es die größte sicherheitsstufe ist, die ich mir vorstellen kann, und es (um auf deinen link vorwegzugreifen) _höchst_ unwahrscheinlich ist, dass jemand so eine software "knackt".
Natürlich immer vorausgesetzt, der beweis ist richtig.

Und nach welchen Richtlinien setzt du deine Sicherheitsstufen?

von solchen "kleinigkeiten" muss man aber absehen, wenn man mathematik betreibt, denn sonst kann man es gleich sein lassen.

Du hast da außer Acht gelassen, dass Computer physikalische Gegenstände sind und nicht mathematische. Das was mathematisch wohlgeformt ist, muss sich in der physikalischen Welt beweisen.

außerdem kann ich mich mit dieser theorie nicht anfreunden, und wenn wir schonwieder die idee der wahrscheinlichkeit einbringen wollen:
irgendwann konvergiert die wahrscheinlichkeit gegen null, dass man als beobachter einen einfluss hat, die richtige herangehensweise vorausgesetzt.

Die Wahrscheinlichkeit konvergiert nur dann gegen Null, wenn man sich für einen bestimmten Winkell der Betrachtung (also auch Programmierung) entscheidet.

Die Sicherheit der Daten ist auch immer die Sicherheit eines bestimmten Programmier(winkels).

wie gesagt, ich finde es nicht so wichtig, also nicht in diesem speziellen fall, in der physik sind solche herangehensweisen enorm wichtig, aber die mathematik behindern sie.

Und da Computer immer noch aus Hardware bestehen, ist die Physik eben enorm wichtig. Lese die doch die Infos über den neuen AMD Hammer. Er hat einige neue Sicherheitsfeatures.

für mich auch mehr eine glaubensfrage, ich glaube einfach daran, dass n + n = 2n ist, für n element N.

n + n = 2n wird immer das bleiben, was es ist (in jedem Zustand), jeoch ist die WIRKUNG die es hervorrufen kann (in einer bestimmten Situation) nicht dieselbe.

Das ist der Knackpunkt. Deine Daten bleiben dieselben, jedoch nicht die Wirkung dieser. LEIDER!

wenn ich daran nicht glaube sollte ich es einfach sein lassen.
die kunst an der sache ist das ganze so weit zu vereinfachen, dass man es im ganzen erfassen kann (natürlich mit bestimmten axiomen).

Genau! Und die VEREINFACHUNG ist eben der Verzicht auf BESTIMMTE Informationen. Das ist das Problem bei der Programmirung. Man verzichtet (sinnvollerweise) auf einiges um das andere programmieren zu können.

und der mensch war gerade in der mathematik immer bestrebt sich aus seiner eingeschränkten art zu befreien, auch wenn er es niemals schaffen wird, per definitionem.
das gute ist, alle anderen sind auch nur menschen

Jedoch kann er nur seine SICHT befreien von der Komplexität. Die Komplexität selbst bleibt bestehen. Und somit auch die UNVORHERGESEHENEN Vorgänge.

warum, willst du uns mit diesen links verdummen und so ein gleichgewicht herstellen?
sorry, aber ich fand obige aussage von dir recht anmaßend

Sorry, das war nicht meine Intention. Ich habe einfach keine Kenntnis darüber, was ihr so lest und wo eure Interessen sind (auch eine UNSICHERHEIT) und ich habe versucht, etwas von dem zu Posten, was ich gelesen habe. Und wie du siehst, war meine UNSICHERHEIT der Grund, dass ich falsch verstanden worden bin.

Ich habe einfach nicht alle Möglichkeiten im Kopf durchspielen können.

der letzte ist besonders gut, selten eine so leerreiche (!) abhandlung zum thema betriebssysteme gelesen, vor allem dieser eindeutige schwerpunkt zu betriebsystemen aus dem hause microsoft, hat mich wirklich umgehauen.

Und das war der Grund für das Posting.

Ein 20.000 Zeilen System der 100% durchdacht war (ich kenne den Namen nicht) und ein hochkomplexes System, den nicht einmal seine Programmierer kennen.

also, vereinfachen bis man es erfassen kann, ja darum gehts.

Vereinfachung fürht natürlich zur besseren Kenntnis des Systems. Jedoch ist die Vereinfachung NUR für das System gültig und nicht für die Umwelt (Vorgänge).

nun, ich muss zugeben, die genaue art und weise der quantenzustände noch nicht ganz durchschaut zu haben, aber selbst ein quantencomputer kann sich nicht selbst erfassen.

Er soll den Code erfassen. Das soll er erfassen. Er hat bessere Hardwaretechnologie und damit kann er die traditionelle Programmiertechologie (die sich noch nicht geändert hat) erfassen und analysieren.

naja, ein rechner mit QBits ist auch keine eierlegendewollmilchsau.
es sind ja auch nur 2,5 zustände statt 2.

Zustände sind aber nicht die Menge der Situationen die ein Quantenrechner erfassen kann.

Er hat einfach die Möglichkeit, sich zugleich milliardenmal in verschiedenen Positionen zu befinden. Und somit auch in verschiedenen Blickwinkeln.

ein quanten computer ist dadurch sowas besonderes, dass er besonders gut "raten" kann, was uns einerseits stark verblüfft, und andererseits versteht keiner was da wirklich abgeht.

Raten ist die eine Sache, die man in der Kryptoanalyse z.B. anwenden kann (und wird). Jedoch ist ein Quantenrechner für die Sicherheit deshalt so relevant, weil er Software zugleich in verschiedenen Stadien/Positionen ausführen kann. So kannst du alle möglichen Vorgänge durchspielen.

so, dieser erguss musst mal sein, CW wird sonst so wenig widersprochen, und ich muss zugeben mir geht es hier eher um den spaßfaktor als um wirkliche wissenschaftliche korrektheit.

Na ja, wenn du es aus persönlichen Gründen gemacht hast, so tut es mir leid für dich. Ich nehme deine Worte ernst. Und was mit der "Widerrede" gemeint ist, so kann ich es nicht nachvollziehen.

Es ist nun mal so, dass Leute ankommen un Hilfe für Probleme anfordern und ich versuche diesen zu helfen. Und wenn sie mir nicht "widersprechen", dann liegt es vielleicht daran, dass meine Tipps richtig sind.

Oder magst du es, wenn deine Gesprächspartner die sagen, "das stimmt nicht so, was du da von dir gibst"?

Na ja, jedem das seine ...

und genau deswegen geh ich jetzt mal die nächste flasche wein aufmachen

Welch eine Freude für dich. Also ich mache meinen Rotwein aus anderen Gründen auf. Dafür wäre er mir zu schade. Aber, viel Spaß mit den Edlen tröpfchen.

also leute haut rein
Maledictus

Dazu sage ich lieber jetzt nichts.

CW

 

[oBdA]

@asg

"Das ständig irgendwo, irgendwie, irgendwas (Grüsse an Nena) gefunden wird ist klar."

Heißt es nicht: "... irgenwie, irgenwo irgendwann .. " ?


hang lost