Sicherheitslücken

Jetzt mal allgemeiner Natur: Wie kommt man auf solche Sicherheitslücken? Gibt es Leute, die danach suchen oder wird das durch Zufall entdeckt?

_________________________________________________________________
Lesen gefährdet die Dummheit シ

sowohl als auch?

Es gibt schon Leute, die das Programm und dessen Aktivität haargenau auf bestimmte Fälle absuchen. Unter Umständen findet man dabei aber auch Fehler, die man eigentlich nicht gesucht hat. Also wie Themenstarter schon gesagt hat (nur genauer ausgeführt) sowohl als auch.

Danke für die Info :)

_________________________________________________________________
Lesen gefährdet die Dummheit シ

fuzzing

Die Lücken kann man dann Teuer auf dem Schwarzmarkt verkaufen. Deswegen suchen auch so viele. Es behaupten zwar die meisten Firefox sei sicher aber das ist einfach nur ein Irrglaube oder eine Lüge von Fanboys. Auf dem Schwarzmarkt kursieren eine Menge Lücken für Firefox wovon die meisten Anti Virenhersteller und selbst die FF Hersteller gar nichts wissen, denn die Leute, die die Lücken ausnutzen, haben überhaupt kein Interesse, dass jemand diese Lücken findet. Die wollen ja damit erfolgreich Leute infizieren. Die sind ja mittlerweile so klug, dass sie nur jedes 100. Mal jemanden dadrüber infizieren und so ist es fast unmöglich als Externer da was zu erkennen.
Nur möchte das der Forentroll bei den IT-Profiseiten einfach nicht Wahrhaben, weils vermutlich auch seinen Horizont bei weitem übersteigt.

antitroll, ist das nicht bei allen Softwarestücken so? Open-Source ist ja eher sicherer weil man/oder jeder der Ahnung hat es anpassen kann. Damit meine ich das man auf Teile verzichtet die man nicht braucht, wodurch sich die Codebasis verringert und die Risiken zumindest statistisch sinken.

Jemand der auf Sicherheit wert liegt startet seinen Browser eh in einer VM/Sandbox mit gesonderten Rechten. Das wichtigste bezüglich der Sicherheit bleibt immer noch das eigene Misstrauen.

Das ist leider genau andersrum.
Open-Source ist eher unsicher, weil dort eher Leute arbeiten, die es oft nicht so genau nehmen, es keine klaren Regeln gibt und auch oft Leute versuchen etwas zu fixen die eigentlich keine Ahnung haben. Nur fällt das oft nicht auf, weil man sich damit eher zufrieden gibt als wenn man die Software teuer erworben hat.
Ist nicht bei jeder Open-Source Software so aber bei der meisten.

Die meisten denken auch Sicherheitslücken werden im Source Code gesucht oder irgendjemand durchsucht den Sourcecode nach Fehlern bei Open-Source Software.
Kein Mensch auf Erden setzt sich hin un fängt an den Quellcode zu lesen. Höchstens mal aus Neugierde oder um was abzugucken aber mit Sicherheit nicht um Fehler zu suchen.
Da gibts weit andere Methoden.

AntiTroll schrieb:
--------------------------------------------------------------------------------
> Das ist leider genau andersrum.

Achso...

> Open-Source ist eher unsicher, weil dort eher Leute arbeiten, die es oft
> nicht so genau nehmen, es keine klaren Regeln gibt und auch oft Leute
> versuchen etwas zu fixen die eigentlich keine Ahnung haben. Nur fällt das
> oft nicht auf, weil man sich damit eher zufrieden gibt als wenn man die
> Software teuer erworben hat.

Oh krass, wo hast du denn diese geheimen Informationen her?

> Ist nicht bei jeder Open-Source Software so aber bei der meisten.

Ich bin beeindruckt, du scheinst jede Software zu kennen.

> Die meisten denken auch Sicherheitslücken werden im Source Code gesucht
> oder irgendjemand durchsucht den Sourcecode nach Fehlern bei Open-Source
> Software.
> Kein Mensch auf Erden setzt sich hin un fängt an den Quellcode zu lesen.
> Höchstens mal aus Neugierde oder um was abzugucken aber mit Sicherheit
> nicht um Fehler zu suchen.
> Da gibts weit andere Methoden.

Na klar, du musst es ja wissen. Ich bin erschlagen von deinen geballten Argumenten.

AntiTroll schrieb:
--------------------------------------------------------------------------------

> Open-Source ist eher unsicher, weil dort eher Leute arbeiten, die es oft
> nicht so genau nehmen, es keine klaren Regeln gibt und auch oft Leute
> versuchen etwas zu fixen die eigentlich keine Ahnung haben.

Wie niedlich.
Wieder jemand, der von Softwareentwicklung so viel Ahnung hat wie der Ochs' vom Melken.
Wieder jemand, der glaubt, bei Open Source sitzen nur frustrierte, langhaarige, übergewischtige Idealisten im Hartz4-finanzierten Keller und kämpfen gegen die böse kapitalistische Welt.

Dann wird es dich wundern, dass bei Mozilla, Sun, Oracle, Ubuntu, Google etc. pp. sehr gut bezahlte Softwareentwickler sitzen und die jeweiligen Unternehmen mit ihren Produkten sehr gutes Geld verdienen.

Nur weil du deinen Partyfuchs oder das OpenOffice als Gratis-Download bekommst, heißt das nicht, dass die jeweiligen Unternehmen nur aus beruflich gescheiterten Existenzen bestehen.

Die Mozilla Foundation nimmt im Jahr etwa 75 Mio US$ ein und hat dem gegenüber nur etwa 20 Mio US$ Ausgaben (Zahlen von 2007).
Und das obwohl du als Privatperson für keines ihrer Softwareprodukte auch nur einen einzigen Cent bezahlen musst.

Na, fangen deine kleinen grauen Zellen jetzt an zu rattern?
Ich wills mal hoffen...