gilt jedoch nicht für Open Source

Dort werden Sicherheitslücken "relativ" schnell wieder dicht gemacht.

Gut, mag an der leichteren Zugänglichkeit des Codes liegen, da offen und direkt bearbeitbar, naja.

Das wollte ich nur mal erwähnen, damit es nicht untergeht.

Google doch mal nach "Kritische Lücke im Linux-Kernel betrifft alle Versionen seit 2001"

Die Lücke im Linux Kernel blieb auch jahrelang unbemerkt du kleiner Softwaresozialist.

Steck dir deine rote Open Source Philosophie doch einfach irgendwo rein.

Ja, liegt vor allem an dem offenen Code, da diejenigen die die Lücken finden meist auch schon die Ideen der notwendigen Verbesserungen mitbringen können. Vor allem große und verbreitete Projekte profitieren auch davon, dass viele Unternehmen besonders schnell Patches oder zumindest Workarounds parat haben, da ihre eigene Sicherheit gefährdet ist.

Der Nachteil ist aber auch, dass ein (böswilliger) Angreifer durch den offenen Code Sicherheitslücken schneller finden und auch reproduzierbar machen kann. Statt nur Blackboxtesting zu betreiben und mit einem Disassembler zu hantieren kann er direkt mit einem lesbaren Quellcode und den sauberen Debuggern arbeiten.

Ist leider alles ein zweischneidiges Schwert. Allerdings muss ich sagen, dass vor allem Unternehmen die Closed Source auf den Markt werfen, gerne an Security by Obscurity glauben. Paradebeispiel ist ja auch hier Microsoft, das ja bekannt ist schon mal Sicherheitslücken zu verschweigen und offen zu lassen, solange sie nicht bekannt ist und ausgenützt werden kann. Ist eben alles ein Kostenfaktor. Ein Sicherheitsupdate kann man nicht einfach so ungetestet durch das Updatesystem jagen.

> Google doch mal nach "Kritische Lücke im Linux-Kernel betrifft alle
> Versionen seit 2001"
> Die Lücke im Linux Kernel blieb auch jahrelang unbemerkt du kleiner
> Softwaresozialist.
Ohhh ... es gab da ja wirklich mal ne Lücke ... na dann ...

> Steck dir deine rote Open Source Philosophie doch einfach irgendwo rein.
Der erste Gedanke der mir beim Lesen dieses Satzes kam war: "Wow, wie primitiv".

Gill Batez schrieb:
--------------------------------------------------------------------------------
> Google doch mal nach "Kritische Lücke im Linux-Kernel betrifft alle
> Versionen seit 2001"
>
> Die Lücke im Linux Kernel blieb auch jahrelang unbemerkt du kleiner
> Softwaresozialist.
>
> Steck dir deine rote Open Source Philosophie doch einfach irgendwo rein.

Scherzkeks! Eine Lücke kann man nur stopfen, wenn man von ihr Kenntnis hat. Und das war ja in deinem Beispiel, bis zur Entdeckung durch google, nicht der Fall.

Sie werden aber normalerweise auch durch die Urheber dicht gemacht. D.h. die Progger haben "Ehre" und kümmern sich drum, was sie bei GPL ja gar nicht müssten.

Schade ist, das es keine Sweeper-Teams gibt, bzw. ich nicht weiss, wie gut die Ergebnisse veröffentlicht werden.

Es gibt Firmen, die systematisch viele FOSS-Pakete z.b. mit ihren Memory-Leak-Checkern oder Buffer-Overrun-Test-Software überprüfen. Ob und wie die Ergebnisse an die Urheber weitergegeben werden, oder die NSA nur eine Liste von Hintertüren für FOSS-Ware bekommt, weiss ich aber nicht. Gelegentlich berichtet Golem von solchen Projekten ja.

Man müsste z.b. als Kernel- oder Debian-Sweeper-Team bestimmte Checks systematisch durchführen. Z.b. strcmp() ächten (neudeutsch "deprecaten") und strncmp() in Verbindung mit bestimmten Macros durch "sozialen Druck" "erzwingen".
Das es noch weitere Teams für Übersetzung, GUI-Flexibility, usw. gibt, ist klar. Hier gemeint sind aber "nur" die Sweeper-Teams für "Fehler" bzw. Sicherheitslücken.

Google sollte sowas auch für sich selber einführen. Die golem-Berichte lassen immer wieder Schlampigkeiten in den Seitenprojekten erkennen.

Gill Batez schrieb:

> Google doch mal nach "Kritische Lücke im Linux-Kernel betrifft alle
> Versionen seit 2001"

Das sind ja glatt acht Jahre gewesen. Shocking.

> Die Lücke im Linux Kernel blieb auch jahrelang unbemerkt du kleiner
> Softwaresozialist.

Microsoft's LNK-Lücke besteht seit nunmehr mindestens zehn Jahren. Tststs, da haben diese Vorzeigesoftwarekapitalisten doch schon wieder gegen die Softwaresozialisten verloren.

> Steck dir deine rote Open Source Philosophie doch einfach irgendwo rein.

Wir haben Dich auch alle ganz doll lieb. :-)

Honk schrieb:
--------------------------------------------------------------------------------

> Scherzkeks! Eine Lücke kann man nur stopfen, wenn man von ihr Kenntnis hat.
> Und das war ja in deinem Beispiel, bis zur Entdeckung durch google, nicht
> der Fall.


Und wer sagt, dass Google der erste war, der sie entdeckt hat? Die Hacker werden bestimmt nicht laut schreiend durch die Gegend laufen, wenn sie ne Sicherheitslücke entdeckt haben.

Das Problem bei OS ist doch, dass das mit "jeder kann Fehler suchen und beheben" nur in der Theorie funktioniert. Sieht man ja gut daran, dass viele kleine OS-Projekte kaum Unterstützung haben, weil keiner Bock hat den Code zu prüfen und Fehler zu beheben, das machen die meisten nur bei größeren Projekten, also da wo es sich lohnt. Und je mehr OS-Programme auf den Markt kommen, desto weiter wird sich die Schere öffnen, zwischen denen die Unterstützung bekommen und denen wo nichts passiert.

Man könnte aber als Stadt München oder Linz bezahlen, damit z.b. libXML oder was man "braucht", bewiesen korrekt ist.

D.h. einen Teil der gesparten Lizenzkosten steckt man in die Beweiserfizierbarkeit der verwendeten Software und macht das auch zur Ausschreibungsvorraussetzung.

Und an die Nichtspeiler: Ich will nicht jede hergelaufene Software beweisen. Das geht nur mit der Hand und nicht automatisch laut Gödel.
Aber ich will, das nur bewiesene Software auf dem Rathaus-Rechner läuft. Und das kann man problemlos verlangen und auch problemlos erbringen. Indem man so programmiert, das der Beweis automatisch erbracht werden kann. Aber manche Leute verwechseln halt ständig A=>B nicht mit !B=>!A (richtig) sondern mit !A=>!B (falsch).
Heute sind die Rechner also schnell genug, bewiesene Software laufen zu lassen.
Korrektheit ist Stufe 0 und "lame" und "out" und selbstverständlich.
Spannender sind z.b. Beweise, das die Paketgröße so ist, das man mit einem UDP-Paket auskommt oder einem GSM/EDGE-Paket usw. oder das die Datenformate so sind, das man sie linear parsen kann, auch wenn man (NSA ist gemeint) alle Amazonbestellungen der letzten 10000 Jahre durchscannen will. Oder das man bei Suche nach bösen Bürgern mit logarithmischer Suche auskommt, wenn man in den USA alle Bürger verhaften will, die sich ein Evolutions-Buch ausgeliehen haben weil in den USA ja der Creationismus die Staatsreligion in manchen Bundesstaaten ist.
Kurzum: Spannend ist, was man beweisen will. Korrektheit ist standard und hausmannskost. Bufferoverrun-festigkeit, I18N-Fähigkeit, (Über)Lineare Skalierbarkeit mit Anzahl der Threads und Cores usw. sind moderne Beweis-Führungs-Ziele der wahren Informatik.

Zurück zum Thema: Man kann Korrektheit heute locker miterledigen. Die Progger müssen nur lernen, beweiserfreundlich zu programmieren.
Die Kunst ist, festzulegen, was man überhaupt beweisen will. Dort liegen dann die wahren Fehlerquellen.
Bei einer Bilanz muss man auch selber ausrechnen und auf beiden Seiten auf allen Konten im Kontenrahmen auf gleiche Summen kommen. Eine Bilanz ist also automatisch bewiesen, sobald man sie abgibt. Das die reingesteckten Zahlen möglicherweise gelogen sind, ist was anderes.

> da haben diese Vorzeigesoftwarekapitalisten doch schon wieder gegen die
> Softwaresozialisten verloren.

OpenSource hat u.A. was mit offenem Code zu tun, nichts mit Sozialismus, das sind höchstens Sprüche ihrer Gegner!

Klaus5 schrieb:

> OpenSource hat u.A. was mit offenem Code zu tun, nichts mit Sozialismus,
> das sind höchstens Sprüche ihrer Gegner!

Den sprachlichen Duktus hatte ich von meinem Vorredner übernommen. Andererseits sollte aber klar sein, dass Open Source insbesondere zur Folge hat, dass der Code kostenlos für jedermann zu haben ist. Dass es dann Leute gibt, die abfällig von Sozialismus oder gar Kommunismus reden, weil sie ihre Pfründe bedroht sehen, liegt doch auf der Hand.

*lol* für dieses affige "softwaresozialismus" schämt sich mittlerweile selbst Balmer in Grund und Boden - aber es gibt halt immer Leute, die von peinlich dummen Sprüchen angezogen werden, wie Fliegen von der Sch...

Jaja, Kosten sozialisieren (soll halt der Steuerzahler zahlen) und Gewinne privatisieren (IBM ist ja einer der Hauptgewinner des Opensource-Outsourcings).

> Den sprachlichen Duktus hatte ich von meinem Vorredner übernommen.

OK

> Andererseits sollte aber klar sein, dass Open Source insbesondere zur Folge
> hat, dass der Code kostenlos für jedermann zu haben ist.

Nö, es sollte vielmehr klar sein das das allenfalls ein Nebeneffekt ist, denn "kostenlos" ist weder Bestandteil der allgemeinen OpenSource-Definition, noch von bekannten OSS-Lizenzen.

In dem Maße wie die OSS-Bewegung fälschlich das "kostenlos" als scheinbar wichtiges Ziel betont, stellt sie sich selbst ein Bein.

> Dass es dann Leute
> gibt, die abfällig von Sozialismus oder gar Kommunismus reden, weil sie
> ihre Pfründe bedroht sehen, liegt doch auf der Hand.

Nein, das sehe ich nicht. Vielfach geht es einfach nur um Unverständnis.

Falsch!

Wenn dank Steuergelder OpenSource-Software verbessert wird, profitieren alle davon (denn alle können diese Verbesserung nutzen). Und ich rede hier wirklich von verbessern, nicht bloß davon dem Projekt Geld hinterherzuschmeißen.

Und was wäre denn finanziell der große Unterschied zu dem was vorher betrieben wurde? Da hat man wesentlich mehr Geld bezahlt, nur um eine Lizenz zu erhalten. Davon wird die Software aber erstmal nicht besser, sondern das Unternehmen kann seinen Aktionären mehr Geld in den Rachen schieben.

boffo schrieb:
-----------------------------------------------------------------
>
> Und wer sagt, dass Google der erste war, der sie entdeckt hat? Die Hacker
> werden bestimmt nicht laut schreiend durch die Gegend laufen, wenn sie ne
> Sicherheitslücke entdeckt haben.

Doch genau das ist was Hacker meistens machen.

Sich massiv durch unendliche Codewürste durch zuarbeiten ist übrigens komplett unproduktiv. Es lohnt sich höchstens wenn man bezahlt wurde ein bestimmtes High Profile ziel zu knacken. Aber selbst dann ist es meistens der sinnloseste Weg.

Der typische weg Zombies zu erstellen ist.

a)Man beobachtet die Meldungen für neue Lücken.
b)Man beobachtet die Patches zum schließen der Lücken.

a)Schreibt möglichst schnell ein Programm für genau diese Lücke.
b)Schaut wie die Lücke geschlossen wurde und nutzt das als Hinweis wie man die Lücke am besten ausnutzt

a,b) Man Fängt an zu fischen. Meistens bei Leuten die noch nicht geupdatet haben oder überhaupt nicht Updaten. Mit viel Glück kommt das Update selbst zu spät.

lolenhofen schrieb:
--------------------------------------------------------------------------------
> boffo schrieb:
> -----------------------------------------------------------------
> >
> > Und wer sagt, dass Google der erste war, der sie entdeckt hat? Die
> Hacker
> > werden bestimmt nicht laut schreiend durch die Gegend laufen, wenn sie
> ne
> > Sicherheitslücke entdeckt haben.
>
> Doch genau das ist was Hacker meistens machen.


Aha, meistens, also nicht immer. Da fühl ich mich gleich sicherer.

Klaus5 schrieb:
--------------------------------------------------------------------------------

> Nö, es sollte vielmehr klar sein das das allenfalls ein Nebeneffekt ist,
> denn "kostenlos" ist weder Bestandteil der allgemeinen
> OpenSource-Definition, noch von bekannten OSS-Lizenzen.


Und genau das ist aber der Grund, warum Leute OS-Programme einsetzen. Und nicht "weil der Code offen ist" oder weil irgendwelche Freaks mit irgendner Ideoligie dahintersitzen.

Für 99,9% der Leute ist Opensource einfach nur ne Art bessere Freeware.

Man kann Dienstleistungen erbringen. Oder die Server betreiben, auf denen dann Transaktionen laufen.

Dann muss man natürlich vereinbaren, das unbezahlte Server o.ä. ausgeknipst werden um unbezahlte Nutzung auszudünnen.

Man kann FOSS-Steuererklärungs-Software herausbringen. Das Finanzamt überweist dann Buhl-Data, Wiso-Steuersparbuch, TaxMan, Aldi_Steuer oder halt Gnu-Steuer pro abgegebener XML-Steuererklärung 5 Euro. Da kann es Dir als Progger egal sein, was die Leute sonst noch mit Deinem Code machen.

Schade das FSF nicht schlau genug dafür ist, per XML-Steuer-Software gigantische Gewinne einzufahren.

Das viel Hobby-Krams wie Sternenkarten oder Lernmodule usw. dann halt Kommerzware oder Schulbuchverlagen Konkurrenz macht, ist dann deren Problem und der Lauf der Geschichte.
Elektrorasierer sind ja auch schlecht für Barbiere... .