Open Source ist sicherer

Da dort jeder dem die Sicherheit wichtig ist, die Lücke beseitigen kann. Bei Closed-Source Software ist man hingegen dem Willen des Herstellers ausgeliefert.

Den meisten Herstellern ist die Sicherheit jedoch nicht so wichtig als dass sie schnell wieder hergestellt wird. Dies belegt diese Studie eindrucksvoll.

Zu dumm einen Browser zu schreiben ist man trotzdem. Zumindest bei Mozilla.

IT-Consultant schrieb:
--------------------------------------------------------------------------------
> Da dort jeder dem die Sicherheit wichtig ist, die Lücke beseitigen kann.

Was für ein Irrglaube... "jeder"... wie lächerlich. Nicht nur dass man programmieren können muss, man muss auch Zugriff auf deren Source Codes haben, sprich: Man muss Teil der Entwicklungscommunity sein.

> Bei Closed-Source Software ist man hingegen dem Willen des Herstellers
> ausgeliefert.

Unsinn, es gibt wohl keinen Hersteller der Sicherheitslücken einfach so hinnimmt und nichts macht. Je größer ein Konzern ist desto langsamer mahlen die Mühlen. Zurecht! Aber darauf geh ich jetzt mal nicht näher ein...

> Den meisten Herstellern ist die Sicherheit jedoch nicht so wichtig als dass
> sie schnell wieder hergestellt wird. Dies belegt diese Studie
> eindrucksvoll.

Unsinn, die Studie beweist nur eines: Sie brauchen länger als es die Kunden haben wollen. Was für ein Aufwand dahinter steckt kann ein Laie natürlich nicht wissen, sieht man ja anhand Deiner realitätsfremden Aussage was OpenSource angeht.

IT-Insider schrieb:
--------------------------------------------------------------------------------
> IT-Consultant schrieb:
> ---------------------------------------------------------------------------
> -----
> > Da dort jeder dem die Sicherheit wichtig ist, die Lücke beseitigen kann.
>
> Was für ein Irrglaube... "jeder"... wie lächerlich. Nicht nur dass man
> programmieren können muss,


Dieser Irrglaube ergibt sich einfach aus purer Ahnungslosigkeit.
Es ist die extrem einschränkte Sichtweise von Usern, die von
Softwareentwicklung keine Ahnung haben. Diese Leute glauben
wirklich, dass Software automatisch besser oder sicherer ist, nur weil die Quellen offenliegen.

Aber jeder der programmieren kann (und darunter ist etwas anderes zu verstehen als die Sourcen eines "Hello Word"-Programms in einen Editor reinzuhacken) weiss, dass das Unfug
ist. Nur die Nur-User und OSS-Fanboys wollen von ihrer Illusion nicht lassen.

Denn die meiste OSS-Software ist von der Sorte, die man
eben im Hobbybastelbereich ansiedeln muss. Sprich: keine
Dokumentation und so abstrus hingefrickelt, dass deren Macher
nach 1 Woche Pause ihre eigenen Sourcen nicht mehr nachvollziehen können.

Von durchdachten Konzepten und tragfähigen Strukturen
u.s.w. ist da weit und breit nichts zu sehen.Und dieser
Softwaremüll wird auch durch Veröffentlichung des
Quellcodes nicht besser. Daran ändern auch ein paar wirklich
gute Porjekte nichts. Denn die sind eher die Ausnahme, als
die Regel.

Aber in der OSS-Ecke wird man wohl noch lange brauchen
bis man das endlich versteht.


Ach ja...und bevor jetzt wieder ein Dummschwätzer daherkommt...
OSS ist eine Linzenzform....und nicht an ein bestimmtes
Betriebssystem gebunden. OSS-Software gibt es auch für Windows
was diese FrickelSoftware dort aber auch nicht besser macht.

da gabs doch auch diesen artikel hier der über eine studie berichtete, dass software die opensource ist von wenigen leuten geschrieben wird und von noch weniger leuten der code mal durchgeschaut wird...

Ich bin exakt andere Meinung. Open Source ist in der Hinsicht sehr gefährlich. Ich meine Einfacher an den Code zu kommen gehts ja nichtmehr. Und wenn ich den Code habe hab ich quasi schon die möglichkeit das programm für meine Zwecke zu missbrauchen.

Herrmann X. schrieb:
--------------------------------------------------------------------------------
> Denn die meiste OSS-Software ist von der Sorte, die man
> eben im Hobbybastelbereich ansiedeln muss. Sprich: keine
> Dokumentation und so abstrus hingefrickelt, dass deren Macher
> nach 1 Woche Pause ihre eigenen Sourcen nicht mehr nachvollziehen können.
Das stimmt zwar, aber das trifft auf kommerziell entwickelte Software genauso zu. Da wird genauso gefrickelt bis der Arzt kommt, nur dass man es da versteckt, weil es sonst zu peinlich wäre.

IT-Consultant schrieb:
--------------------------------------------------------------------------------
> Da dort jeder dem die Sicherheit wichtig ist, die Lücke beseitigen kann.
> Bei Closed-Source Software ist man hingegen dem Willen des Herstellers
> ausgeliefert.


Und bei Opensource ist man denen ausgeliefert, die entscheiden, ob die Sicherheitslücke, bzw. das Programm es wert ist, gefixt zu werden.

Und je mehr OS-Programme es gibt, desto mehr Sicherheitslücken bleiben offen, weil es so gesehen immer mehr zu tun gibt und kaum einer mehr all das durchprüfen und fixen will, höchstens bei den bekannten "großen" Projekten.

Und wie willst Du anderen Usern den von Dir geänderten Code unterschieben? Oder meinst Du es anders, Du schnappst Dir eine Software und änderst die so, dass sie Schaden anrichten kann? Wer sowas hinbekommt, kann sich das auch gleich selbst schreiben. Sagen die anderen oben ja auch schon: Sicherheitslücken kann nur fixen, wer den Code versteht, ihn faktisch also auch selbst geschrieben haben könnte. Ihr closed-source Verfechter müsst euch da mal auf eine Sichtweise einigen.

IT-Insider schrieb:
--------------------------------------------------------------------------------
> IT-Consultant schrieb:
> ---------------------------------------------------------------------------
> -----
> > Da dort jeder dem die Sicherheit wichtig ist, die Lücke beseitigen kann.
>
> Was für ein Irrglaube... "jeder"... wie lächerlich. Nicht nur dass man
> programmieren können muss, man muss auch Zugriff auf deren Source Codes
> haben, sprich: Man muss Teil der Entwicklungscommunity sein.
>

Was? Wer so neu beim Thema dabei ist wie Du: Definition von Open Source lesen und verstehen: der Code ist offen erhältlich. Für jeden. Auch die Entwicklerversionen, wenn gewünscht. Minütlich. So, wieder was dazugelernt.

> > Bei Closed-Source Software ist man hingegen dem Willen des Herstellers
> > ausgeliefert.
>
> Unsinn, es gibt wohl keinen Hersteller der Sicherheitslücken einfach so
> hinnimmt und nichts macht. Je größer ein Konzern ist desto langsamer mahlen
> die Mühlen. Zurecht! Aber darauf geh ich jetzt mal nicht näher ein...
>

Genau, denn die Lücken, die für Behörden-Trojaner (wenn auch zumeist in den USA) offen gelassen wurden, werden natürlich langsamer weggepatched nachdem sie von dritter Seite publik gemacht wurden, weil es ja noch genügend andere geben muss. Der Einsatz von MS Produkten auf Computern mit Internetanschluss ist in der Forschung/Wirtschaft auf Grund dieses Umstandes auch als sehr bedenklich anzusehen.

> > Den meisten Herstellern ist die Sicherheit jedoch nicht so wichtig als
> dass
> > sie schnell wieder hergestellt wird. Dies belegt diese Studie
> > eindrucksvoll.
>
> Unsinn, die Studie beweist nur eines: Sie brauchen länger als es die Kunden
> haben wollen. Was für ein Aufwand dahinter steckt kann ein Laie natürlich
> nicht wissen, sieht man ja anhand Deiner realitätsfremden Aussage was
> OpenSource angeht.

Naja, die ausgereiften monatlichen Qualitätspatche von MS, wo ein Patch gepatched und dann weils es immernoch nicht lief nochmal gepatched werden musste ist uns allen noch farbenfroh in Erinnerung.

Ruota schrieb:
--------------------------------------------------------------------------------

> Naja, die ausgereiften monatlichen Qualitätspatche von MS, wo ein Patch
> gepatched und dann weils es immernoch nicht lief nochmal gepatched werden
> musste ist uns allen noch farbenfroh in Erinnerung.


Und dieser Fall wird wohl noch die nächsten 150 Jahre von MS-Gegnern immer wieder ausgegraben und immer wiederholt.

josef0102 schrieb:
--------------------------------------------------------------------------------
> Ich bin exakt andere Meinung. Open Source ist in der Hinsicht sehr
> gefährlich. Ich meine Einfacher an den Code zu kommen gehts ja nichtmehr.
> Und wenn ich den Code habe hab ich quasi schon die möglichkeit das programm
> für meine Zwecke zu missbrauchen.


Hilfe, wir werden alle sterben! ;-)

Im Ernst, jedem Nutzer sollte klar sein, dass es sicherer für ihn ist, nur Software aus vertrauenswürdigen Quellen zu benutzen. Zugegeben, unter Windows scheint mir das etwas schwer realisierbar oder durchschaubar für den "normalen" Anwender. Unter Linux verlasse ich mich da auf das von meiner Distribution bereitgestellte Repository und halte mich von Fremdquellen fern.

Wenn ich also Böses im Schilde führte, müsste ich den Code, sagen wir mal von OpenOffice.org verändern und die Anwender dazu bringen, das Paket statt vom Original nun von mir zu beziehen. Könnte schwierig werden...

Und dann? Verteilst du deine manipulierte Version der Software auf dem Schulhof, oder wie?

Trollversteher schrieb:
--------------------------------------------------------------------------------
> Und dann? Verteilst du deine manipulierte Version der Software auf dem
> Schulhof, oder wie?


Vielleicht. Vielleicht auch nicht...
Vielleicht habe ich auch den Finger auf das eigentliche Problem gelegt. Sicherheitsrisiko Nr. 1 ist der Anwender. Wer kritiklos allen Mist installiert, wird mit OSS Schiffbruch erleiden. Alles nur eine Frage der Zeit.

Vielleicht beschäftigt man sich bei Gelegenheit mal mit den Anforderungen, die ein Programmierer erfüllen muss, um es mit seinem Projekt in ein Repository zu schaffen, beispielsweise Debian. Dann sieht es anders aus, und solche Sprüche wie die von mir zitierten haben einfach keine Substanz.

>Vielleicht. Vielleicht auch nicht... Vielleicht habe ich auch den Finger auf das eigentliche Problem gelegt. Sicherheitsrisiko Nr. 1 ist der Anwender. Wer kritiklos allen Mist installiert, wird mit OSS Schiffbruch erleiden. Alles nur eine Frage der Zeit.

Schwachsinn. Ich behaupte mal, dass sich deutlich mehr Viren und Trojaner durch den Download von NeustesProgrammXY_Crack_Keygen.exe auf "Warez-Sites" verbreiten, als durch bösartig manipulierte OpenSource-Software - seltsamerweise gibt es für ersteres hunderttausende von Beispielen, für letzteres kein einziges; oder kennst du eins?



1 mal bearbeitet, zuletzt am 01.08.10 14:17 durch Trollversteher.

Und weils dafür keine Beispiele gibt, deshalb geben viele OS-Projekte ne Warnung raus, dass man das Programm nur von ihrer eigenen Seite runterladen sollte, weil man nur da sicher sein kann, dass alles in Ordnung ist...

Trollversteher schrieb:
--------------------------------------------------------------------------------
> >Vielleicht. Vielleicht auch nicht... Vielleicht habe ich auch den Finger
> auf das eigentliche Problem gelegt. Sicherheitsrisiko Nr. 1 ist der
> Anwender. Wer kritiklos allen Mist installiert, wird mit OSS Schiffbruch
> erleiden. Alles nur eine Frage der Zeit.
>
> Schwachsinn. Ich behaupte mal, dass sich deutlich mehr Viren und Trojaner
> durch den Download von NeustesProgrammXY_Crack_Keygen.exe auf "Warez-Sites"
> verbreiten, als durch bösartig manipulierte OpenSource-Software -
> seltsamerweise gibt es für ersteres hunderttausende von Beispielen, für
> letzteres kein einziges; oder kennst du eins?

Erstens denke ich, dass wir beide das Gleiche meinen, nur bissel aneinander vorbeireden. Kein Problem, denn ich kann Dir unumwunden zustimmen.
Zweitens bleibt trotzdem der Anwender, der bewusst die Datei NeustesProgrammXY_Crack_Keygen.exe herunterlädt und installiert.
Drittens bleibt trotzdem ein Restrisiko bei der Installation von Software aus Fremdquellen, die Distributionen warnen davor. Und weil man da nie sicher sein kann, schrieb ich auch davon, dass es nur eine Frage der Zeit sei, bis sich jemand beim kritiklosen Umgang mit solcher Software was einfängt.

Fazit: Es erhöht meine Sicherheit ungemein, wenn ich mich an die Empfehlung meiner Distribution halte und keine Fremdquellen zulasse. Und es erhöht meine Sicherheit ungemein, ein System zu haben, welches ohne *.exe-Dateien auskommt... ;-)

Ok, alles klar - dann liegen wir tatsächlich nicht so weit auseinander; die größte Sicherheitslücke sitzt vor dem Bildschirm, egal ob mit OSS oder Closed Source Software, das ist wahr...

Fälle, Plural.
Und ja, das ist umso peinlicher, als dass man für diesen "Service" beim Kauf von Windows bezahlt hat.

Rotua schrieb:
--------------------------------------------------------------------------------
> Fälle, Plural.
> Und ja, das ist umso peinlicher, als dass man für diesen "Service" beim
> Kauf von Windows bezahlt hat.


Trotzdem kann man nicht erwarten, dass alles immer und sofort einwandfrei funktioniert. Gerade bei sowas komplexem wie einem OS und millionen Hardwarekombis.