OpenSorce gefährlich

Das halte ich für quatsch. open source hat genauso bugs und sicherheitslücken wie proprietäre software - aber wenn in OS-SW fehler gefunden werden, stürzen sich viele leute drauf den fehler zu finden. und bis M$ einen entwickler dazu abgestllt hat, den fehler zu prüfen, einzuschätzen, beheben, testen und das ganze im zweifelhaften windows update oder zum download steht, istmit sicherheit mehr schaden entstanden...

Gringo schrieb:
-------------------------------------------------------
> OpenSource ist immer gefährlich (sagte mal mein
> Informatiklehrer), da jeder in dem Quelltext nach
> Sicherheitslücken suchen kann, um diese dann
> auszunutzen.
>
> Was haltet ihr davon? Und nein, mein
> Informatiklehrer heißt nicht Gates mit nachnamen.
> :)

Benutzer wird von Ihnen ignoriert. Anzeigen

Gringo schrieb:
-------------------------------------------------------
> OpenSource ist immer gefährlich (sagte mal mein
> Informatiklehrer)

Dein Informatiklehrer glaubt bestimmt auch, dass Windows OpenSource ist, oder?

Benutzer wird von Ihnen ignoriert. Anzeigen

Oscar2 schrieb:
-------------------------------------------------------

> Nee, aber es ist schon ein Unterschied, ob man
> einem Mitarbeiter eine großen Konzernes vertrauen
> schenkt, oder ob man einem (Hobby-)Programmierer,
> dessen Motivation ich nicht kenne, vertraut.

Woher kommt eigentlich diese Mär von: Freie Software wird nur von Hobbyisten im kostenlos im Keller produziert und was Geld kostet und nur als ausführbare Datei vorliegt von gut bezahlten, bestens ausgebildeten Profis hergestellt wurde?

Mir scheint, dass da erhebliche Wissenslücken vorliegen.

Benutzer wird von Ihnen ignoriert. Anzeigen

DauBasher schrieb:
-------------------------------------------------------

> Im Gegensatz zu OSS wird bei CSS der Patch (in der
> Regel) vorher ausgiebig getestet und das dauert
> halt.

Woher hast Du diese Information?
Meine Ausflüge in Software-Firmen können die obige Aussage nicht unbedingt bestätigen.

Benutzer wird von Ihnen ignoriert. Anzeigen

DauBasher schrieb:
-------------------------------------------------------
> Ähm... ich auch net, zumindest keine echten ;)

Er war's, er war's!!

> Letzteres kann durch intensives Testen nahezu
> ausgeschlossen werden

Trotzdem sind schon Patches rausgekommen, die unerwünschte Nebenwirkungen hatten. Ergo wird nicht intensiv genug getestet, was aber a priori klar war. Den Aufwand wird sich keiner wirklich geben können.

> ersteres kann auch bei OSS passieren

Das war auch nicht mein Punkt. Mich deuchte, daß Du meintest, bei CS sei die Welt diesbezüglich in Ordnung.

> Ist auch nicht verwunderlich: Wenn es
> so einfach wäre Sicherheitslücken zu erkennen
> würden sie gar nicht erst entstehen.

Eben.

> Ist auch egal... die brennt eh bald ab ;)

Ich behalte mal die großen Zeitungen im Auge. ;-)

Benutzer wird von Ihnen ignoriert. Anzeigen

Der Aufwand, Sicherheitslücken zu suchen, ist bei OpenSource und ClosedSource gleich hoch - jeweils 60 Minuten pro Stunde. Die Frage ist dabei immer nur, wer die Lücken zuerst findet - der Gute oder der Böse. Und ja, selbstverständlich kann man auch ohne Sourcecode nach Sicherheitslücken suchen.
OpenSource hat allerdings den Vorteil, dass man die gefundenen Lücken auch gleich beheben kann (wenn man zu den Guten gehört) - bei ClosedSource kann und darf das nur der Hersteller. Und der ist manchmal lahm.



Gringo schrieb:
-------------------------------------------------------
> OpenSource ist immer gefährlich (sagte mal mein
> Informatiklehrer), da jeder in dem Quelltext nach
> Sicherheitslücken suchen kann, um diese dann
> auszunutzen.
>
> Was haltet ihr davon? Und nein, mein
> Informatiklehrer heißt nicht Gates mit nachnamen.
> :)

Benutzer wird von Ihnen ignoriert. Anzeigen

Genau. Warum auch soll man auch von einem Lehrer verlangen, dass er Ahnung von den Dingen hat, die er unterrichtet.
Solange es kein Fahrlehrer ist, der Geschwindigkeiten unter 200km/h und Fahren mit Licht bei Nacht für gefährlich hält, ist das doch eh relativ harmlos.


Heiko schrieb:
-------------------------------------------------------
> Ich finde es viel gefährlicher, dass es Menschen
> gibt, die sich anmassen andere wegen ihrer Meinung
> zu verurteilen, oder noch besser, ihnen wegen
> einer eigenen Meinung den Beruf zu verbieten.
>

Benutzer wird von Ihnen ignoriert. Anzeigen

GrinderFX schrieb:
-------------------------------------------------------
> Und auch noch dann, wenn die person mit ihrer
> aussage recht hat.
>
> Die aussage, das opensource sicherer wäre, weil
> jeder den sourcecode ansehen kann, ist so ein
> schwachsinn. 99,9999999999% gucken sich doch nie
> den sourcecode an und selbst wenn doch, sie
> verstehen doch nichts davon. Es setzt sich doch
> auch keiner freiwillig hin und liest den quellcode
> von opensource produkten, um vielleicht fehler
> auszumerzen. Dies tut man höchsten, wenn man zur
> laufzeit einen fehler entdeckt hat und diesen
> beseitigen will. Das würde bei close source
> software genauso gehen, man muss es nur dem
> hersteller mittteilen. Den punkt der
> weiterentwicklung dritter vernachlässigen wir mal,
> da sich das problem nur verlagert und dann eben
> fehler im neuen codeteil sind.
>
> Der einzige grund sonst, warum sich jemand den
> sourcecode ansieht ist der aspekt der fehlersuche
> um diese gezielt auszunutzen. Meine erfahrung hat
> mir gezeigt, dass die fehlersuche in opensource
> projekten um ein vielfaches leichter war, da man
> schon im code nach schwachstellen suchen konnte
> und genau wußte, wie diese auszunutzen sind.


aha, ein Cracker.

Benutzer wird von Ihnen ignoriert. Anzeigen

Gringo schrieb:
-------------------------------------------------------
> OpenSource ist immer gefährlich (sagte mal mein
> Informatiklehrer), da jeder in dem Quelltext nach
> Sicherheitslücken suchen kann, um diese dann
> auszunutzen.
>
> Was haltet ihr davon? Und nein, mein
> Informatiklehrer heißt nicht Gates mit nachnamen.
> :)

Dein Informatiklehrer stinkt.

Benutzer wird von Ihnen ignoriert. Anzeigen

Oscar2 schrieb:
-------------------------------------------------------
> nate schrieb:
> --------------------------------------------------
> -----
> > ... Wenn ein Spezialist in
>
> Open-Source-Software einen Bug findet, behebt
> er
> ihn i.d.R. auch selbst (sind ja meist
> nur
> Einzeiler) und der Patch ist nur Stunden
> bis Tage
> später verfügbar.
>
> Wenn! Und wenn nicht? Oder doch? Oder aber auch
> doch nicht?
>
> Hab keine Lust, mich auf "irgendwelche Leute"
> verlassen zu müssen.


Na dann musst du aber ein riesiges Vertrauen in die closed source Software haben.

Benutzer wird von Ihnen ignoriert. Anzeigen

DauBasher schrieb:
-------------------------------------------------------
> Flying Circus schrieb:
> --------------------------------------------------
> -----
> > Das beißt sich mit
>
> Stimmt, hab C mit O vertauscht.
>
> > Nebenbei bemerkt sind nicht alle
>
> closedsource-Patches von hoher Qualität.
>
> Auch wenn jeder über Winzigweich schimpft: Selten
> tut ein Patch nicht das was er soll. Bei
> EinKopf(voraus) sieht das schon ganz anders aus,
> da ist ein Update oft schlimmer als das
> vorherige.
>

Och, ich erinnere mich da doch an den ein oder anderen missglückten Patch.

Benutzer wird von Ihnen ignoriert. Anzeigen

GrinderFX schrieb:
-------------------------------------------------------
> Es setzt sich doch
> auch keiner freiwillig hin und liest den quellcode
> von opensource produkten, um vielleicht fehler
> auszumerzen.

Komisch, anscheinend hat Secunia aber gerade genau das getan. So kam es zu diesem Artikel.

Gruß,

Henning.

Benutzer wird von Ihnen ignoriert. Anzeigen

nate schrieb:
-------------------------------------------------------
> > OpenSource ist immer gefährlich (sagte mal
> mein
> Informatiklehrer), da jeder in dem
> Quelltext nach
> Sicherheitslücken suchen kann,
> um diese dann
>
> ... zu beseitigen oder wenigstens darüber zu
> informieren. Solche Bugs finden sich sowohl in OSS
> als auch in CSS, und man kann nicht einmal sagen,
> dass eine der beiden Fraktionen überwiegt. Einen
> wesentlichen Unterschied gibt es aber: Wenn in
> Closed-Source-Software jemand einen Bug findet,
> dauert es Wochen bis Monate, bis ein Patch
> erscheint, weil der Hersteller erst reagieren muss
> -- nur der kann nämlich einen sauberen Patch
> abliefern. Wenn ein Spezialist in
> Open-Source-Software einen Bug findet, behebt er
> ihn i.d.R. auch selbst (sind ja meist nur
> Einzeiler) und der Patch ist nur Stunden bis Tage
> später verfügbar.

Es ging aber nicht um einen "offiziell" gefundenen Fehler sondern um einen, der durch einen Hacker gefuneden wird. Natürgemäß ist das bei Open Source einfacher als bei Closed Source, da mir ja die Quelle vorliegt. Bei Closed Source muß ich den Code dekompilieren oder ich beschreite andere, schräge Wege. Die kann ich aber bei Open Source auch nutzen. Es gibt dort also einen Weg mehr, sie zu hacken - und zwar den (in meinen Augen) einfachsten.

Benutzer wird von Ihnen ignoriert. Anzeigen

damaltor schrieb:
-------------------------------------------------------
> Das halte ich für quatsch. open source hat genauso
> bugs und sicherheitslücken wie proprietäre
> software - aber wenn in OS-SW fehler gefunden
> werden, stürzen sich viele leute drauf den fehler
> zu finden. und bis M$ einen entwickler dazu
> abgestllt hat, den fehler zu prüfen,
> einzuschätzen, beheben, testen und das ganze im
> zweifelhaften windows update oder zum download
> steht, istmit sicherheit mehr schaden
> entstanden...

Überspitzt formuliert: Wenn ein Hacker mit bösen Absichten einen Quellcode nach einem Fehler absucht, der ihm die Kontrolle über ein System zu übernehmen erlaubt, dann meldet er das bei OS schneller? Nö, natürlich nicht ;-). Er zielte darauf ab, das der Hacker bei Open Source überhaupt erst die Möglichkeit dazu hat. Klar gibts Möglichkeiten, auch ohne Quellcode nach Sicherheitslücken zu suchen. Aber diese Möglichkeiten habe ich ja bei Open Source ebenfalls. Somit hat der Hacker also eine gute Möglichkeit mehr - ich denke, darauf wollte er hinaus. Das Leute ohne böse Absichten bei Open Source Fehler melden können - im Prinzip sogar die Zeile benennen - ist natürlich klar. Hat aber mit Hackern nix zu tun.

Benutzer wird von Ihnen ignoriert. Anzeigen