1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Brendan Eich: Browser als…

Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

  1. Thema

Neues Thema Ansicht wechseln


  1. Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: sttn 13.01.14 - 09:39

    ist weil man Firmen wie Microsoft nicht trauen kann.
    Seitdem bekannt ist das Microsoft Sicherhetisücken zuerst an die NSA gemeldet hat und sicher auch sonst mit der NSA eng zusammengearbeitet hat, sieht das ganze schon etwas anderes aus, auch wenn der M$-Fanclub zum Teil unbelehrbar ist.

    Open Soruce bleibt aber nur dann sicehrer, wenn wir es nutzen und weiter entwickeln. Das gilt besonders für Browser wie Firefox.

  2. Re: Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: non_sense 13.01.14 - 10:26

    Hast du überhaupt den Text gelesen? ...

  3. Re: Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: hw75 13.01.14 - 11:27

    Wer sollte jemals was anderes gesagt haben, außer dass Open Source sicherer ist? Liegt doch auf der Hand.

  4. Re: Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: Solarix 13.01.14 - 11:53

    Es ist nicht sicherer.
    Man mag eher Fehler finden *falls* man den Code kontrolliert.
    Aber bei der Größe von Quellcode heutzutage ist das sehr schwer alles zu Überprüfen.
    Hast du schon mal den Quellcode deines bevorzugten Linuxkernels komplett durchgesehen? Eher nicht wie ich mal annehmen darf.
    Du weißt also immer noch nicht ob da Schadcode enthalten ist oder nicht trotzdem der Code öffentlich verfügbar ist. Schliesslich braucht man sehr viel Zeit und großes Verständnis der Materie um da eventuellen Schadcode zu identifizieren.

    Die große Open Source Community list leider nicht mal ansatzweise so groß wie man erhofft. Wirklich entwickeln und den Code verstehen 2 handvoll Leute.

    Der Rest übernimmt alles ohne Prüfung im Glauben das alles OK ist, weil es Open Source ist ...

  5. Re: Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: vol1 13.01.14 - 11:59

    OS: kann von jedem geprüft werden, auch wenn es keiner macht
    CS: kann von niemandem geprüft werden.

    Offensichtlich hat also OS den Vorteil, dass man es kann und alleine dadurch erhöht sich die Sicherheit, wenn auch teils nur marginal. Dazu kommt noch, dass eine Firma mit CS machen kann was sie will, OS kann zur Not von jemand anderem weiterentwickelt werden.

    OS:2
    CS:0

  6. Re: Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: Anonymer Nutzer 13.01.14 - 12:58

    Nein, wenn ich meine Tür abschließen kann, es aber nicht tue, dann hat sich da überhaupt nichts erhöht. Dann ist die Tür genauso unsicher wie eine die man nicht abschließen kann.

  7. Re: Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: Juge 13.01.14 - 13:15

    Es ist wesentlich einfacher, etwas nachträglich in Open Souce einzubauen, als diese Manipulation aufzudecken.

    Vertraue einfach niemandem, Kombiniere einfach alles und sorge für größte Sicherheit. Beispiel: Windows und Bitlocker? Nicht so sicher. Windows und DiskCryptor? Mutmaßlich besser.

    Und: Verziechte auf jeden Public-Cloud-Shit.

  8. Re: Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: skinnie 13.01.14 - 16:51

    Dann versuche einmal eine Türe abzuschließen, die erst gar kein Schloss hat - um bei deinem Vergleich zu bleiben.

    Absolute, 100%-ige Sicherheit gibt es nirgendwo im Leben, aber man kann es den bösen Buben so schwer als möglich machen. Dazu gehört eben auch, dass der Quellcode von Software für jeden einsehbar ist. Die Behauptung, die OSS-Gemeinde wäre zu klein und würde OS-Code gar nicht auf Sicherheitslöcher überprüfen, ist uralter MS-FUD. Die Wirklichkeit sieht zum Glück etwas anders aus, als es die großen proprietären Softwarekonzerne gerne hätten.

  9. Re: Vor Jahren noch wurde ich belächelt als ich meinte das Open Source sicherer

    Autor: vol1 13.01.14 - 19:38

    fluppsi schrieb:
    --------------------------------------------------------------------------------
    > Nein, wenn ich meine Tür abschließen kann, es aber nicht tue, dann hat sich
    > da überhaupt nichts erhöht. Dann ist die Tür genauso unsicher wie eine die
    > man nicht abschließen kann.


    Bloß weil du es nicht machst heißt das noch lange nicht, dass es andere auch nicht machen.

    Ich habe z.B. Teile von Wordpress durchgearbeitet und alle meine Plugins auseinandergenommen und ein eigenes damit geschrieben, das garantiert sicher ist.

    Davon haben andere auch profitiert.

  10. Re: Vor Jahren noch wurde ich belächelt, als ich meinte, dass Open Source sicherer wäre

    Autor: Tuxianer 10.03.14 - 16:40

    sttn schrieb:
    --------------------------------------------------------------------------------
    > ist, weil man Firmen wie Microsoft nicht trauen kann.
    > Seitdem bekannt ist, dass Microsoft Sicherheitslücken zuerst an die NSA
    > gemeldet hat und sicher auch sonst mit der NSA eng zusammengearbeitet hat,
    > sieht das ganze schon etwas anderes aus,

    Firmen mit Sitz in den usa trauen: das kann man inzwischen vergessen. Adblock hat sich inzwischen in Deutschland firmiert und ist damit wie viel besser kontrolliert? Huawei-Handys und -Router sind chinesische Produkte und gelten als unsicher (weil sicherheitstechnisch veraltet), zumal man dann halt aus diesem Gebiet der Welt dauerüberwacht wird; apple-Produkte kommen aber produktionstechnisch dummerweise auch aus China oder Ländern, die von China voll abhängig sind. Ich bezweifle, dass apple - sollte die Firma das wirklich wollen (und dürfen! China hat auch so seine stillen Vereinbarungen für die, die dort billig produzieren wollen!) - auch nur die geringste Chance hätte, zu verhindern, dass chinas Überwachungsparanoiker und Volks- wie Individual-Manipulatoren Dinge in die i-Geräte einbasteln, die von apple nicht so vorgesehen sind, also zusätzlich zur apple-arbeitet-für-die-nsa-Spionage eben die apple-arbeitet-ohne-es-zu-wissen-für-china-Spionage.

    Und selbst wenn man bei apple solche Dinge wüsste: Denken Sie, apple würde die Nutzer warnen? Vor den eigenen Geräten???


    > auch wenn der M$-Fanclub zum Teil
    > unbelehrbar ist.

    Das hat nichts mit Fanclub zu tun, und auch nicht mit Unbelehrbarkeit. Oder würden Sie behaupten, dass die Sicherheit bei Apple (Sitz in usa), bei Adroid=Google (Sitz in usa), bei Cisco (Sitz in usa), bei Motorola (aufgekauft, realer Sitz in usa), bei Blackberry (Sitz in usa), bei DLink (klingt nach deutsch, ist es aber nicht - und es würde auch nichts ändern, wenn es das wäre), bei adobe (Flash und diverse Programme; Sitz in usa), bei Oracle (Java und diverse Programe; Sitz in usa) oder bei irgendeinem Betriebssystem- oder Applikations- oder Bibliotheks- oder Router- oder Switch- oder Unterhaltungselektronik-Hersteller echt höher anzusetzen ist?


    > Open Soruce bleibt aber nur dann sicherer, wenn wir es nutzen ...

    Durch die Nutzung wird open-source-Software leider gar und überhaupt nicht sicherer.

    > und weiterentwickeln. Das gilt besonders für Browser wie Firefox.

    Ach, für das Betriebssystem, auf dem der Browser läuft, nicht? Wie sicher ist der supersaubersichere Firefox, wenn das OS drunter voll verwanzt ist? Oder wenn die Hintertüre im Netzwerktreiber drin hängt? Oder in der Hardware des Routers?

    Open Source bietet die CHANCE, von eher unabhängigen Menschen kontrolliert zu werden. Dafür bekommt niemand einen Blumentopf. Closed Source wird firmenintern geprüft, von Fachleuten, die viel mehr Details kennen. Und das müssen nicht wenige sein; mir ist nicht bekannt, wie viele Leute den Kernel von Windows durcharbeiten, aber es sind sicher nicht wenige!

    Aber: Wie an anderer Stelle schon geschrieben, reicht es nicht. Fehler in der Spezifikation, seien sie absichtlich eingebaut (sehr häufig) oder fahrlässig übersehen, fallen bei noch so viel Analyse des Quelltextes nicht auf.

    Außerdem ist das Tempo ein Ding: Alle 4 Wochen gibt es einen neuen Firefox, und irgendwo in diesen -zig Megabyte Quellcode kann sich das kleine, das winzige Schlupfloch verbergen; in jeder Version sieht es etwas anders aus, steht woanders, heißt anders. Aber es hat immer dieselbe Funktion: es führt etwas aus, lädt Code nach, lässt etwas zu oder initiiert eine Verbindung zu einem anderen Rechner. Was nützt mir die Analyse, wenn ich in frühestens drei Monaten das Löchlein gefunden habe und Mozilla ja mit jeder Version angeblich neue Sicherheitslücken gefixt haben will (und dabei eben neue woanders wieder einbaut, sei es aus kommerziellen Gründen (steht ja nun an) oder aus Zwang von Staaten oder staatsübergreifenden Konzernen)? google mag dafür bezahlen, als Standard-Suchmaschine vorgesehen zu sein. Möglicherweise bezahlt google aber auch noch für andere Dienstleistungen... wissen Sie es?

    Ubuntu ist auch open source ... abgesehen von den Dingen, die die Firma, die das System letztendlich kontrolliert, dann im final composing doch heimlich einkompiliert. Weiß ich, ob das bei Mint, bei Debian, bei OpenSuse oder bei irgendeiner anderen Distribution wirklich anders läuft? Nur, weil es noch keiner bemerkt hat, ist das kein Beweis für die Nicht-Existenz solcher Manipulationen.

    Ach, und es ist ja so bequem: Autoupdate und fertig. Immer die "sicherste" Version ... LOL. Wenn der Browser (oder sonst ein Applikations-Programm) das Recht hat, seine eigenen ausführbaren Dateien im System zu ändern, ist das nichts als ein sehr grobes Sicherheitsleck! Und das hat nichts mit Microsoft oder Mac oder Solaris zu tun; es ist eine bequeme aber eben auch gefährliche Funktion, die auf allen Systemen angeboten wird. Weil eben auch alle Betriebssysteme - inklusive Linux - die Möglichkeit anbieten, dass sich Software selbst durch andere Software ersetzt.

    Ich starte mein Linux. Heute nur 13 Aktualisierungen, davon 4 Sicherheitsdinge ... nur 2.5 MByte an Material; da habe ich den Quellcode sicher binnen ... 3 Monaten? verstanden???

    Open Source ist eine gute Idee. Aber das Problem löst man damit nicht. Man glaubt sich nur sicher - und begeht damit genau den Fehler, den die sozusagen vorbereitet haben, die einem diese Sicherheit vorgaukeln.

    -----

    Befugnis kann man delegieren. Kompetenz muss man erlangen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, 91074 Herzogenaurach
  2. Keller & Kalmbach GmbH, Unterschleißheim bei München
  3. Vodafone GmbH, Düsseldorf
  4. m3connect GmbH, Hamburg, München, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Gigabyte M27Q 27-Zoll-IPS WQHD 170Hz für 319,90€, Asus ROG STRIX B550-I Gaming Mainboard...
  2. (u. a. Sandisk Extreme Pro PCIe-SSD 500GB für 62,99€, Crucial MX500 SATA-SSD 1TB für 85,99€)
  3. (u. a. Beats Studio3 Over Ear Bluetooth für 189€, Powerbeats Pro kabellose In-Ear-Bluetooth...
  4. (u. a. Crusader Kings III - Royal Edition für 42,99€, Mount & Blade II - Bannerlord für 27...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Astronomie: Arecibo wird abgerissen
Astronomie
Arecibo wird abgerissen

Das weltberühmte Radioteleskop ist nicht mehr zu retten. Reparaturarbeiten wären lebensgefährlich.

  1. Astronomie Zweites Kabel von Arecibo-Radioteleskop kaputt
  2. Die Zukunft des Universums Wie alles endet
  3. Astronomie Gibt es Leben auf der Venus?

In eigener Sache: Golem-PCs mit Ryzen 5000 und Radeon RX 6800
In eigener Sache
Golem-PCs mit Ryzen 5000 und Radeon RX 6800

Mehr Leistung zum gleichen Preis: Der Golem Highend wurde mit dem Ryzen 5 5600X ausgestattet, die Geforce RTX 3070 kann optional durch eine günstigere und schnellere Radeon RX 6800 ersetzt werden.

  1. Video-Coaching für IT-Profis Shifoo geht in die offene Beta
  2. In eigener Sache Golem-PCs mit RTX 3070 günstiger und schneller
  3. In eigener Sache Die konfigurierbaren Golem-PCs sind da

Pixel 4a 5G im Test: Das alternative Pixel 5 XL
Pixel 4a 5G im Test
Das alternative Pixel 5 XL

2020 gibt es kein Pixel 5 XL - oder etwa doch? Das Pixel 4a 5G ist größer als das Pixel 5, die grundlegende Hardware ist ähnlich bis gleich. Das Smartphone bietet trotz Abstrichen eine Menge.
Ein Test von Tobias Költzsch

  1. Schnelle Webseiten Google will AMP-Seiten nicht mehr bevorzugen
  2. Digitale-Dienste-Gesetz Will die EU-Kommission doch keine Konzerne zerschlagen?
  3. Google Fotos Kein unbegrenzter Fotospeicher für neue Pixel