Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Browsererweiterungen: Plötzlich nackt…

Zum Fazit

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Zum Fazit

    Autor: tobster 03.11.16 - 16:34

    > Hier braucht es dringend gesetzliche Vorgaben. Es muss geklärt werden, auf
    > welcher Grundlage diese Daten gehandelt werden.

    Und dann bitte gleich bei der Vorratsdatenspeicherung fortsetzen.

    > Man muss überprüfen, wieso die Pseudonymisierung der Daten gebrochen werden konnte

    Bei der genannten URL ist dies wohl nicht passiert und wohl auch nicht gewollt, weil es z.B. bei WOT bestimmt einfach keinen interessiert.

    > und natürlich muss man sich fragen, warum niemand die Software überprüft und
    > sichert, mit der wir uns im Netz bewegen.

    Wer soll das machen? Die Internetpolizei?

    Konsequent müsste man sagen, setze keine SW ein, bei der man nicht im Code selbst nachsehen kann, was gemacht wird. Also OpenSource. Und dann folgt gleich im Nachsatz, wer diese Menge Code überblicken soll? Ich möchte glauben, dass schlimmes wie hier bei einer Community nicht lang verborgen bleibt, 100% Sicherheit gibt's aber nunmal nicht. Der einfach Verbraucher/Betroffene ist aber bereits außen vor und hat keine Chance.

    Ein Beispiel: Erweiterung uBlock origin
    Auf GitHub einsehbar: https://github.com/gorhill/uBlock

    Bevor ich das nun einsetze prüfe ich den Code komplett, verstehe ihn, compilieren ihn selbst und setze das Plug-In erst dann ein?



    1 mal bearbeitet, zuletzt am 03.11.16 16:40 durch tobster.

  2. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 16:42

    tobster schrieb:
    --------------------------------------------------------------------------------
    > Also OpenSource. Und dann folgt gleich im Nachsatz, wer diese Menge Code überblicken soll? Ich möchte glauben, dass schlimmes wie hier bei einer Community nicht lang verborgen bleibt

    Heartbleed blieb 3 Jahre lang unentdeckt.

  3. Re: Zum Fazit

    Autor: tobster 03.11.16 - 16:50

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------
    > Heartbleed blieb 3 Jahre lang unentdeckt.

    Danke, gutes Beispiel, wobei wir hier einen Programmfehler haben und da eine absichtliche Funktion nebenbei Daten abzugreifen. Letzteres fände meiner Hoffnung nach evtl. jemand zeitnaher in Open Source. Nichtsdestotrotz kann niemand die Garantie ausprechen.

  4. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 16:54

    tobster schrieb:
    --------------------------------------------------------------------------------
    > der_wahre_hannes schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Heartbleed blieb 3 Jahre lang unentdeckt.
    >
    > Danke, gutes Beispiel, wobei wir hier einen Programmfehler haben und da
    > eine absichtliche Funktion nebenbei Daten abzugreifen. Letzteres fände
    > meiner Hoffnung nach evtl. jemand zeitnaher in Open Source.
    > Nichtsdestotrotz kann niemand die Garantie ausprechen.

    Ja, das ist es leider. Open Source ist ja schön und gut, aber es kostet ungeheuer viel Zeit, sich in einem unbekannten Projekt wirklich einzuarbeiten. Vor allem, wenn man die Sprache vielleicht auch nicht so gut kennt.

    Der Linux-Kernel hat z.B. mittlerweile über 20 Millionen LOC, ich wette, nichtmal Linus weiß noch zu 100%, was da alles drin steht. Das Argument "ist Open Source also werden Fehler/Hintertüren schnell gefunden" hat sich in der Praxis leider noch nicht so wirklich bestätigt.

  5. Re: Zum Fazit

    Autor: raphaelo00 03.11.16 - 17:00

    Nein leider nicht schnell. Imho trotzdem schneller als bei css. Aber auf alle fälle um längen schneller gefixed als bei css

  6. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:02

    raphaelo00 schrieb:
    --------------------------------------------------------------------------------
    > Nein leider nicht schnell. Imho trotzdem schneller als bei css. Aber auf
    > alle fälle um längen schneller gefixed als bei css

    Woran genau machst du das fest?

  7. Re: Zum Fazit

    Autor: Moe479 03.11.16 - 17:06

    muss es auch nicht, es schon besser wenn man kann wenn man möchte, closed source bietet zusätzlich zu den problemen von jeglicher software diese möglichkeit nicht. sich nun hinzustellen und zu sagen, das das sowieso kaum einer macht, macht es nicht überflüssig oder so, möglichkeit bleibt möglichkeit.

    der überwiegende teil der nutzer ist einfach zu faul, ich kenne nur wenige die es geistig grundsätzlich meiner meinung nach nicht könnten, der rest ist einfach nicht fleißig genug bzw. schlichtweg desinteressiert an dem schutz seiner daten, soll gefälligst wer anders sich um seinen arsch kümmern ... insofern ist das alles schon recht verdient ... es wurde sich gekümmert, auch um seinen arsch!



    3 mal bearbeitet, zuletzt am 03.11.16 17:10 durch Moe479.

  8. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:09

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > muss es auch nicht, es schon besser wenn man kann wenn man möchte,

    Aber kann man denn wirklich? Kann man sich hinsetzen und 20 Mios LOC durchackern und auch wirklich verstehen, was da vor sich geht?

  9. Re: Zum Fazit

    Autor: Moe479 03.11.16 - 17:17

    du kannst zumindest mal anfangen, und dir die arbeit mit gleichgesinnten aufteilen, die meisten zeilen sind auch nicht lang und je geübter das auge um so schneller erkennst du groben unfug auch bei der betrachtung größerer abschnitte.

    das nächste ist, dass du für deinen betrieb vielleicht nur einen bruchteil allem codes brauchst, den rest kannst entsorgen, für dich, der interessiert eher andere. du brauchst dir z.b. nicht die unterstützung für 100 gbe karten reinziehen obwohl du nur 1gbe hardware zur verfügung hast ... oder oder oder.

  10. Re: Zum Fazit

    Autor: zZz 03.11.16 - 17:55

    tobster schrieb:
    --------------------------------------------------------------------------------

    > Ein Beispiel: Erweiterung uBlock origin
    > Auf GitHub einsehbar: github.com
    >
    > Bevor ich das nun einsetze prüfe ich den Code komplett, verstehe ihn,
    > compilieren ihn selbst und setze das Plug-In erst dann ein?

    Wieviele Sprachen „sprichst” Du derart flüssig, dass Du das alles verstehst? Und wie kompilierst Du den JavaScript-Code von uBlock?

  11. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:57

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > du kannst zumindest mal anfangen, und dir die arbeit mit gleichgesinnten
    > aufteilen, die meisten zeilen sind auch nicht lang und je geübter das auge
    > um so schneller erkennst du groben unfug auch bei der betrachtung größerer
    > abschnitte.

    Und da sind wir ja wieder voll bei dem, was ich schon erwähnt habe: Verständnis. Wenn da ein gewiefter Programmierer am Werk war, der eine brilliante Lösung für ein Problem gefunden hat, ich diese Lösung aber nicht verstehe... wie soll ich dann beurteilen können, ob der Code "grober Unfug" ist?

    > das nächste ist, dass du für deinen betrieb vielleicht nur einen bruchteil
    > allem codes brauchst, den rest kannst entsorgen, für dich, der interessiert
    > eher andere. du brauchst dir z.b. nicht die unterstützung für 100 gbe
    > karten reinziehen obwohl du nur 1gbe hardware zur verfügung hast ... oder
    > oder oder.

    Und dann guckt sich niemand den Code für 100GB-Karten an und da ist ein Aufruf drin, der einen Fehler enthält.... wahrscheinlich wurde Heartbleed deshalb auch 3 Jahre nicht entdeckt...?

  12. Re: Zum Fazit

    Autor: Niaxa 03.11.16 - 17:58

    Davon war nicht die Rede. Es geht darum, das es in der Community immer jemanden geben wird, der sich die Mühe macht. Nicht nur einen oder zwei. Und jeder versteht eine andere Sprache :-).

  13. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:58

    zZz schrieb:
    --------------------------------------------------------------------------------
    > Wieviele Sprachen „sprichst” Du derart flüssig, dass Du das
    > alles verstehst? Und wie kompilierst Du den JavaScript-Code von uBlock?

    Endlich einer, der mich versteht. :D

    Ich habe hier z.B. mit Programmen zu tun, die in Delphi geschrieben wurden. Ja, ein paar Änderungen hier und da kann ich vornehmen, aber "verstehen" tu ich den Code deshalb noch lange nicht.

  14. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:59

    Niaxa schrieb:
    --------------------------------------------------------------------------------
    > Davon war nicht die Rede. Es geht darum, das es in der Community immer
    > jemanden geben wird, der sich die Mühe macht. Nicht nur einen oder zwei.
    > Und jeder versteht eine andere Sprache :-).

    "Ach, das wird sich schon ein anderer angucken" hat man sich wohl auch beim schon mehrfach erwähnten Heartbleed gedacht? :P

  15. Re: Zum Fazit

    Autor: Niaxa 03.11.16 - 18:00

    Es geht doch nicht um dich. Es geht darum das eine breite Masse darüber schaun kann.

  16. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 18:01

    Niaxa schrieb:
    --------------------------------------------------------------------------------
    > Es geht doch nicht um dich. Es geht darum das eine breite Masse darüber
    > schaun kann.

    Aber die tut es ja offensichtlich auch nicht.

  17. Re: Zum Fazit

    Autor: Milber 03.11.16 - 18:09

    Okay, ich schau drüber. Und ich sage "passt so". Und dann?
    Ich habe keinerlei Ahnung jenseits von peek und poke aber ich sage dass es passt. Dadurch ist es für JEDEN vertrauungswürdig, oder wasß
    Ich benutze gerne Open Source (weil fast immer umsonst) aber besser fühe ich mich mit closed source, weil da nicht jeder IT-Trottel rumpfuscht.
    Drölftausend Distris, und alle sind überprüft? Ich glaube, in Open Source liegt die größere Gefahr.

  18. Re: Zum Fazit

    Autor: Koto 03.11.16 - 18:34

    Woher weiß man aber das der OpenSource und das Programm dann identisch ist?

    Ich kann ja viel erzählen.

    OpenSource ist auch nicht sicher weil dann müsste man das Programm ja decompilieren dann Analysieren.

    Und WOT das gerade im Gerede ist. Ist Open Source

  19. Re: Zum Fazit

    Autor: Moe479 03.11.16 - 18:38

    tja wenn du es nicht mal ernsthaft versuchst wird das auch mit sicherheit so bleiben, delphi bzw. objekt pascal ist nun nicht wahnsinning abgedreht.

  20. Re: Zum Fazit

    Autor: Moe479 03.11.16 - 19:03

    Du nimmst dir diesen "open source" (zu deutsch: offen liegender quellcode), schaust den an, befindest ihn gut, und compilierst diesen ggf. selbst ...

    Web of Trust (deutsch: Netz des Vertrauens) - allein bei dem Namen leuten schon alle Alarmglocken bei mir - hat so 'wunderbar' funktioniert weil es so viele gutgläubige dumme und vorallem faule Leute gibt, die sich lieber auf andere verlassen ... ich wette die meisten Nutzer haben nichts von der Speicherung bemerkt obwohl sie offen darauf hingewiesen wurden ... haben einfach weiter, weiter, ja, ja, mir doch egal, ok, ja und ahmen gesagt und dachten, jemand macht das für sie ohne Hintergedanken und eigen interesse ... Junge Junge ... NEIN, SO ETWAS GIBT ES NICHT!

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. GHM Gesellschaft für Handwerksmessen mbH, München
  2. Camelot Management Consultants AG, Mannheim, Köln, München, Basel (Schweiz)
  3. BWI GmbH, Berlin, München, Nürnberg, Rheinbach
  4. SEW-EURODRIVE GmbH & Co KG, Bruchsal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 114,99€ (Release am 5. Dezember)
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

iPad OS im Test: Apple entdeckt den USB-Stick
iPad OS im Test
Apple entdeckt den USB-Stick

Zusammen mit iOS 13 hat Apple eine eigene Version für seine iPads vorgestellt: iPad OS verbessert die Benutzung als Tablet tatsächlich, ein Notebook-Ersatz ist ein iPad Pro damit aber immer noch nicht. Apple bringt aber endlich Funktionen, die wir teilweise seit Jahren vermisst haben.
Ein Test von Tobias Költzsch

  1. Tablets Apple bringt neues iPad Air und iPad Mini
  2. Eurasische Wirtschaftskommission Apple registriert sieben neue iPads
  3. Apple Es ändert sich einiges bei der App-Entwicklung für das iPad

Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

  1. TLS-Zertifikat: Gesamter Internetverkehr in Kasachstan kann überwacht werden
    TLS-Zertifikat
    Gesamter Internetverkehr in Kasachstan kann überwacht werden

    In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.

  2. Ari 458: Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
    Ari 458
    Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro

    Ari 458 ist ein kleiner Lieferwagen mit Elektroantrieb, den der Hersteller mit Aufbauten für verschiedene Einsatzzwecke anbietet. Die Ausstattung ist einfach, dafür ist das Auto günstig.

  3. Quake: Tim Willits verlässt id Software
    Quake
    Tim Willits verlässt id Software

    Seit 24 Jahren ist Tim Willits einer der entscheidenden Macher bei id Software, nun kündigt er seinen Rückzug an. Was er künftig vorhat, will der ehemalige Leveldesigner und studierte Computerwissenschaftler erst nach der Quakecon verraten.


  1. 17:52

  2. 15:50

  3. 15:24

  4. 15:01

  5. 14:19

  6. 13:05

  7. 12:01

  8. 11:33