Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Cybersicherheit: NSA soll Heartbleed…

Ein Paar Worte zu OpenSource (schon wieder)

  1. Thema

Neues Thema Ansicht wechseln


  1. Ein Paar Worte zu OpenSource (schon wieder)

    Autor: dit 12.04.14 - 12:10

    Hallo

    OpenSource ist eine tolle Sache ist aber nicht DIE ABSOLUTE WAHRHEIT. Meiner Meinung nach, wenn es um die Sicherheit geht, sollten nur die wenigsten wissen wie die Software funktioniert. Das gleiche gilt auch für Geldscheine, Geldtransportpläne usw. Wieso muss es bei der Software anders sein? Weniger wissen, besser schlafen...

    Diese ständige Aussagen wie etwa das Hauptargument: "Bei OpenSource besteht dann wenigstens die Möglichkeit, dass auch ein Guter diese Lücke finden kann und meldet", sind einfach nur naiv und hochgradig unseriös.

    Man sollte nur zwei, drei Schritte weiter denken... Bei Closed Source besteht zwar die Gefahr, dass der BÖSE die Lücke findet, die ClosedSource Software ist aber meistens im Vergleich zu OpenSource Software viel weniger verbreitet. Findet man Sicherheitslücke in Windows, ist nur eine Teilmenge der Nutzer weltweit betroffen, da es mittlerweile viele Mac oder "BS der Zukunft" Nutzer gibt.

    Teile und herrsche. Viele verschiedene ClosedSource Software würden also die Angriffe erschweren. Weil erstens die Software zum Testen erstmal (teuer) gekauft werden muss. Zweitens, damit sich dass überhaupt lohnt, muss das Angriffsziel sorgfälltig ausgesucht werden. Ach ja, woher weiß der Angreifer welche Sicherheitssoftware das Opfer verwendet? Muss das veröffentlicht werden? Nein.
    Das alles kostet Zeit und Geld. Inzwischen könnte es neue Updates oder Pathes geben usw...

    OpenSource passt sehr gut zu unserer ALLES-MÖGLICHST-KOSTENLOS-Gesellschaft. Diese Schmarotzer-Ideologie ist einfach nur erbärmlich.

    Wie gesagt ich finde die Idee OpenSource im ganzen toll, aber auch ClosedSource hat ihren Platz, vor allem in der Sicherheit, verdient. Eine gesunde Mischung sollte es sein und nicht Schwarz oder Weiss.

  2. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: Zaphod 12.04.14 - 12:44

    Der Ball liegt ja jetzt schliesslich im Feld derjenigen, die sich auf OpenSSL verlassen haben ohne einen Blick in den offenen Quellcode zu riskieren...

    Der Witz an der Sache ist folgender: Von den zig-tausenden Entwicklern die damit arbeiten und damit kritische Bereiche "schützen wollten" hat es ja scheinbar kein einziger in 2 Jahren bemerkt.

    Aber von den anderen, die sich damit befassen ob man da nicht doch irgendwie hinten reinkommt, ist wohl jeder grinsend über diese fehlende Längenprüfung gestolpert.

  3. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: Atalanttore 12.04.14 - 12:53

    dit schrieb:
    --------------------------------------------------------------------------------
    > OpenSource ist eine tolle Sache ist aber nicht DIE ABSOLUTE WAHRHEIT.
    > Meiner Meinung nach, wenn es um die Sicherheit geht, sollten nur die
    > wenigsten wissen wie die Software funktioniert. Das gleiche gilt auch für
    > Geldscheine, Geldtransportpläne usw. Wieso muss es bei der Software anders
    > sein?

    Hersteller von kommerzieller Closed Source Software wollen in erster Linie Gewinn erwirtschaften und Sicherheit ist dabei eher ein Kostenfaktor als eine Notwendigkeit, da niemand, außer den eigenen Programmierer, den mitunter schnell zusammengeschusterten Quellcode zu Gesicht bekommt.


    > Weniger wissen, besser schlafen...

    Weniger wissen, böse Überraschung erleben...


    > Diese ständige Aussagen wie etwa das Hauptargument: "Bei OpenSource besteht
    > dann wenigstens die Möglichkeit, dass auch ein Guter diese Lücke finden
    > kann und meldet", sind einfach nur naiv und hochgradig unseriös.

    Der Heartbleed-Bug wurde von "den Guten" entdeckt.


    > Man sollte nur zwei, drei Schritte weiter denken... Bei Closed Source
    > besteht zwar die Gefahr, dass der BÖSE die Lücke findet, die ClosedSource
    > Software ist aber meistens im Vergleich zu OpenSource Software viel weniger
    > verbreitet. Findet man Sicherheitslücke in Windows, ist nur eine Teilmenge
    > der Nutzer weltweit betroffen, da es mittlerweile viele Mac oder "BS der
    > Zukunft" Nutzer gibt.

    ???
    Windows ist mit Abstand das weitverbreiteste Betriebssystem auf normalen Desktop-PCs bzw. den üblichen Virenschleudern. Die Nutzer vom "BS der Zukunft" sind eine kleine Minderheit.


    > Teile und herrsche. Viele verschiedene ClosedSource Software würden also
    > die Angriffe erschweren. Weil erstens die Software zum Testen erstmal
    > (teuer) gekauft werden muss.

    Schwarzkopie von Sharehoster, Tauschbörse oder ganz anonym aus dem Darknet besorgen und los gehts.


    > Zweitens, damit sich dass überhaupt lohnt, muss das Angriffsziel sorgfälltig
    > ausgesucht werden.

    Darin kennen sich Nachrichtendienste und Crackerbanden bestens aus.


    > Ach ja, woher weiß der Angreifer welche Sicherheitssoftware
    > das Opfer verwendet? Muss das veröffentlicht werden? Nein.
    > Das alles kostet Zeit und Geld. Inzwischen könnte es neue Updates oder
    > Pathes geben usw...

    Es könnte eben nur neue Updates oder Patches geben.


    > OpenSource passt sehr gut zu unserer
    > ALLES-MÖGLICHST-KOSTENLOS-Gesellschaft.

    Open Source != kostenlos


    > Diese Schmarotzer-Ideologie ist einfach nur erbärmlich.

    Hinter Open Source steckt eine Geben-und-Nehmen-Mentalität.

  4. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: Zaphod 12.04.14 - 13:29

    > Der Heartbleed-Bug wurde von "den Guten" entdeckt.

    Öffentlich gemacht schon... als erste entdeckt mit Sicherheit nicht.

  5. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: dit 12.04.14 - 14:09

    Mit ALLES-MÖGLICHST-KOSTENLOS habe ich Quellcode gemeint und vor allem Known-how. D.h. statt zu zahlen kann ich nachprogrammieren.

  6. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: Anonymer Nutzer 12.04.14 - 14:17

    Atalanttore schrieb:
    --------------------------------------------------------------------------------
    > Der Heartbleed-Bug wurde von "den Guten" entdeckt.

    Ja, aber erst 2 Jahre nachdem es von den "Bösen" entdeckt wurde. Die Lücke wurde ja bereits kräftig genutzt.

    > Open Source != kostenlos

    Das stimmt. Bei manchen Linux-Distributionen zahlt man ja bereits mit seinen Daten.

    > Hinter Open Source steckt eine Geben-und-Nehmen-Mentalität.

    Hinter Closed Source steckt eine Geben-und-Nehmen-Mentalität. Man gibt Geld und bekommt Software. Bei Open Source nehmen die meisten Leute nur und geben nichts dafür.

  7. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: burzum 12.04.14 - 14:38

    Zaphod schrieb:
    --------------------------------------------------------------------------------
    > Der Ball liegt ja jetzt schliesslich im Feld derjenigen, die sich auf
    > OpenSSL verlassen haben ohne einen Blick in den offenen Quellcode zu
    > riskieren...

    Moment, die OSS-Propheten beten doch immer herrunter das dies jeder tun würde? :P Und erzähl mir nicht das *Du* den Code von jedem OSS-Programm das Du nutzt analysierst. Ich bezweifel sogar das Du sie selbst kompilierst.

    > Der Witz an der Sache ist folgender: Von den zig-tausenden Entwicklern die
    > damit arbeiten und damit kritische Bereiche "schützen wollten" hat es ja
    > scheinbar kein einziger in 2 Jahren bemerkt.

    Was ja die perfekte wiederlegung des Argumentes ist der Code sei offen, jeder könnte ihn schließlich lesen und damit soooooooo viel sicherer. Ehrlich? Ich gönne den überheblichen Pro-OSS Fanatics diesen Bug von Herzen. ;)

    Wie ich schon an anderer Stelle schrieb: KÖNNEN !== MACHEN.

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.

  8. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: Anonymer Nutzer 12.04.14 - 14:56

    DTF schrieb:
    --------------------------------------------------------------------------------
    > Atalanttore schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Der Heartbleed-Bug wurde von "den Guten" entdeckt.
    >
    > Ja, aber erst 2 Jahre nachdem es von den "Bösen" entdeckt wurde. Die Lücke
    > wurde ja bereits kräftig genutzt.


    > > Open Source != kostenlos

    Open Source != In Googles Playstore funktioniert die Sache mit Trick 7. Wer von sich aus nichts spendet,wird zumindest mit Werbung zu geschmissen bis der Arzt kommt. Oder die Einsicht doch zu spenden.

    > Das stimmt. Bei manchen Linux-Distributionen zahlt man ja bereits mit
    > seinen Daten.

    Wer bezahlt welche Linux-Distribution mit was für Daten?

  9. Re: Ein Paar Worte zu Security through obscurity

    Autor: Paykz0r 12.04.14 - 15:10

    Hallo Dit.

    Das was du vorschlägst wird im allgemeinen von Kryptographen belächelt.

    http://de.wikipedia.org/wiki/Security_through_obscurity

    Du wirst da kaum ein Kryptographen finden der diese Aussage unterstützt.
    Klar, OpenSLL hatte den GAU schlecht hin.
    Das kann bei Closed Source aber genau so passieren.

    Gerade genau dieser Fall lässt sich super leicht rekonstruieren und
    basteltn. Es ist nicht mal gesagt ob das durchlesen des Sourcecodes auffiehl,
    oder durch stumpfes ausprobieren.

    Aber selbst wenn es durchs reines lesen auffiehl,
    zeigt das doch genau den Vorteil von Opensource!

    Innerhalb von Stunden gabs ein fix,
    innerhalb von weniger tage haben die Meisten den auch eingebaut.

    Bitte vergleich das mal mit MS.
    Wenn die von ein Bug erfahren (was bei closed source denkbar schwerer ist)
    dauert das eine ganze weile bis der Fix kommt.
    Und bis dahin sind die meisten eben nicht informiert.
    Wäre ja auch rufschadent.

    Ich finde es auch witzig wie hier jedes mal gegen opensource gewettert wird,
    wenn solche news kommen.
    denn wie gesagt: eigentlich sieht man wie schnell OS reagiert,
    und bei Closed Source Produkten gibt es solche news nicht weniger selten
    aber man wartet länger auf ein Fix.
    Da wettern aber nicht alle gleich gegen CS.
    Finde ich irgendwie komisch!

    dit schrieb:
    --------------------------------------------------------------------------------
    > Hallo
    >
    > OpenSource ist eine tolle Sache ist aber nicht DIE ABSOLUTE WAHRHEIT.
    > Meiner Meinung nach, wenn es um die Sicherheit geht, sollten nur die
    > wenigsten wissen wie die Software funktioniert. Das gleiche gilt auch für
    > Geldscheine, Geldtransportpläne usw. Wieso muss es bei der Software anders
    > sein? Weniger wissen, besser schlafen...
    >
    > Diese ständige Aussagen wie etwa das Hauptargument: "Bei OpenSource besteht
    > dann wenigstens die Möglichkeit, dass auch ein Guter diese Lücke finden
    > kann und meldet", sind einfach nur naiv und hochgradig unseriös.
    >
    > Man sollte nur zwei, drei Schritte weiter denken... Bei Closed Source
    > besteht zwar die Gefahr, dass der BÖSE die Lücke findet, die ClosedSource
    > Software ist aber meistens im Vergleich zu OpenSource Software viel weniger
    > verbreitet. Findet man Sicherheitslücke in Windows, ist nur eine Teilmenge
    > der Nutzer weltweit betroffen, da es mittlerweile viele Mac oder "BS der
    > Zukunft" Nutzer gibt.
    >
    > Teile und herrsche. Viele verschiedene ClosedSource Software würden also
    > die Angriffe erschweren. Weil erstens die Software zum Testen erstmal
    > (teuer) gekauft werden muss. Zweitens, damit sich dass überhaupt lohnt,
    > muss das Angriffsziel sorgfälltig ausgesucht werden. Ach ja, woher weiß der
    > Angreifer welche Sicherheitssoftware das Opfer verwendet? Muss das
    > veröffentlicht werden? Nein.
    > Das alles kostet Zeit und Geld. Inzwischen könnte es neue Updates oder
    > Pathes geben usw...
    >
    > OpenSource passt sehr gut zu unserer
    > ALLES-MÖGLICHST-KOSTENLOS-Gesellschaft. Diese Schmarotzer-Ideologie ist
    > einfach nur erbärmlich.
    >
    > Wie gesagt ich finde die Idee OpenSource im ganzen toll, aber auch
    > ClosedSource hat ihren Platz, vor allem in der Sicherheit, verdient. Eine
    > gesunde Mischung sollte es sein und nicht Schwarz oder Weiss.



    1 mal bearbeitet, zuletzt am 12.04.14 15:12 durch Paykz0r.

  10. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: Shadow27374 12.04.14 - 15:52

    dit schrieb:
    --------------------------------------------------------------------------------
    > Meiner Meinung nach, wenn es um die Sicherheit geht, sollten nur die
    > wenigsten wissen wie die Software funktioniert.

    Absolut falsch. Gerade bei Sicherheit muss jeder wissen wie es funktioniert. Nicht umsonst sind z.B. alle AES Kandidaten frei.
    Alles andere ist nur eine Scheinsicherheit...

  11. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: Atalanttore 12.04.14 - 17:14

    dit schrieb:
    --------------------------------------------------------------------------------
    > Mit ALLES-MÖGLICHST-KOSTENLOS habe ich Quellcode gemeint und vor allem
    > Known-how. D.h. statt zu zahlen kann ich nachprogrammieren.

    Bei Open Source musst du nichts nachprogrammieren. Du kannst den Quellcode nehmen und unter den Bedingungen der jeweiligen Open-Source-Lizenz einsetzen, modifizieren und weitergeben.

  12. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: Paykz0r 12.04.14 - 17:33

    Tzven schrieb:
    --------------------------------------------------------------------------------
    > DTF schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Atalanttore schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Der Heartbleed-Bug wurde von "den Guten" entdeckt.
    > >
    > > Ja, aber erst 2 Jahre nachdem es von den "Bösen" entdeckt wurde. Die
    > Lücke
    > > wurde ja bereits kräftig genutzt.
    >
    > > > Open Source != kostenlos
    >
    > Open Source != In Googles Playstore funktioniert die Sache mit Trick 7. Wer
    > von sich aus nichts spendet,wird zumindest mit Werbung zu geschmissen bis
    > der Arzt kommt. Oder die Einsicht doch zu spenden.
    >
    > > Das stimmt. Bei manchen Linux-Distributionen zahlt man ja bereits mit
    > > seinen Daten.
    >
    > Wer bezahlt welche Linux-Distribution mit was für Daten?

    Naja er könnte auch Ubuntu mit der Amazon suche meinen.
    die ist aber mit ein knopf deaktiviert. und da steht ubuntu relativ alleine da.
    bei so einer riesen anzahl an distries ist es schon hart übertrieben zu behaupten man würde bei Opensource Betriebsystemen stets mit seinen daten zahlen...

  13. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: ShalokShalom 12.04.14 - 17:42

    Facebook, Google, Amazon, Twitter, Yahoo, Apple: Die setzen alle auf open source. Glaubst du, die reichsten und mitunter mächtigsten Konzerne dieses Planeten setzen allesamt auf unsichere Software ? Sie veröffentlichen sogar einen grossen Teil ihrer Software, warum glaubst du tun sie das, wenn dies angeblich nur dem Feind zuspielt ? Sind die suizidal ?

  14. Re: Ein Paar Worte zu OpenSource (schon wieder)

    Autor: BLi8819 13.04.14 - 12:10

    > Weniger wissen, besser schlafen...

    Kommt drauf an, was du mit Sicherheit meinst.

    > Bei Closed Source besteht zwar die Gefahr, dass der BÖSE die Lücke findet, die ClosedSource Software ist aber meistens im Vergleich zu OpenSource Software viel weniger verbreitet.

    Das ist schon eine falsche Annahme.
    Gerade Windows zeigt, dass das Gegenteil. Man kann da keine Regel aufstellen. In manchen Bereichen ist Open Source weiter verbreitet, in anderen Closed Source.

    > Weil erstens die Software zum Testen erstmal (teuer) gekauft werden muss.

    Das glaubst du doch selbst nicht, dass sich Angreifer, die Software kaufen müssen...

    > Zweitens, damit sich dass überhaupt lohnt, muss das Angriffsziel sorgfälltig ausgesucht werden.

    Und was hat das mit Open und Closed Source zu tun?

    > Eine gesunde Mischung sollte es sein und nicht Schwarz oder Weiss.

    Richtig. Deine Argumente sind dennoch für die Tonne.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hessisches Ministerium der Finanzen, Frankfurt am Main
  2. Interhyp Gruppe, München
  3. BwFuhrparkService GmbH, Troisdorf
  4. Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-76%) 9,50€
  3. (u. a. Wolfenstein: Youngblood, Days Gone, Metro Exodus, World War Z)
  4. 5,95€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
    Probefahrt mit Mercedes EQC
    Ein SUV mit viel Wumms und wenig Bodenfreiheit

    Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
    Ein Erfahrungsbericht von Friedhelm Greis

    1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
    2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
    3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf

    Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
    Smarte Wecker im Test
    Unter den Blinden ist der Einäugige König

    Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
    Ein Test von Ingo Pakalski

    1. Nest Hub im Test Google vermasselt es 1A

    1. Telekom: 30 Millionen Haushalte mit Vectoring und FTTH erreicht
      Telekom
      30 Millionen Haushalte mit Vectoring und FTTH erreicht

      30 Millionen Haushalte können von der Telekom schnelles Internet bekommen. 1,1 Millionen davon sind für den Anschluss an das Glasfaser-Netz der Telekom vorbereitet.

    2. Google: Android Q heißt einfach Android 10
      Google
      Android Q heißt einfach Android 10

      Schluss mit den Süßigkeiten: Google bricht mit der zehn Jahre alten Tradition, seine Android-Versionen nach Naschwaren zu benennen. Aus Android Q wird dementsprechend einfach Android 10, dessen finaler Release in den kommenden Wochen erscheinen soll.

    3. Keine Gigafactory: Tesla will offenbar Autos in Niedersachsen bauen
      Keine Gigafactory
      Tesla will offenbar Autos in Niedersachsen bauen

      Der Elektroautohersteller Tesla erwägt den Bau einer Fabrik in Niedersachsen. Eine Giga-Fabrik für Akkuzellen und Batterien ist allerdings nicht geplant.


    1. 17:32

    2. 17:10

    3. 16:32

    4. 15:47

    5. 15:23

    6. 14:39

    7. 14:12

    8. 13:45