Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Heartbleed: Keys auslesen ist…
  6. The…

Open Source = per Default sicher? Leider nicht...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Open Source = per Default sicher? Leider nicht...

    Autor: VirtuellerForumsNutzer 12.04.14 - 20:05

    Sebbi schrieb:
    > Was hast du nur gegen Open Source? Das ist nichts böses oder schlechtes,
    > das ist nur eine Art etwas zu publizieren ...

    Wo habe ich denn geschrieben, dass ich was gegen Open Source habe? Im Gegenteil:

    16:46 Uhr: Ich halte Open Source für eine gute Sache, aber dennoch darf ich mich damit auseinandersetzen....
    18:19 Uhr: [...] Es geht mir nicht darum, Open Source zu verteufeln oder die Entwickler als nachlässig darzustellen, denn Fehler passieren. [...] Ich habe mir lediglich erlaubt, darauf hinzuweisen, dass viele Anwender der Meinung sind, der Open Source Community entgehen keine Fehler und damit leider einem gefährlichen Irrtum erliegen. [...]

  2. Re: Open Source = per Default sicher? Leider nicht...

    Autor: Schnarchnase 12.04.14 - 23:55

    Niemand der bei Verstand ist, wird wohl behaupten Open Source sei per se sicher.

    So tragisch der Bug auch sein mag, er zeigt doch den Vorteil von Open Source: Die Quellen liegen offen und so können Fehler leichter gefunden werden.

    Fakt ist der Fehler wurde von 2 Teams unabhängig und durch unterschiedliche Methoden gefunden. Die eine Methode funktioniert auch bei Closed Source (Testsuite), die andere (Code Audit) nicht. Die Chance solche Bugs zu finden ist also bei Open Source erheblich höher. Ich will nicht wissen was für Sicherheitslücken in Closed Source seit vielen Jahren klaffen und die Öffentlichkeit hat keine Ahnung davon.

  3. Re: Open Source = per Default sicher? Leider nicht...

    Autor: Sammie 13.04.14 - 04:00

    Einigen wir uns doch einfach darauf, dass beides seine Vor- und Nachteile hat und auch auf das Anwendungsgebiet ankommt. Die Vorteile von Open Source sind die Nachteile von Closed Source und umgekehrt. :P

    Vorteil: Open Source KANN sicherer sein. Viele Augen können auch mehr Fehler finden und zur schnellen Beseitigung beitragen.
    Nachteil: Open Source KANN unsicherer sein, da auch Angreifern der Quellcode auf dem Silbertablett geliefert wird und sich Schwachstellen leichter finden lassen.

    Vorteil: Closed Source KANN sicherer sein. Trotz womöglich höherer Bugrate können Angreifer nicht so gezielt nach Schwachstellen suchen und diese ausnutzen.
    Nachteil: Closed Source KANN unsicherer sein. Viele Bugs bleiben oft jahrelang unentdeckt, da nach Veröffentlichung des Programms keiner den Source mehr ansieht und selten Patches veröffentlicht werden.

    Mein Fazit:
    Open Source hat das Potential grundlegend sicherer als ein identischer Closed Source zu sein - unter der Voraussetzung, dass sich auch jemand mit dem Source beschäftigt.

    Aber auch gerade im Falle von Serversoftware und Webanwendungen (Foren, CMS etc) ist man auch schnell ein Opfer der Masse, wenn ein Angreifer einen bisher unentdeckten Bug findet und massenweise ausnutzt, da er dank Google und den Copyright-Hinweisen im Footer betroffener Software schnell die entsprechenden Webseiten findet.

    Da nützt auch der schnellste Bugfix nichts, wenns das eigene System bereits erwischt hat. Eine selbstprogrammierte Webanwendungen kann dagegen trotz 100 Bugs am Ende mehr reale Sicherheit bieten, da man nicht ins breite Suchraster dieser Software gerät und kein Opfer der Scriptkiddies wird, die öffentliche Zero-Day-Exploits ausnutzen.

    Generell kann man also sagen, dass Open Source zwar oftmals weniger Bugs aufweist, da die meisten offensichtlichen schnell geschlossen werden. Durch die massenhafte Nutzung von Open Source ist die Angriffsfläche für Angreifer aber auch deutlich höher und interessanter. Kaum einer interessiert sich dagegen für eine einzelne Seite, wenns da nicht was wirklich lohnenswertes für einen Angriff gibt.

    Die Chance Opfer einer eigenen schlechtprogrammierten Webanwendung zu werden stufe ich als 60% geringer ein, da es einen ganz gezielten Angriff auf eine bestimmte Seite voraussetzt - selbst wenn die Software offen wie ein Scheunentor ist. Im gleichen Maße sinkt aber wohl auch die Wahrscheinlichkeit Opfer einer Open Source-Software zu werden, da die generelle Bugrate in der Regel niedriger ist.

    Wirkliche "Sicherheit" kann man im Sinne der Wahrscheinlickeit Opfer eines Angriffs zu werden, also pauschal gar nicht definieren. Und bei Open Source ist eben die Gefahr groß, dass man sich auf die trügerische Sicherheit verlässt, dass das andere schon kontrollieren werden.

    Die meiste Sicherheit hat man vermutlich, wenn man eine eigene gutprogrammierte Webanwendung verwendet, deren Source kein Angreifer kennt. Und den Source kann man immer noch von anderen qualifizierten Personen kontrollieren lassen, denen man vertraut. Wer nicht gut programmieren kann, muss eben auf Open Source setzen und mit der Gefahr leben, dass man sich von den Sicherheitskenntnissen der anderen abhängig macht. ^^

  4. Re: Open Source = per Default sicher? Leider nicht...

    Autor: Schnarchnase 13.04.14 - 10:23

    Du sprichst von security through obscurity, das bringt aber keine Sicherheit sondern verringert höchstens die Wahrscheinlichkeit, dass jemand eine Sicherheitslücke findet. Ich halte es für sehr gefährlich das als handfesten Vorteil zu werten, die grundlegende Meinung von Sicherheitsexperten geht eher dahin, dass security through obscurity nichts wert ist. Bringen tut es dir höchstens ein trügerisches Gefühl von Sicherheit.

  5. Re: Open Source = per Default sicher? Leider nicht...

    Autor: Paykz0r 13.04.14 - 12:25

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > Du sprichst von security through obscurity, das bringt aber keine
    > Sicherheit sondern verringert höchstens die Wahrscheinlichkeit, dass jemand
    > eine Sicherheitslücke findet. Ich halte es für sehr gefährlich das als
    > handfesten Vorteil zu werten, die grundlegende Meinung von
    > Sicherheitsexperten geht eher dahin, dass security through obscurity nichts
    > wert ist. Bringen tut es dir höchstens ein trügerisches Gefühl von
    > Sicherheit.

    +1

    genau.
    dazu muss ja nicht immer alles opensource sein.
    aber die welt wäre sicherer nach einer gewissen zeit
    würden alle closed source produkte zumindest ihren
    sicherheitskern veröffentlichen.

    was da für vorschläge und verbesserungen auftauschen ist unglaublich.
    bin selbst in der mailing liste vom cryptojs und openpgp.
    es nervt fast schon. jeden tag bis zu 10-15 mails.
    einiges davon echt sicherheitsreleva t.
    so was geht mit closed source in der form einfach nicht.

    aber wie oft schon gesagt:
    das ist keine garantie auf sicherheit.
    aber ein vorteil!

  6. Re: Open Source = per Default sicher? Leider nicht...

    Autor: lottikarotti 14.04.14 - 08:42

    > Du meinst man verlässt sich viel zu sehr darauf, dass andere den Code schon
    > anschauen werden? Nun bei nicht offenem Quellcode kann das gar niemand,
    > also wie kann das ein Kritikpunkt sein?
    Es hat Vor- und Nachteile. Wenn jemand, von krimineller Energie getrieben, dein Open Source Projekt auf Sicherheitslücken analysiert, um diese später auszunutzen, hat er definitiv ein leichteres Spiel als bei Closed Source Produkten. Dass der Quellcode öffentlich eingesehen werden kann, heißt nämlich nicht, dass dies immer mit einem positiven Grundgedanken getan wird.

    R.I.P. Fisch :-(

  7. Re: Open Source = per Default sicher? Leider nicht...

    Autor: lottikarotti 14.04.14 - 09:06

    > mal davon ab:
    > SSL ist ein sicheres protokoll,
    > die openssl implementation war es an er stelle nicht.
    > es wurde direktnach entdeckung geschlossen während
    > bei oracles java, flash, diversen MS produkten das extrem lange dauern
    > kann.
    Das stimmt so einfach nicht. Schon zu Windows 2000 Zeiten wurden schwerwiegende Sicherheitslücken oftmals innerhalb weniger Stunden behoben und als Patch angeboten. Wie schnell sich eine Sicherheitslücke schließen lässt hängt allerdings nicht von der Sichtbarkeit des Quellcodes ab, sondern von der Komplexität des Problems selbst. Aussagen wie "die patchen alles in 2 Stunden" sind schlichtweg kokolores, denn Änderungen zu testet - vorallem in großen Projekten - kostet nunmal Zeit.

    > in der theorie hat opensource das potential sicherer zu sein als closed.
    > da hat sich nix dran geändert.
    Nö.

    > aber das heisst nicht das alles opensource sicherer ist als closed,
    > nur das sie das ziel eher/leichter erreichen können als closed.
    > und das geht aus der grund logik hervor.
    Nö.

    R.I.P. Fisch :-(

  8. Re: Open Source = per Default sicher? Leider nicht...

    Autor: S-Talker 14.04.14 - 10:43

    blackout23 schrieb:
    --------------------------------------------------------------------------------
    > VirtuellerForumsNutzer schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bislang war das Mantra vieler Open Source Befürworter, dass diese
    > > Anwendungen, im Gegensatz zu Closed Source, sicher sind, weil der Source
    > > Code und damit auch dessen Fehler für jeden Einsehbar sind.
    >
    > Die Behauptung habe ich eigentlich nur von einigen wenigen gehört. Aber
    > wenn es dem CircleJerk hilft kann man natürlich ein paar Sachen verdrehen.

    Wo warst du in den letzten 12 Monaten? Insbesondere seit der NSA Geschichte wird ja ständig behauptet, wie dumm es ist Windows mit seinen Backdoors zu nutzen, während man mit Linux viel sicherer unterwegs ist, weils OSS ist.

    Alle Gegenargumente wie "Kann man überprüfen welcher Code denn schon von wie vielen überprüft wurde? Code review coverage?" wurde gleich abgeschmetter mir generischen Antworten der Art "Es ist unwahlscheinlich oder gar unmöglich eine Backdoor einzubauen, weil ja so viele Augen drauf schauen." Der Heartbeatfehler könnte aber von seiner Art her durchaus eine Backdoor gewesen sein.

    Open Source in allen Ehren - ich halte es für eine gute und wichtige Sache - aber die Annahme des automatischen Sicherheitsgewinns nur durch OSS, halte ich schon immer für gefährlich. Nun haben wir ja jetzt einen wirklich "handfesten" Gegenbeweis.

    IMO das größte Sicherheitsproblem seit ich mich mit IT beschäftige. Jegliche Informationen, die in den letzten zwei Jahren über gesicherte Verbindungen übertragen wurde, muss als kompromitiert angesehen werden. Banktransaktionen, Einkäufe, alle möglichen Passwörter für alle Internetdienste, jegliche digitale Kommunikation und alles was an diesen Dingen noch dranhängt - quasi unser ganzes digitales Leben.

    Der von Heise benutzte Begriff "Gau" ist in der Tat angemessen - und das obwohl doch angeblich gerade solche gravierenden Sachen mit OSS mit an Sicherheit grenzender Wahrscheinlichkeit unmöglich sein sollten.

  9. Re: Open Source = per Default sicher? Leider nicht...

    Autor: bernd71 14.04.14 - 11:13

    Closed source muss ja nicht heißen das sich niemand den Code angesehen hat. Man kann ja auch Code extern prüfen lassen.
    Sicherheit ist unabhängig davon ob Closed Source oder Open Source, sie hängt davon ab wie entwickelt wird und wie versucht wird sicherzustellen das keine Sicherheitslücken vorhanden sind. Theoretisch könnte man meinen da ist Open Source im Vorteil, aber ob dieser Vorteil in der Praxis ausgespielt wird is nicht garantiert. Bei Closed Source steht andererseits auch Geld dahinter und ein fatales Sicherheitsleck kann sich dann großen finanziellen Schaden anrichten. Daher kann man bei Closed Source auch annehmen, daß mehr in die Qualität der Software investiert wird. Letzendlich weiß man es nicht und diese Diskussionen ob Closed Source oder Open Source sicherer sind sinnlos.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Amprion GmbH, Pulheim-Brauweiler
  2. über Kienbaum Consultants International GmbH, Stuttgart
  3. MAINGAU Energie GmbH, Obertshausen
  4. GBA Professional e. Kfr., Ahrensfelde-Lindenberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. 99,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

  1. Streaming: Apple und Netflix aus Auktion um South Park ausgestiegen
    Streaming
    Apple und Netflix aus Auktion um South Park ausgestiegen

    Insidern zufolge könnte der Bieterwettstreit um die Streaming-Rechte der Zeichentrickserie South Park bis zu 500 Millionen US-Dollar erreichen. Netflix soll sein Angebot bereits zurückgezogen haben. Auch Apple will wohl nicht mitbieten - was am jüngsten Verbot der Sendung in China liegen soll.

  2. Google: Vorabwiderspruch bei Street View wird überprüft
    Google
    Vorabwiderspruch bei Street View wird überprüft

    Googles Street View ist in Deutschland bisher kaum verfügbar, das Bildmaterial ist veraltet und Häuser sind oft verpixelt. Grund ist der Vorabwiderspruch gegen die Anzeige von Häusern, den viele Besitzer in Anspruch nahmen. Google lässt nun prüfen, ob neue Aufnahmen ohne Vorabwiderspruch möglich sind.

  3. Datenschutz: Zahl der Behördenzugriffe auf Konten steigt
    Datenschutz
    Zahl der Behördenzugriffe auf Konten steigt

    Behörden in Deutschland haben im bisherigen Jahresverlauf häufiger auf Konten von Bürgern zugegriffen als im Vorjahreszeitraum. Dem Bundesdatenschutzbeauftragten gefällt das nicht - er fordert eine Überprüfung der rechtlichen Grundlage.


  1. 15:12

  2. 14:18

  3. 13:21

  4. 12:56

  5. 11:20

  6. 14:43

  7. 13:45

  8. 12:49