Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Nach OpenSSL-Fork: LibreSSL…

Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

  1. Thema

Neues Thema Ansicht wechseln


  1. Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: burzum 20.05.14 - 15:10

    "Jeder" nimmt den Code und gibt offenbar sehr wenig zurück. Wobei das ihr gutes Recht ist, da der Code unter BSD Lizensiert wurde. http://www.openssl.org/source/license.html

    Dabei wäre es ja für Unternehmen wie Google und Apple wohle ein Leichtes ein paar Hunderttausend für das Projekt zur Verfügung zu stellen. Aber gut, sie sind nicht dazu verpflichtet.

    Die Gebetsmühlen der OSS Jünger funktionieren scheinbar auch nicht korrekt. Wo sind die Heerscharen an Code lesenden Usern die bereitwillig Bugs fixen? Gähnende Leere.

    Nur davon das der Code offen ist liest ihn noch nicht jeder, geschweige denn fixt jemand auch die gefundenen Bugs. Geld könnte hier Anreize schaffen aber das ist ja auch nicht vorhanden.

    Das der Code offen ist macht ihn nicht besser wenn sich keiner beteiligt. Und die Qualität des Codes, der ja offensichtlich sehr ungepflegt ist, spricht auch nicht gerade für das Projekt. Nun ja, immerhin scheint sich ja jetzt wer darum zu kümmern der ein wenig mehr Ahnung hat als die ursprünglichem Maintainer.

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.



    2 mal bearbeitet, zuletzt am 20.05.14 15:13 durch burzum.

  2. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: violator 20.05.14 - 15:32

    Ist nur die Frage ob es Sinn macht, dass sich jetzt wieder mal ein Projekt aufspaltet und dann noch weniger Leute an dem jeweiligen Code arbeiten und prüfen...

    Das Argument mit "jeder kann den Code lesen" wird mit der Zeit eh immer hinfälliger, weil es immer mehr OS-Programme gibt, davon gerne mal noch einige Forks und der Code wird zusätzlich immer komplexer. Wer soll das dann noch alles prüfen (wollen)?

  3. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: Schattenwerk 20.05.14 - 15:54

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Dabei wäre es ja für Unternehmen wie Google und Apple wohle ein Leichtes
    > ein paar Hunderttausend für das Projekt zur Verfügung zu stellen. Aber gut,
    > sie sind nicht dazu verpflichtet.

    Ach wirklich? Please, tell me more... ;) OpenSSL hatte nicht zuletzt beklagt, dass sie nun Geld aber keine Entwickler haben ;)

    http://www.zeit.de/digital/internet/2014-04/openssl-heartbleed-core-infrastructure-initiative

  4. Unwissenheit kann sehr befreiend sein!

    Autor: Anonymer Nutzer 20.05.14 - 15:56

    Denn was man nicht weiß macht einen nicht heiß?

    Gerade am Beispiel OpenSSL kann man doch gut beobachten was der Unterschied zwischen Open- und Closed-Source ist... oder wie begutachtest Du die Sicherheitslage von uneinsehbarem Code? Mehr als "Glaube" kann das ja nicht sein.

  5. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: bloody.albatross 20.05.14 - 15:57

    Hast du dir den Vortrag überhaupt angehört? Der LibreSSL Chefentwickler hat gesagt, OpenSSL war scheinbar absichtlich so programmiert, dass sich jeder vor der Codebase graut und nicht daran mit entwickeln will, damit sie über FIPS Beratungen irgendwie Geld verdienen können. Also eher ein Fake-Open Source Projekt. In einem richtigen Open Source Projekt muss man die Codebase und Kultur so gestallten, dass es eine Freude ist mitzuarbeiten. Dann kommt auch Hilfe aus der Community. Zeigt sich ja anhand anderer Projekte.

  6. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: Schnarchnase 20.05.14 - 16:22

    Kryptographie ist kein Kindergarten, es gibt nur wenige Menschen die fähig sind sowas wie OpenSSL zu reviewen und daran zu entwickeln. Ich schaue mir durchaus mal OpenSource-Code an, aber an Krypto-Software traue ich mich aus gutem Grund nicht ran.

  7. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: bstea 20.05.14 - 16:41

    Die Doku ist ja auch eine Frechheit,wenigstens fließen jetzt Gelder von der Linux Foundation zu OpenSSL, vielleicht bessert es sich.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  8. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: bstea 20.05.14 - 16:46

    Die Fehler die gemacht wurden sind haben nicht unbedingt was mit Krypowissen zu tun. Es gibt ja die Seite opensslrampage.org, einfach traurig.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  9. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: pythoneer 20.05.14 - 16:52

    Ach deine unreflektierten Hasstiraden gegen OSS nimmt doch langsam keiner mehr ernst. Ich kann ja verstehen, wenn man begründete Zweifel hat und argumentativ darüber diskutiert. Leute deines Schlages schaffen es aber leider nur sich einzelne Fallbeispiele rauszupicken und sich danach ihr gesamtes Weltbild auf zu bauen.

    Darüber hinaus werden auch noch Zustände fehl- und uminterpretiert; sowie logische Zusammenhänge ad absurdum geführt. Ein gutes Beispiel ist hier folgende Kette von Schlussfolgerungen.

    Prämisse: OSS Befürworteter behaupten ihr Code sei fehlerfrei weil jeder drüber gucken kann; das macht es inhärent sicher/fehlerfrei.

    [Ex falso quodlibet]

    Jetzt wird sich ein Beispiel genommen, wo das nicht zutrifft um dann den Schluss zu ziehen OSS sei schlechter als CSS. ( Warum überhaupt schlechter und nicht vielleicht ebenbürtig )

    Und dann geht die Kette der falschen Schlüsse und Behauptungen weiter und weiter.


    Ja OSS ist vielleicht wirklich ein großer Teil Überzeugung und Weltanschauung und wer es nicht ertragen kann OSS zu verwenden, der soll es halt lassen. Sich aber hinzustellen und dann auch noch Unwahrheiten zu verbreiten ist schon recht dreist. Wenn wir uns schon hinstellen und versuchen darüber Sachlich zu diskutieren, dann sollten wir es aufgrund von Fakten tun und nicht auf Grund unserer Gemütslage und ob wir was gegen OSS haben oder gegen CSS. Es gibt auf beiden Seiten sehr gute und weniger gute Beispiele. Eines davon rauszupicken – ohne den Hintergrund zu beleuchten – ist allerdings lachhaft!

    Es gibt einige Untersuchungen, die bescheinigen, dass OSS nicht viel schlechter als CSS ist. Und wieder andere zeigen sogar, dass OSS besser ist als CSS. Hier spielt es einfach auch eine Rolle wie die zu Grunde liegenden Daten und die Projektauswahl ist. Es zeugt aber von Unwissenheit zu behaupten, dass CSS in einer ganz anderen Liga spielen würde als OSS. Eine Fehlerdichte von "0,59 bei quelloffenen" und "0,72 für proprietären Code" Spricht eine ganz andere Sprache.


    http://www.heise.de/open/meldung/Studie-zur-Softwarequalitaet-Open-Source-schlaegt-proprietaer-2175954.html

  10. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: pythoneer 20.05.14 - 16:54

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Die Fehler die gemacht wurden sind haben nicht unbedingt was mit
    > Krypowissen zu tun. Es gibt ja die Seite opensslrampage.org, einfach
    > traurig.

    Was soll daran traurig sein?

  11. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: bstea 20.05.14 - 16:54

    Wäre mein Geschäftsmodell, Sicherheitsreports meiner Software teuer zu verkaufen, würde ich auch zu ähnlichen Schlussfolgerungen kommen.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  12. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: bstea 20.05.14 - 16:56

    Das die Entwickler nicht mal die Sprache C beherrschen wie am Beispiel Freigabe eines Null-Pointer zu sehen ist.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  13. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: pythoneer 20.05.14 - 16:59

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Wäre mein Geschäftsmodell, Sicherheitsreports meiner Software teuer zu
    > verkaufen, würde ich auch zu ähnlichen Schlussfolgerungen kommen.

    Würde ich allem misstrauen, was nicht in mein Weltbild passt, würde ich auch so ein Kommentar schreiben.

  14. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: bstea 20.05.14 - 17:02

    Machst du das nicht?

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!



    1 mal bearbeitet, zuletzt am 20.05.14 17:02 durch bstea.

  15. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: pythoneer 20.05.14 - 17:04

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Machst du das nicht?

    Ich versuche das, nach meinen Möglichkeiten, zu vermeiden.

  16. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: schap23 20.05.14 - 18:22

    Wenn ein großer Teil des Problems an der Projektführung liegt, ist ein Fork wohl die einfachste Lösung. Gut wäre allerdings, die brauchbaren Entwickler auch rüberzuziehen.

  17. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: violator 20.05.14 - 18:44

    pythoneer schrieb:
    --------------------------------------------------------------------------------
    > Ach deine unreflektierten Hasstiraden gegen OSS nimmt doch langsam keiner
    > mehr ernst.

    Wo hat er denn Unrecht?

  18. Re: Die Lobgesänge auf das Konzept OSS gehn wohl nicht auf

    Autor: GodsBoss 20.05.14 - 19:57

    > "Jeder" nimmt den Code und gibt offenbar sehr wenig zurück. Wobei das ihr
    > gutes Recht ist, da der Code unter BSD Lizensiert wurde. www.openssl.org
    >
    > Dabei wäre es ja für Unternehmen wie Google und Apple wohle ein Leichtes
    > ein paar Hunderttausend für das Projekt zur Verfügung zu stellen. Aber gut,
    > sie sind nicht dazu verpflichtet.
    >
    > Die Gebetsmühlen der OSS Jünger funktionieren scheinbar auch nicht korrekt.
    > Wo sind die Heerscharen an Code lesenden Usern die bereitwillig Bugs fixen?
    > Gähnende Leere.

    Aus dem Artikel: "Zu OpenSSL erläutert Beck, dass vorhandener Code, der Fehler behebe, nicht eingepflegt würde. Darüber hinaus seien die Probleme mit der internen Speicherzuweisung bereits seit vier Jahren bekannt."

    Wenn das stimmt, dann gab es die sehr wohl, auch Fixes, nur wurden die nicht angenommen.

    > Nur davon das der Code offen ist liest ihn noch nicht jeder, geschweige
    > denn fixt jemand auch die gefundenen Bugs. Geld könnte hier Anreize
    > schaffen aber das ist ja auch nicht vorhanden.
    >
    > Das der Code offen ist macht ihn nicht besser wenn sich keiner beteiligt.
    > Und die Qualität des Codes, der ja offensichtlich sehr ungepflegt ist,
    > spricht auch nicht gerade für das Projekt. Nun ja, immerhin scheint sich ja
    > jetzt wer darum zu kümmern der ein wenig mehr Ahnung hat als die
    > ursprünglichem Maintainer.

    Ich staune, dass du den winzigen geistigen Schritt zwischen deinem letzten Satz und OSS nicht hinbekommst, aber dann werde ich das mal für dich erledigen: Wenn OpenSSL Closed Source Software wäre, dann könnte sich jetzt niemand anderes darum kümmern!

    Zu deinem sonstigen Anti-OSS-Ranting: Nicht bei jedem OSS-Projekt greifen die Vorteile, die OSS bieten kann. Bei CSS greifen sie aber garantiert nicht. Demgegenüber bietet CSS dem Nutzer keine Vorteile gegenüber OSS. Dem Produzenten natürlich sehr wohl, meist monetärer Natur.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, München
  2. Computacenter AG & Co. oHG, Erfurt, Kerpen (bei Köln)
  3. Pohl Verwaltungs- und Beteiligungs GmbH & Co. KG, Düren
  4. BWI GmbH, Nürnberg, Bonn, Berlin, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 32,99€
  2. 4,99€
  3. 50,99€
  4. 4,32€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Projektorkauf: Lumen, ANSI und mehr
Projektorkauf
Lumen, ANSI und mehr

Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
Von Mike Wobker


    FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
    FPM-Sicherheitslücke
    Daten exfiltrieren mit Facebooks HHVM

    Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
    Eine Exklusivmeldung von Hanno Böck

    1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

    Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
    Raumfahrt
    Galileo-Satellitennavigation ist vollständig ausgefallen

    Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


      1. Quartalsbericht: Microsofts Cloud-Geschäft steigert Rekordumsatz
        Quartalsbericht
        Microsofts Cloud-Geschäft steigert Rekordumsatz

        Microsoft hat in einem Quartal über 13,2 Milliarden US-Dollar Gewinn gemacht. Der Cloud-Bereich macht ein Drittel des Umsatzes Microsofts aus.

      2. Nach Unfall: Wiener Verkehrsbetrieb stoppt autonome Busse
        Nach Unfall
        Wiener Verkehrsbetrieb stoppt autonome Busse

        Nachdem eine Fußgängerin in einen der autonom fahrenden Busse gelaufen ist, hat der Wiener Verkehrsbetrieb das Pilotprojekt erst einmal gestoppt: Die Passantin, die leicht verletzt wurde, ist offensichtlich aus Unachtsamkeit mit dem Fahrzeug kollidiert.

      3. Berliner U-Bahn: Bis Ende 2019 gibt es LTE auch für Vodafone und Telekom
        Berliner U-Bahn
        Bis Ende 2019 gibt es LTE auch für Vodafone und Telekom

        Bisher bietet nur Telefónica LTE- und UMTS-Zugang im Berliner U-Bahn-Netz. Ende 2019 werden auch erste Linien von der Deutschen Telekom und Vodafone versorgt.


      1. 22:38

      2. 17:40

      3. 17:09

      4. 16:30

      5. 16:10

      6. 15:45

      7. 15:22

      8. 14:50