Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › OpenX Onramp eingestellt: Sind…

Trollalarm

  1. Thema

Neues Thema Ansicht wechseln


  1. Trollalarm

    Autor: couchpotato 13.02.13 - 10:26

    Mal schauen wie lange es dauert bis die ersten ClosedSource Trolle antanzen.

    Warum ist eigentlich noch nie jemand auf die Idee gekommen, das Windows wegen des geschlossenen Quellcodes so viele Sicherheitslücken in seiner Geschicht hatte?


    Aber mal ernsthaft, ist OpenX so schlecht programmiert, das es derart leicht ist dort Fehler zu finden?

    Ich könnt mir auch denken, das die Betreiber das ganze lieber als Closed Source hätten um leichter Geld damit zu machen. Aber das ist auch nur Spekulation

  2. Re: Trollalarm

    Autor: Astorek 13.02.13 - 10:59

    couchpotato schrieb:
    --------------------------------------------------------------------------------
    > Aber mal ernsthaft, ist OpenX so schlecht programmiert, das es derart
    > leicht ist dort Fehler zu finden?

    Das liegt in der Natur der Sache: In OSS kann halt jeder reingucken, der Interesse daran hat. Und wenn ihm ein Implementierungsfehler ins Auge sticht und dann noch Kriminelle Energie mitbringt, statt es den Entwicklern mitzuteilen... Tja...

    Aber um das Klarzustellen: Was wäre die Alternative? Ich erinnere mich an News, in denen Windows von heftigen Sicherheitslücken berichtete und sich herausstellte, dass genannte Sicherheitslücke schon vor Jahren Microsoft mitgeteilt wurde, diese aber gewartet haben bis jemand die Lücke ausnutzt. Hätte die Community ein Mitspracherecht gehabt, wäre die Lücke deutlich schneller gefixt worden (ist natürlich so bei Microsoft nicht möglich, deren Geschäftsmodell basiert ja darauf. Bei manch andere Software hingegen funktioniert dieses Konzept ganz gut...).

    Nur, um auch das klarzustellen: Ob Software angreifbar ist oder nicht, wird nicht aus der Offen- oder Geschlossenheit des Quellcodes ersichtlich. Was am Schluss immer ausgeführt wird, sind Binarys. Es müssen Implementierungsfehler (eine Funktion, die etwas ausführt, dass so nicht vorgesehen war) vorliegen, um möglicherweise angreifbare Sicherheitslücken zu haben...

  3. Re: Trollalarm

    Autor: Hasler 13.02.13 - 11:00

    Man uebersieht schnell was und auf andere kann man sich nicht verlassen.
    So ist es logisch das Open Source ausgenutzt wird.

    Closed und Open haben beide seine Vor und Nachteile.

  4. Full ack

    Autor: Anonymer Nutzer 13.02.13 - 11:02

    Genau so ist es. Weder Closed- noch Opensource konnten zeigen, dass sie in Sachen Sicherheit dem jeweils anderen Modell überlegen sind. Natürlich wollen manche weiter in ihrer Welt leben und nur das sehen, was ihren eigenen Vorstellungen entspricht aber die Realität zeigt eben: es kochen alle nur mit Wasser.

  5. Re: Trollalarm

    Autor: couchpotato 13.02.13 - 11:08

    Astorek schrieb:
    --------------------------------------------------------------------------------

    > Nur, um auch das klarzustellen: Ob Software angreifbar ist oder nicht, wird
    > nicht aus der Offen- oder Geschlossenheit des Quellcodes ersichtlich. Was
    > am Schluss immer ausgeführt wird, sind Binarys. Es müssen
    > Implementierungsfehler (eine Funktion, die etwas ausführt, dass so nicht
    > vorgesehen war) vorliegen, um möglicherweise angreifbare Sicherheitslücken
    > zu haben...

    Magst du das etwas ausführen?

    Einen Fehler im SourceCode zu finden hilft mir nicht eine Sicherheitslücke zu finden die ich ausnutzen könnte?

  6. Re: Trollalarm

    Autor: Anonymer Nutzer 13.02.13 - 11:19

    Er sagt nicht, dass es nicht hilft, er sagt aber, dass das Wesentliche Lücken sind und die findet man in beiden Modellen.
    Es hat einfach noch kein System seine Überlegenheit zeigen können.

  7. Re: Trollalarm

    Autor: Lala Satalin Deviluke 13.02.13 - 11:21

    Man kann an dem Beispiel deutlich sehen, wieso die Hardwarehersteller keine Open Source Treiber veröffentlichen wollen.

    Grüße vom Planeten Deviluke!

  8. Re: Trollalarm

    Autor: Anonymer Nutzer 13.02.13 - 11:24

    Das hängt eher damit zusammen, weil man dann ggfls. Interna der verwendeten Hardware offenbaren muss.

  9. Re: Trollalarm

    Autor: Astorek 13.02.13 - 11:25

    couchpotato schrieb:
    --------------------------------------------------------------------------------
    > Magst du das etwas ausführen?
    >
    > Einen Fehler im SourceCode zu finden hilft mir nicht eine Sicherheitslücke
    > zu finden die ich ausnutzen könnte?

    Es kommt halt immer auf den Fall an... Ein einigermaßen simples Beispiel: Der Sourcecode verwendet eine Funktion, die bei nicht gedachten Parametern einen Buffer Overflow erzeugt. Im "Idealfall" stürzt das Programm bei den nicht gedachten Parametern, die einen Buffer Overflow erzeugen, ab.

    Um Buffer Overflows vorzubeugen, wird (hoffentlich) idR. vor der Funktion überprüft, ob der zu übergebene Parameter überhaupt korrekt ist. Hier tritt dann die Sicherheitslücke auf, wenn ein Parameter während der Überprüfung scheinbar korrekt weitergegeben wird... Aber eben nur scheinbar... Ein Angreifer kann dann mittels Buffer Overflow Teile des Speichers, dass vom verwendeten Programm benutzt wird, dann mit eigenem Code überschreiben und so hinkriegen, dass das Programm dennoch korrekt (im Sinne von: Kein Absturz, keine Fehlermeldung o.Ä.) weiterläuft.
    ---

    War jetzt nur ein vergleichsweise einfaches Beispiel. Über mögliche Sicherheitslücken, die beim Programmieren von einigermaßen anspruchsvoller Programme entstehen können, haben andere schon ganze Bücher darüber geschrieben^^...



    1 mal bearbeitet, zuletzt am 13.02.13 11:26 durch Astorek.

  10. Re: Trollalarm

    Autor: Lala Satalin Deviluke 13.02.13 - 11:48

    Das auch. Und ich finde das vollkommen legitim.

    Grüße vom Planeten Deviluke!

  11. Re: Trollalarm

    Autor: honk 13.02.13 - 13:55

    Ein offener Code kann auch helfen, Sicherheitslücken schneller zu schließen. Und ganz offensichtlich ist es auch nicht sonderlich schwer, Sicherheitslücken in closed software zu finden, siehe Windows oder Adobe Flash.

    Es ist wohl eher so, das die Firma nicht sonderlich viel Mühe in dies Produkt gesteckt hat. Da kommt dann halt auch nichts gutes bei raus, egal ob closed oder open source. Und die freiwillige Community, die hilft eine adserver zu verbessern, ist vermutlich auch nicht so groß.

  12. Re: Trollalarm

    Autor: Otto d.O. 13.02.13 - 15:36

    Letztlich läuft es immer auf die Frage hinaus, wer mehr Aufwand betreibt, um Fehler zu finden, die Guten oder die Bösen. Weite Teile des Internets laufen auf OpenSource-Software, z.B. Linux, Apache, PHP etc. und trotzdem werden nicht alle 15 Minuten Facebook und Google gehackt. Weil es eben auch genug "Gute" gibt, die ein Interesse daran haben, diese wichtigen Softwareprodukte sicher zu halten. Bei weniger oft benutzten Paketen mit weniger Anwendern schaut die Sache evtl. anders aus, aber da ist ja auch CloseSource-Software nicht zwangsläufig sicherer. Zumal ja jede Web-Applikation zwangsläufig schon einige Details über ihre Schnittstelle nach außen bekannt geben muss, und da kann man dann als Angreifer schon mal gucken, ob da alle Hochkommas abgefangen werden (wg. SQL-Injection), ob fehlerhafte Benutereingaben ungefiltert wieder ausgegeben werden (wg. XSS) usw. und findet so vielleicht auch genügend Einfallstore.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Meckenheim
  2. DIEBOLD NIXDORF, Ilmenau
  3. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf, Münster, Hagen
  4. Stadt Pforzheim, Pforzheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 3,99€
  3. (-20%) 23,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hyper Casual Games: 30 Sekunden spielen, 30 Sekunden Werbung
Hyper Casual Games
30 Sekunden spielen, 30 Sekunden Werbung

Ob im Bus oder im Wartezimmer: Mobile Games sind aus dem Alltag nicht mehr wegzudenken. Die Hyper Casual Games sind ihr neuestes Untergenre. Dahinter steckt eine effiziente Designphilosophie - und viel Werbung.
Von Daniel Ziegener

  1. Mobile-Games-Auslese Die Evolution als Smartphone-Strategiespiel
  2. Mobile-Games-Auslese Mit der Enterprise durch unendliche Onlineweiten
  3. Mobile-Games-Auslese Große Abenteuer im kleinen Feiertagsformat

Elektromobilität: Wohin mit den vielen Akkus?
Elektromobilität
Wohin mit den vielen Akkus?

Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
Ein Bericht von Dirk Kunde

  1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
  2. Batterieherstellung Kampf um die Zelle
  3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

Webbrowser: Das Tracking ist tot, es lebe das Tracking
Webbrowser
Das Tracking ist tot, es lebe das Tracking

Die großen Browserhersteller Apple, Google und Mozilla versprechen ihren Nutzern Techniken, die das Tracking im Netz erschweren sollen. Doch das stärkt Werbemonopole im Netz und die Methoden verhindern das Tracking nicht.
Eine Analyse von Sebastian Grüner

  1. Europawahlen Bundeszentrale will Wahl-O-Mat nachbessern
  2. Werbenetzwerke Weitere DSGVO-Untersuchung gegen Google gestartet
  3. WLAN-Tracking Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

  1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
    Videostreaming
    Netflix und Amazon Prime Video locken mehr Kunden

    Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

  2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
    Huawei
    Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

    Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

  3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
    TV-Serie
    Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

    Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


  1. 12:24

  2. 12:09

  3. 11:54

  4. 11:33

  5. 14:32

  6. 12:00

  7. 11:30

  8. 11:00