1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Sicherheitslücke bei Client…

OpenSource? OpenSource! Muss also sicher sein!?

  1. Thema

Neues Thema Ansicht wechseln


  1. OpenSource? OpenSource! Muss also sicher sein!?

    Autor: 0xDEADC0DE 04.03.14 - 09:00

    Bei Wiki steht, die meisten TLS-Bibliotheken seien OpenSource. Und doch wurde das Problem, auch wenn es nur wenige betrifft, jetzt erst entdeckt? Mal wieder... Wo bleibt der IMHO-Artikel, so wie neulich bei IMs wie Threema und Telegram? ;) Der Schrei nach OS wegen höherer Sicherheit und dem Jeder-Kanns-Richten-Gefühl, er erstickt am eigenen Echo in den leeren Kammern der Programmierrichtlinien... *scnr*

  2. Please don't feed the troll ..

    Autor: Stiffler 04.03.14 - 09:15

    kwt

  3. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: sardello 04.03.14 - 09:31

    0xDEADC0DE schrieb:
    --------------------------------------------------------------------------------
    > Bei Wiki steht, die meisten TLS-Bibliotheken seien OpenSource. Und doch
    > wurde das Problem, auch wenn es nur wenige betrifft, jetzt erst entdeckt?
    > Mal wieder... Wo bleibt der IMHO-Artikel, so wie neulich bei IMs wie
    > Threema und Telegram? ;) Der Schrei nach OS wegen höherer Sicherheit und
    > dem Jeder-Kanns-Richten-Gefühl, er erstickt am eigenen Echo in den leeren
    > Kammern der Programmierrichtlinien... *scnr*

    Und jetzt stell dir mal vor wieviele Gefahren in Closed Source stecken, wo nur eine Hand voll Nutzer Einblick in den Quellcode hat.

  4. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: Lala Satalin Deviluke 04.03.14 - 09:40

    Ja und? Er beweist doch nur, dass OpenSource keine Vorteile in Sachen Sicherheit bietet.

    Grüße vom Planeten Deviluke!

  5. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: 0xDEADC0DE 04.03.14 - 10:38

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Ja und? Er beweist doch nur, dass OpenSource keine Vorteile in Sachen
    > Sicherheit bietet.

    Zumindest nicht, wenn man ein ganzes Team braucht die Jahre später erst Lücken entdecken. Das heißt natürlich nicht, dass die dazu auch Jahre gebracht haben. Aber es beweißt, dass diese Konzeptschwachstelle schon seit Jahren unentdeckt geblieben ist, trotz für alle ersichtlichen Sourcecode. Sicherheitsvorteil? Mag sein, aber nur bei trivialen Problemen. Bei komplexem Code nachweislich nicht.

  6. Re: Please don't feed the troll ..

    Autor: neocron 04.03.14 - 11:14

    ui, da hat einen die Realitaet aber maechtig gebissen!
    und das war das Beste, was du dem entgegenen konntest?
    you can do better ...

  7. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: neocron 04.03.14 - 11:16

    sardello schrieb:
    --------------------------------------------------------------------------------
    > Und jetzt stell dir mal vor wieviele Gefahren in Closed Source stecken, wo
    > nur eine Hand voll Nutzer Einblick in den Quellcode hat.
    und nun stell dir mal vor, der Unterschied ist gar nicht existent?
    Dies ist eine verbissene Ansicht, die keinerlei Beweise anfuehren kann.
    Eine willkuerliche Behauptung ... weils einem in den Kram passt.

    Closed source ist 47x sicherer als Open Source ...
    ich behaupte jetzt auch einfach mal drauf los ...

  8. ++

    Autor: neocron 04.03.14 - 11:20

    so sehe ich es auch.
    auch in open Source Projekten betreiben doch die wenigsten tatsaechlich Code Reviews. Besonders nicht, wenn man auf der gruenen Wiese anfangen muss.
    OS und CS haben jeweils Vor- und Nachteile ...
    Anzunehmen OS waere sicherer, nur weil es eben open ist, ist Nonsens. So "einfach", wie es ist in OS zu schauen, so einfach ist es dort auch Fehler zu finden, die man ausnutzen kann! Da hat CS wiederum den Vorteil, dass bei Fehlern es aufwaendiger ist, diese zu entdecken ...
    wuerde mich wundern, wenn die Vorteile fuer OS in dem Aspekt stark ueberwiegen wuerden ...

  9. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: 0xDEADC0DE 04.03.14 - 13:12

    neocron schrieb:
    --------------------------------------------------------------------------------
    > Closed source ist 47x sicherer als Open Source ...
    > ich behaupte jetzt auch einfach mal drauf los ...

    Ich muss dich leider enttäuschen, es ist nur 42x sicherer. ;)

  10. Re: Please don't feed the troll ..

    Autor: 0xDEADC0DE 04.03.14 - 13:13

    Jetzt hast ihn doch gefüttert... ^^

  11. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: jack_torrance 04.03.14 - 13:46

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Ja und? Er beweist doch nur, dass OpenSource keine Vorteile in Sachen Sicherheit bietet.
    Das ist schon der Beweis?

    Ich würde eher sagen »quod esset demonstrandum«.
    Oder zu Lala Satalin Devilukes Aussage noch besser passend: »quod est dubitandum«.

    Das alles mal beiseite, schätze ich, dass eine wissenschaftliche Untersuchung, ob Open oder Closed Source Software "sicherer" ist, mehrere Jahre dauern würde. Ich persönlich kann mir treu dem Motto "zusammen schaffen wir's" aber sehr gut vorstellen, dass ein paar Dutzend kontrollierende Augen mehr sehen als nur eine Hand voll. Dieser Vermutung folgend, wäre es für eine Closed Source Software (wie z.B. Winamp) das schlimmste überhaupt, wenn der Quellcode in falsche Hände gelangte. Bei Open Source hingegen, kann ein sehr begabter Mensch, der eine Sicherheitslücke über länge Zeit für sich alleine (!) entdeckt hat, i.d.R. umgehend ausnutzen.

  12. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: 0xDEADC0DE 04.03.14 - 14:23

    jack_torrance schrieb:
    --------------------------------------------------------------------------------
    > Das alles mal beiseite, schätze ich, dass eine wissenschaftliche
    > Untersuchung, ob Open oder Closed Source Software "sicherer" ist, mehrere
    > Jahre dauern würde.

    Die würde gar nicht erst zustande kommen, da man selten vollen Einblick bei CS hat. Aus gutem Grund teilweise, da steckt viel KnowHow drin und das sollte manchmal schützenswert bleiben. Und ehrlich gesagt ist "wissenschaftlich" wohl der falsche Begriff, da das Untersuchungsergebnis nicht pauschal übertragbar sein wird. Die Aussage wird nur auf den untersuchten Code zutreffen und der ist sowohl von den einzelnen Menschen, wie auch von den eingesetzten Tools abhängig. So ähnlich wie meine Rechtschreib- und Tippfehler, die ich mit einem Tool sicher korrigieren könnte, wenn ich eines hätte.

    > Ich persönlich kann mir treu dem Motto "zusammen
    > schaffen wir's" aber sehr gut vorstellen, dass ein paar Dutzend
    > kontrollierende Augen mehr sehen als nur eine Hand voll. Dieser Vermutung
    > folgend, wäre es für eine Closed Source Software (wie z.B. Winamp) das
    > schlimmste überhaupt, wenn der Quellcode in falsche Hände gelangte. Bei
    > Open Source hingegen, kann ein sehr begabter Mensch, der eine
    > Sicherheitslücke über länge Zeit für sich alleine (!) entdeckt hat, i.d.R.
    > umgehend ausnutzen.

    Richtig und falsch. Die Realität zeigt, in OpenSource stecken auch Fehler. Sie zeigt auch, dass "begabte Menschen" sich den Code aber entweder nie anschauen, oder sehr selten, oder die "Schwarmintelligenz" doch nur "Schwarmdummheit" ist. Das kann man sehen, wie man will. Es tauchen immer wieder mal Lücken in OS auf, die schon seit Jahren im Code stecken und evtl. sogar ausgenutzt werden. Und genau das macht eine Lücke ja gefährlich: Wenn sie ausgenutzt wird, aber dem Entwickler nicht bekannt ist. Da unterscheidet sich OS von CS überhaupt nicht. Auch nicht, dass manche Lücken sehr schnell und andere nie geschlossen werden. Ich hab schon so einige OS-Projektleichen im Internet gefunden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Hays AG, München
  2. Weisenburger Bau GmbH, Karlsruhe
  3. ED. ZÜBLIN AG, Stuttgart
  4. Remsgold Chemie GmbH & Co. KG, Winterbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 139,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de