1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS: Sicherheitslücke bei Client…

OpenSource? OpenSource! Muss also sicher sein!?

  1. Thema

Neues Thema Ansicht wechseln


  1. OpenSource? OpenSource! Muss also sicher sein!?

    Autor: 0xDEADC0DE 04.03.14 - 09:00

    Bei Wiki steht, die meisten TLS-Bibliotheken seien OpenSource. Und doch wurde das Problem, auch wenn es nur wenige betrifft, jetzt erst entdeckt? Mal wieder... Wo bleibt der IMHO-Artikel, so wie neulich bei IMs wie Threema und Telegram? ;) Der Schrei nach OS wegen höherer Sicherheit und dem Jeder-Kanns-Richten-Gefühl, er erstickt am eigenen Echo in den leeren Kammern der Programmierrichtlinien... *scnr*

  2. Please don't feed the troll ..

    Autor: Stiffler 04.03.14 - 09:15

    kwt

  3. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: sardello 04.03.14 - 09:31

    0xDEADC0DE schrieb:
    --------------------------------------------------------------------------------
    > Bei Wiki steht, die meisten TLS-Bibliotheken seien OpenSource. Und doch
    > wurde das Problem, auch wenn es nur wenige betrifft, jetzt erst entdeckt?
    > Mal wieder... Wo bleibt der IMHO-Artikel, so wie neulich bei IMs wie
    > Threema und Telegram? ;) Der Schrei nach OS wegen höherer Sicherheit und
    > dem Jeder-Kanns-Richten-Gefühl, er erstickt am eigenen Echo in den leeren
    > Kammern der Programmierrichtlinien... *scnr*

    Und jetzt stell dir mal vor wieviele Gefahren in Closed Source stecken, wo nur eine Hand voll Nutzer Einblick in den Quellcode hat.

  4. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: Lala Satalin Deviluke 04.03.14 - 09:40

    Ja und? Er beweist doch nur, dass OpenSource keine Vorteile in Sachen Sicherheit bietet.

    Grüße vom Planeten Deviluke!

  5. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: 0xDEADC0DE 04.03.14 - 10:38

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Ja und? Er beweist doch nur, dass OpenSource keine Vorteile in Sachen
    > Sicherheit bietet.

    Zumindest nicht, wenn man ein ganzes Team braucht die Jahre später erst Lücken entdecken. Das heißt natürlich nicht, dass die dazu auch Jahre gebracht haben. Aber es beweißt, dass diese Konzeptschwachstelle schon seit Jahren unentdeckt geblieben ist, trotz für alle ersichtlichen Sourcecode. Sicherheitsvorteil? Mag sein, aber nur bei trivialen Problemen. Bei komplexem Code nachweislich nicht.

  6. Re: Please don't feed the troll ..

    Autor: neocron 04.03.14 - 11:14

    ui, da hat einen die Realitaet aber maechtig gebissen!
    und das war das Beste, was du dem entgegenen konntest?
    you can do better ...

  7. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: neocron 04.03.14 - 11:16

    sardello schrieb:
    --------------------------------------------------------------------------------
    > Und jetzt stell dir mal vor wieviele Gefahren in Closed Source stecken, wo
    > nur eine Hand voll Nutzer Einblick in den Quellcode hat.
    und nun stell dir mal vor, der Unterschied ist gar nicht existent?
    Dies ist eine verbissene Ansicht, die keinerlei Beweise anfuehren kann.
    Eine willkuerliche Behauptung ... weils einem in den Kram passt.

    Closed source ist 47x sicherer als Open Source ...
    ich behaupte jetzt auch einfach mal drauf los ...

  8. ++

    Autor: neocron 04.03.14 - 11:20

    so sehe ich es auch.
    auch in open Source Projekten betreiben doch die wenigsten tatsaechlich Code Reviews. Besonders nicht, wenn man auf der gruenen Wiese anfangen muss.
    OS und CS haben jeweils Vor- und Nachteile ...
    Anzunehmen OS waere sicherer, nur weil es eben open ist, ist Nonsens. So "einfach", wie es ist in OS zu schauen, so einfach ist es dort auch Fehler zu finden, die man ausnutzen kann! Da hat CS wiederum den Vorteil, dass bei Fehlern es aufwaendiger ist, diese zu entdecken ...
    wuerde mich wundern, wenn die Vorteile fuer OS in dem Aspekt stark ueberwiegen wuerden ...

  9. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: 0xDEADC0DE 04.03.14 - 13:12

    neocron schrieb:
    --------------------------------------------------------------------------------
    > Closed source ist 47x sicherer als Open Source ...
    > ich behaupte jetzt auch einfach mal drauf los ...

    Ich muss dich leider enttäuschen, es ist nur 42x sicherer. ;)

  10. Re: Please don't feed the troll ..

    Autor: 0xDEADC0DE 04.03.14 - 13:13

    Jetzt hast ihn doch gefüttert... ^^

  11. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: jack_torrance 04.03.14 - 13:46

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Ja und? Er beweist doch nur, dass OpenSource keine Vorteile in Sachen Sicherheit bietet.
    Das ist schon der Beweis?

    Ich würde eher sagen »quod esset demonstrandum«.
    Oder zu Lala Satalin Devilukes Aussage noch besser passend: »quod est dubitandum«.

    Das alles mal beiseite, schätze ich, dass eine wissenschaftliche Untersuchung, ob Open oder Closed Source Software "sicherer" ist, mehrere Jahre dauern würde. Ich persönlich kann mir treu dem Motto "zusammen schaffen wir's" aber sehr gut vorstellen, dass ein paar Dutzend kontrollierende Augen mehr sehen als nur eine Hand voll. Dieser Vermutung folgend, wäre es für eine Closed Source Software (wie z.B. Winamp) das schlimmste überhaupt, wenn der Quellcode in falsche Hände gelangte. Bei Open Source hingegen, kann ein sehr begabter Mensch, der eine Sicherheitslücke über länge Zeit für sich alleine (!) entdeckt hat, i.d.R. umgehend ausnutzen.

  12. Re: OpenSource? OpenSource! Muss also sicher sein!?

    Autor: 0xDEADC0DE 04.03.14 - 14:23

    jack_torrance schrieb:
    --------------------------------------------------------------------------------
    > Das alles mal beiseite, schätze ich, dass eine wissenschaftliche
    > Untersuchung, ob Open oder Closed Source Software "sicherer" ist, mehrere
    > Jahre dauern würde.

    Die würde gar nicht erst zustande kommen, da man selten vollen Einblick bei CS hat. Aus gutem Grund teilweise, da steckt viel KnowHow drin und das sollte manchmal schützenswert bleiben. Und ehrlich gesagt ist "wissenschaftlich" wohl der falsche Begriff, da das Untersuchungsergebnis nicht pauschal übertragbar sein wird. Die Aussage wird nur auf den untersuchten Code zutreffen und der ist sowohl von den einzelnen Menschen, wie auch von den eingesetzten Tools abhängig. So ähnlich wie meine Rechtschreib- und Tippfehler, die ich mit einem Tool sicher korrigieren könnte, wenn ich eines hätte.

    > Ich persönlich kann mir treu dem Motto "zusammen
    > schaffen wir's" aber sehr gut vorstellen, dass ein paar Dutzend
    > kontrollierende Augen mehr sehen als nur eine Hand voll. Dieser Vermutung
    > folgend, wäre es für eine Closed Source Software (wie z.B. Winamp) das
    > schlimmste überhaupt, wenn der Quellcode in falsche Hände gelangte. Bei
    > Open Source hingegen, kann ein sehr begabter Mensch, der eine
    > Sicherheitslücke über länge Zeit für sich alleine (!) entdeckt hat, i.d.R.
    > umgehend ausnutzen.

    Richtig und falsch. Die Realität zeigt, in OpenSource stecken auch Fehler. Sie zeigt auch, dass "begabte Menschen" sich den Code aber entweder nie anschauen, oder sehr selten, oder die "Schwarmintelligenz" doch nur "Schwarmdummheit" ist. Das kann man sehen, wie man will. Es tauchen immer wieder mal Lücken in OS auf, die schon seit Jahren im Code stecken und evtl. sogar ausgenutzt werden. Und genau das macht eine Lücke ja gefährlich: Wenn sie ausgenutzt wird, aber dem Entwickler nicht bekannt ist. Da unterscheidet sich OS von CS überhaupt nicht. Auch nicht, dass manche Lücken sehr schnell und andere nie geschlossen werden. Ich hab schon so einige OS-Projektleichen im Internet gefunden.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtverwaltung Bretten, Bretten
  2. Claranet GmbH, Frankfurt am Main
  3. Atlas Copco IAS GmbH, Bretten
  4. FLYERALARM Digital GmbH, Würzburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. AMD Ryzen Threadripper 2920X für 399€ inkl. Versand)
  2. (u. a. Samsung Galaxy S10 128 GB für 555€ statt 599€ im Vergleich und Sony Xperia 10 21:9 64...
  3. (u. a. HP Omen 25 FHD/144 Hz für 169€, MSI Optix MAG271CQP WQHD/144 Hz für 339€ und...
  4. 159€ (neuer Tiefpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

  1. Lightning vs. USB-C: USB-Konsortium war zu träge
    Lightning vs. USB-C
    USB-Konsortium war zu träge

    Im Streit um den offenen Standard USB-C und Apples eigenen Standard Lightning sind neue Details bekanntgeworden. Das USB-Konsortium gibt sich selbst die Schuld, nicht frühzeitig einen USB-Standard fertig gehabt zu haben, der gegen Lightning hätte bestehen können.

  2. Datenschützer kritisieren: H&M soll Mitarbeiter umfangreich ausspioniert haben
    Datenschützer kritisieren
    H&M soll Mitarbeiter umfangreich ausspioniert haben

    Der schwedische Modehändler Hennes und Mauritz (H&M) soll Mitarbeiter in großem Stil ausspioniert haben. Die zuständige Datenschutzbehörde hat ein Bußgeldverfahren eingeleitet und bezeichnet die Datenschutzverstöße als besonders drastisch.

  3. Handyverträge: Verkürzte Laufzeit und leichtere Kündigungen geplant
    Handyverträge
    Verkürzte Laufzeit und leichtere Kündigungen geplant

    Zwei Jahre laufende Mobilfunkverträge sollen bald der Vergangenheit angehören. Das Bundesjustizministerium hat einen Gesetzentwurf für kürzere Laufzeitverträge und bessere Kündigungsmöglichkeiten veröffentlicht. Auch Vertragsverlängerungen werden begrenzt.


  1. 11:38

  2. 10:35

  3. 10:11

  4. 13:15

  5. 12:50

  6. 11:43

  7. 19:34

  8. 16:40