Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Browsererweiterungen: Plötzlich nackt…

Zum Fazit

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Zum Fazit

    Autor: tobster 03.11.16 - 16:34

    > Hier braucht es dringend gesetzliche Vorgaben. Es muss geklärt werden, auf
    > welcher Grundlage diese Daten gehandelt werden.

    Und dann bitte gleich bei der Vorratsdatenspeicherung fortsetzen.

    > Man muss überprüfen, wieso die Pseudonymisierung der Daten gebrochen werden konnte

    Bei der genannten URL ist dies wohl nicht passiert und wohl auch nicht gewollt, weil es z.B. bei WOT bestimmt einfach keinen interessiert.

    > und natürlich muss man sich fragen, warum niemand die Software überprüft und
    > sichert, mit der wir uns im Netz bewegen.

    Wer soll das machen? Die Internetpolizei?

    Konsequent müsste man sagen, setze keine SW ein, bei der man nicht im Code selbst nachsehen kann, was gemacht wird. Also OpenSource. Und dann folgt gleich im Nachsatz, wer diese Menge Code überblicken soll? Ich möchte glauben, dass schlimmes wie hier bei einer Community nicht lang verborgen bleibt, 100% Sicherheit gibt's aber nunmal nicht. Der einfach Verbraucher/Betroffene ist aber bereits außen vor und hat keine Chance.

    Ein Beispiel: Erweiterung uBlock origin
    Auf GitHub einsehbar: https://github.com/gorhill/uBlock

    Bevor ich das nun einsetze prüfe ich den Code komplett, verstehe ihn, compilieren ihn selbst und setze das Plug-In erst dann ein?



    1 mal bearbeitet, zuletzt am 03.11.16 16:40 durch tobster.

  2. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 16:42

    tobster schrieb:
    --------------------------------------------------------------------------------
    > Also OpenSource. Und dann folgt gleich im Nachsatz, wer diese Menge Code überblicken soll? Ich möchte glauben, dass schlimmes wie hier bei einer Community nicht lang verborgen bleibt

    Heartbleed blieb 3 Jahre lang unentdeckt.

  3. Re: Zum Fazit

    Autor: tobster 03.11.16 - 16:50

    der_wahre_hannes schrieb:
    --------------------------------------------------------------------------------
    > Heartbleed blieb 3 Jahre lang unentdeckt.

    Danke, gutes Beispiel, wobei wir hier einen Programmfehler haben und da eine absichtliche Funktion nebenbei Daten abzugreifen. Letzteres fände meiner Hoffnung nach evtl. jemand zeitnaher in Open Source. Nichtsdestotrotz kann niemand die Garantie ausprechen.

  4. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 16:54

    tobster schrieb:
    --------------------------------------------------------------------------------
    > der_wahre_hannes schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Heartbleed blieb 3 Jahre lang unentdeckt.
    >
    > Danke, gutes Beispiel, wobei wir hier einen Programmfehler haben und da
    > eine absichtliche Funktion nebenbei Daten abzugreifen. Letzteres fände
    > meiner Hoffnung nach evtl. jemand zeitnaher in Open Source.
    > Nichtsdestotrotz kann niemand die Garantie ausprechen.

    Ja, das ist es leider. Open Source ist ja schön und gut, aber es kostet ungeheuer viel Zeit, sich in einem unbekannten Projekt wirklich einzuarbeiten. Vor allem, wenn man die Sprache vielleicht auch nicht so gut kennt.

    Der Linux-Kernel hat z.B. mittlerweile über 20 Millionen LOC, ich wette, nichtmal Linus weiß noch zu 100%, was da alles drin steht. Das Argument "ist Open Source also werden Fehler/Hintertüren schnell gefunden" hat sich in der Praxis leider noch nicht so wirklich bestätigt.

  5. Re: Zum Fazit

    Autor: raphaelo00 03.11.16 - 17:00

    Nein leider nicht schnell. Imho trotzdem schneller als bei css. Aber auf alle fälle um längen schneller gefixed als bei css

  6. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:02

    raphaelo00 schrieb:
    --------------------------------------------------------------------------------
    > Nein leider nicht schnell. Imho trotzdem schneller als bei css. Aber auf
    > alle fälle um längen schneller gefixed als bei css

    Woran genau machst du das fest?

  7. Re: Zum Fazit

    Autor: Moe479 03.11.16 - 17:06

    muss es auch nicht, es schon besser wenn man kann wenn man möchte, closed source bietet zusätzlich zu den problemen von jeglicher software diese möglichkeit nicht. sich nun hinzustellen und zu sagen, das das sowieso kaum einer macht, macht es nicht überflüssig oder so, möglichkeit bleibt möglichkeit.

    der überwiegende teil der nutzer ist einfach zu faul, ich kenne nur wenige die es geistig grundsätzlich meiner meinung nach nicht könnten, der rest ist einfach nicht fleißig genug bzw. schlichtweg desinteressiert an dem schutz seiner daten, soll gefälligst wer anders sich um seinen arsch kümmern ... insofern ist das alles schon recht verdient ... es wurde sich gekümmert, auch um seinen arsch!



    3 mal bearbeitet, zuletzt am 03.11.16 17:10 durch Moe479.

  8. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:09

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > muss es auch nicht, es schon besser wenn man kann wenn man möchte,

    Aber kann man denn wirklich? Kann man sich hinsetzen und 20 Mios LOC durchackern und auch wirklich verstehen, was da vor sich geht?

  9. Re: Zum Fazit

    Autor: Moe479 03.11.16 - 17:17

    du kannst zumindest mal anfangen, und dir die arbeit mit gleichgesinnten aufteilen, die meisten zeilen sind auch nicht lang und je geübter das auge um so schneller erkennst du groben unfug auch bei der betrachtung größerer abschnitte.

    das nächste ist, dass du für deinen betrieb vielleicht nur einen bruchteil allem codes brauchst, den rest kannst entsorgen, für dich, der interessiert eher andere. du brauchst dir z.b. nicht die unterstützung für 100 gbe karten reinziehen obwohl du nur 1gbe hardware zur verfügung hast ... oder oder oder.

  10. Re: Zum Fazit

    Autor: zZz 03.11.16 - 17:55

    tobster schrieb:
    --------------------------------------------------------------------------------

    > Ein Beispiel: Erweiterung uBlock origin
    > Auf GitHub einsehbar: github.com
    >
    > Bevor ich das nun einsetze prüfe ich den Code komplett, verstehe ihn,
    > compilieren ihn selbst und setze das Plug-In erst dann ein?

    Wieviele Sprachen „sprichst” Du derart flüssig, dass Du das alles verstehst? Und wie kompilierst Du den JavaScript-Code von uBlock?

  11. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:57

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > du kannst zumindest mal anfangen, und dir die arbeit mit gleichgesinnten
    > aufteilen, die meisten zeilen sind auch nicht lang und je geübter das auge
    > um so schneller erkennst du groben unfug auch bei der betrachtung größerer
    > abschnitte.

    Und da sind wir ja wieder voll bei dem, was ich schon erwähnt habe: Verständnis. Wenn da ein gewiefter Programmierer am Werk war, der eine brilliante Lösung für ein Problem gefunden hat, ich diese Lösung aber nicht verstehe... wie soll ich dann beurteilen können, ob der Code "grober Unfug" ist?

    > das nächste ist, dass du für deinen betrieb vielleicht nur einen bruchteil
    > allem codes brauchst, den rest kannst entsorgen, für dich, der interessiert
    > eher andere. du brauchst dir z.b. nicht die unterstützung für 100 gbe
    > karten reinziehen obwohl du nur 1gbe hardware zur verfügung hast ... oder
    > oder oder.

    Und dann guckt sich niemand den Code für 100GB-Karten an und da ist ein Aufruf drin, der einen Fehler enthält.... wahrscheinlich wurde Heartbleed deshalb auch 3 Jahre nicht entdeckt...?

  12. Re: Zum Fazit

    Autor: Niaxa 03.11.16 - 17:58

    Davon war nicht die Rede. Es geht darum, das es in der Community immer jemanden geben wird, der sich die Mühe macht. Nicht nur einen oder zwei. Und jeder versteht eine andere Sprache :-).

  13. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:58

    zZz schrieb:
    --------------------------------------------------------------------------------
    > Wieviele Sprachen „sprichst” Du derart flüssig, dass Du das
    > alles verstehst? Und wie kompilierst Du den JavaScript-Code von uBlock?

    Endlich einer, der mich versteht. :D

    Ich habe hier z.B. mit Programmen zu tun, die in Delphi geschrieben wurden. Ja, ein paar Änderungen hier und da kann ich vornehmen, aber "verstehen" tu ich den Code deshalb noch lange nicht.

  14. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 17:59

    Niaxa schrieb:
    --------------------------------------------------------------------------------
    > Davon war nicht die Rede. Es geht darum, das es in der Community immer
    > jemanden geben wird, der sich die Mühe macht. Nicht nur einen oder zwei.
    > Und jeder versteht eine andere Sprache :-).

    "Ach, das wird sich schon ein anderer angucken" hat man sich wohl auch beim schon mehrfach erwähnten Heartbleed gedacht? :P

  15. Re: Zum Fazit

    Autor: Niaxa 03.11.16 - 18:00

    Es geht doch nicht um dich. Es geht darum das eine breite Masse darüber schaun kann.

  16. Re: Zum Fazit

    Autor: der_wahre_hannes 03.11.16 - 18:01

    Niaxa schrieb:
    --------------------------------------------------------------------------------
    > Es geht doch nicht um dich. Es geht darum das eine breite Masse darüber
    > schaun kann.

    Aber die tut es ja offensichtlich auch nicht.

  17. Re: Zum Fazit

    Autor: Milber 03.11.16 - 18:09

    Okay, ich schau drüber. Und ich sage "passt so". Und dann?
    Ich habe keinerlei Ahnung jenseits von peek und poke aber ich sage dass es passt. Dadurch ist es für JEDEN vertrauungswürdig, oder wasß
    Ich benutze gerne Open Source (weil fast immer umsonst) aber besser fühe ich mich mit closed source, weil da nicht jeder IT-Trottel rumpfuscht.
    Drölftausend Distris, und alle sind überprüft? Ich glaube, in Open Source liegt die größere Gefahr.

  18. Re: Zum Fazit

    Autor: Koto 03.11.16 - 18:34

    Woher weiß man aber das der OpenSource und das Programm dann identisch ist?

    Ich kann ja viel erzählen.

    OpenSource ist auch nicht sicher weil dann müsste man das Programm ja decompilieren dann Analysieren.

    Und WOT das gerade im Gerede ist. Ist Open Source

  19. Re: Zum Fazit

    Autor: Moe479 03.11.16 - 18:38

    tja wenn du es nicht mal ernsthaft versuchst wird das auch mit sicherheit so bleiben, delphi bzw. objekt pascal ist nun nicht wahnsinning abgedreht.

  20. Re: Zum Fazit

    Autor: Moe479 03.11.16 - 19:03

    Du nimmst dir diesen "open source" (zu deutsch: offen liegender quellcode), schaust den an, befindest ihn gut, und compilierst diesen ggf. selbst ...

    Web of Trust (deutsch: Netz des Vertrauens) - allein bei dem Namen leuten schon alle Alarmglocken bei mir - hat so 'wunderbar' funktioniert weil es so viele gutgläubige dumme und vorallem faule Leute gibt, die sich lieber auf andere verlassen ... ich wette die meisten Nutzer haben nichts von der Speicherung bemerkt obwohl sie offen darauf hingewiesen wurden ... haben einfach weiter, weiter, ja, ja, mir doch egal, ok, ja und ahmen gesagt und dachten, jemand macht das für sie ohne Hintergedanken und eigen interesse ... Junge Junge ... NEIN, SO ETWAS GIBT ES NICHT!

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. KVV Kassel, Kassel
  2. OMICRON electronics GmbH, Klaus, Bodenseeregion
  3. BWI GmbH, Bonn, Meckenheim
  4. THD - Technische Hochschule Deggendorf, Deggendorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 2,99€
  2. 1,19€
  3. (-75%) 3,75€
  4. 4,19€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

  1. Nintendo: Akku von überarbeiteter Switch schafft bis zu 9 Stunden
    Nintendo
    Akku von überarbeiteter Switch schafft bis zu 9 Stunden

    Die Hinweise auf eine Hardwarerevision bei der Nintendo Switch sind bestätigt. Bei der neuen Version ist die Akkulaufzeit deutlich verbessert - sie übertrumpft nun sogar die vom Handheld Switch Lite.

  2. Maps: Duckduckgo mit Kartendienst von Apple
    Maps
    Duckduckgo mit Kartendienst von Apple

    Duckduckgo erweitert seine Suchmaschine um einen Kartendienst. Hierzu wird auf Kartenmaterial von Apple zurückgegriffen, die IP-Adresse des Nutzers soll Apple allerdings nicht erhalten.

  3. E-Books: Bildungsverlag Pearson setzt auf Digitalisierung
    E-Books
    Bildungsverlag Pearson setzt auf Digitalisierung

    Pearson, der größte Lehrbuchverlag der Welt, hat angefangen, sein Angebot in den USA von gedruckten auf digitale Lehrmittel wie E-Books umzustellen. Damit reagiert der Verlag auch auf veränderte Gewohnheiten der Studenten.


  1. 15:49

  2. 14:30

  3. 14:10

  4. 13:40

  5. 13:00

  6. 12:45

  7. 12:30

  8. 12:01