3. Ist Open Source vielleicht doch unsicherer als CSS weil Geheimdienste Geld und Personal haben um Lücken zu finden?

Ist Open Source vielleicht doch unsicherer als CSS weil Geheimdienste Geld und Personal haben um Lücken zu finden?

  • ?

    audacia schrieb:

    Aber ansonsten hast du recht. Die gemeinhin verbreitete Einschätzung, Open Source sei per se sicherer, ist irreführend.

    Aber sicherlich besser als Closed Source. Wie sich hier gezeigt hat, wird da immer mal wieder von Nicht-NSA-Leuten auf Bugs überprüft. Was bei Windows nicht der Fall ist.

    audacia schrieb:

    NSA loves Heartbleed schrieb:

    Bei sicherheitskritischer Open Source Software, darf man, um Sicherheit garantieren zu können, für die Entwicklung dieser Software nur Programmiersprachen verwenden, mit denen man anschließend, die Sicherheit der Software mathematisch auch beweisen kann.

    Die Einschränkung auf typsichere Sprachen wäre auch schon sehr hilfreich und viel einfacher umzusetzen.

    Dieser Bug hat überhaupt nichts mit Typsicherheit zu tun. Typsicherheit wird von C++-Programmierern überbewertet.

    0
  • ?

    audacia schrieb:

    Das gilt aber für nicht quelloffene Software genauso. Wenn Microsoft schon Universitäten und Regierungen Einblick in den Windows-Quelltext gibt, meinst du nicht, daß die NSA auch Zugriff hat?

    Warum muss eigentlich immer Microsoft als Beispiel für CSS herhalten?

    Ich wähle mir jetzt mal ein Software Unternehmen aus dem Iran aus.
    Warum sollte dieses, der NSA einen Einblick verschaffen?

    So, dass ist dass eine.
    Der zweite Punkt ist, wenn du als Geheimdienst keinen Quellcode hast, dann wird die Bugsuche im Binärcode wesentlich schwieriger.

    Klar kann es auch mal ein US Unternehmen sein, dass mit der NSA zusammenarbeitet und sogar absichtlich Backdoors einbaut, aber das ist doch kein genereller Maßstab für CSS.
    Und es stümpert auch nicht jedes Softwareunternehmen, es gibt auch welche, die Gewissenhaft arbeiten und ihre Lücken schnell stopfen.

    Aber ansonsten hast du recht. Die gemeinhin verbreitete Einschätzung, Open Source sei per se sicherer, ist irreführend.

    Danke.

    0
  • F

    tschawa schrieb:

    audacia schrieb:

    Aber ansonsten hast du recht. Die gemeinhin verbreitete Einschätzung, Open Source sei per se sicherer, ist irreführend.

    Aber sicherlich besser als Closed Source. Wie sich hier gezeigt hat, wird da immer mal wieder von Nicht-NSA-Leuten auf Bugs überprüft. Was bei Windows nicht der Fall ist.

    Klar bei Windows prüft nur die NSA ob Bugs vorhanden sind, sicher 🙄 🙄 Was haben dann nur die Sicherheitsupdates zu bedeuten die ich immer mal wieder bekomme??, Die NSA wird die gefundenen Sicherheitslücken ja wohl kaum an Microsoft weitergeben, wie werden die nur gefunden 😮 🙄

    Bei OSS und CSS haben Kriminelle, Geheimdienste und die von der guten Seite die gleiche Ausgangslage. Ich denke bei so großen OSS Projekten wie Linux ist OSS gleich sicher wie CSS, das mit OpenSSL kann überall mal passieren. Ist halt blöd gelaufen, kann man jetzt auch nicht mehr ändern.

    floorball

    0
  • ?

    tschawa schrieb:

    audacia schrieb:

    Aber ansonsten hast du recht. Die gemeinhin verbreitete Einschätzung, Open Source sei per se sicherer, ist irreführend.

    Aber sicherlich besser als Closed Source.

    Nein eben nicht.

    Das was OSS mit dem Faktor "jeder darf Lücken stopfen" besser macht, dass macht CSS mit dem Faktor "auch Geheimdienste haben nur einen Blob" wieder wett.

    Die Sicherheit ist also bestenfalls identisch.

    Wie sich hier gezeigt hat, wird da immer mal wieder von Nicht-NSA-Leuten auf Bugs überprüft. Was bei Windows nicht der Fall ist.

    Siehe oben, weder US Unternehmen noch MS ist das Maß aller Dinge für CSS.
    Genauso gut könntest du mit dieser Argumentation bei OSS nur Hobbyprogrammierer heransziehen, das ist genauso unsinnig.

    0
  • A

    tschawa schrieb:

    audacia schrieb:

    Aber ansonsten hast du recht. Die gemeinhin verbreitete Einschätzung, Open Source sei per se sicherer, ist irreführend.

    Aber sicherlich besser als Closed Source. Wie sich hier gezeigt hat, wird da immer mal wieder von Nicht-NSA-Leuten auf Bugs überprüft. Was bei Windows nicht der Fall ist.

    Doch, und zwar von Microsoft. Und die haben ein ganz anderes Budget als irgendein Open-source-Projekt. Das heißt nun ebenfalls nicht, daß Windows dadurch grundsätzlich sicherer wäre. Aber es ist halt nicht so einfach, wie du denkst.

    tschawa schrieb:

    audacia schrieb:

    Die Einschränkung auf typsichere Sprachen wäre auch schon sehr hilfreich und viel einfacher umzusetzen.

    Dieser Bug hat überhaupt nichts mit Typsicherheit zu tun.

    Doch, hat er. Wenn OpenSSL in der CLR liefe, hätte der Programmierer nicht memcpy() benutzen können, um ein paar Bytes aus diesem eingehenden Puffer zu kopieren. Innerhalb einer typsicheren Umgebung kannst du nicht einfach irgendwelchen Speicher lesen, der mit völlig anderen Objekten assoziiert ist. Der Puffer wäre halt ein byte[] oder so gewesen, und um die ersten n Bytes zu kopieren, hätte er buffer.Take(n) schreiben müssen. Und wenn n zu groß ist, wirft der Code halt eine Exception.

    NSA loves Heartbleed schrieb:

    Warum muss eigentlich immer Microsoft als Beispiel für CSS herhalten?

    Relevanz. Und Microsoft war nur das nächstbeste, was mir einfiel. Bei Apple ist es sicher nicht anders.

    NSA loves Heartbleed schrieb:

    Ich wähle mir jetzt mal ein Software Unternehmen aus dem Iran aus.

    Und dieses Softwareunternehmen aus dem Iran, schreibt das sicherheitsrelevanten Code, der auf fast allen Rechnern im Internet benutzt wird, oder wenigstens auf einer nennenswerten Zahl davon?

    NSA loves Heartbleed schrieb:

    Klar kann es auch mal ein US Unternehmen sein, dass mit der NSA zusammenarbeitet und sogar absichtlich Backdoors einbaut, aber das ist doch kein genereller Maßstab für CSS.

    Nein, stimmt. Aber vielleicht koinzidiert der informationelle Weltherrschaftsanspruch der NSA ja auch mit der amerikanischen Dominanz im IT-Sektor? Wenn 95% der Software aus Rußland kommen würde, wäre es vielleicht der russische Geheimdienst, über den wir uns jetzt ärgern würden.

    0
  • T

    Die NSA, deren Hauptaufgabe es ist, widerrechtlich geheime Informationen aus aller Welt zu beschaffen, würde natürlich niemals proprietären Code stehlen. Die lesen nur Open Source! 🤡

    Proprietäre Software und Sicherheit schließen sich gegenseitig aus.

    Open Source Projekte leiden oft darunter, dass viele daran unkontrolliert herumbasteln und nutzlose Features einbauen wie bei Heartbleed. Das ist aber ein organisatorisches Problem, das nichts mit freier Software an sich zu tun hat. Wenn bei Microsoft jeder Mitarbeiter in jedem Projekt committen dürfte, wäre da auch ganz schnell Chaos.

    0
  • ?

    TyRoXx schrieb:

    Die NSA, deren Hauptaufgabe es ist, widerrechtlich geheime Informationen aus aller Welt zu beschaffen, würde natürlich niemals proprietären Code stehlen. Die lesen nur Open Source! 🤡

    Die NSA wird überall versuchen an Daten heranzukommen.
    Aber auch sie wird da am meisten Erfolg haben, wo es am einfachsten ist.

    Die die verbunktere Iraner Firma kommen die auch nicht rein, wenn die durchgehend überwacht wird.

    Proprietäre Software und Sicherheit schließen sich gegenseitig aus.

    Blödsinn.

    Proprietäre Software und Vertrauenswürdigkeit aus Kundensicht schließen sich vielleicht gegenseitig aus, aber definitiv nicht Proprietäre Software und Sicherheit.
    Denn, es ist möglich Software zu schreiben, die sicher ist und dennoch proprietär.

    Open Source Projekte leiden oft darunter, dass viele daran unkontrolliert herumbasteln und nutzlose Features einbauen wie bei Heartbleed. Das ist aber ein organisatorisches Problem, das nichts mit freier Software an sich zu tun hat.

    Ähm doch, jeder kann es erweitern wie er will.
    Und das war auch kein organisatorisches Problem, weil der Commiter schon viele Jahre an diesem Projekt mitgewirkt hat.
    Das Problem war ein mangelnder Code Audit, insbesondere auch von den vielen Augen nach dem Commit, mit denen bei OSS immer geworben wird.

    0
  • A

    NSA loves Heartbleed schrieb:

    Die die verbunktere Iraner Firma kommen die auch nicht rein, wenn die durchgehend überwacht wird.

    Klar. So wie Stuxnet nicht in die Uran-Anreicherungsanlage in Natanz reinkam.

    0
  • ?

    audacia schrieb:

    NSA loves Heartbleed schrieb:

    Die die verbunktere Iraner Firma kommen die auch nicht rein, wenn die durchgehend überwacht wird.

    Klar. So wie Stuxnet nicht in die Uran-Anreicherungsanlage in Natanz reinkam.

    Es macht einen Unterschied ob du eine IT fähige oder eine IT affine Firma hast.
    Nukleartechnik ist Sache der Physiker, die haben nicht zwangsläufig viel Ahnung von IT.

    Zumal wir hier von IT Firmen sprechen, die hochsichere Sicherheitssoftware schreiben soll.

    0
  • ?

    Übrigens, so einfach geht das mit Open Source:

    http://www.faz.net/aktuell/wirtschaft/netzwirtschaft/nsa-soll-heartbleed-luecke-seit-zwei-jahren-systematisch-ausgenutzt-haben-12892263.html

    Dank Quellcode konnte die NSA schon von Anfang an mithören.
    Ich habe doch gesagt, dass Geheimdienste genug Manpower und Geld haben um so etwas durchzuführen.

    Da bringt die Offenheit von OSS nichts mehr, denn wenn ein Bug existiert, dann ist damit zu rechnen, dass ihn die NSA auch kennt.

    0
  • A

    NSA loves Heartbleed schrieb:

    Es macht einen Unterschied ob du eine IT fähige oder eine IT affine Firma hast.
    Nukleartechnik ist Sache der Physiker, die haben nicht zwangsläufig viel Ahnung von IT.

    Du solltest mal den Artikel lesen. Natanz war völlig abgeriegelt. Und auch bei denen werden nicht die Physiker für die IT zuständig gewesen sein. Trotzdem kann man da reinkommen, wenn man ein bißchen standortspezifische Informationen, eine Handvoll Exploits, eine Prise menschliches Fehlverhalten und ein irrsinniges Budget zusammenwirft.

    Natürlich ist der Aufwand für einen Geheimdienst, an beliebigen Closed-Source-Quelltext zu kommen, sehr groß. Aber darum geht es gar nicht, weil es dich eigentlich gar nicht interessiert, ob deine iranische Firma nun sicheren Code hat oder nicht. Dich interessiert, ob die Programme sicher sind, die du benutzt. Und mit großer Wahrscheinlichkeit sitzen die Firmen, von denen deine Software geschrieben wurde, in den USA oder wenigstens in einem mit den USA assoziierten westlichen Land. Und wie schwierig ist es wohl für die NSA, dort an Quelltext zu kommen? Etwa bei Unternehmen mit vier- oder fünfstelligen Mitarbeiterzahlen, die die interne Kommunikation ihrer Server bis vor kurzem nicht verschlüsselt haben? Bei Unternehmen, die den quelloffenen Unterbau ihres Betriebssystems beim Mergen nicht ordentlich reviewen? Bei Unternehmen, deren nichtamerikanische Konkurrenten vom Staat boykottiert werden, weil die NSA dort nicht sicher sein kann, daß deren Produkte keine nichtamerikanischen Backdoors enthalten?

    Wie gesagt, im Prinzip hast du Recht, und es ist eine Schande, daß so wenig Mittel in Audits quelloffener Software investiert werden. (TrueCrypt ist immer noch unauditiert.) Aber wenn man überlegt, was denn die nicht-quelloffenen Alternativen so sein könnten, schwindet der theoretische Vorteil sehr schnell dahin. (Oder würdest du BitLocker nehmen, wenn du mit unveröffentlichten Snowden-Dokumenten im Gepäck über die Grenze willst?)

    0
  • ?

    audacia schrieb:

    NSA loves Heartbleed schrieb:

    Es macht einen Unterschied ob du eine IT fähige oder eine IT affine Firma hast.
    Nukleartechnik ist Sache der Physiker, die haben nicht zwangsläufig viel Ahnung von IT.

    Du solltest mal den Artikel lesen. Natanz war völlig abgeriegelt. Und auch bei denen werden nicht die Physiker für die IT zuständig gewesen sein. Trotzdem kann man da reinkommen, wenn man ein bißchen standortspezifische Informationen, eine Handvoll Exploits, eine Prise menschliches Fehlverhalten und ein irrsinniges Budget zusammenwirft.

    In einer sicherheitskritischen Firma trennt man die wichtigen Rechner vom Internet, dann geht gar nichts.
    Dann brauchst du social Engeneering oder musst in das Gebäude einbrechen.
    Beides ist in einem fremden und feindlichen Land wie es der Iran für die USA ist, auch für die NSA nicht einfach.

    Und bei Stuxnet wurden die Komponenten vom Ausland geliefert, das ist etwas völlig anderes, als wenn eine Firme ihr Bollwerk selbst programmiert.

    Dich interessiert, ob die Programme sicher sind, die du benutzt. Und mit großer Wahrscheinlichkeit sitzen die Firmen, von denen deine Software geschrieben wurde, in den USA oder wenigstens in einem mit den USA assoziierten westlichen Land. Und wie schwierig ist es wohl für die NSA, dort an Quelltext zu kommen?

    Auch in einer Deutschen Firma kannst du die relevanten Rechner vom Internet trennen, das Gebäude Tag und Nacht überwachen lassen, mit allerhand Sicherheitsvorkehrungen verbarrikadieren und bei der Personalauswahl sehr vorsichtig umgehen.

    Etwa bei Unternehmen mit vier- oder fünfstelligen Mitarbeiterzahlen, die die interne Kommunikation ihrer Server bis vor kurzem nicht verschlüsselt haben?

    Viel zu groß. Sicherheitskritische Projekte führt man in einem kleinen Team durch und Zugang kriegt nur der, der damit auch etwas zu tun hat.
    Nur weil es Firmen gibt, die noch nicht ganz aufgewacht sind, bedeutet dies nicht, dass man hier sehr paranoisch das Projekt absichern kann.

    Wie gesagt, im Prinzip hast du Recht, und es ist eine Schande, daß so wenig Mittel in Audits quelloffener Software investiert werden. (TrueCrypt ist immer noch unauditiert.)

    Danke.

    Aber wenn man überlegt, was denn die nicht-quelloffenen Alternativen so sein könnten, schwindet der theoretische Vorteil sehr schnell dahin. (Oder würdest du BitLocker nehmen, wenn du mit unveröffentlichten Snowden-Dokumenten im Gepäck über die Grenze willst?)

    CSS die von kleineren Firmen entwickelt werden haben auch nicht unbedingt den Bekanntheitsgrad, dass wir davon Kenntnis haben.
    Nein, Bitlocker würde ich nicht nehmen, weil MS eine US Firma ist und es in den USA Gesetze wegen Nationale Sicherheit gibt, die Firmen brechen können.

    Ich würde aber durchaus eine europäische Sicherheitssoftware von einem seriiösen Unternehmen einsetzten, sofern es nicht gerade aus England ist.
    Aber wie ich bereits vorher sagte, bei CSS ist das Problem nicht eine SIcherheitsfrage, sondern eine Vertrauensfrage.
    Es kann sichere CSS geben, aber ob du der Firma vertrauen willst, dass ist eine völlig andere Geschichte.
    Bei Open Source vertraust du aber auch blind, wenn du den Code nicht selbst auditest.
    Dein ganzes Vertrauen wird also lediglich aus der Hoffnung genährt, dass andere, also Dritte, Lücken in OSS für dich finden. Aber dabei übersiehst du, dass Geheimdienste diese Lücke erst recht finden können und auch werden, aber diese nicht zwangsläufig melden.
    Daraus folgt, dass man eigentlich annehmen muss, dass CSS vermutlich mehr Sicherheit bietet.

    0
  • S

    NSA loves Heartbleed schrieb:

    Dein ganzes Vertrauen wird also lediglich aus der Hoffnung genährt, dass andere, also Dritte, Lücken in OSS für dich finden. Aber dabei übersiehst du, dass Geheimdienste diese Lücke erst recht finden können und auch werden, aber diese nicht zwangsläufig melden.
    Daraus folgt, dass man eigentlich annehmen muss, dass CSS vermutlich mehr Sicherheit bietet.

    Staatlich organisierte Geheimndienste haben Möglichkeiten, die die der Hackergruppen oder krimineller Dritte um sehr viele Größenordnungen übersteigen. Denen ist es egal ob es closed oder open ist. Wenn sie die Fehler bei CSS nicht finden, besorgen sie sich zur Not den Quellcode durch Infiltration der Unternehmen oder Kauf von führenden Mitarbeitern. Wenn das Ziel wichtig genug ist, stehen bei Geheimdiensten auch genug Mittel zur Verfügung. Man muss hier definitiv unterscheiden und wird zu dem Schluss kommen, dass OSS oder CSS nicht sicherer als das andere ist.

    0
  • S

    Ihr redet hier von Geheimdiensten. Geheimdienste, das sind doch die mit Bestechung, Korruption, Abhören, Agenten, fiese Tricks, Mord usw. usw. und alles ... richtig, eben im geheimen, das kennt man doch aus diversen Filmen.

    Also, was da hilft ist Kontrolle. Wo hat hat man die Kontrolle, richtig im Open Source. Denn da kann jeder gucken. Kontrolle hat man gewiss nicht im Closed Source, da hat man nur Versprechen. Und Versprechen sind ...

    Wenn nun niemand kontrolliert, ja nun, dann gibt man eben den Geheimdiensten nen Freitfahrtsschein ... aber dann ist man wenigstens selbst schuld.

    0
  • F

    ScottZhang schrieb:

    Also, was da hilft ist Kontrolle. Wo hat hat man die Kontrolle, richtig im Open Source. Denn da kann jeder gucken. Kontrolle hat man gewiss nicht im Closed Source, da hat man nur Versprechen. Und Versprechen sind ...

    Ich bin nicht in der Lage darüber zu Urteilen ob fremder Code sicher ist oder nicht, was bringt mir da die Theoretische Möglichkeit der Kontrolle? Und wenn man sich darauf verlässt das jemand anderes kontrolliert hat man wieder den gleichen Stand wie bei CSS. Es ist eher so, dass es bei CSS wahrscheinlicher ist, das mal jemand kontrolliert hat als bei OSS.

    ScottZhang schrieb:

    Wenn nun niemand kontrolliert, ja nun, dann gibt man eben den Geheimdiensten nen Freitfahrtsschein ... aber dann ist man wenigstens selbst schuld.

    Es bringt mir keinen Vorteil ob ich selbst oder jemand anderes Schuld ist, beides hat die gleichen Konsequenzen für mich.

    floorball

    0
  • S

    floorball schrieb:

    Ich bin nicht in der Lage darüber zu Urteilen ob fremder Code sicher ist oder nicht, was bringt mir da die Theoretische Möglichkeit der Kontrolle? Und wenn man sich darauf verlässt das jemand anderes kontrolliert hat man wieder den gleichen Stand wie bei CSS. Es ist eher so, dass es bei CSS wahrscheinlicher ist, das mal jemand kontrolliert hat als bei OSS.

    Versteh ich nicht, soll das ein Argument sein? Bei CSS hast noch nichtmal die Möglichkeit. Ob das nun deine Fähigkeiten übersteigt oder nicht.

    Um über die Wahrscheinlichkeiten spekulieren zu können müsste man überhaupt erstmal verlässliche Quellen darüber haben , wer wie wo und wie oft über Quellcodes schaut, sonst bringt das überhaupt nix.

    Es geht darum was die Situation von vornherein zulässt und was nicht. Die Umsetzung interessiert dabei erstmal nicht. Das sollte in einem Programmier Forum wo leute Spzifikationen wälzen doch verständlich sein, oder nicht?

    floorball schrieb:

    Es bringt mir keinen Vorteil ob ich selbst oder jemand anderes Schuld ist, beides hat die gleichen Konsequenzen für mich.

    Ok, wenn man sein Leben nicht wenigstens versucht selbstbestimmt zu führen, dann haste recht.

    0
  • F

    ScottZhang schrieb:

    Es geht darum was die Situation von vornherein zulässt und was nicht. Die Umsetzung interessiert dabei erstmal nicht. Das sollte in einem Programmier Forum wo leute Spzifikationen wälzen doch verständlich sein, oder nicht?

    Was mir die Situation erlaubt ist doch vollkommen egal. Wichtig ist was raus kommt. Ob es sich dabei um OSS oder CSS handelt ist in der Tat egal. Nur was hat das mit dem Forum zu tun 😕

    floorball schrieb:

    Es bringt mir keinen Vorteil ob ich selbst oder jemand anderes Schuld ist, beides hat die gleichen Konsequenzen für mich.

    Ok, wenn man sein Leben nicht wenigstens versucht selbstbestimmt zu führen, dann haste recht.

    Was bringt mir der Versuch wenn er zu scheitern verurteilt ist? Ich programmiere hobbymäßig und habe nur von sehr wenig Themen ein bisschen tiefergehendes Verständnis. Zum Schluss muss ich davon ausgehen, dass wenn Fehler in Software sind, diese äußerst komplex sind. Wie soll ich die Finden??

    Ob jetzt OSS oder CSS ist für mich vollkommen egal, bei beiden kann ich davon ausgehen, das sie von Leuten die sich auskennen geschrieben wurde und somit relativ sicher ist.
    Außerdem bezweifle ich das du bei jedem Programm, das du benutzt den Code geprüft hast. Zum Schluss ist zwischen den Theoretischen Möglichkeiten und dem was in der Praxis passiert ein riesen unterschied.
    Ich will hier auch nicht entscheiden, ob jetzt CSS oder OSS sicherer ist, das kann ich auch gar nicht. Ich finde nur ein paar Argumente von Leuten die behaupten das OSS automatisch sicherer ist als CSS merkwürdig und dahingehend wollte ich argumentieren.
    Ich geb dir ja recht wenn du sagt das OSS in der Theorie die Möglichkeiten hat sicherer zu sein als CSS, dass das allerdings auch in der Praxis so ist bezeifel ich. In der Praxis denke ich sind beide gleich sicher.

    floorball

    0
  • S

    Open Source ist nicht sicherer, aber hier können auch die guten Jungs Fehler finden und ausbessern. Bei Closed Source ist man immer auf die Firma angewiesen, die die Lücke eventuell runter spielt oder gar nicht veröffentlichen darf, da der Geheimdienst die Hand drauf hält.

    Gewinner in meinen Augen ist da ganz klar Open Source.

    0
  • S

    floorball schrieb:

    [...]
    Ob jetzt OSS oder CSS ist für mich vollkommen egal, bei beiden kann ich davon ausgehen, das sie von Leuten die sich auskennen geschrieben wurde und somit relativ sicher ist.

    Hast ja recht, mag ja sein das es dir egal ist. Aber denk doch mal größer, es gibt ja nicht nur dich auf der Welt.
    Geheimdienste, oder sonstige Schurken arbeiten im verborgenen, OSS ist das genaue Gegenteil dazu. Daher seine Möglichkeiten.

    Das man die Möglichkeiten nicht pflegt ist ein anderes Thema, und natürlich habe ich nich alle Codes die ich verwende durchgeschaut und geschweige denn verstanden. Aber wenn es um die Frage geht OSS vs CSS dann vergleicht man entweder Äpfel mit Birnen oder redet am Thema vorbei.

    0
  • ?

    ScottZhang schrieb:

    Hast ja recht, mag ja sein das es dir egal ist. Aber denk doch mal größer, es gibt ja nicht nur dich auf der Welt.
    Geheimdienste, oder sonstige Schurken arbeiten im verborgenen, OSS ist das genaue Gegenteil dazu. Daher seine Möglichkeiten.

    Und diese Möglichkeiten stehen auch den Geheimdiensten zur Verfügung.

    Ich weiß ja nicht wie es bei euch ist, aber mir fällt es wesentlich leichter Fehler in einem Programm zu finden, wenn ich den Quellcode zur Verfügung habe.

    Daraus würde ich folgende Vermutung aufstellen.
    Wenn eine CSS und eine OSS Software jeweils gleich groß sind und 10 Fehler haben.
    Dann findet der Geheimdienst bei der CSS Version vielleicht 3,
    aber bei der OSS 9.
    Einfach weil er bei letzterem auch den Quellcode hat.

    Natürlich ist Obsucity keine Sicherheit, wie ich zuvor schon sagte,
    aber damit jemand eine Schwachstelle ausnutzen kann, muss demjenigen die Schwachstelle auch bekannt sein, mit Quellcode kommt er leichter an sie heran.

    Klar arbeiten Geheimdienste auch mit Mitarbeiterbestechung und Firmeninfiltration, aber das sind dann spezielle Einzelfälle, die man nicht generell zu CSS als Negativpunkt hinzurechnen kann.

    Und da Firmen Geld haben und ihre Mitarbeiter bezahlen, würde ich bei gut bezahlter CSS sogar annehmen, dass die wesentlich besser entwickelt, designed und intern geprüft wird, als bei OSS.
    Bei Sicherheitssoftware geht es sogar so weit, dass CSS Firmen Dritte unter NDA aber für Geld damit beauftragen, die Software durchzuchecken.
    Da gehen dann also Dritte, die Spezialisten auf dem Gebiet sind, mit hoher Motivation und Vollzeitarbeit an den Code Audit der CSS der anderen Firma heran und das soll schlechter sein, als OSS, bei dem 3 Entwickler die Hauptarbeit machen und der Rest der Welt darauf vertraut, dass schon irgendeiner einen aufwendigen Code Audit in der Freizeit macht? Ich bitte euch.

    Das man die Möglichkeiten nicht pflegt ist ein anderes Thema,

    Ähm nein, es ist das wesentliche Fundament bezüglich der Sicherheitsfrage, auf dem OSS aufbaut.

    Wie ich schon vorher sagte, wenn bei einem Stück OSS nicht mathematisch oder wenigstens durch umfangreiche Code Audits garantiert werden kann, dass die Software sicher ist, dann muss man davon ausgehen, dass irgendein Geheimdienst die Lücken bereits kennt und die OSS damit als unsicher einzustufen ist.

    Bei CSS muss man sich erst einmal Fragen, ob die Geheimdienste überhaupt den Quellcode haben.
    Haben sie den nicht, dann ist die Wahrscheinlichkeit, dass sie alle Lücken finden wesentlich niedriger, als wenn sie den Quellcode hätten.

    0
Anmelden zum Antworten