Ist Open Source vielleicht doch unsicherer als CSS weil Geheimdienste Geld und Personal haben um Lücken zu finden?
-
SeppJ schrieb:
Artchi schrieb:
Glaubt ihr wirklich, das MS absichtlich Sicherheitslücken einbaut?
Das ist eigentlich sogar so gut wie gesichert, dass sie das machen muessen.
http://en.wikipedia.org/wiki/Communications_Assistance_for_Law_Enforcement_Act
Das ist von 1994! Glaubst du wirklich, dass es so etwas mittlerweile nicht auch fuer saemtliche Software gibt?Daran sind nur US Firmen gebunden.
-
audacia schrieb:
asdfasdf schrieb:
audacia schrieb:
(TrueCrypt ist immer noch unauditiert.)
breaking news: http://istruecryptauditedyet.com/
Wunderbar!
Im Appendix mußte ich kurz lächeln, weil die Auditoren doch sehr ihre Coding-Style-Präferenzen empfehlen. Sonst ist es doch ein guter Anfang.Die Seite ist von der NSA damit die User sich in Sicherheit zu wiegen, weil sie nun glauben können, dass von TC endlich ein Codeaudit gemacht wird.
Mir wäre es lieber, wenn z.B. der CCC so einen Audit machen würde.
-
NSA loves Heartbleed schrieb:
Beim *Fehler finden* hilft mir der Quelltext wenig bzw hat keine gutes Kosten/Nutzen Verhältnis vom Zeitaufwand her
Ein Geheimdienst wird diese Zeit haben und sie auch investieren.
Ich kann mir sogar vorstellen, dass die Werkzeuge zur statischen und dynamischen Analyse von C, C++ und auch Binaries entwickeln. Diese Werkzeuge analysieren dann sämtliche jemals veröffentlichte Software. Menschen sortieren nur noch die False Positives aus und verbessern dann die Werkzeuge.
Die NSA hätte auch ohne besondere Werkzeuge Heartbleed finden können. Es ist anzunehmen, dass in OpenSSL noch dutzende ähnliche Fehler schlummern. Es ist also nur eine Frage der Zeit, bis die gefunden worden sind. Wer findet die Defekte wohl zuerst? Die harmlose OpenSSL Foundation oder eine gigantische, skrupellose Überwachungsorganisation, die versucht die Äquivalenz von Wissen und Macht zu beweisen.
Andererseits haben Geheimdienste vielleicht gar nicht so schlaue Analysemethoden. Wer intelligent genug ist so etwas zu entwickeln, fühlt sich wahrscheinlich nicht wohl in einer zwielichtigen Organisation.
-
Achtung schrieb:
Die Seite ist von der NSA damit die User sich in Sicherheit zu wiegen, weil sie nun glauben können, dass von TC endlich ein Codeaudit gemacht wird.
Auf der Petitionsseite gab es auch grundsätzliche Einwände dagegen, daß das Audit überhaupt auf amerikanischem Boden vorgenommen wird.
Achtung schrieb:
Mir wäre es lieber, wenn z.B. der CCC so einen Audit machen würde.
Mir auch.
-
audacia schrieb:
@Sqwan, was soll das heißen, "sich legitimieren können"?
Entweder durch Anwendung eines Amtes, welches durch eine Demokratisch gewählte Regierung geschaffen wurde, oder durch das halten einer Lizenz.
TyRoXx schrieb:
Sqwan schrieb:
Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.
Das ist ein Widerspruch.
Da haben wir wohl verschiedene Ansichten. Etwas zu verbergen haben wie es vom Volksmund verwendet wird, im Sinne von "fehlerhaftem Verhalten, welches niemand wissen darf weil ich sonst ärger bekomme", unterscheide ich doch sehr stark vom Schutz meiner Privatsphäre.
-
Sqwan schrieb:
audacia schrieb:
@Sqwan, was soll das heißen, "sich legitimieren können"?
Entweder durch Anwendung eines Amtes, welches durch eine Demokratisch gewählte Regierung geschaffen wurde, oder durch das halten einer Lizenz.
Ich weiß nicht, wie es dir geht, aber ich habe nicht über die Regierung abgestimmt, die die NSA verantwortet.
Wenn dieser ganze Blödsinn vom BND ausginge, könnte ich dein Argument zumindest in den Grundzügen nachvollziehen, weil ich wenigstens theoretisch durch mein Wahlverhalten auf die Befugnisse des BND Einfluß nehmen könnte. NSA und GCHQ aber sind Behörden anderer Staaten, für mich also nicht demokratisch legimiert, aber trotzdem überwachen sie meine Kommunikation und beschneiden meine Bürgerrechte.
Und mir ist bewußt, daß das weithin praktizierte alleinige Anprangern der NSA entweder kurzsichtig oder scheinheilig ist (je nachdem, von wem), weil der BND umfangreich kollaboriert und die Bundesregierung die Maßnahmen toleriert. Aber dennoch ist es nicht "mein" Geheimdienst, der meine Kommunikation überwacht. Wenn man unterstellt, daß der BND sich an hiesige Gesetze hält, dann bedient er sich nur bei den Kollegen. Unangenehm genug, aber es ist trotzdem nur ein Folgeproblem.
-
Sqwan schrieb:
TyRoXx schrieb:
Sqwan schrieb:
Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.
Das ist ein Widerspruch.
Da haben wir wohl verschiedene Ansichten. Etwas zu verbergen haben wie es vom Volksmund verwendet wird, im Sinne von "fehlerhaftem Verhalten, welches niemand wissen darf weil ich sonst ärger bekomme", unterscheide ich doch sehr stark vom Schutz meiner Privatsphäre.
Es ist ganz schön naiv zu glauben, dass Massenüberwachung nur zur Verbrechensaufklärung dienen würde.
-
Bei Closed Source muss gar kein Geheimdienst suchen, die lassen sich gleich die richtig dicke Software mit einbauen und verdonnern die Firma zu still schweigen.
-
TyRoXx schrieb:
Sqwan schrieb:
TyRoXx schrieb:
Sqwan schrieb:
Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.
Das ist ein Widerspruch.
Da haben wir wohl verschiedene Ansichten. Etwas zu verbergen haben wie es vom Volksmund verwendet wird, im Sinne von "fehlerhaftem Verhalten, welches niemand wissen darf weil ich sonst ärger bekomme", unterscheide ich doch sehr stark vom Schutz meiner Privatsphäre.
Es ist ganz schön naiv zu glauben, dass Massenüberwachung nur zur Verbrechensaufklärung dienen würde.
Hat er das irgendwo behauptet?
-
muchmoresoftware schrieb:
Bei Closed Source muss gar kein Geheimdienst suchen, die lassen sich gleich die richtig dicke Software mit einbauen und verdonnern die Firma zu still schweigen.
1. Behauptung.
2. Unterstellung.
3. Ich weiß jetzt, dass es bei deiner Software, für die du als Softwareentwickler arbeitest, so ist.
-
audacia schrieb:
Sqwan schrieb:
audacia schrieb:
@Sqwan, was soll das heißen, "sich legitimieren können"?
Entweder durch Anwendung eines Amtes, welches durch eine Demokratisch gewählte Regierung geschaffen wurde, oder durch das halten einer Lizenz.
Ich weiß nicht, wie es dir geht, aber ich habe nicht über die Regierung abgestimmt, die die NSA verantwortet.
Ja und? In America kann sich die NSA legitimieren, folglich erhällt sie einblick in die Software. Wenn du jetzt die Software kaufst, erklärst du dich damit einverstanden. Denn du kaufst immerhin eine Software aus America, in dem wissen das die NSA darin rumschnüffelt.
Alles in allem ist das aber total egal. In America hat eine mehrheit beschlossen eine Regierung zu wählen die das legitimiert. Das gilt nach wie vor nicht für Internet-Kriminelle.
Wenn die NSA nun widerrechtlich auf Daten zugreift (auf deutschen Systemen), dann tut sie das unlegitimiert. Klar, sonst wäre es nicht widerrechtlich. Aber auch das hat nichts damit zu tun, das eine mehrheit die NSA legitimiert hat in Americanischen Code zu schauen.
Und am ende des Tages bleibt diese Möglichkeit einfachen Kriminellen verwehrt.hustbaer schrieb:
TyRoXx schrieb:
Sqwan schrieb:
TyRoXx schrieb:
Sqwan schrieb:
Nein, ich habe wirklich nichts vor der NSA zu verbergen. Das heißt aber noch lange nicht, dass ich alles private mit Ihnen teilen möchte.
Das ist ein Widerspruch.
Da haben wir wohl verschiedene Ansichten. Etwas zu verbergen haben wie es vom Volksmund verwendet wird, im Sinne von "fehlerhaftem Verhalten, welches niemand wissen darf weil ich sonst ärger bekomme", unterscheide ich doch sehr stark vom Schutz meiner Privatsphäre.
Es ist ganz schön naiv zu glauben, dass Massenüberwachung nur zur Verbrechensaufklärung dienen würde.
Hat er das irgendwo behauptet?
Selbst verständlich nicht. Wäre auch ganz schön dämlich in eienr Zeit wo wirtschaftlicher Erfolg nicht zu letzt von Big Data Mining abhängt.muchmoresoftware schrieb:
Bei Closed Source muss gar kein Geheimdienst suchen, die lassen sich gleich die richtig dicke Software mit einbauen und verdonnern die Firma zu still schweigen.
Quellen? Beweise? Vermutlich nicht. Schweigen ja auch alle still
-
Das die Kontrolle von Open source code nicht funktioniert, hat ja OpenSSL gezeigt. Und eigentlich ist das ja auch verständlich. Wer hat schon lust, sich in fremden Code einzuarbeiten, um ihn auf Fehler zu untersuchen, wenn er nicht dafür bezahlt wird? Die meisten wollen in ihrer Freizeit doch eigenen Code schreiben und kreativ was entwickeln und nicht mögliche Fehler von anderen finden. Die die freiwillig nach möglichen Fehlern suchen sind wohl dann meistens Hacker die den Fehler ausnutzen und nicht fixen wollen.
-
Ich bin da mal wieder nicht so der Experte, aber ich denke auch Code verbessern kann spaß machen
-
Sqwan schrieb:
Ich bin da mal wieder nicht so der Experte, aber ich denke auch Code verbessern kann spaß machen
Man sollte das Finden von Fehlern an Jobausschreibungen binden, dann würde ausreichend Motivation bestehen.
"Wir suchen Bewerber für XY, qualifiziert sind sie dann, wenn sie eine Sicherheitslücke in Programm XY finden."
-
Als ich erfahren habe, dass OpenSSL nur einen Hauptentwickler hat, war ich schon ziemlich schockiert. Solch eine Kernkomponente sollte doch von einem großen festen Team von Kryptologen, über Entwickler bis Qualitätstester bestehen.
So unpopulär Closed Source auch sein mag, nach solchen Enthüllungen ist man froh, wenn nur der Geheimdienst eventuell mitlesen kann.
-
Sqwan schrieb:
hustbaer schrieb:
Hat er das irgendwo behauptet?
Selbst verständlich nicht. Wäre auch ganz schön dämlich in eienr Zeit wo wirtschaftlicher Erfolg nicht zu letzt von Big Data Mining abhängt.Was soll dann die Scheisse?
-
hustbaer schrieb:
Sqwan schrieb:
hustbaer schrieb:
Hat er das irgendwo behauptet?
Selbst verständlich nicht. Wäre auch ganz schön dämlich in eienr Zeit wo wirtschaftlicher Erfolg nicht zu letzt von Big Data Mining abhängt.Was soll dann die Scheisse?
Er hat deine Prämisse weggeschossen, da muss man sich nicht auf das gesagte beziehen.
-
hustbaer schrieb:
Sqwan schrieb:
hustbaer schrieb:
Hat er das irgendwo behauptet?
Selbst verständlich nicht. Wäre auch ganz schön dämlich in eienr Zeit wo wirtschaftlicher Erfolg nicht zu letzt von Big Data Mining abhängt.Was soll dann die Scheisse?
Achte auf deinen Ton.
Und wenn du etwas willst, dann stell ne gescheite Frage!Habe ich vor der NSA was zu verbergen? Nein. Nicht in dem Sinne in dem man es gebraucht, wenn man von einer Organisation spricht die dazu da ist Kriminelle zu fangen.
Habe ich privatsphäre, die ich nicht teilen möchte? Natürlich, jeder hat die.Was die Grundfrage anging. Es ist ne ganz leichte Rechnung.
CSS -> eine handvoll leute die gucken können.
OSS -> 7mrd leute die gucken können.
Jeden Tag wird sich hier um Rechnungen gekloppt die weit schwerer sind. Aber sowas simples will hier einfach nicht verstanden werden.
-
Sqwan schrieb:
hustbaer schrieb:
Sqwan schrieb:
hustbaer schrieb:
Hat er das irgendwo behauptet?
Selbst verständlich nicht. Wäre auch ganz schön dämlich in eienr Zeit wo wirtschaftlicher Erfolg nicht zu letzt von Big Data Mining abhängt.Was soll dann die Scheisse?
Achte auf deinen Ton.
Sorry, Fachforum? Achte erstmal auf Deinen Inhalt? Seine (auch vermeidbaren) Fäkalausdrücke wiegen hier viel weniger als Deine (wirklich störende) Fäkallogik?
Sqwan schrieb:
Und wenn du etwas willst, dann stell ne gescheite Frage!
Mist, hab ich jetzt auch nicht?
Sqwan schrieb:
Jeden Tag wird sich hier um Rechnungen gekloppt die weit schwerer sind. Aber sowas simples will hier einfach nicht verstanden werden.
Der Dreisatz lügt eben?
edit: Viele Fragezeichen eingefügt, da Dir Fragen wichtig sind?
-
Sqwan schrieb:
Was die Grundfrage anging. Es ist ne ganz leichte Rechnung.
CSS -> eine handvoll leute die gucken können.
OSS -> 7mrd leute die gucken können. Schön knackig auf den Punkt gebracht.
