[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]:Zeitschrift: Linuxer sind Kulturverweigerer!

Hi Stefan!

* Stefan Nobis <stefan@snobis.de> [000521 13:47]:
> > Das ist richtig - aber umgekehrt stimmt es: Du hast quasi automatisch ein
> > sichereres System, wenn es open source ist bzw. der Quellcode _irgendwie_
> > offenliegt. Das ist IMHO der springende Punkt.
> 
> Das ist schlicht falsch und sehr blauaeugig. OSS birgt auch Gefahren
> und Probleme. So kann man OSS-Software sehr viel leichter manipulieren

Das kann man mit ein bisschen Assembler auch mit ClosedSource.

> Niemand kann dir garantieren, dass der Quelltext, den du da gerade
> heruntergeladen hast, wirklich das unveraenderte Original ist, selbst
> dann nicht, wenn du es von der offiziellen Homepage geholt hast (da gibt es
> ja nun mehr als genug bekannte Attacken, z.B. man-in-the-middle).

Du weisst aber schon, was PGP ist?

Anmerkung: Das nur zum Sicherstellen, ob es wirklich eine Originalquelle
ist - vor Backdoors oder ähnlichem schützt das natürlich auch nicht.
Aber dazu mehr weiter unten.

> Und davon mal abgesehen holen sich die meisten Leute die Software heute
> eh vorkompiliert aus dem Netz -- wer weiss schon, was man da bekommt.

Ich würde sagen: Distributoren wie SuSE oder Redhat können es sich
nicht leisten, ihre Distributionen mit Backdoors oder ähnlichem
auszustatten. Wenn das publik würde, dann würde wohl niemand mehr Geld
in diese Distributionen investieren.

Bei einem Projekt wie Debian halte ich es aber schon für
wahrscheinlicher, dass da jemand ein Backdoor einschleust; schliesslich
sind ja da viele Leute rund um den Erdball beteiligt. Aber wenn das
Backdoor bemerkt würde, dann könnte der jeweilige Maintainer wohl nie
mehr etwas für das Projekt machen. Ich glaube, dass dies eine grosse
Hemmschwelle setzt.

Und wer vorkompillierte Binaries aus unbekannten (= nicht vom
Distributor) Quellen holt ist eh selber Schuld.

> Damit hat man letztlich also ein viel unsicheres System als bei
> closed-source.

Würde ich nicht sagen. Bei OpenSource gibt es _immer_ Leute, die den
Quelltext anschauen. Und wenn jemand was schlechtes findet, dann ist
dies sicher innerhalb von Stunden um den Erdball gelaufen. Und wenn man
weiss, dass der Programmier das Backdoor heineingebracht hat, dann ist
ziemlich sicher, dass _niemand_ mehr Software von dieser Person beziehen
wird.

Das finde ich, setzt eine grosse Hemmschwelle. Wenn Du ein Trojaner zB.
als Mailclient tarnst und dies als OpenSource released, dann gibt es
sicherlich jemand, der die findet. Und dann bist Du so ziemlich im
Arsch... dann benutzt' niemand mehr Deine Programme, es will dir auch
niemand Support geben (zB. im Usenet oder Mailinglisten).

Bei CloseSource-Software ist die Hemmschwelle niedriger; niemand hat den
Quellcode, also wieso soll ich kein Backdoor einbauen, es würde es ja
sowieso niemand merken?

Ich hoffe, Du verstehst, auf was ich hinauswill :)

> Ich stelle mir das mal gerade fuer XEmacs vor: Da brauche ich ja
> Monate, um ueberhaupt einen Ueberblick zu bekommen.

Na ja, das hättest Du bei kleineren Programmen wie ae oder so auch.

> Also dieses blinde Vertrauen in OSS kann ich bis heute nicht
> nachvollziehen. Nur durch die Offenlegung von Quelltext wird keine
> Software besser oder sicherer.

Da stimme ich Dir zu. Nur die Hemmschwelle ist anderes verteilt, siehe
oben.

> Und selbst Sun musste Javas Sandbox aufweichen, weil die User
> unbedingt mehr Komfort haben wollten.

Wenn Sun das tuen würde, dann würden sicherlich viele Java-Anwender von
Java abspringen (mich eingeschlossen).

> War da nicht mal was mit einer Linux-Distro, die standardmaessig "/"
> per NFS an alle Welt exportiert hat?

Kann sein. Nur ein Admin, der diesen Fehler nicht bemerkt taugt IMHO
nichts. Das würde man durch einen kurzen Check der /etc/exports merken -
und das gehört einfach zu einem wöchentlichen Securitycheck dazu (und
auch zum Abschlusscheck, wenn man ein System frisch installiert hat).

> Ist das vielleicht weniger schlimm?

Na ja, schlimm ist es nicht wirklich, da man es ja abstellen kann.

Grüsse, Thomas
-- 
  .-.   Thomas Bader · thomasb@trash.net.remove · http://www.t-bader.ch/  .-.
  oo|                                                                     oo|
 /`'\     Einen Unix-Shellaccount gibt es unter http://www.trash.net/    /`'\
(\_;/)       PGP Key-ID: 0x3A4B7F5D (RSA)  0x7584F5D8 (DSA/EG)          (\_;/)
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     729
Reply to: