[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]:Zeitschrift: Linuxer sind Kulturverweigerer!

Jens Benecke <jens@pinguin.conetix.de> writes:

> Das ist richtig - aber umgekehrt stimmt es: Du hast quasi automatisch ein
> sichereres System, wenn es open source ist bzw. der Quellcode _irgendwie_
> offenliegt. Das ist IMHO der springende Punkt.

Das ist schlicht falsch und sehr blauaeugig. OSS birgt auch Gefahren
und Probleme. So kann man OSS-Software sehr viel leichter manipulieren
-- man hat ja den Source und muss nicht mit dem Debugger muehsam an
Patchen arbeiten oder alles nachprogrammieren. Niemand kann dir
garantieren, dass der Quelltext, den du da gerade heruntergeladen
hast, wirklich das unveraenderte Original ist, selbst dann nicht, wenn
du es von der offiziellen Homepage geholt hast (da gibt es ja nun mehr
als genug bekannte Attacken, z.B. man-in-the-middle). Und davon mal
abgesehen holen sich die meisten Leute die Software heute eh
vorkompiliert aus dem Netz -- wer weiss schon, was man da bekommt.

Damit hat man letztlich also ein viel unsicheres System als bei
closed-source.

Allerdings hast du insofern Recht, als dass der Originalsource
natuerlich sehr viel besser inspiziert und debuggt werden kann. Das
alleine bringt aber nicht automatisch mehr Sicherheit. Leicht
vergessen wird, dass OSS erstmal nur die reine *Moeglichkeit* bietet,
dass sehr viele Experten den Quelltext analysieren. Daraus folgt noch
lange nicht, dass dies wirlich geschieht. Und wie oft hast du schon
den Source der von dir benutzten Software analysiert?

Ich stelle mir das mal gerade fuer XEmacs vor: Da brauche ich ja
Monate, um ueberhaupt einen Ueberblick zu bekommen.

Also dieses blinde Vertrauen in OSS kann ich bis heute nicht
nachvollziehen. Nur durch die Offenlegung von Quelltext wird keine
Software besser oder sicherer.

Nicht, dass ich jetzt wieder falsch verstanden werde: Ich befuerworte
OSS. Ich finde dieses Modell sehr gut, wichtig und hilfreich. Ich
faende es mehr als Schade, wenn es keine OSS mehr gaebe. Aber ich bin
nicht so blauaeugig zu behaupten, OSS waere automatisch besser oder
sicherer.

Nochmals: Sicherheit ist kein Zustand, sondern ein Prozess. Und damit
bringt die Offenlegung des Quelltextes erstmal absolut nichts. Ich
brauche auf jeden Fall noch die externen Experten, die nicht voll in
die Entwicklung eingebunden sind, die den Quelltext inspizieren. Nur
dann habe ich durch OSS wirklich einen Vorteil. Und es gibt eine Menge
OSS, bei denen nur die Hauptentwickler in den Sourcen arbeiten. Und
dort habe ich gegenueber closed-source erstmal keinen echten und
direkten Vorteil.

> Weißt Du, ich kenne "einige" Admins die für den internen Einsatz im
> Outlook-Source die Funktion zum Öffnen von Attachments mit einem
> erzwungenen Virenscan verknüpfen (oder ganz deaktivieren) würden, wenn sie
> könnten. Aber ohne Source ist sowas überhaupt gar nicht erst möglich.

Wenn ich mich recht erinnere (ohne Outlook jetzt genau zu kennen)
unterstuetzt es doch Plugins fuer alles Moegliche. Das gewuenschte
sollte sich also durchaus in irgendeiner Form realisieren lassen.

Ich kenne eine Menge Leute (mich eingeschlossen), die wuerde gerne
eine Menge Dinge tun -- tun sie aber letztlich doch nicht. Offen
gesagt: Ich halte obiges nur fuer ein vorgeschobenes Argument. Zumal
die Nutzer anschliessend Sturm laufen wuerden. Selbst MS wuerde
Attachments in Outlook nicht implentieren und standardmaessig
aktivieren, wenn die User das nicht haben wollten.

Und selbst Sun musste Javas Sandbox aufweichen, weil die User
unbedingt mehr Komfort haben wollten.

> Du mußt aber zugeben, daß NT by default deutlich löchriger ausgeliefert
> wird als eine typische Linux-Distro. Oder liegt bei Dir standardmäßig /usr
> auf "drwxrwxrwx"? :-) (nur so als blödes Beispiel)

Hmmm.... na ja, vielleicht. Ich habe das noch nie im Detail
untersucht. Eine typische Linux-Distro hat auch so etliche
Probleme. War da nicht mal was mit einer Linux-Distro, die
standardmaessig "/" per NFS an alle Welt exportiert hat? Ist das
vielleicht weniger schlimm?

> "Was ich viel lieber wissen möchte: Wann zahlt Microsoft für den
> Milliarden- Schaden, den die fehlenden Sicherheitsvorkehrungen von
> Windows & Outlook angerichtet haben? Und warum werden von den
> betroffenen Firmen bloß die Symptome bekämpft, anstatt endlich mal
> sichere (non-MS) Software einzusetzen?"

Genau solche Sprueche meine ich: Das ist so pauschal einfach Unsinn.

-- 
Until the next mail...,
Stefan.
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     729
Reply to: