Termy schrieb:
Das ist halt das Problem an closed source und "security through obscurity"...
Ganz mein Gedanke als ich den Artikel gelesen habe. Da ist auf einmal viel 'obscurity' verloren gegangen und alles was darauf aufbaute.
Donnerkind schrieb:
Immer wenn ich „Quellcode“ lese, denke ich als erstes an eine verstopfte Toilette.
OMG, jetzt muss ich dieses Bild wieder aus dem Kopf bekommen. Ich hoffe das bleibt da nicht stecken XD
Tamron schrieb:
weil ja Open Source auch so viele Sicherheitslücken in letzter Zeit verhindert hat...aka Log4J und co.
Falscher Ansatz. Nur weil man trotz Zähneputzen Karies bekommen kann heißt das nicht dass man es auch gleich ganz bleiben lassen kann. Bei OSS kann und darf wenigstens jeder draufgucken, das heißt noch nicht dass es auch jeder tut, oder dass jeder den Code auch ändern darf, oder dass es den Entwickler interessiert wenn da jemand einen Bug meldet.
Aber jeder könnte einen Fehler finden, öffentlich machen und so die Welt davor warnen. Closed Source hingegen heißt ja öfters auch dass derjenige der den Fehler findet erstmal verklagt wird, oder doch wenigstens einen Knebelvertrag unterschreiben soll damit das auch ja nicht bekannt wird und man das beheben muss.
Klar gibts auch da Unternehmen die das ernster sehen und auch ohne äußeren Druck aufgrund von Qualitätsanspruch und purer Nächstenliebe jeden Bug fixen. Aber die meisten sehen das eher so wie du hier ->
Tamron schrieb:
Wenn ich etwas gebe, egal was, muss es MIR etwas nutzen. Wozu etwas geben, wovon ich nahezu keinen Nutzen habe?
Weil es manchmal mehr oder überhaupt nur hilft wenn man allen, bzw seinem ganzen Umfeld hilft.
In der Hinsicht sind sich IT Sicherheit, Hygiene, Klimaveränderungen und Geruchsbelästigung ähnlich.
Wenn jeder seine Ausscheidungen auf die Straße kippt stinkts. Egal ob du ein Klo mit Wasserspülung hast. Abhilfe schafft eine Kanalisation. Für alle.
Genauso ist es ziemlich schwer sich in ein keimfreies Heim zurückzuziehen wenn der Rest der Welt fleissig Viren verteilt, mit Beulenpest herumläuft, oder Krätzmilben züchtet. Aufklärung und Gegenmaßnahmen für alle ist die beste Methode wenn man halbwegs frei draußen herumlaufen will.
Da die meisten auch Strom, Wasser aus der Leitung und funktionierende Computer samt Internet mögen würde ich auch sagen dass man das am besten sicherstellt indem alle Computersysteme sicherer werden. Neue Fehler gibts reichlich solange es neue Entwicklungen gibt. Code Reviews usw sind teuer und da arbeiten auch nur Menschen oder Pseudo-KI. Das lässt sich gut ergänzen indem man den Code offen legt und den 'Crowdsourced Code Review' mitnutzt. ^^
Zuweilen schreibt sich dann sogar die ganze Software dank interessierter Leute unentgeltlich weil es eben vielen nutzt, die Autoren eingeschlossen.
Außerdem gibts auch einfach Philanthropen die doch tatsächlich einfach die Welt verbessern wollen.
Crowbar schrieb:
Denen fiel nicht der 190 GB Traffic nach extern auf ne dumme IP auf? Da gibt es Automatiksysteme, die Alarm schlagen, wenn die Admins das selbst nicht mitbekommen, auch wenn das in kleineren Tranchen erfolgt. Warum waren all diese Datenbanken bei Nvidia und Samsung überhaupt ohne effektive Trennung erreichbar und nicht intern verschlüsselt?
Also ich glaube nicht dass 190 GB so viel sind. Das hätte man bei mir zuhause über ein paar Wochen rausschleusen können ohne dass es an der Datenmenge aufgefallen wäre.
Der Code ist doch kaum statisch und sobald da einige Dutzend bis Hundert Leute über auf der halben Welt verteilten Teams daran arbeiten wird es schnell kompliziert sämtliche Datenflüsse zu überwachen und rechtzeitig zu kappen.
Ob die das nun über eine längere zeit rausgeschleust haben, oder einfach von mehreren unauffälligen Addressen jeweils einmal das ganze repository geladen haben ändert erstmal nicht viel. Wenn das System jedes mal den Zugriff unterbindet wenn ein paar Entwickler gleichzeitig eine erste synchronisation machen würde das bei Admins und Entwicklern für schlechte Laune sorgen.
Ansonsten lässt sich das sicher auch nett auf kleine Anfragen aufteilen.
Oder man hat einen besseren Zugang gehabt als einfach direkt beim zentralen Server anfragen zu müssen.
Meinst du da überwacht eine Art Skynet alle Mitarbeitersysteme die Zugriff auf den Quellcode nehmen und schlägt alarm wenn innerhalb von wenigen Tagen auf mehr als 50% der Dateien zugegriffen wird? Je nachdem wäre da auch der Alarm dauerzustand oder es gibt halt keine Updates mehr im bisherigen Tempo.
Ich würde eine derart strenge Überwachung höchstens bei ausgewählten besonders kritischen Projekten erwarten. Bei Smartphonezeug würde ich auch davon ausgehen dass da eher viel und schnell verändert wird, so dass es sehr schwer wird normalen Betrieb von möglichem verteilten Datenabfluss zu unterscheiden.
Vor jedem vollständigen build mit dem aktuellen code erstmal eine Freigabe samt Sicherheitsüberprüfung beantragen erscheint mir eher etwas für die NSA als für praktisch jedes Unternehmen das Software für die breite Masse entwickelt zu sein. Letztlich würde man sich damit auch entwickler vergraulen, die mögen es ja häufiger eher 'agil'/flexibel und unkompliziert und nicht so steif und bürokratisch.
