News Crypto-Bibliothek GnuTLS ist ohne Patch risikobehaftet

Ich find es ehrlich gesagt gut, dass aktuell soviel rauskommt. Das hilft dabei den Irrtum zu widerlegen, dass OpenSource Software von Hause aus absolut sicher ist. Jede Software ist anfällig egal ob OpenSource oder ClosedSource.
 
Euphoria schrieb:
Das hilft dabei den Irrtum zu widerlegen, dass OpenSource Software von Hause aus absolut sicher ist. J
Ist dieser idiotische Irrtum denn jemals irgendwo tatsächlich aufgekommen? Ich glaube nicht. Dieser Irrtum wird Freunden freier Software allerdings regelmäßig von irgendwelchen Hohlkörpern in den Mund gelegt, um ihn anschließend zu widerlegen.
 
FOSS hat nur den Vorteil, dass überhaupt eine Chance besteht, dass Fehler gefunden und behoben werden. Wenn in Closed Source eine Lücke existiert ist man auf Gedeih und Verderb dem Hersteller ausgeliefert.
 
Pah, Binärpatches für closed source Kram gibts doch auch. Ich erinnere mich z.B. daran, auf diese Weise dem Netscape Navigator das Rotieren von nervenden Zappel-GIFs abgewöhnt zu haben, als diese gerade neu und SEHR beliebt im Web waren. Das war reine Nothilfe. :)
 
Zuletzt bearbeitet:
Es sagt ja auch keiner - zumindest niemand der sich etwas auskennt - das Open Source absolut sicher ist. Schon alleine diese beiden Ausdrücke sollten von jedem der das Leben etwas ernst nimmt nicht in einem Satz benutzt werden.

Ich kann nur mensch183s Aussage unterstreichen. Diese Ammenmärchen werden meist von OpenSource Gegnern propagandiert um sie später zu wiederlegen.
 
Jup sehe ich auch so. Der Vorteil von Open Source ist es nun mal, dass man den Code sehen kann. Sprich jeder der sich mal ein paar Stunden Zeit nimmt kann Fehler entdecken wenn er den Code versteht. Genau DAS ist der Vorteil von Open Source. Bei Closed Source muss man halt vertrauen ob der Hersteller alles korrekt gemacht hat.

Aber zum Thema:

Wie gesagt kann passieren wurd egepatched ergo egal.
 
In Software gibt es immer Lücken egal ob Closed Source oder Open Source.
Es kommt immer darauf an wie gut ein Projekt gewartet wird, egal ob jetzt vom Hersteller oder von der Community.
Es gibt auch Open Source Projekte die so vor sich hin dümpeln und sich niemand drum kümmert, dort werden Lücken oft Monate oder länger nicht geschlossen.
Man sollte hier keine generelle Aussage treffen, welches sicherer ist. Dennoch finde ich es gut wenn Hersteller eine Software die nicht gepflegt wird wenigstens Open Source machen, damit wenigstens die Chance besteht, dass jemand den Code pflegt. Falls das überhaupt möglich ist, je nach verwendeten Lizenzen.
Ergänzung ()

Cool Master schrieb:
Jup sehe ich auch so. Der Vorteil von Open Source ist es nun mal, dass man den Code sehen kann. Sprich jeder der sich mal ein paar Stunden Zeit nimmt kann Fehler entdecken wenn er den Code versteht..

Wenn es denn so einfach wäre.. ein paar Stunden Zeit für Fehler zu entdecken. Man kann Jahre verbringen und wird nicht alle Fehler beseitigen bei einer Software die komplexer als eine Hallo Welt-Programm ist.
 
Zuletzt bearbeitet:
Cool Master schrieb:
Sprich jeder der sich mal ein paar Stunden Zeit nimmt kann Fehler entdecken wenn er den Code versteht.

Es hat sich nur in letzter Zeit abgezeichnet, dass sich sehr oft keiner die Zeit nimmt - weil es einfach viel, viel Arbeit ist, seitenweise Programmcode zu prüfen. Deshalb wäre es wohl sinnvoll, vor allem bei sicherheitsrelevanter Software, hin und wieder jemanden dafür zu bezahlen, dass er sich das mal alles genau anschaut.
Freiwillig macht eben niemand gerne die "Drecksarbeit", den Code zu prüfen! Man könnte, ja. Aber tut man nicht, weil's eher wenig Spaß macht! :)
 
@LeX23

Klar "paar Stunden" war untertrieben aber ich denke die meisten wissen was ich sagen wollte.


@highks

Jup stimme ich dir zu. Debuggen ist immer hässlich!
 
Vor allem bei so Sachen wie Verschlüsselung - wenn mans richtig machen will, muss man dafür auch die Mathematik verstanden haben um die Implementierung ordentlich prüfen zu können. Da ist eher schon ein halbes Mathestudium nötig, bevor man "mal eben" den Code prüft.
 
Sehen wir es einfach mal realistisch. Bei Open Source kann ich, wenn ich die Zeit oder das Geld für ein Audit investiere, Fehler einfacher finden da der Quellcode offen zugänglich ist. Bei Closed Source habe ich da ein Problem und muss dem Hersteller vertrauen. Open Source kann nicht sicherer sein, um jetzt mal den Philosophen raus hängen zu lassen, denn alles was der Mensch tut ist mit Fehlern behaftet.

Wenn man aber bedenkt was man jetzt findet möchte ich nicht wissen welche Löcher zum Beispiel im SSL Pfad von Windows zu finden wären.
 
Euphoria schrieb:
Ich find es ehrlich gesagt gut, dass aktuell soviel rauskommt. Das hilft dabei den Irrtum zu widerlegen, dass OpenSource Software von Hause aus absolut sicher ist. Jede Software ist anfällig egal ob OpenSource oder ClosedSource.

LOL ?!

Ein Zitat ist:

M$ behebt auch dann nicht Sicherheitslücken, auch wenn sie bekannt sind ...

Und das Zitat kommt nicht von mir !

https://twitter.com/allanjude
https://plus.google.com/+allanjude

Solltest Märchen Vorleser werden ... :D
 
Euphoria schrieb:
Das hilft dabei den Irrtum zu widerlegen, dass OpenSource Software von Hause aus absolut sicher ist.
Das Verstehen der Argumente der OS Befürworter würde vielleicht auch dabei helfen den Irrtum über irgendwelche, in den Mund gelegten Behauptungen zu widerlegen.
 
Zurück
Oben