MaverickM schrieb:
Nein. Open-Source beweist das Gegenteil.
Leider Nein, Open-Source beweißt da nicht wirklich das Gegenteil. Es werden immer wieder auch schwerwiegende Sicherheitslücken gefunden und diese auch teilweise erst nach Jahren oder auch Jahrzehnten.
Auch wenn man prinzipiell den Source-Code einsehen kann, muss der Source-Code auch eingesehen werden, nur passiert eben nicht. Dazu kommt, dass in vielen OpenSource-Projekten überhaupt kein Bountyhunter-Programm hinterlegt ist und daher auch für "Spezialisten" nicht so interessant ist - man muss ja von etwas leben. Die "Forscher" beschränken sich daher in der Regel auf Software, wo Firmen dahinter stehe, die auch entsprechende Belohnungen ausschütten und sehen sich Software im Open-Source-Bereich eher in der Freizeit mal an.
Open-Source-Software ist nocht pauschal sicherere oder unsicherere als Closed-Source-Software.
pseudopseudonym schrieb:
Das das hier keine Uni-Veranstaltung ist, sollte Wikipedia als erster Ansatz der Recherche dazu reichen
Der entscheiden Satz, den du zitiert hast, ist aber weder ein Beleg dafür, das Open-Source-Systeme und offene Systeme sichere sind, noch dass geschlossene Systeme sicherer oder eben umgekehrt sind.
In diesem Bereich wird sich seit Jahren massiv gestritten und Verfechter beider Seiten bringen immer wieder sowohl gute als auch schlechte Argumetne dagegen an.
Boimler schrieb:
Ist doch relativ einfach: Open Source ist für jedermann nachvollziehbar und jeder kann den Code auf Schwachstellen prüfen.
Nein, so einfach ist es eben nicht. Es ist - mal die offensichtliches Sicherheitslücken wie nicht maskierte Parameter, XSS und Co ausgelassen - leider eben nicht so trivial Sicherheitslücken im Quelltext einer Software zu finden. Dafür benötig es einiges an Know-How und ebenso auch Zeit.
Je nach Komplexität der Software braucht man für die Prüfung einer Software nicht nur einfach ein paar Minuiten oder Stunden, sondern eher Tage und Wochen um den Quelltext wirklich abzuklopfen und selbst dann findet man häuftig nicht alle Lücken.
Dazu kommt eben, dass viele Sicherheitsforscher, die das selbstständig machen, auf die "Kopfgelder" für Sicherheitslücken angweisen sind oder auf Aufträge durch Kunden. Man benötigt auch Geld zum Leben. Die, die angestellt sind bei Firmen, werden da oft auf die eigene Software oder auf die verwendete Software angesetzt und andere Software wird dann eher in der Freizeit mal durchsucht und dann auch da oft eher das, was die Experten selbst verwenden.
Prinzipiell ist die Software für jeden nachvollziehbar, gleichzeitig muss das aber auch gemacht werden. Und genau hier liegt der Knackpunkt und warum eben es auch Leute gibt, die behaupten, dass Open-Source-Software und offene Systeme "unsicherer" sind - und diese Sichtweise ist eben auch nicht falsch: Auch die Angreifer können die Software auf Lücken prüfen oder die Systeme und diese dann auch ausnutzen und je mehr Informationen sie haben, um so leichter wird es für sie.
Wenn jetzt - es geht nur im die Veranschaulichung - ein Angreifer das System untersucht und entsprechende Lücken findet, kann dieser diese Lücken solange ausnutzen, bis ein andere diese Lücke findet und meldet.
Es kann nun sein, dass jemand die Lücke sehr schnell findet und meldet, dann hatte der Angreifer Pech. Es kann aber eben auch sein, dass die Lücke sehr lange nich gefunden wird und der Angreifer hat glück.
Es gibt hier also keine einfache Antwort auf die Frage ob offene oder geschlossene Ansätze sicherer oder unsicherer sind und auch kein Richtig oder Falsch. Es kommt darauf an.