Sollte die Aussage der NSA, dass sie die Sicherheitslücke schon ewig kennen korrekt sein, dann beweist das wieder mal nur genau das was ich seit Jahren über Open Source Software predige.
Ja es ist ganz toll, dass jeder den Code einsehen und selber kompilieren kann, weil so auch jeder nach Sicherheitslücken suchen und sie fixen kann.
Der Nachteil daran ist halt nur, dass jeder nach Sicherheitslücken suchen kann
, also auch jeder der sie nicht fixen sondern nach allen Regeln der Kunst ausnutzen will.
Und jetzt die Preisfrage, bei wem ist die Motivation nach Lücken zu suchen wohl größer und wer wird deshalb den größeren Aufwand treiben.
Das sind natürlich die Kriminellen, Geheimdienste(sofern man zwischen den beiden überhaupt unterscheiden möchte) und alle möglichen anderen finsteren Gestalten.
Und seien wir mal ehrlich. Wer von denen die OpenSSL nutzen hat jemals aktiv im Source Code nach Sicherheitslücken gesucht? Praktisch niemand. Die Arbeit bleibt auch bei OSS in der Regel an den normalen Stammentwicklern hängen.
Und dadurch wird OSS letztendlich unsicherer als CSS weil durch Faulheit/Desinteresse auch nicht aktiver Sicherheitslücken gefixt werden als bei CSS aber dafür das finden von Lücken für Hacker/Geheimdienste um ein vielfaches erleichtert wird.
Zusammengefasst is OSS eine gute Idee, die aber schlicht daran scheitert dass die ganze Idee auf der Annahme beruht, dass die ganze Welt aus netten hilfsbereiten und selbstlosen Menschen besteht.
Gleiches lässt sich auch über FOSS sagen. Alles kostenlos herzugeben ist eine noble Idee, kann aber nur deshalb funktionieren weil die Entwickler die dran mitwirken ihr täglich Brot in CSS Projekten verdienen und deshalb nicht hungern müssen (oder, bevor wieder einer Mozilla als leuchtendes Gegenbeispiel auspackt, weil einer der größten CSS-Konzerne permanent Geld reinschießt, damit seine Websuche Standard bleibt).