HerbertGozambo
Lieutenant
- Registriert
- Feb. 2009
- Beiträge
- 797
Es wird so sicher sein, wie es sicher sein darf.
News KataOS & Sparrow: Googles Betriebssystem ist beweisbar sicher konzipiert
- Ersteller SVΞN
- Erstellt am
- Zur News: KataOS & Sparrow: Googles Betriebssystem ist beweisbar sicher konzipiert
G00fY
Captain
- Registriert
- Aug. 2009
- Beiträge
- 3.886
Dieser Thread beweist mal wieder wie viele Ahnungslose hier unterwegs sind und sich zu Themen auslassen von denen sie nicht das geringste verstehen.
Zum Thema: Datenschutz vs. Datensicherheit
Zum Thema: Datenschutz vs. Datensicherheit
Ist ja nicht so das Google seit jeher eine der aktivsten Firmen ist, die zum Linux Kernel contributed und viele weitere sicherheitskritische Open Source Projekte maintained. Bis hin zu ganzen Branchenstandards welche die Sicherheit unseres Internets gewährleisten...nex0rz schrieb:
Zuletzt bearbeitet:
MR2007
Commander
- Registriert
- Mai 2007
- Beiträge
- 2.142
Hier gehts ja aber um Kernel- und Programmentwicklung, nicht um Kryptographie, wo jenseits von OTP die Sicherheit der Mathematik sowieso auf Annahmen (gewöhnlich über die Rechenleistung des Angreifers) beruht.madmax2010 schrieb:
Dass man mathematisch beweisen kann, dass Algorithmen per Design bestimmte Szenarien nicht zulassen können, leuchtet mir noch ein, aber wie kann man das bei konkreten Implementierungen "beweisen"? Folgt man hier der Annahme "Rust=sicher"? Gerne mehr Material dazu
Capet
Lieutenant
- Registriert
- Feb. 2005
- Beiträge
- 985
Um einmal bei diesen beiden Beispielen zu bleiben ("Off-by-one" und Pufferüberläufen):
Beide sind nach meinem Verständnis Programmierfehler bzw. das Ergebnis dieser und die Angriffsszenarien bzw. die Gefährdung der Sicherheit ergibt sich aus diesen Programmierfehlern. Wenn diese nun ausgeschlossen werden können, geht es dann nicht in um (beweisbare) Fehlerfreiheit?
Die Sicherheit des Softwaresystems ist doch die Folge des Nichtvorhandenseins dieser Fehler.
Das faellt unter dem Thema formal verification und hat weniger mit Mathematik zu tun wie einige Male hier erwaehnt. Es sieht mathematisch aus wegen der Syntax ist aber strikt gesehen Logik. Logik wird in Philisophie, Mathematik, Informatik etc. gelehrt.BlaBlam schrieb:
http://carol.dimap.ufrn.br/proofweb/ Dieser Link gibt Beispiele wie formal verification aussehen kann.
Wenn du einen Algorithmus hast der keine negativen Ergebnisse haben darf, weil es sonst zu einem Crash fuehrt. Dann pruefst du das mit einigen Annahmen in Relation zu einem Ergebnis. Das Ziel ist wie du von deinen Annahmen zum Ergebnis kommst und dafuer brauchst du propositional logic https://iep.utm.edu/prop-log/ .
Findet man Annahmen die sich mit einem negativem Ergebnis widersprechen, dann ist es beweisbar sicher keine negativen Ergebnisse zu haben wenn die oben genannten Annahmen eingehalten werden.
Ist ein bisschen her fuer mich also verzeiht mir Fehler.
der Unzensierte
Vice Admiral
- Registriert
- Juni 2009
- Beiträge
- 6.993
Ich gehe auch weiterhin davon aus dass die "Guten" meine Daten sehen können wenn sie wollen. Und verhalte mich dem entsprechend.
S
SI Sun
Gast
Wenn es so sicher ist, wie Googles Versprechen, dass meine Privatsphäre und Datenschutz wichtig für die sind, dann nein danke.
Überall, wo Google seine Finger im Spiel hat, werden Daten erfasst und (über Umwege) verkauft.
Chrome soll ja auch sicher sein, weil es auf Open Source (Chromium) basiert, aber die >100 Closed Source Tools, Features, etc. die Google zusätzlich hinzufügt, heben die gesamte Sicherheit wieder auf.
Google baut dir ein sicheres und kameraüberwachtes Haus, behält aber einen Ersatzschlüssel und Zugangsrechte für die Kameras.
Der Klassiker von Google:
"Don't be evil" einfach still und heimlich streichen, sobald es denen passt oder die Kunden bereits abhängig wurden.
Die Sicherheit verbessern und gleichzeitig deine Daten sammeln, sogar wenn es in deinem Land verboten ist, schließt sich bei Google aber nicht aus.
Und wenn etwas mal auffliegt, sagt man "Ops, Programmierfehler." und die Sache ist mal wieder vergessen.
Kann schon passieren, dass man versehentlich hunderte Zeilen von Code für eine Lücke schreibt, über mehrere Instanzen prüfen lässt, implementiert, die Daten speichert, aufbereitet und nach einem 5 Jahres Verfahren plötzlich zum ersten Mal sieht, sich aber an nichts erinnern kann.
Das ist ein Running Gag in der Politik.
Überall, wo Google seine Finger im Spiel hat, werden Daten erfasst und (über Umwege) verkauft.
Chrome soll ja auch sicher sein, weil es auf Open Source (Chromium) basiert, aber die >100 Closed Source Tools, Features, etc. die Google zusätzlich hinzufügt, heben die gesamte Sicherheit wieder auf.
Google baut dir ein sicheres und kameraüberwachtes Haus, behält aber einen Ersatzschlüssel und Zugangsrechte für die Kameras.
Der Klassiker von Google:
"Don't be evil" einfach still und heimlich streichen, sobald es denen passt oder die Kunden bereits abhängig wurden.
Ergänzung ()
G00fY schrieb:
Die Sicherheit verbessern und gleichzeitig deine Daten sammeln, sogar wenn es in deinem Land verboten ist, schließt sich bei Google aber nicht aus.
Und wenn etwas mal auffliegt, sagt man "Ops, Programmierfehler." und die Sache ist mal wieder vergessen.
Kann schon passieren, dass man versehentlich hunderte Zeilen von Code für eine Lücke schreibt, über mehrere Instanzen prüfen lässt, implementiert, die Daten speichert, aufbereitet und nach einem 5 Jahres Verfahren plötzlich zum ersten Mal sieht, sich aber an nichts erinnern kann.
Das ist ein Running Gag in der Politik.
Zuletzt bearbeitet von einem Moderator:
Bright0001
Commander
- Registriert
- Juli 2011
- Beiträge
- 2.612
Mir ists eigentlich egal, was Google motiviert solche Projekte voranzutreiben; Ob nun Nutzen oder Greenwashing. Solange die Allgemeinheit etwas davon hat, sollen sie sich nicht aufhalten lassen. Geld dafür haben sie ja sicherlich genug. 
Gratulation. 
Ich war mal so frei;andi_sco schrieb:
Marflowah
Lt. Commander
- Registriert
- März 2018
- Beiträge
- 1.544
Von "Sicherheit" haben auch schon andere große Firmen gesprochen. Dabei ist die Frage immer dieselbe - wessen Daten vor wem geschützt werden sollen - immer diejenige, die oft einseitig und ungenau beantwortet wird.
Als Beispiel:
Bei Facebook wurde auch von Sicherheit gesprochen - ja klar, die Sicherheit der Daten des Facebook-Users vor dem Zugriff anderer Facebook-User - das ist auch durchaus wahr und nachweisbar: Wenn mein Bekannter mich zwar als "Freund" drin hat, ich aber seine Bilder nicht sehen soll, dann konfiguriert er es so, und dann sind seine Bilder vor mir sicher.
Aber die Frage, ob die Daten der Facebook-User auch vor Facebook selbst sicher sind (und damit weitergehend vor Dritt-Konzernen oder Staaten oder NGOs oder oder oder) - kann der Enduser nie mit 100%igem Vertrauen beantworten.
Ich glaube dieses Problem kann man generell auf alle Big Player beziehen.
Als Beispiel:
Bei Facebook wurde auch von Sicherheit gesprochen - ja klar, die Sicherheit der Daten des Facebook-Users vor dem Zugriff anderer Facebook-User - das ist auch durchaus wahr und nachweisbar: Wenn mein Bekannter mich zwar als "Freund" drin hat, ich aber seine Bilder nicht sehen soll, dann konfiguriert er es so, und dann sind seine Bilder vor mir sicher.
Aber die Frage, ob die Daten der Facebook-User auch vor Facebook selbst sicher sind (und damit weitergehend vor Dritt-Konzernen oder Staaten oder NGOs oder oder oder) - kann der Enduser nie mit 100%igem Vertrauen beantworten.
Ich glaube dieses Problem kann man generell auf alle Big Player beziehen.
Atalanttore
Ensign
- Registriert
- Juli 2013
- Beiträge
- 155
Endlich implementiert jemand seL4 in Rust für RISC-V-Hardware. So sicher wie irgend möglich.
Hab schon gedacht ich muss es selber machen, obwohl das meine Fähigkeiten gewaltig überfordern würde.
Hab schon gedacht ich muss es selber machen, obwohl das meine Fähigkeiten gewaltig überfordern würde.
TiKu schrieb:
Du legst den Finger auf den wunden Punkt. Ueblicherweise wird die Erfuellung einer bestimmten Eigenschaft (oder mehrerer Eigenschaften) bewiesen. Diese Eigenschaften koennen natuerlich eine Menge Angriffe ausschliessen, aber es kann Angriffe geben, die davon nicht erfasst werden. Insbesondere bezweifle ich, dass die bewiesen haben, dass Programme, die auf diesem Kernel laufen, keine Sicherheitsluecken haben koennen; fuer diese Programme muesste man also solche Beweise auch noch fuehren. Und dann gibt's da noch, wie Du erwaehnst, die Gefahr von Luecken, die von den bewiesenen Eigenschaften nicht erfasst werden.
