News Linux Foundation plant Hilfe für kritische Teile der globalen IT

Dsa hätte vor Heartbleed eh nicht geklappt. Besagte Unternehmen wären viel zu ignorant gewesen als dass die da ein paar Tausender locker gemacht hätten. Jetzt, wo sich das praktische Ausmaß eines Fehlers gezeigt hat, wird's wohl an vielen Stellen zum Umdenken kommen (müssen). Datenlecks beseitigt man am besten, in dem man ihr Auftreten verhindert...
 
Ne schöne Aktion.

Ich denke, da werden Projekte wie OpenSSL und Co ziemlich froh sein, dass jetzt sowas existiert.
Wer außerhalb der OpenSource-Gemeinde kannte vor Heartbleed OpenSSL?

Niemand.

Und genau das ist das Problem: Fast jeder verlässt sich Tag für Tag auf Sachen, die er nicht kennt.
Bis es mal kracht...

Daher finde ich die Initiative von OpenBSD auch nicht schlecht, aber man sollte die Entwicklungszeit in OpenSSL stecken als für einen eigenen Frog.
Naja, es ist OpenSource... dann is OK...
 
computeralex92 schrieb:
Wer außerhalb der OpenSource-Gemeinde kannte vor Heartbleed OpenSSL?
Niemand.

Google, Dropbox und so andere "kleine" Unternehmen.
Und die NSA natürlich. Die kannten aber Heartbleed schon vor einem Jahr.
 
Den ganzen Tag kam im Radio, dass der gesellschaftliche Zusammenhalt auseinander driftet. Die privaten Vermögen sind höher denn je verzeichnet. Dann sollen doch die ganzen richtig harten Geschäftsleute mal SSL anbieten in den hochreichen mafiösen Strukturen wenigstens.
 
computeralex92 schrieb:
Wer außerhalb der OpenSource-Gemeinde kannte vor Heartbleed OpenSSL?

Niemand.

jeder der mal im internet war und dort einen ftp server/online banking/online shop uvm genutzt hat..
 
thrawnx schrieb:
jeder der mal im internet war und dort einen ftp server/online banking/online shop uvm genutzt hat..

Och, nicht alle nutzen OpenSSL. Aber zu deiner Aussage direkt - versteh ich das richtig - jeder User der sich auf eine vermeintlich sichere Seite verbunden hat soll wissen, dass OpenSSL dahinter steht?

Mal davon abgesehen, dass ich genug Ftp Server, Online Shops etc. ohne SSL kenne, ich behaupte sogar mehr als die Hälfte der sogenannten "erfahreneren" Anwender (ja nicht einmal genug Webhoster selbst oder glaubst du Wordpress User mit paar Plugins haben den Durchblick? Nein, auch der) wusste nicht, welche API dahinter genutzt wird. Ob deren Software im allgemeinen auf aktuellem Stand ist lässt sich (wie sag ich ... ohne direktes Hacken stimmt nicht, das geht schon einfacher ... ohne weiteres stimmt aber ebenso nicht ... sagen wir -) ohne tiefere Kenntnisse in die Materie, nicht sagen. Was aber definitiv nicht ohne Experten-Tests zu behaupten wäre ist ob vorhandene Sicherheitsmaßnahmen auch wirksam sind.
 
Es war halt ein Fehler OpenSSL überhaupt für so viele kritische Anwendungen zu nutzen. Das kann man nicht mal dem Projekt anlasten, sondern eher den Firmen die es "einfach so" einsetzen. Wird schon passen. Ist ja Open Source. Da schauen zig Augenpaare auf den Code und finden die Fehler zeitnah. Überflüssig das selber nochmal kritisch zu prüfen, bzw. prüfen zu lassen.
Vielleicht bringt Heartbleed ja endlich mal die wertvolle Erkenntnis dass diese Mantren mit der Realität nichts zu tun haben.

Wir viele Augen da tatsächlich regelmäßig draufgeschaut haben zeigt ja das Projekt LibreSSL, wo die Beteiligten aus allen Wolken gefallen sind als sie das angeschaut haben.
 
Das Problem dürfte sein, wenn ich im Unternehmen Closed Source Software zukaufe, dann ist für deren Qualität die Entwicklerfirma verantwortlich und auch rechtlich greifbar. Das man sich bei Open Source eben nicht immer darauf verlassen kann, dass die Qualität stimmt bzw. niemanden direkt verklagen kann wenns nicht so funktioniert wie es soll scheint den Unternehmen nun ja klar zu sein.
 
@DocWindows ich falle auch regelmäßig aus allen Wolken, wenn jemand vor mir ohne zu blinken abbiegt. Trotzdem muss der Mensch objektiv gesehen nicht gleich ein Idiot sein.
Will heißen: Man sollte sich nicht zu sehr auf die Aussagen vom LibreSSL-Entwicklerteam verlassen, die wollen ihr Produkt ja schließlich auch als besser hinstellen.
 
Ich finde das eine sehr gute Sache!

Große Unternehmen nutzen eine einheitliche, bewährte Software und kümmern sich auch darum. Das ist besser als tausende Bastellösungen (m.Mn. würde das würde aber Über-Lecks vermeiden) und nutzt allen (kleinen Projekten, Lizenzkosten, Innovation, Kompatibilität).

Von mir aus könnten auch ruhig mehr Unternehmen sich aktiv einbringen, Google macht das ja teilweise schon. Und Sachen wie SPDY, bzw. der Einfluss auf das neue HTTP, nutzt den Unternehmen selbst ja auch gewaltig. Außerdem können die großen Unternehmen vielleicht besser z.B. die Qualitätssicherung anleiten, weil die selber ein eingespieltes Team haben oder kurzzeitig recht viele extrem gute Leute an ein Problem oder Trend setzen.
 
Laut einem CT Artikel hatte OpenSSL eine gigantische Finanzierung von 725k Dollar im Jahr. Vermutlich gibt Cisco alleine ein X-Faches für eigene Entwicklungen aus die darauf basieren. Der Bug ist aus meiner Sicht viel peinlicher für die Großkonzerne die es nutzen als für die Software.
Wenn ich Frei im Sinne von Freibier interpretiere darf ich mich nicht über die Qualität vom Bier wundern. Will ich es jahrelang saufen muss ich mich vielleicht auch am Kessel putzen beteiligen. Erinnert mich aber auch an die Reaktion der NAS-Hersteller als das Projekt für die Apple-Protokolle Geld braucht und erst mal keiner was geben wollte. Muss man halt altes Bier saufen oder selbst braun.

Das ganze ist so simple das manche Reaktionen eigentlich nur peinlich sind.
 
Ich finde die großen Firmen sollten eine Art Agreement aushandeln und entweder Programmierer abstellen oder Geld bezahlen um (sicherheits-)kritische OpenSource-Komponenten die sie nutzen auch gegenzufinanzieren. Lizenzmäßig zwingen kann man sie wohl nicht.

Aber was beim Linuxkernel geht, wird wohl auch auf die wichtigsten Rahmenbibliotheken anwendbar sein.
 
Zuletzt bearbeitet:

Ähnliche Themen

Zurück
Oben