News Netzbetreiber Schuld an diversen Android-Oberflächen!?

@wp7
bring your own device ist eine praxis die man auch in großen firmen antreffen kann und mit denen sich der "sicherheitsbewusste it verantwortliche" auseinandersetzen darf, nicht weil er freund davon sein muss sondern weil die anforderung besteht und umgesetzt werden muss.

Allerdings heisst das noch lange nicht dass derartige geräte unmanaged sind, nur weil sie privat sind. Mit dem recht oder privileg gehen i.d.R. auch pflichten und teils auch einschränkungen einher.
 
DaDare schrieb:
Seh ich auch so wie triumvirn.

Auch wenn mich jetzt alle in der Luft zerreißen wollen, aber ich sag es trotzdem.
Apple punktet halt mit Hardware und Softwarequallitäten (bis auf dem Akku^^).
Nicht dein Ernst oder? Gerade in Sachen Akku ist Apple immer vorne mit dabei.
Wenn man noch die Flüssigkeit der Menüs dazurechnet, muss man Apple bei der gebotenen Leistung meist sogar ganz vorne sehen.

Warum jammern nur die Linuxbenutzer nicht, daß es außer KDE auch Gnome, XFC oder Enlightenment gibt?
Weil linux user meistens Geeks sind, die die Bedürfnisse der Mehrheit nicht teilen.
Zudem: smartphone != heim-PC.
 
Ohne Root kann man den ganzen Müll und Bloatware der Hersteller/Provider gar nicht runter kriegen . Sehr beliebt sind zB. unzählige Synchronisierungsdienste (auf meinem Arc waren die von Google, SE und t-mobile)

Eigentlich sollte Google unterbinden, fremde software als (geschützte) Systemprozesse in Android einbauen zu lassen. Das gefährdet die Integrität des Systems.
Wenn dir beispielsweise der Launcher nicht gefällt, deaktivierst du ihn und hast den Originalen.
 
Zuletzt bearbeitet:
0711 schrieb:
Ich habe befürchtet, dass leider nur ein Link von einem Sicherheitsdienstleister kommt in dem ungepatchte Sicherheitslücken aufgelistet sind. Das kann man der Aussage "OSS ist (absolut) sicher weil der Quelltext offen ist" entgegenhalten, aber für ein QED der Aussage "im Verhältnis zu CSS" müssen noch einige andere Informationen gegeben sein. Das Einzige was die Praxis hier zeigt ist, dass auch OSS nicht vor Sicherheitslücken und auch nicht durch die, gefunden durch Dritte gewappnet ist. Und das ist auch überhaupt nicht das, worauf ich hinaus wollte.

Ich fasse mich bei den Antworten, zeitlich bedingt mal eher kürzer. Was mein zentraler Punkt ist, dürfte im letzten Absatz ersichtlich sein und der Kürze der Antworten gerecht werden.

0711 schrieb:
analysewerkzeuge sollten zum entwicklungsablauf gehören
Sollten. Und wenn das ein Autor von CSS nicht macht, habe ich im Gegensatz zu OSS keine Chance da selbst einen Test auf Sourceebene durchzuführen.

0711 schrieb:
auch closed source software kann durch dritte geprüft werden
Nur durch Einwilligung des Autors. Und dann ist noch die Frage, welche Teile er als Source rausgibt. Das ist ein ähnlicher Fall wie im vorherigen Punkt.

0711 schrieb:
Eben. "Je nach".

0711 schrieb:
und wenn nicht durch dritt firmen wird das inhouse durchaus gemacht
Woher weißt du das?

0711 schrieb:
die praxis zeigt dass weder open source oder closed source für sichere software sorgt.
Und genau für die Aussage, benötigt man aber vergleichende Zahlen. Und die wird man kaum bekommen, da wohl kaum eine Hand voll Autoren den Code ihrer geschlossenen Projekte hergeben, oder gar damit rausrücken welche bekannten Sicherheitslücken gerade in ihrer Software existiert. Siehe Adobe, Microsoft oder diverse Hersteller diverser Geräte mit embedded Software.

0711 schrieb:
Das was analysetools heute übersehen ist durch reinen code lesen kaum noch selbst zu fassen sondern nur durch tests bzw zufall.
Ja. Zumindest ist mein Eindruck, zum Beispiel durch Mitverfolgen mancher Mailinglisten, dass bei aktuell bearbeiteten Codeteilen sofern diese zu einem wichtigen Projekt gehören, sehr wohl Dritte den Prozess auch auf sicherheitskritische Punkte verfolgen. Bei CSS kann ich nur hoffen, dass das passiert. Und ich weiß, dass das zu oft nicht passiert. Namen werde ich hier aber trivialer weise nicht erwähnen.

0711 schrieb:
Wen man böse argumentieren will kann offene entwicklung sogar zur gefahr werden
Das ja, nur hier endet meine Argumentation bzw. Einschätzung. Man müsste nachprüfen können, wie sehr dieser Umstand von Autoren von Schädlingen genutzt wird.

0711 schrieb:
ganz unabhängig davon müssen die fehlerbehobenen pakete auch überhaupt bei den anwendern ankommen
Das ist jetzt nicht unbedingt OSS verschuldet, aber das tut es zumindest ziemlich flott unter Systemen mit einem Paketmanagement. Daher stehe ich in diesem Punkt auch Metro positiv gegenüber. Microsoft dürfte mutmaßlich damit einen guten Sprung in Sachen Sicherheit schaffen.


Um nun zu meinem zentralen Punkt zu kommen.
Folgendes Zitat fasst das zusammen was ich mit obigen Aussagen hervorheben möchte:
Elias Levy (Aleph1) schrieb:
So does all this mean Open Source Software is no better than closed source software when it comes to security vulnerabilities? No. Open Source Software certainly does have the potential to be more secure than its closed source counterpart. But make no mistake, simply being open source is no guarantee of security.
Es geht mir hier nicht um die Garantie, sondern um die Wahrscheinlichkeit. Das sind bei einer Diskussion/Argumentation um Sicherheit, zwei Paar völlig unterschiedliche Betrachtungsweisen bzw. Anforderungen. Und ich vermute, dass du meine Aussagen eher als eine "Garantie" verstanden hast.

BTW: Ich hoffe es wird niemand ungemütlich wegen unseres OT.
 
Zuletzt bearbeitet:
Mein erstes Android Handy war ein Nexus S mein 2tes nun das Galaxy Nexus und das nächste wird auch wieder ein Nexus werden. Warum dürfte wohl klar sein. Das Problem ist nur das die Masse nur nach Optik und der allgemeinen Meinung kauft ohne sich vorher zu informieren bzw. ausführlich beraten zu lassen.

Erst wenn der große knall kommt wie damals beim ersten Wurm der Millionen PC's nur in Deutschland lahm legte so das auch im TV drüber berichtet wurde. Dann und wirklich erst dann wenn zum Beispiel eure intimen Bilder der Frau/Freundin usw. plötzlich im Internet zu finden sein werden, wird ein umdenken stattfinden was die Android Updates an geht.
 
Zuletzt bearbeitet:
ChilliConCarne schrieb:
Ich habe befürchtet, dass leider nur ein Link von einem Sicherheitsdienstleister kommt in dem ungepatchte Sicherheitslücken aufgelistet sind. Das kann man der Aussage "OSS ist (absolut) sicher weil der Quelltext offen ist" entgegenhalten, aber für ein QED der Aussage "im Verhältnis zu CSS" müssen noch einige andere Informationen gegeben sein. Das Einzige was die Praxis hier zeigt ist, dass auch OSS nicht vor Sicherheitslücken und auch nicht durch die, gefunden durch Dritte gewappnet ist. Und das ist auch überhaupt nicht das, worauf ich hinaus wollte.
ähm hast du dir den link angeschaut? der großteil der lücken ist gepatcht, secunia macht aus offen/geschlossen keinen unterschied, mir ging es dabei auch lediglich darum aufzuzeigen wie sicherheitslücken in bekannten projekten gefunden werden und wenn du dir den link genau anschaust wirst du die info dazu auch leicht finden.

vergleich doch beliebige bekannte projekte und programme, dein ergebnis wird so sein dass oss nicht sicherere software bedeutet, genauso wie css nicht sichere software bedeuteted und dass lücken nur sehr selten über reine code reviews von dritten auffallen.

ChilliConCarne schrieb:
Sollten. Und wenn das ein Autor von CSS nicht macht, habe ich im Gegensatz zu OSS keine Chance da selbst einen Test auf Sourceebene durchzuführen.
nur zu letzterem punkt, ja ein in der praxis eine viel angewandte möglichkeit....
ChilliConCarne schrieb:
genauso gibt es open source projekte (der linux kernel vorweg) bei dem es kritiken genau in diesen punkten gibt dass man lieber neuen features hinterherrennt als bestehende implementierungen robuster zu gestalten. Je nach....
ChilliConCarne schrieb:
Woher weißt du das?
offizielle verlautbarungen z.B.

ChilliConCarne schrieb:
Und genau für die Aussage, benötigt man aber vergleichende Zahlen. Und die wird man kaum bekommen, da wohl kaum eine Hand voll Autoren den Code ihrer geschlossenen Projekte hergeben, oder gar damit rausrücken welche bekannten Sicherheitslücken gerade in ihrer Software existiert. Siehe Adobe, Microsoft oder diverse Hersteller diverser Geräte mit embedded Software.
gerade ms ist eigentlich ein paradebeispiel für einen sicheren entwicklungsprozess, gab da mal vor einigen jahren ne nette chaosradiosendung dazu - welche bin ich aber im moment überfragt. Dort wurde u.a. behandelt was sich gerade bei denen ab 2003 (oder 2002?) massiv geändert hat. Viele oss und css projekte sollte man eigentlich schlagen dass hier offengelegte prozessbeschreibungen nicht übernommen werden oder zumindest alternative verfolgt werden.
ChilliConCarne schrieb:
Ja. Zumindest ist mein Eindruck, zum Beispiel durch Mitverfolgen mancher Mailinglisten, dass bei aktuell bearbeiteten Codeteilen sofern diese zu einem wichtigen Projekt gehören, sehr wohl Dritte den Prozess auch auf sicherheitskritische Punkte verfolgen. Bei CSS kann ich nur hoffen, dass das passiert. Und ich weiß, dass das zu oft nicht passiert. Namen werde ich hier aber trivialer weise nicht erwähnen.
ja dies muss bei css nicht passieren
ChilliConCarne schrieb:
Das ist jetzt nicht unbedingt OSS verschuldet
hatte ich auch nicht behauptet, es ist ein unabhängiger punkt beider ideologien
ChilliConCarne schrieb:
Es geht mir hier nicht um die Garantie, sondern um die Wahrscheinlichkeit. Das sind bei einer Diskussion/Argumentation um Sicherheit, zwei Paar völlig unterschiedliche Betrachtungsweisen bzw. Anforderungen. Und ich vermute, dass du meine Aussagen eher als eine "Garantie" verstanden hast.
nein ich habe es nicht als garantie gesehen sondern wie es in der praxis aussieht und die widerspricht der angesprochenen warscheinlichkeit

Du argumentierst mit warscheinlichkeiten, das habe ich durchaus schon vorher verstanden, ich sagte lediglich dass dies in der realität kaum bis keinen mehrwert diesbezüglich bringt.
 
Zuletzt bearbeitet:
Das mit den unterschiedlichen Oberflächen ist dämlich.
Stellt euch mal vor, Acer würde auf seine Windows PC diesen und jenen eigenen Aero-Skin
draufmachen + Theme Packs und 100 Hintergrundbilde. Bei Lenovo nochmal das gleiche in
grün, bei HP nochmal anders, bei Dell nochmal etc etc.

Das ist sicherlich kein Grund, warum man sich diesen oder jenen Rechner kaufen würde, und
mehr Geld würde damit auch keiner verdienen, im Gegenteil, die Entwicklungskosten für die
Designs würden zusätzlich kosten verursachen. Android wär so viel besser wenn jede Version
das gleiche Design hätte. Mein Moto war nach dem Update von 2.2 auf 2.3 schon nicht mehr
wiederzuerkennen (was auch gut war), und das beim gleichen Hersteller. Ich finds verwirrend.
 
@0711: Ich hoffe das ist jetzt nicht ein bisschen zu spät, ich kam vorher nicht dazu in diesen Thread zu schauen.

Ich denke wir beide vertreten hier rein subjektive Standpunkte. Ich zumindest von Anfang an, da ich das Ganze über die rein argumentative Linie mit Wahrscheinlichkeiten aufzog. Die Links von dir, die die Praxis aufzeigen sollen, sind für mich immer noch kein Beleg, dass OSS sicherer sei als CSS, oder auch andersherum. Die reichen einfach nicht für ein aussagekräftiges Maß. Man hätte auch genauso Lücken von CSS Projekten suchen können. Da wäre genug zusammen gekommen. Daher wundert es mich auch ein bisschen, dass du MS als Vorreiter bezeichnest, deren Produkte doch oft genug von erschreckend lang offenen Sicherheitslücken Opfer wurden. Mir fällt ein, dass es dazu sogar eine Studie gab die zum Ergebnis kam, dass der Zeitraum offener Lücken bei OSS wesentlich besser aussah. Die Studie müsste ich aber noch suchen. Ob das jetzt OSS wegen seinem offenen Code verschuldet ist, sei mal dahingestellt.

Nun denn, ich denke bzw. hoffe wir kommen zumindest auf einen Nenner bei der Argumentation, dass OSS mehr Möglichkeiten zur Inspektion bietet, in dem Sinne, dass wirklich jeder und nicht nur Auserwählte die Möglichkeit haben den Code zu begutachten und sich implizit die Chance erhöht, da auf weniger (offene) Lücken anzutreffen. Der einzige Dampfer wäre hier die Tatsache, dass auch missgünstige Autoren einen besseren Einblick für potenzielle Lücken haben. Hier müsste man eruieren wie schwer das ins Gewicht fällt.

Was die Praxis anbelangt siehst du das ja anders als ich, was ja auch vollkommen legitim ist. In der Hinsicht ist zumindest in diesem Thread nur Subjektivität gegeben. Wir müssten wirklich Studien mit Analysen finden, die hier beide Seite gegenwertet. Vielleicht mache ich mich bei Zeit mal nochmal auf die Suche. Eventuell gibt es da ja inzwischen Ergebnisse.
 
"dass OSS sicherer sei als CSS, oder auch andersherum" genau darum gehts mir, die ideologie kann keine warscheinlichkeit für höhere sicherheit bieten, hier sind indikatoren wie der entwicklungsprozess weit aussagekräftiger als eine ideologie
http://www.crn.de/software/artikel-5461.html (da steht jetzt zwar open source aber der kern ist für mich der sichere entwicklungsprozess)
bzw ungefähr das was hier angesprochen wird
http://www.searchsecurity.de/themen...heit/web-application-security/articles/119009

studien dass oss sicherer ist oder css sicherer ist wirst du zu hauf finden, wenig überraschend ist dass die ergebnisse meist dem auftraggeber in die hände spielen...
 
Zuletzt bearbeitet:
aussagekräftiger
Eben, Komparativ. Das war auch nicht etwas, was ich hier in Frage gestellt habe. Unterm Strich sehen wir beide die Rolle von OSS und CSS nach Zusammenfassung der argumentativen Punkte, bei der Wahrscheinlichkeit von Sicherheitslücken unterschiedlich, denn

wenig überraschend ist dass die ergebnisse meist dem auftraggeber in die Hände spielen ...
Womit sich die haufenweise Ergebnisse bei mir damals auf nahezu null reduziert haben. Die Praxis also erstmal überhaupt kein zuverlässiges Bild liefert. Ich sehe das Ganze eben wie Elias Levy. Und der Kerl ist nicht ganz ohne auf dem Gebiet der Softwaresicherheit.
 
Zurück
Oben