sohei schrieb:
das mag zwar sein das dort JEDER reinschauen kann, aber wie das in der realität so abläuft, hat man denke ich gerade im letzten jahr bei den ganzen open ssl und heartbleed zeugs gesehen, im endeffekt macht das nämlich keiner weil sich alle auf das "jeder kann in den source code schauen was da gemacht wird/was da passiert" beziehen. ein fataler trugschluss
Ein fataler Trugschluss deinerseits. Auditierbarkeit von Code ist nicht gleichzusetzen mit Fehlerfreiheit.
Heartbleed wurde gefunden und zu Recht an die große Glocke gehängt, aber einige Dinge darf man dabei nicht vergessen:
- Durch Open Source war es möglich, direkt am selben Tag einen Patch zu entwickeln und vorzuschagen. Die Entwickler mussten das Problem nicht erst selbst nachvollziehen und den Bug im Quellcode suchen.
- Durch Open Source war es möglich, genau den Commit auszumachen, der den Fehler zuerst implementiert hat. Dabei ist weniger das an den Pranger stellen des betreffenden Programmierers das Herausragende sondern die genaue Datierbarkeit des Fehlers. Jede Firma kann so auf den Tag genau bestimmen, wie hoch wann das Risiko für einen Datenverlust war.
- Durch Open Source konnte der OpenSSL-Code im Nachhinein auditiert werden und es wurde festgestellt, dass Heartbleed eben keine Ausnahme, sondern das Resultat eines chaotisch und wild gewachsenen Quellcodes ist. Dadurch konnte erkannt werden, dass eine unser wichtigsten Sicherheitssoftwares eklatante Mängel aufweist, die dringend behoben werden müssen.
Sicher funktioniert das "many eyes" Prinzip von Open Source Software nicht immer so, wie das gerne behauptet wird. Aber es ist doch nun auch beim besten Willen kein Nachteil, dass zumindest die Möglichkeit besteht. Die Behauptung, dass Open Source nicht sinnvoll ist jedes mal mit Heartbleed zu begründen ist jedenfalls zu kurz gegriffen.
Damit ich nicht völlig Off Topic am Thema vorbeischieße:
KeePass ist für mich die Nummer 1. Mindestens genau so wichtig wie Open Source finde ich aber die Entscheidung, ob man sein Passwortprogramm wirklich mit der Cloud kommunizieren lassen möchte, oder ob man den geringen Mehraufwand der manuellen Synchronisation bei so sensiblen Daten nicht vielleicht lieber in Kauf nimmt. Für mich kommt Cloud nicht in Frage, dadurch sind LastPass und auch die neueren 1Password-Versionen, sicher auch noch mehr Programme mit denen ich mich nicht auskenne, direkt aus dem Rennen.
Edit: Im Übrigen ist Open Source nicht gleichzusetzen mit kostenlos. Die meisten Projekte gehen zwar den Weg über Spenden, theoretisch ist es aber auch möglich den Quelltext offen zu legen und das Produkt zu verkaufen.
