Andere Frage: Wie lange, nach dem Bekanntwerden von Heartbleed, hat es gedauert, bis der Fehler behoben wurde? 2 Stunden? Wie lange hat es gedauert bis der Dirty COW Bug geschlossen wurde, der 20 Jahre lang im Kernel klaffte? 2 Stunden? Vom Entdecken bis zum Fix vergehen kaum 24 Stunden. Selbst Software die man selber garnicht programmiert hat, kann sofort untersucht und korrigiert werden. Damit ist das OpenSource-Model weitaus sicherer als Proprietäre Software. Jeder kann mitmachen.
Es gibt keine Schwarmintelligenz und auch keine erhöhte "Schwarmaufmerksamkeit".
Anscheind gibt es die schon, wenn erstmal ein Fehler gefunden wurde
Klar, im Userspace geht's Fixing flotter. Außer dass ich den Kernel qualitativ ein bisschen in einer Sonderstellung sehe, wollte ich auf diesem Aspekt jetzt aber garnicht soo sehr rumreiten. Viel wichtiger war mir, dass ich große Zweifel darin hege, dass OSS sicherer ist, weil da viele Leute draufschauen. In seiner theoretischsten, untersten Ebene hat das Argument ja was. Aber ich würde mich wundern, wenn OSS tatsächlich am Ende der Tage 'besser' untersucht wurde, als bspw. MS-Zeug. Bei MS wird ein Security-Audit machen lassen, und bei OSS guckt Google mal drauf. Da testen sie mal ihre automatisierten Tools mit. Oder irgendwo stolpert ein Entwickler mal zufällig über ein nicht direkt cleveres Shell-Verhalten bezüglich Umgebungsvariablen. Ganz plump gesagt.
Möglicherweise ist irgendwas besser geworden nach Snowden, Heartbleed, Shellshock, Dreckskuh, ... Vielleicht ist aber auch nur das gleiche passiert, wie in der großen Öffentlichkeit, wenn sich ein Problem auftut: Ganz engagiert macht man erstmal 'irgendwas'. Und zwar wirklich 'irgendwas'. Nur engagiert muss es sein. Und irgendwann geht man zur alten Tagesordnung über, soweit irgendwie machbar. Und alle wiegen sich bis zur nächsten Schleifeniteration wieder im guten Gefühl.
Da stecken ein paar sehr optimistische Annahmen hinter, die sich eigentlich alle nicht erhärtet haben.
Es gibt keine Schwarmintelligenz und auch keine erhöhte "Schwarmaufmerksamkeit".
Oder anders: Ob vier Augen oder 1000 Augen im Netflix oder Facebook hängen und Katzenbilder liken, ist für die Security von openssl unerheblich.
Hast du schonmal anderleuts Code ge-security-reviewed?
Andere Frage: Wie lange, nach dem Bekanntwerden von Heartbleed, hat es gedauert, bis der Fehler behoben wurde? 2 Stunden? Wie lange hat es gedauert bis der Dirty COW Bug geschlossen wurde, der 20 Jahre lang im Kernel klaffte? 2 Stunden? Vom Entdecken bis zum Fix vergehen kaum 24 Stunden. Selbst Software die man selber garnicht programmiert hat, kann sofort untersucht und korrigiert werden. Damit ist das OpenSource-Model weitaus sicherer als Proprietäre Software. Jeder kann mitmachen.
Anscheind gibt es die schon, wenn erstmal ein Fehler gefunden wurde
Klar, im Userspace geht's Fixing flotter. Außer dass ich den Kernel qualitativ ein bisschen in einer Sonderstellung sehe, wollte ich auf diesem Aspekt jetzt aber garnicht soo sehr rumreiten. Viel wichtiger war mir, dass ich große Zweifel darin hege, dass OSS sicherer ist, weil da viele Leute draufschauen. In seiner theoretischsten, untersten Ebene hat das Argument ja was. Aber ich würde mich wundern, wenn OSS tatsächlich am Ende der Tage 'besser' untersucht wurde, als bspw. MS-Zeug. Bei MS wird ein Security-Audit machen lassen, und bei OSS guckt Google mal drauf. Da testen sie mal ihre automatisierten Tools mit. Oder irgendwo stolpert ein Entwickler mal zufällig über ein nicht direkt cleveres Shell-Verhalten bezüglich Umgebungsvariablen. Ganz plump gesagt.
Möglicherweise ist irgendwas besser geworden nach Snowden, Heartbleed, Shellshock, Dreckskuh, ... Vielleicht ist aber auch nur das gleiche passiert, wie in der großen Öffentlichkeit, wenn sich ein Problem auftut: Ganz engagiert macht man erstmal 'irgendwas'. Und zwar wirklich 'irgendwas'. Nur engagiert muss es sein. Und irgendwann geht man zur alten Tagesordnung über, soweit irgendwie machbar. Und alle wiegen sich bis zur nächsten Schleifeniteration wieder im guten Gefühl.