Von hurzischnurzi am Di, 14. Februar 2012 um 16:13 #
Du bist kein Programmier, oder? Ob ein Code sauber oder verworren ist, hängt einzig und allein vom Entwickler ab. (Und ein hardwarenahes C-Programm welches unsauber programmiert ist(Pointer!) ist potentiell gefährlicher als ein in Perl programmierter Listengenerator ...)
Eigentlich nicht, aber das erinnert mich daran, dass ich jetzt schon seit einer gefühlten Ewigkeit weder Fortunes gesammelt noch was getextet habe. Egal, als ob ich ein Gewissen hätte.
Aber villeicht sollte ich doch mal im März eine neue Version der Fortunes bereitstellen?
Von hurzischnurzi am Di, 14. Februar 2012 um 16:08 #
Die ganze Rechnung krankt an einem dem Grundgedanken. Man kann kein Programm von Null auf Hundert programmieren! Ein elementares, umfangreiches Programm wie bspw. Apache kann nicht einfach von Null auf Stand jetzt programmiert werden, es bedarf vieler Revisionen in welche gesammelte und gelebte Erfahrung einfließt um nach einem langen Entwicklungs-und Findungsprozess zum gewünschten Ergebnis zu kommen, d.h. man müsste den Kostenfaktor, welcher sich aus der Anzahl der Code-Zeilen ergibt, anders gewichten.
Hey ihr kleinen Basic-Frickler, mal so ganz nebenbei Python ist eindeutig auf dem Weg nach ganz unten. Die Sprache hat sich eh nur für Einsteiger mit dem kognitiven Horizont eines Kleingärtners geeignet. Da blieb nie Freiraum für Innovation, so einfach und sauber gegliedert, wie ein kleines Vorstädtchen in einer CSU regierten Region. Diese Sprache macht dich automatisch stumpf, degeneriert deinen Verstand und erstickt jegliche Kreativität. Da ist Perl doch von ganz anderem Kaliber, ein Stück Code, dass nur Du noch verstehst, das deinem genialen Gehirn entsprungen ist, woran dein Nachfolger einfach verzweifeln muss, wenn er auch nur ansatzweise versucht das Geheimnis deiner Gedanken zu entschlüsseln. Ist es nicht nur einfach schön, wenn so ein kleiner verfickt.r Praktikant an deinem Code zer- bricht? Wie er schwitzt und eingestehen muss, dass er mit so einer kreativen Arbeit und dem daraus entstanden Stück Code einfach nichts anfangen kann, weil seine Profs ihm nichts von dieser genialen Sprache erzählt haben und er sich über seinen kleinen Java-Horizont nicht weiter entwickeln konnte. Erkennt Ihr euch darin wieder? Ja, dann seid ihr wahrscheinlich auch die, die den Unterschied zwischen "Nudossie" und der wahrhaftigen Offenbarung von Nutella nicht kennen.
"Mike! MIKEEEE!. Eine idiotische Idee auf die Sie kamen, Perl zu verwenden und keiner versteht welchen Mist Sie da im Rahmen ihrer Bachelorarbeit programmiert. Wir haben ausversehen das Ding an Kunden verkauft und nun klingelt das Telefon ständig und Bugtracker läuft voll. Jetzt Kümmern sie sich nochmal um dieses bescheuerte Programm und fixen die Bugs. Bis Mittag. Keiiineee Ausreden, dass sie selbst den Code nicht mehr verstehen. Bis Mittag will ich ein Ergebniss haben. Übrigens, der neue sitzt jetzt dran und macht das jetzt ordentlich mit Ruby. Frau Müller, mein Kaffeeee!"
Debian läuft schon ewig auf ARM Prozessoren. Debian ist stabil. Und wer will, lässt Windows einfach ohne Schaden im Fensterchen laufen. Sicherheitshalber gehört es virtuell auch in Fensterchen.
Hast du schon mal probiert wieviel Performanz bei einer Hochleistungsnvidiakarte hinten ankommt, wenn du unter Linux sagen wir mal mittels vmware ein aktuelles 3D Spiel in üblicher Auflösung spielen willst?
Wer ist denn auch schon so blöd und virtualisiert eine Windows-Installation um darin zu spielen? In so einem Fall kommt man mit einer DualBoot-Lösung deutlich besser zurecht.
Wer ist denn auch schon so blöd und virtualisiert eine Windows-Installation um darin zu spielen? In so einem Fall kommt man mit einer DualBoot-Lösung deutlich besser zurecht.
Wer ist eigentlich noch so blöd und spielt auf einem PC? Eure Armut kotzt mich mal so richtig an!!
Die Hochleistungsnvidiagrafikkarte funktioniert de facto mit den dafür vorgesehenen unfreien Windowstreibern (plus ein wenig Xorg-/Glx-Code) unter Linux und damit unter Debian. Gibt es das Spiel nicht für Wine bzw. Linux, dann spielt man besser nativ unter Windows.
Von auch nicht aus Oslo am Di, 14. Februar 2012 um 22:45 #
Welche desaströsen Auswirkungen hatte das nochmal?
P.S.: Wenn du Links postest, solltest du sie selbst lesen und vor allem auch die Kommentare. Die OpenSSL-Entwickler haben sich auch nicht gerade mit Ruhm bekleckert...
Nein, das hatte üüüüüberhaupt keine Auswirkungen und schon gar keine negativen und von Debian war da üüüüberhaupt niemand dran Schuld. Alles klar. Daß das für ca. 2 Jahre so war, das ist ja eigentlich auch nicht der Rede wert.
Ich nutze Debian sehr gerne für alles mögliche; aber um einen weiteren Fehler diesen epischen Ausmaßes zu finden, da muß man schon tief graben... Fehler passieren und zugeben darf man die auch
"Welche desaströsen Auswirkungen hatte das nochmal?"
Nur zwei Beispiele: U.a. waren die unter Debian Etch erzeugten openssh- wie openssl-Schlüssel leicht erratbar ("genialerweise" sind dadurch eigentlich nicht betroffene Linuxdistributionen ebenfalls verwundbar gewesen) und aufgezeichneten genauso wie gerade laufenden Torverkehr konnte man ebenfalls mitlesen. Salopp formuliert, wurde über diesen Debianfehler äußerst effektiv die (Openssl-)Verschlüsselung aufgehoben.
Absolut erschreckend. Ob das vielleicht Opfer gefordert hat, ist allerdings nicht bekannt.
Hier sind entsprechende Links: https://blog.torproject.org/blog/debian-openssl-flaw%3A-what-does-it-mean-tor-clients%3F http://www.cert.at/warnings/all/20080515.html Suchmaschinen liefern dazu Unmengen an "Material."
Die von Dir angesprochene Kommunikationspanne war IMO für den gemachten Fehler nicht wirklich ursächlich. Man hätte nur dem Motto folgen müssen: "Den Code von sicherheitsrelevanter Software darf man nicht ändern, wenn man ihn nicht verstanden hat." Die erwähnte Kommunikationspanne hat natürlich dieses Unverständnis nicht "heilen" können. Trotzdem liegt die Verantwortung bei demjenigen, der den Code geändert hat. Aber das wurde hier schon endlos diskutiert, die Flamewars von damals sind mir noch lebhaft in Erinnerung.
Man sollte auch bedenken, dass Firmen mit so einer Hammerpanne vielleicht nicht so offen umgegangen wären wie die Debiangemeinschaft. Wenigstens die Openssl-Desasteraufarbeitung war vorbildlich.
Hast du auch ein Link der aussagt, wie viele reale Maschinen nun wirklich durch die SSL Lücke betroffen worden sind?
Ich habe mal versucht zu suchen, aber ich finde immer nur Blogs/Warnungen über die Lücke. Was ich sehen würde ist eine Meldung wie die hier:
http://www.handelszeitung.ch/technologie/computervirus-dns-changer-schweizer-rechner-betroffen "Mindestens vier Millionen Rechner weltweit sind vom [Wiindows-]Computervirus DNS-Changer betroffen, [...] rechne damit, dass tausende Schweizer Rechner betroffen sind."
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 15. Feb 2012 um 08:53.
Aufgrund der weiten Verbreitung Debians als Server wie als Client würde ich grob schätzen, so gut wie jeder Rechner, der in irgendeiner Form Openssl benutzt bzw. einsetzt.
Im Artikel http://www.heise.de/security/artikel/Der-kleine-OpenSSL-Wegweiser-270076.html heißt es dazu entsprechend: "Dazu gehören insbesondere SSH-, OpenVPN-, IPsec- und Mail- beziehungsweise Web-Server mit SSL (https) sowie DNS-Server mit DNSSEC/DK."
Die Auswirkungen des Debian-Openssl-Problems sind somit "gigantisch". Insbesondere heißt es dazu (unter dem oben erwähnten Link): "Obwohl nur Debian-Derivate unsichere Schlüssel erzeugen, sind auch Systeme anderer Hersteller angreifbar, wenn beispielsweise ein Debian-User dort einen Schlüssel von seinem Debian-System für den Login freigegeben hat."
Die Zahl potentiell betroffener Systeme ist sehr schwer abzuschätzen, weshalb man sich da leicht in die Nesseln setzen kann. Nur ein Zahlenbeispiel: Es soll 500000 Datenzentren weltweit geben, alleine Google betreibt dabei angeblich 900000 bis angeblich etwa zehn Millionen Server über alle seine Datenzentren hinweg. Wenn ich nun also sagen würde: "Die damalige Zahl der von der Debian-Openssl-Lücke betroffenen Systeme ging sicherlich in die Millionen.", dann würde das genau gar nichts Handfestes aussagen, also unterlasse ich das.
Hinzu kommt der Schaden über eine unbekannte Zahl gespeicherter, "verschlüsselter" Sessions bzw. Verbindungen, über die mit den schwachen Debian-Openssl-Schlüsseln Vertrauliches übertragen wurde und die im nachhinein lesbar wurden. Da dürfte so einiges dabei gewesen sein: Passwörter, unter Umständen Online-Banking-PINs, Firmengeheimnisse, vertrauliche Mitteilungen und Zugriffe von Dissidenten, ein Großteil der politischen Aktivitäten und Absichten des jeweiligen nationalstaatlichen wie global agierenden "Untergrunds".
Gerade die Datensammel- und Datenaufzeichnungswut staatlicher Organisationen hat leider unfassbare Ausmaße angenommen. Man muss sich dazu nur einmal die Megaupload-Anklage unter dem Gesichtspunkt durchlesen, dass das FBI überhaupt erst seit 2010 gegen Megaupload ermittelt hat. Da läuft also stets eine sehr effektive Telekommunikationsüberwachungs- und Telekommunikationsaufzeichnungsmaschinerie im Hintergrund mit. Und "staatlich" heißt ja in Zeiten auch rein geschäftsorientierten Überwachungstechnikexports nicht, dass sich dieser Möglichkeiten nur demokratisch verfasste Staaten bedienen würden.
Debian ist jetzt micht mehr damit allein. Siehe " RSA-Schlüssel nicht so zufällig wie wünschenswert" http://www.heise.de/security/meldung/RSA-Schluessel-nicht-so-zufaellig-wie-wuenschenswert-1435304.html Das Hauptproblem kennt Debian bestimmt: zu wenig Zufall, "gleiche" Schlüssel. Vielleicht ist das aber auch nur ein nachhaltiges Schlüsselrecycling. :-) Und wer jetzt sagt, Debian sei an diesem RSA-Debakel Schuld, der liegt -weitgehend - falsch.
Mit überrascht es vor allem, dass Java auf den dritten Platz landet. C und C++ sind keine Überraschung, aber ich hätte doch gedacht, dass Perl, Python, Ruby oder Bash mehr eingesetzt wird als Java.
Anderseits, es wird ja nur Quellcodezeilen gezählt und nicht die Anzahl an Projekten. Aber anderseits, 10 kleine mini-Projekte sollten gleich gewichtet sein, als ein großes Projekt.
Ja. Und dadurch, dass eben in Codezeilen gezählt wird, trägt man auch nicht der Tatsache Rechnung, dass eine Aufgabe z.B. in Python oftmals mit viel weniger Codezeilen als in C erledigt ist.
Der Vergleich sagt halt prinzipiell nichts zur Verwendung aus (das wäre nur die Interpretation), sondern nur, dass so-und-so viele Zeile in der-und-der Sprache geschrieben wurden. So ist das ja bekanntlich nunmal mit Statistiken...
14,4 Mrd geteilt durch 204 Mio Zeilen bedeuten USD 70,-- pro Zeile, das erscheint mir als Laien sehr viel, selbst wenn bestimmt gewisse Zeilen 10 mal geändert werden mußten, was sagen denn die Profis dazu?
glaubst du ein Entwickler setzt sich hin und tippt einfach code runter wie eine Sekretärin ein Diktat? Da kommen ja noch die Zeiten dazu um das Design der S/W zu ersinnen und sich in die entsprechende Materie einzuarbeiten. Ob die Angaben so stimmen weiß ich nciht, aber dass diese extrem zu hoch gegriffen sind glaube ich nicht.
Wenn jede Zeile bereits mehrfach umgeflügt wurden ist und in x-ter Generation ist kann schon sein. Gerade im OpenSource Umfeld ist erst hacken dann spezifizieren der gängige Ansatz.
Von Debain 7 ist im professionellen Bereich abzuraten, da es zuviel Spaghetticode enthaelt.
Du bist kein Programmier, oder? Ob ein Code sauber oder verworren ist, hängt einzig und allein vom Entwickler ab. (Und ein hardwarenahes C-Programm welches unsauber programmiert ist(Pointer!) ist potentiell gefährlicher als ein in Perl programmierter Listengenerator ...)
Ich weiß ja nicht, was "Debain" ist, aber am besten kaufst du dir Windows 7 Ultra, das soll sogar Umlaute unterstützen.
war das ein versuch in die fortunes zu kommen?
Eigentlich nicht, aber das erinnert mich daran, dass ich jetzt schon seit einer gefühlten Ewigkeit weder Fortunes gesammelt noch was getextet habe. Egal, als ob ich ein Gewissen hätte.
Aber villeicht sollte ich doch mal im März eine neue Version der Fortunes bereitstellen?
"unterstützt sogar Umlaute", great! You've made my day!
Völliger Quark.
Ich bitte mir etwas phantasievollere Trollpostings aus, deren Trollcharakter man nicht sofort bemerkt.
Prima! Ich liebe Spaghetti!!!!
Die ganze Rechnung krankt an einem dem Grundgedanken. Man kann kein Programm von Null auf Hundert programmieren! Ein elementares, umfangreiches Programm wie bspw. Apache kann nicht einfach von Null auf Stand jetzt programmiert werden, es bedarf vieler Revisionen in welche gesammelte und gelebte Erfahrung einfließt um nach einem langen Entwicklungs-und Findungsprozess zum gewünschten Ergebnis zu kommen, d.h. man müsste den Kostenfaktor, welcher sich aus der Anzahl der Code-Zeilen ergibt, anders gewichten.
Zudem würde ein Unternehmen wohl auch nicht zig redundante Software schreiben Ich finde so eine Betrachtung dennoch mal ganz witzig
Und Python vor Perl ist doch Grund zur Freude Ok, das xml stört mich ja irgend wie...
Nun, die Nische, die Perl ursprünglich ausgefüllt hat, gibt es ja auch eigentlich nicht mehr...
Hey ihr kleinen Basic-Frickler, mal so ganz nebenbei Python ist eindeutig auf dem Weg
nach ganz unten. Die Sprache hat sich eh nur für Einsteiger mit dem kognitiven Horizont
eines Kleingärtners geeignet.
Da blieb nie Freiraum für Innovation, so einfach und sauber gegliedert, wie ein kleines Vorstädtchen in einer CSU regierten Region. Diese Sprache macht dich automatisch stumpf, degeneriert deinen Verstand und erstickt jegliche Kreativität. Da ist Perl doch von ganz anderem Kaliber, ein Stück Code, dass nur Du noch verstehst, das deinem genialen Gehirn entsprungen ist, woran dein Nachfolger einfach verzweifeln muss, wenn er auch nur ansatzweise versucht das Geheimnis deiner Gedanken zu entschlüsseln.
Ist es nicht nur einfach schön, wenn so ein kleiner verfickt.r Praktikant an deinem Code zer-
bricht? Wie er schwitzt und eingestehen muss, dass er mit so einer kreativen Arbeit und dem
daraus entstanden Stück Code einfach nichts anfangen kann, weil seine Profs ihm nichts von
dieser genialen Sprache erzählt haben und er sich über seinen kleinen Java-Horizont nicht
weiter entwickeln konnte.
Erkennt Ihr euch darin wieder?
Ja, dann seid ihr wahrscheinlich auch die, die den Unterschied zwischen "Nudossie" und der
wahrhaftigen Offenbarung von Nutella nicht kennen.
http://www.tiobe.com/index.php/content/paperinfo/tpci/index.html
Küss die Hand
Lächerlich! Wenn Du nicht in Forth programmieren kannst, bist du genauso ein Dorfgartenfutzi. Lass mal nicht so den Larry raushängen.
"Mike! MIKEEEE!. Eine idiotische Idee auf die Sie kamen, Perl zu verwenden und keiner versteht welchen Mist Sie da im Rahmen ihrer Bachelorarbeit programmiert. Wir haben ausversehen das Ding an Kunden verkauft und nun klingelt das Telefon ständig und Bugtracker läuft voll. Jetzt Kümmern sie sich nochmal um dieses bescheuerte Programm und fixen die Bugs. Bis Mittag. Keiiineee Ausreden, dass sie selbst den Code nicht mehr verstehen. Bis Mittag will ich ein Ergebniss haben. Übrigens, der neue sitzt jetzt dran und macht das jetzt ordentlich mit Ruby. Frau Müller, mein Kaffeeee!"
Du kannst subtil trollen [ ]
Perl hat etwas mit Kreativität zu tun [ ]
Wow, fantastisch geschrieben
Vor allem der Schluss: Vom Text noch das Ende mit der Nutella, dann der Link - ja ok, wars das? - dann: "Küss die Hand" ! Liest sich sehr gut!!!!
Wie der grosse Knall, die alles ändernde Wendung bei einem verdammt guten Film!
Du solltest schreiben!!! (Und ich mache normalerweise nie mehr als ein Ausrufezeichen)
John
Von Debian gibt's bekanntlich unterschiedliche Kernels.
Debian läuft schon ewig auf ARM Prozessoren.
Debian ist stabil.
Und wer will, lässt Windows einfach ohne
Schaden im Fensterchen laufen.
Sicherheitshalber gehört es virtuell auch
in Fensterchen.
Das sind nunmal die Fakten !!!
Denkt' mal drüber nach.
Hast du schon mal probiert wieviel Performanz bei einer Hochleistungsnvidiakarte hinten ankommt, wenn du unter Linux sagen wir mal mittels vmware ein aktuelles 3D Spiel in üblicher Auflösung spielen willst?
Wer ist denn auch schon so blöd und virtualisiert eine Windows-Installation um darin zu spielen? In so einem Fall kommt man mit einer DualBoot-Lösung deutlich besser zurecht.
Wer ist denn auch schon so blöd und virtualisiert eine Windows-Installation um darin zu spielen? In so einem Fall kommt man mit einer DualBoot-Lösung deutlich besser zurecht.
Wer ist eigentlich noch so blöd und spielt auf einem PC?
Eure Armut kotzt mich mal so richtig an!!
Küss die Hand
Die Hochleistungsnvidiagrafikkarte funktioniert de facto mit den dafür vorgesehenen unfreien Windowstreibern (plus ein wenig Xorg-/Glx-Code) unter Linux und damit unter Debian.
Gibt es das Spiel nicht für Wine bzw. Linux, dann spielt man besser nativ unter Windows.
... schon wieder Spiele ... ich komme mir vor wie im Kindergarten ...
Es kaufen halt nicht alle nur neue Hardware damit sie schneller KDE4 und Libreoffice kompilieren können.
Kindergartenniveau
Dafür nimmt man XEN und nicht so ein dämlich lahmes VMWare! Mann!
Hört, hört ein Xperte.
Ich starte am besten gleich Windows.
Ich erinnere an das OpenSSL Desaster:
http://www.golem.de/0805/59657.html
Welche desaströsen Auswirkungen hatte das nochmal?
P.S.: Wenn du Links postest, solltest du sie selbst lesen und vor allem auch die Kommentare. Die OpenSSL-Entwickler haben sich auch nicht gerade mit Ruhm bekleckert...
Nein, das hatte üüüüüberhaupt keine Auswirkungen und schon gar keine negativen und von Debian war da üüüüberhaupt niemand dran Schuld. Alles klar. Daß das für ca. 2 Jahre so war, das ist ja eigentlich auch nicht der Rede wert.
Ich nutze Debian sehr gerne für alles mögliche; aber um einen weiteren Fehler diesen epischen Ausmaßes zu finden, da muß man schon tief graben... Fehler passieren und zugeben darf man die auch
Passend dazu, weil der so gut ist:
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 14. Feb 2012 um 23:21.Dilbert: Zufallszahlengenerator
"Welche desaströsen Auswirkungen hatte das nochmal?"
Nur zwei Beispiele:
U.a. waren die unter Debian Etch erzeugten openssh- wie openssl-Schlüssel leicht erratbar ("genialerweise" sind dadurch eigentlich nicht betroffene Linuxdistributionen ebenfalls verwundbar gewesen) und aufgezeichneten genauso wie gerade laufenden Torverkehr konnte man ebenfalls mitlesen.
Salopp formuliert, wurde über diesen Debianfehler äußerst effektiv die (Openssl-)Verschlüsselung aufgehoben.
Absolut erschreckend.
Ob das vielleicht Opfer gefordert hat, ist allerdings nicht bekannt.
Hier sind entsprechende Links:
https://blog.torproject.org/blog/debian-openssl-flaw%3A-what-does-it-mean-tor-clients%3F
http://www.cert.at/warnings/all/20080515.html
Suchmaschinen liefern dazu Unmengen an "Material."
Die von Dir angesprochene Kommunikationspanne war IMO für den gemachten Fehler nicht wirklich ursächlich.
Man hätte nur dem Motto folgen müssen:
"Den Code von sicherheitsrelevanter Software darf man nicht ändern, wenn man ihn nicht verstanden hat."
Die erwähnte Kommunikationspanne hat natürlich dieses Unverständnis nicht "heilen" können. Trotzdem liegt die Verantwortung bei demjenigen, der den Code geändert hat.
Aber das wurde hier schon endlos diskutiert, die Flamewars von damals sind mir noch lebhaft in Erinnerung.
Man sollte auch bedenken, dass Firmen mit so einer Hammerpanne vielleicht nicht so offen umgegangen wären wie die Debiangemeinschaft. Wenigstens die Openssl-Desasteraufarbeitung war vorbildlich.
Hast du auch ein Link der aussagt, wie viele reale Maschinen nun wirklich durch die SSL Lücke betroffen worden sind?
Ich habe mal versucht zu suchen, aber ich finde immer nur Blogs/Warnungen über die Lücke. Was ich sehen würde ist eine Meldung wie die hier:
http://www.handelszeitung.ch/technologie/computervirus-dns-changer-schweizer-rechner-betroffen
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 15. Feb 2012 um 08:53."Mindestens vier Millionen Rechner weltweit sind vom [Wiindows-]Computervirus DNS-Changer betroffen, [...] rechne damit, dass tausende Schweizer Rechner betroffen sind."
"wie viele reale Maschinen"
Aufgrund der weiten Verbreitung Debians als Server wie als Client würde ich grob schätzen, so gut wie jeder Rechner, der in irgendeiner Form Openssl benutzt bzw. einsetzt.
Im Artikel
http://www.heise.de/security/artikel/Der-kleine-OpenSSL-Wegweiser-270076.html
heißt es dazu entsprechend:
"Dazu gehören insbesondere SSH-, OpenVPN-, IPsec- und Mail- beziehungsweise Web-Server mit SSL (https) sowie DNS-Server mit DNSSEC/DK."
Die Auswirkungen des Debian-Openssl-Problems sind somit "gigantisch".
Insbesondere heißt es dazu (unter dem oben erwähnten Link):
"Obwohl nur Debian-Derivate unsichere Schlüssel erzeugen, sind auch Systeme anderer Hersteller angreifbar, wenn beispielsweise ein Debian-User dort einen Schlüssel von seinem Debian-System für den Login freigegeben hat."
Die Zahl potentiell betroffener Systeme ist sehr schwer abzuschätzen, weshalb man sich da leicht in die Nesseln setzen kann. Nur ein Zahlenbeispiel: Es soll 500000 Datenzentren weltweit geben, alleine Google betreibt dabei angeblich 900000 bis angeblich etwa zehn Millionen Server über alle seine Datenzentren hinweg.
Wenn ich nun also sagen würde:
"Die damalige Zahl der von der Debian-Openssl-Lücke betroffenen Systeme ging sicherlich in die Millionen.",
dann würde das genau gar nichts Handfestes aussagen, also unterlasse ich das.
Hinzu kommt der Schaden über eine unbekannte Zahl gespeicherter, "verschlüsselter" Sessions bzw. Verbindungen, über die mit den schwachen Debian-Openssl-Schlüsseln Vertrauliches übertragen wurde und die im nachhinein lesbar wurden. Da dürfte so einiges dabei gewesen sein: Passwörter, unter Umständen Online-Banking-PINs, Firmengeheimnisse, vertrauliche Mitteilungen und Zugriffe von Dissidenten, ein Großteil der politischen Aktivitäten und Absichten des jeweiligen nationalstaatlichen wie global agierenden "Untergrunds".
Gerade die Datensammel- und Datenaufzeichnungswut staatlicher Organisationen hat leider unfassbare Ausmaße angenommen.
Man muss sich dazu nur einmal die Megaupload-Anklage unter dem Gesichtspunkt durchlesen, dass das FBI überhaupt erst seit 2010 gegen Megaupload ermittelt hat.
Da läuft also stets eine sehr effektive Telekommunikationsüberwachungs- und Telekommunikationsaufzeichnungsmaschinerie im Hintergrund mit.
Und "staatlich" heißt ja in Zeiten auch rein geschäftsorientierten Überwachungstechnikexports nicht, dass sich dieser Möglichkeiten nur demokratisch verfasste Staaten bedienen würden.
"Ich erinnere an das OpenSSL Desaster"
Debian ist jetzt micht mehr damit allein.
Siehe
" RSA-Schlüssel nicht so zufällig wie wünschenswert"
http://www.heise.de/security/meldung/RSA-Schluessel-nicht-so-zufaellig-wie-wuenschenswert-1435304.html
Das Hauptproblem kennt Debian bestimmt: zu wenig Zufall, "gleiche" Schlüssel.
Vielleicht ist das aber auch nur ein nachhaltiges Schlüsselrecycling. :-)
Und wer jetzt sagt, Debian sei an diesem RSA-Debakel Schuld, der liegt -weitgehend - falsch.
" Und wer will, lässt Windows einfach ohne
Schaden im Fensterchen laufen. "
Aber nur mit aktivierten Bildschirmschoner!
Da fällt mir spontan ein, dass ein freier Softwareentwickler nicht zwangsläufig freie Software entwickelt.
SCNR
Mit überrascht es vor allem, dass Java auf den dritten Platz landet. C und C++ sind keine Überraschung, aber ich hätte doch gedacht, dass Perl, Python, Ruby oder Bash mehr eingesetzt wird als Java.
Anderseits, es wird ja nur Quellcodezeilen gezählt und nicht die Anzahl an Projekten. Aber anderseits, 10 kleine mini-Projekte sollten gleich gewichtet sein, als ein großes Projekt.
Ja. Und dadurch, dass eben in Codezeilen gezählt wird, trägt man auch nicht der Tatsache Rechnung, dass eine Aufgabe z.B. in Python oftmals mit viel weniger Codezeilen als in C erledigt ist.
Der Vergleich sagt halt prinzipiell nichts zur Verwendung aus (das wäre nur die Interpretation), sondern nur, dass so-und-so viele Zeile in der-und-der Sprache geschrieben wurden. So ist das ja bekanntlich nunmal mit Statistiken...
14,4 Mrd geteilt durch 204 Mio Zeilen bedeuten USD 70,-- pro Zeile, das erscheint mir als Laien sehr viel, selbst wenn bestimmt gewisse Zeilen 10 mal geändert werden mußten, was sagen denn die Profis dazu?
Entschuldigung dafür, aber das scheint mir immer noch ziemlich viel oder?
Bedenke das man als freier Entwickler höhere Stundensätze hat, Sozialabgaben, Steuern anfallern und den Linux Fanboy Bonus mit draufschlägt.
glaubst du ein Entwickler setzt sich hin und tippt einfach code runter wie eine Sekretärin ein Diktat? Da kommen ja noch die Zeiten dazu um das Design der S/W zu ersinnen und sich in die entsprechende Materie einzuarbeiten. Ob die Angaben so stimmen weiß ich nciht, aber dass diese extrem zu hoch gegriffen sind glaube ich nicht.
Gruß
iluminat23
Wenn jede Zeile bereits mehrfach umgeflügt wurden ist und in x-ter Generation ist kann schon sein. Gerade im OpenSource Umfeld ist erst hacken dann spezifizieren der gängige Ansatz.