Also Leute, mal ehrlich, ich finde es reichlich lächerlich immer alles auf die Admins zu schieben, wenn ihr Server anfällig für Slapper sein sollte. Der Hauptschuldige ist und bleibt immernoch der Programmierer im Apache oder anderswo, der diese Sicherheitslücke für Slapper erst ermöglicht hat. Dass er einen Patch dafür anbietet, sollte selbstverständlich sein. Das mildert jedoch nur die Schuld, macht den verantwortlichen Programmierer aber nicht schuldfrei.
Angenommen ein Bauleiter baut ein Hochhaus und vergisst an irgendeiner Stelle einen Pfeiler zu setzen, so dass sich später nach der Fertigstellung herausstellt, dass das Hochhaus Risse bekommt und es einsturzgefährdet ist, so wird der verantwortliche Bauleiter auch nicht dadurch unschuldig, wenn er nun persönlich den Pfeiler im Nachhinein dem Betreiber des Hochhauses anbietet (für umsonst). Er hat gepfuscht, und kann diesen Pfusch auch nur mildern aber nicht generell schuldfrei werden.
Von jensemann am Mi, 25. September 2002 um 19:06 #
Erstmal war/ist das Loch in openssl nicht in apache, ausserdem hinkt der vergleich ganz gewaltig. Für Bauliche Masnahmen gibt es regeln an die sich der architekt/bauleiter/sonstwer halten muß, wenn er es nicht tut, ist er schuld, hat er sich dran gehalten, geht aber dennoch schief ist er evtl. schuld, aber das ist ne andere Geschichte.
Natürlich hat der admin nicht die alleinige schuld, aber der programmierer der anfälligen software auch nicht. Der admin hat kritische Dinge aktuell zu halten (was jetzt kein aufruf zum update wahnsinn sein soll). Der admin hat so schnell wie möglich upzudaten wenn was bekannt wird, wenn er das nicht macht ist er schuld. Fehler passieren, sichere software wird es niemals geben, der admin hat den job die sicherheit so hoch wie möglich halten.
solange die software gpl bleibt und auch DU den fehler raustun kannst, is der programmierer fuer garnix verpflichtet. schreib dir des lieber mal hinter die ohren. stell dir vor du hast ein projekt als hobby laufen und du hast aber z.b. nicht mehr viel zeit fuer das projekt und laesst es halt so dahintuempeln. und ploezlich taucht so einer wie du auf und beschwert sich dass es da ne sicherheitsluecke gibt und er verlangt von dir dass du die so schnell wie moglich schliesst?! hallo? wo kommen wir da hin!
Angenommen ein Bauleiter baut ein Hochhaus und vergisst an irgendeiner Stelle einen Pfeiler zu setzen, so dass sich später nach der Fertigstellung herausstellt, dass das Hochhaus Risse bekommt und es einsturzgefährdet ist, so wird der verantwortliche Bauleiter auch nicht dadurch unschuldig, wenn er nun persönlich den Pfeiler im Nachhinein dem Betreiber des Hochhauses anbietet (für umsonst). Er hat gepfuscht, und kann diesen Pfusch auch nur mildern aber nicht generell schuldfrei werden.
Natürlich hat der admin nicht die alleinige schuld, aber der programmierer der anfälligen software auch nicht. Der admin hat kritische Dinge aktuell zu halten (was jetzt kein aufruf zum update wahnsinn sein soll). Der admin hat so schnell wie möglich upzudaten wenn was bekannt wird, wenn er das nicht macht ist er schuld. Fehler passieren, sichere software wird es niemals geben, der admin hat den job die sicherheit so hoch wie möglich halten.
Mfg jensemann
stell dir vor du hast ein projekt als hobby laufen und du hast aber z.b. nicht mehr viel zeit fuer das projekt und laesst es halt so dahintuempeln. und ploezlich taucht so einer wie du auf und beschwert sich dass es da ne sicherheitsluecke gibt und er verlangt von dir dass du die so schnell wie moglich schliesst?! hallo? wo kommen wir da hin!
just my 2 cents
mfg Armin