> > Proprietäre Software gibt keine Garantie für Qualität, um jede Haftung von vornherein auszuschließen. > Open-Source-Software aber auch nicht.
Schon wahr. Aber in in den Köpfen vieler Verantwortlicher steckt immer noch der Gedanke "Wer leistet denn Gewähr auf die Software?", ganz abgesehen von "Wen können wir denn notfalls verklagen?". FOSS wird dann ganz kritisch gesehen, weil man da ja niemanden hat wie bei einer Software-Firma, die ein Produkt verkauft.
Wenn man aber betrachtet, was alles in EULAs ausgeschlossen wird (und die Tatsache, dass sich *niemand* traut, beispielsweise MS wegen Sicherheitslücken, die im Design der Software liegen, zu verklagen), erkennt das Problem. Man kriegt proprietäre Software immer "wie besehen" ("as is"); wenn sie hinterher nicht nutzbar ist, darf man froh sein,, wenn man den Kaufpreis zurück kriegt. Entschädigungen wg. verlorengeganger Kunden/Zeit/Arbeitskraft kann man sich von der Backe schmieren.
Bei FOSS dagegen weiss man konkret, woran man ist: "If it breaks, you get to keep both parts!" Mit dem zusätzlichen Vorteil, dass ein Programmierer (ggf. gegen Honorar) die störenden Bugs/fehlendes Features implementieren kann.
Fazit: Du hast schon recht, aber die Betonung liegt im Artikel schon korrekt.
Von BufferOverflow am Mi, 4. Februar 2004 um 05:15 #
> Mehr Personen suchen nach Fehlern, daher werden mehr Fehler gefunden und behoben.
Das haengt stark vom Interesse der Programmierer ab. Und was z.B. die letzten Kernel-Exploits angeht, ist das Problem nicht allein dadurch behoben, dass viele Entwickler den Code sehen KOENNEN, sondern dass auch Zusammenhaenge erkannt werden koennen, was so ein Bug ausmacht. Ab einer bestimmten Menge an Code wird das natuerlich nicht gerade einfacher.
> Proprietäre Software gibt keine Garantie für Qualität, um jede Haftung von vornherein auszuschließen
Ist das bei OpenSource Software nicht genauso?
> Die Verfügbarkeit des Quellcodes erlaubt allen Benutzern, die Software zu korrigieren, verbessern oder anzupassen.
Hier greift wieder Punkt 1. Wohl kein normaler User wird Programmierfaehigkeiten haben, um sich "seine Software" anpassen zu koennen. Andere Entwickler koennen dies tun, da ist aber wieder das Interesse vorausgesetzt.
Bei Punkt 2 wuerde ich zustimmen, was die Marketing-Zwaenge angeht. Mir ist jedenfalls kein groesseres Projekt bekannt, das sich auffaellig verhaelt. Anders siehts bei den Firmen aus, die freie Software zusammenstellen.
Von Buffer Underrun am Mi, 4. Februar 2004 um 07:35 #
Man hat aber zumindest soviel Vertrauen in freie Software das es sogar Firmen gibt die sich dafür verbürgen. Ich rede hier von der Proffessionell_schiene die bezahlten Support anbieten für freie Software. Das liegt nicht nur an der Transparenz, wohl kaum wird eine Firma wie SuSE, RedHat und Konsorten sich jedes Codestück anschauen und dann im Vornherein beurteilen. OS hat sich nun mal durchgesetzt und die Akzeptanz wird auch grösser. Das haben die auch teilweise Bill Gates zu verdanken. Wenn der mit seinen Verbrechermethoden nicht so viele Negativschlagzeilen machen würde dann fiel das schlechte Produkt gar nicht mehr so sehr auf.
[quote]Hier greift wieder Punkt 1. Wohl kein normaler User wird Programmierfaehigkeiten haben, um sich "seine Software" anpassen zu koennen. Andere Entwickler koennen dies tun, da ist aber wieder das Interesse vorausgesetzt.[/quote]
Und natürlich kann sich kein Nichtprogrammierer seine Software anpassen, bist ein helles Kerlchen!, aber die Programmierer schon. Das ist doch auch der Sinn!
Von BufferOverflow am Mi, 4. Februar 2004 um 15:03 #
> Und natürlich kann sich kein Nichtprogrammierer seine Software anpassen, bist ein helles Kerlchen!, aber die Programmierer schon. Das ist doch auch der Sinn!
Es wird aber immer so getan, als sei es ganz natuerlich, dass jeder (!) die Programme nach seinen Wuenschen anpassen kann. Dem ist eben nicht so. Und selbst fuer Leute, die programmieren koennen, ist das ab einer bestimmten Groesse nicht ein "mal so eben in den Code einlesen".
>Das haengt stark vom Interesse der Programmierer ab. Und was z.B. die letzten Kernel-Exploits angeht, ist das Problem nicht >allein dadurch behoben, dass viele Entwickler den Code sehen KOENNEN, sondern dass auch Zusammenhaenge erkannt werden >koennen, was so ein Bug ausmacht. Ab einer bestimmten Menge an Code wird das natuerlich nicht gerade einfacher.
wer sich etwas mit software entwicklung auseinander setzt, dem ist klar dass es praktisch unmöglich ist fehlerfreie software zu schreiben, daher können und werden sicherheitslücken auch immer wieder auftreten. aber der unterschied ist die häuftigkeit. der klassische vergleich: IE - mozilla: beim IE treten fast wöchentlich neue sicherheitslücken auf, und immer wieder so gravierende, bei denen man sich durch einfaches anklicken von links einen trojaner einfangen kann. bei mozilla treten auch immer wieder sicherheitslücken auf, jedoch nicht in solch einer frequenz.
es ist auch richtig dass nicht jeder den quellcode kontrollieren, und ändern wird. aber auch hier muss man faktoren vergleichen. wenn sich nur 5 leute einen code-teil ansehen, dann sind das wahrscheinlich 5x so viele wie bei geschlossener software, wo ein programmierer für einen bestimmten teil zuständig ist. um änderungen an bestehender software vorzunehmen muss man auch nicht der ober-guru sein, der den ganzen tag nichts tut ausser zu programmieren. es genügt wenn mann sich mit der porgrammiersprache auskennt, und etwas zeit investiert. oft ist es dann so dass man ein problem mit einem bestimmten programm oder lib hat. dann kann man durchaus mal in die quellen schauen, und versuchen herrauszufinden wo der fehler. dann schickt man einen bugfix zu bugzilla, und danach ist es sehr wahrscheinlich dass die software in der nächsten version einen fehler weniger hat. das ist nicht nur theorie, ich selbst hab schon den ein oder anderen bugfix beigesteuert. wie du siehst, relativ wenige leute - die das wissen dazu haben - ändern software, aber alle profitieren davon.
"bei mozilla treten auch immer wieder sicherheitslücken auf, jedoch nicht in solch einer frequenz."
Nun, Mozilla wird aber auch nicht so im Detail geprüft wie der IE. Der IE hat auf vielen Seiten heutzutage um die 90% Verbreitung (je nach Kunden-/Userkreis). Wenn "Sicherheitsexperten" (falls sie sich selbst so nennen) einen Browser versuchen auszutricksen, dann eher den IE als Mozilla. Er ist einfach werbewirksamer.
Ich glaube nicht das Mozilla sicherer ist, aber er ist durch eine geringere Nutzung geschützt.
Meinst Du wirklich? Der Mozilla greift doch gar nicht so tief in die Eingeweide von Windows ein, wie der IE. Zudem kommen neue Moziallversionen in einer schnelleren Frequenz: Selbst wenn dort Sicherheitslücken auftreten, sie werden schneller geschlossen.
"Der Mozilla greift doch gar nicht so tief in die Eingeweide von Windows ein, wie der IE."
Grunsätzlich richtig, aber nicht wenige Sicherheitslücken des IE sind nicht direkt mit Windows in Verbindung. Die gibts natürlich auch, aber nicht nur.
"Zudem kommen neue Moziallversionen in einer schnelleren Frequenz: Selbst wenn dort Sicherheitslücken auftreten, sie werden schneller geschlossen."
Richtig, aber das ist eine her weniger schöne Lösung. Immer das nicht gerade kleine Mozilla neu herunterladen und installieren wegen einer kleinen Sicherheitslücke ist nicht sooo toll Daher tut das mit Sicherheit nicht jeder, womit angreifbare Mozillas in der Welt existieren.
Schön und gut das mit den kleinen Patchen von Microsoft, tut aber auch nicht jeder einspielen, deswegen existieren auch eine Menge angreifbare IEs in der Welt. Am Ende muss immer der Anwender darauf achten dass seine Software aktuell bzw die Sicherheitslücken gepatcht sind.
Von Buffer Underrun am Mi, 4. Februar 2004 um 14:19 #
Das ist eine Diskussion ob sich jemand die Patches einspielt? Unsinnig oder? Man sollte beachten ob und vor allen Dingen wann es die gibt! Geh auf Heise/Chip.de und Konsorten und schau dich doch mal da um. 2 Monate in denen kein Patch für die IE angeboten wird ist nicht sooo selten. Letztens eine schöne Meldung: MS kündigt Patch an. Das taten die obwohl die Lücke schon seit mehr als 3 Wochen bekannt war, gefixt wird er dann mal 2 oder 3 Wochen später. Das ist ausschlaggebend! nicht wann den ein User einspielt, das ist nicht die Sache der Programmierer. Eine Firma die Milliarden hat schafft es nicht auch nur annähernd sichere Software zu produzieren! und warum? Weil die Programmierer immer nur einen Teil programmieren ohne Kenntnis vom restlichen Code zu haben. Anderer sind dann zuständig für das zusammenfügen der Codefragmente. Unter solchen Bedingungen muß man es mal schaffen ordentliche Software zu proggen. Es liegt definitiv nicht nur am User. Wenn es keinen Patch gibt dann gibt es keinen, dann kannst du dich auch auf den Kopf stellen. Gerade MS-Windows mit einem so extrem hohen Verbreitungsgrad sollte sichere Software produzieren. Denn wie man sieht sind ja ein männekens davon betroffen.
Schon komisch dass die MS-fanboys immer hypotetische Annahmen (wie z.B. dass Mozilla durch die geringere Verbreitung vor Sicherheitsproblemen "geschützt" sei - Warum hat die geringe Verbreitung MS SQL und MS IIS nicht geschützt?) hervorzaubern müssen um MS-Produkte besser dastehen zu lassen.
ausgerechnet Mozilla als Beispiel zu verwenden ist sicher ungeschickt. Ist in meinen Augen das Mozilla Projekt doch gerade ein Beispiel dafür wie Software Entwicklung sein sollte.
Vieles ist bereits genannt:
Einmal Quelloffen, so dass Leute mit Wissen und Verstand Verbesserungen vornehmen und diese wieder ans Projekt senden , damit diese - wenn sinnvoll- aufgegriffen und eingebaut werden.
Ein Bugzilla, der es auch nicht Proggern erlaubt auf Fehler hinzuweisen und Nutzer über bekannte Fehler und Sicherheitslücken hinweisst.
Mozilla ist gerade bei Webseiten Entwicklern sehr verbreitet und beliebt, gerade da MS den Explorer seit einigen Jahren kaum noch weiter entwickelt hat. Viele Fehlermeldungen kommen demnach zumindest von Semi-Professionellen, die doch ein besseren Blick für Fehler haben.
...und nicht zu verachten
Fehler dürfen veröffentlicht werden. Gerade bei Firmenprodukten ist es nicht gerade empfehlenswert, Fehler der Öffentlichkeit zugänglich zu machen. - Es wurden schon einige Leute deshalb vor den Kadi gezogen. Sprich: Fehler- und Sicherheitmeldungen sind nicht erwünscht und werden all zu gerne unter den Teppich gekehrt.
(und allgemein)
Offene Software baut normal auf dem System auf und greift nicht in dieses ein. Durch die geringere Verzahnung ist sicher vieles nicht so einfach und schnell zu verwirklichen aber Fehler und Lücken wirken sich auch nicht so stark auf das restliche System aus bzw. können vom System eher abgefangen werden.
Projekte die offene Software entwickeln sind eher zur Diskussion bereit. - Oder bei welcher Firma sit dir schon der Guru bekannt und du kannst dich mit diesen direkt unterhalten?
Wie gesagt, Mozilla ist für mich ein Parade-Projekt. So sollte es sein, ist aber (verständlicher Weise) nicht bei all Projekten anzutreffen.
und apache ist zB sehr viel weiter verbreitet als der M$IIS, der viel mehr mehr fehler und lücken hat; also zieht das argument mit 90% verbreitung des IE nicht wirklich
>Ich glaube nicht das Mozilla sicherer ist, aber er ist durch eine geringere Nutzung geschützt.
über dass kann man meiner meinung zur zeit nur schwer diskutieren. ein zielfürende einschätzung kann man erst geben wenn der marktanteil von mozilla größer ist.
aber ich denke doch dass mozilla um einiges sicherer ist. zu der aussage dass der IE weiter verbreitet ist, könnte man entgegenstellen dass mozilla dafür opensource ist, und es daher für mögliche angreifer leichter sein solle diese lücken zu finden und auszunutzen. oder wie schon wer anderer hier sagte: der apache ist auch sehr verbreitet, und gilt trotzdem als sicherer als der ISS, warum sollte dann andere programme nur weil sie nicht so stark verbreitet sind mehr sicherheitslücken haben? (zugegeben, es ist möglich - aber kein muss)
> bei mozilla treten auch immer wieder sicherheitslücken auf
Ach so? Welche ernstzunehmende Sicherheitslücken hat's denn bei Mozilla je gegeben?
Das einzige wovon ich je gehört habe war dass man bei einer Mozilla-Version herausbekommen konnte auf welchen Link der Benutzer geklickt hat. Eigentlich völlig harmlos aber wurde trotzdem ziemlich ausgeschlachtet und sofort behoben.
Irgendwie geht in der Untersuchung unter, daß auch OSS komerziell sein kann.
Zum 2. Punkt:
D.h. wenn die Entwickler ihre SW mit professionellem Support verkaufen, könnten sie durchaus auch interesse dran haben, Lücken geheim zu halten und irgendwann man heimlich einen Bugfix einfließen zu lassen.
Zum 1. Punkt:
Auch der Punkt, daß mehr Personen nach Fehlern suchen, paßt nicht immer. Ich denke, daß bei den größeren Projekten kaum ein Außenstehender den Sourcecode wirklch durchwühlt. Das dürfte eher ein Merkmal unkomerzieller Projekte sein, bei denen die Teammitglieder eben mehr Interesse mitbringen und daher auch andere Teile lesen. Ob das Projekt anschließend mit Sourcen freigegeben wird oder das Team beschließt, die Sourcen unter verschluss zu halten, ist da wohl eher zweitrangig.
3. : Ohne Worte.
4. Der Punkt stimmt sicherlich. Hat aber nur begrenzt was mit der Qualität der vorher gefundenen SW zu tun.
> Irgendwie geht in der Untersuchung unter, daß auch OSS komerziell sein kann.
Die Betonung liegt auf "sein kann", aber nicht sein muss. Freie Software hingegen ist (zumindest wenn sie einer GPL-artigen Lizenz unterliegt) nach geltender Rechtsauffassung per Definition kommerziell.
>Wo soll denn der Unterschied zwischen OpenSource (OSS) und "freir" Software liegen? Eben, es gibt keinen!
Das sieht aber selbst der initiator von OpenSource ganz anders:
"Now that the world is watching, it's time for us to start teaching them about Free Software. Notice, I said Free Software, _not_ Open Source. [..] We must make it clear to the world that those freedoms are still important, and that software such as Linux would not be around without them. [..] One of the unfortunate things about Open Source is that it overshadowed the Free Software Foundation's efforts. This was never fair [..] Sadly, as I've tended toward promotion of Free Software rather than Open Source, Eric Raymond seems to be losing his free software focus. The Open Source certification mark has already been abused in ways I find unconscionable and that I will not abide. I fear that the Open Source Initiative is drifting away from the Free Sofware values with which we originally created it."
Wenn man über etwas nicht bescheid weiß soll man darüber auch nicht schreiben. Sowohl OSS also auch Freie Software können und dürfen (lies einfach mal die GPL) kommerziell genutzt werden, aber müssen besonders im Falle von Freier Software stets mit allen Veränderungen im der Form des Quellcodes an die 'Community' zurückgegeben werden.
>aber müssen besonders im Falle von Freier Software stets mit allen Veränderungen im der Form des Quellcodes an die 'Community' zurückgegeben werden.
nein. muß es nicht :) Wenn kein binary rauskommt muß auch kein Quellcode rauskommen. Jede Firma kann sich ein freies Programm nehmen, für den internen Gebrauch beliebig erweitern und die ursprünglichen Entwickler sehen davon nie eine einzige Zeile!
OSS und freie Software ist das gleiche, eben nichtkommerzielle Software.
Wie kommst Du auf das schmale Brettchen? Wenn ich ein Produkt entwickle und dazu Support verkaufe, ist das Produkt komerziell. Ich muß Marketing-fragen berücksichtigen, da ich den Support nur dann gut verkaufen kann, wenn die Software selbst einen guten Ruf hat.
Eine Software, bei der andauerd Sicherheitslücken bekannt werden, wird sich niemand freiwillig installieren (Windows nutzer mal außen vor). Also könnten die Entwickler sehr wohl auf den Gedanken kommen, Bugs nicht nach außen zu reporten und statdessen im nächsten Release unter der Hand zu fixen.
Ich sehe hier nirgends einen Hinweis darauf, dass OSS nicht kommerziell sein kann.
Es geht bisher rein um die Frage, ob Software besser quelloffen oder geschlossen ist.
Wie kommst du also zu deiner Aussage?
Wenn es an den Beispielen der Schreiber liegt bedenke:
Gerade Firmen haben aber häufig die Angst, dass ihre Software geklaut wird, wenn sie die Quellen offen legen (bestes Beispiel MS, die ja heftig gegen OSS schießen).
Zu deiner Anmerkung zu Punkt 1:
Sicher sind es nicht viele, die den Scoure durchwühlen. Dennoch bietet die Quelloffenheit diese Möglichkeit und es gibt tatsächlich eine handvoll Menschen, denen es Spaß macht, einen Fehler aufzusuchen oder Verbesserungen vorzunehmen -und sei es nur, da sie die Software dringend brauchen.
Die Argumentation, warum OSS qualitativ besser sei, passt nicht für komerzielle Produkte. Dort können sehr wohl Marketing-Entscheidungen getroffen werden, einen Bug möglichst geheim zu halten. (Gab es glaub ich in der Vergangenheit einige Male sogar.) Auch die anderen Argumente passen zwar für nicht komerzielle Software, egal op OS oder nicht, dafür aber nicht für komerzielle Software, wieder egal ob OS oder nicht. Daher paßt die Argumentation nicht zum Thema, es sei denn man nimmt den Schluß OS=nicht komerziell an.
Ich gebe dir darin recht, das kommerzielle Software und OSS aus nicht unbedingt gut harmonieren.
Aber wer möchte verhindern, dass ich kommerzielle OSS Software für den Eigenbedarf verbessere und verwende, als auch die Verbesserungsvorschläge als Source an die Firma sende.
Ob nach dem Einsenden bereinigten Source ein Bugfix geschieht und Sicherheitslücken veröffentlicht werden, steht übrigens gleichfalls bei Freesoftware in den Sternen, auch wenn es bei Freeware weniger Gründe gibt dies nicht zu tun.
Viel wird hier darüber diskutiert, ob jeder in der Lage wäre, Open-Source-Programme zu ändern. Das ist jedoch überhaupt nicht der Punkt! Jedem ist es erlaubt. das zu tun!
Dadurch wird es dem Käufer einer Software möglich, sich von seinem Lieferanten zu trennen, ohne die bisherigen Investitionen abschreiben zu müssen. Er kann einen kundigen Entwickler seiner Wahl mit Änderungen beauftragen.
Der Lieferant der Software wird dadurch auch nicht über Gebühr benachteiligt, denn kein Kunde mit klarem Verstand wird sich von seinem Lieferanten trennen, wenn er mit dessen Leistung zufrieden ist. Auch ein noch so kundiger neuer Entwickler muss sich erst in die existierende Software einarbeiten, was zusätzlichen Aufwand erzeugt. Daher ist auch der Lieferant ausreichend geschützt.
Der (vermeintlich) unkundige Käufer aber ist der Willkür seines Lieferanten nicht mehr ausgeliefert. Das ist der entscheidende Vorteil.
Open-Source-Software aber auch nicht.
Die anderen Argumente sind aber nachvollziehbar und sinnvoll.
Aber eigentlich ist das ja keine wirkliche Neuigkeit.
Die Neuigkeit an der Sache ist wohl eher, dass eine UNO-Konferenz zu dieser Ansicht gekommen ist.
MfG
Henrik
> Open-Source-Software aber auch nicht.
Schon wahr. Aber in in den Köpfen vieler Verantwortlicher steckt immer noch der Gedanke "Wer leistet denn Gewähr auf die Software?", ganz abgesehen von "Wen können wir denn notfalls verklagen?". FOSS wird dann ganz kritisch gesehen, weil man da ja niemanden hat wie bei einer Software-Firma, die ein Produkt verkauft.
Wenn man aber betrachtet, was alles in EULAs ausgeschlossen wird (und die Tatsache, dass sich *niemand* traut, beispielsweise MS wegen Sicherheitslücken, die im Design der Software liegen, zu verklagen), erkennt das Problem. Man kriegt proprietäre Software immer "wie besehen" ("as is"); wenn sie hinterher nicht nutzbar ist, darf man froh sein,, wenn man den Kaufpreis zurück kriegt. Entschädigungen wg. verlorengeganger Kunden/Zeit/Arbeitskraft kann man sich von der Backe schmieren.
Bei FOSS dagegen weiss man konkret, woran man ist: "If it breaks, you get to keep both parts!"
Mit dem zusätzlichen Vorteil, dass ein Programmierer (ggf. gegen Honorar) die störenden Bugs/fehlendes Features implementieren kann.
Fazit: Du hast schon recht, aber die Betonung liegt im Artikel schon korrekt.
Jochen
Das haengt stark vom Interesse der Programmierer ab. Und was z.B. die letzten Kernel-Exploits angeht, ist das Problem nicht allein dadurch behoben, dass viele Entwickler den Code sehen KOENNEN, sondern dass auch Zusammenhaenge erkannt werden koennen, was so ein Bug ausmacht. Ab einer bestimmten Menge an Code wird das natuerlich nicht gerade einfacher.
> Proprietäre Software gibt keine Garantie für Qualität, um jede Haftung von vornherein auszuschließen
Ist das bei OpenSource Software nicht genauso?
> Die Verfügbarkeit des Quellcodes erlaubt allen Benutzern, die Software zu korrigieren, verbessern oder anzupassen.
Hier greift wieder Punkt 1. Wohl kein normaler User wird Programmierfaehigkeiten haben, um sich "seine Software" anpassen zu koennen. Andere Entwickler koennen dies tun, da ist aber wieder das Interesse vorausgesetzt.
Bei Punkt 2 wuerde ich zustimmen, was die Marketing-Zwaenge angeht. Mir ist jedenfalls kein groesseres Projekt bekannt, das sich auffaellig verhaelt. Anders siehts bei den Firmen aus, die freie Software zusammenstellen.
Ich rede hier von der Proffessionell_schiene die bezahlten Support anbieten für freie Software.
Das liegt nicht nur an der Transparenz, wohl kaum wird eine Firma wie SuSE, RedHat und Konsorten sich jedes Codestück anschauen und dann im Vornherein beurteilen. OS hat sich nun mal durchgesetzt und die Akzeptanz wird auch grösser.
Das haben die auch teilweise Bill Gates zu verdanken. Wenn der mit seinen Verbrechermethoden nicht so viele Negativschlagzeilen machen würde dann fiel das schlechte Produkt gar nicht mehr so sehr auf.
[quote]Hier greift wieder Punkt 1. Wohl kein normaler User wird Programmierfaehigkeiten haben, um sich "seine Software" anpassen zu koennen. Andere Entwickler koennen dies tun, da ist aber wieder das Interesse vorausgesetzt.[/quote]
Und natürlich kann sich kein Nichtprogrammierer seine Software anpassen, bist ein helles Kerlchen!, aber die Programmierer schon. Das ist doch auch der Sinn!
Es wird aber immer so getan, als sei es ganz natuerlich, dass jeder (!) die Programme nach seinen Wuenschen anpassen kann. Dem ist eben nicht so. Und selbst fuer Leute, die programmieren koennen, ist das ab einer bestimmten Groesse nicht ein "mal so eben in den Code einlesen".
>allein dadurch behoben, dass viele Entwickler den Code sehen KOENNEN, sondern dass auch Zusammenhaenge erkannt werden
>koennen, was so ein Bug ausmacht. Ab einer bestimmten Menge an Code wird das natuerlich nicht gerade einfacher.
wer sich etwas mit software entwicklung auseinander setzt, dem ist klar dass es praktisch unmöglich ist fehlerfreie software zu schreiben, daher können und werden sicherheitslücken auch immer wieder auftreten.
aber der unterschied ist die häuftigkeit. der klassische vergleich: IE - mozilla: beim IE treten fast wöchentlich neue sicherheitslücken auf, und immer wieder so gravierende, bei denen man sich durch einfaches anklicken von links einen trojaner einfangen kann. bei mozilla treten auch immer wieder sicherheitslücken auf, jedoch nicht in solch einer frequenz.
es ist auch richtig dass nicht jeder den quellcode kontrollieren, und ändern wird. aber auch hier muss man faktoren vergleichen. wenn sich nur 5 leute einen code-teil ansehen, dann sind das wahrscheinlich 5x so viele wie bei geschlossener software, wo ein programmierer für einen bestimmten teil zuständig ist.
um änderungen an bestehender software vorzunehmen muss man auch nicht der ober-guru sein, der den ganzen tag nichts tut ausser zu programmieren. es genügt wenn mann sich mit der porgrammiersprache auskennt, und etwas zeit investiert. oft ist es dann so dass man ein problem mit einem bestimmten programm oder lib hat. dann kann man durchaus mal in die quellen schauen, und versuchen herrauszufinden wo der fehler. dann schickt man einen bugfix zu bugzilla, und danach ist es sehr wahrscheinlich dass die software in der nächsten version einen fehler weniger hat. das ist nicht nur theorie, ich selbst hab schon den ein oder anderen bugfix beigesteuert.
wie du siehst, relativ wenige leute - die das wissen dazu haben - ändern software, aber alle profitieren davon.
Nun, Mozilla wird aber auch nicht so im Detail geprüft wie der IE. Der IE hat auf vielen Seiten heutzutage um die 90% Verbreitung (je nach Kunden-/Userkreis). Wenn "Sicherheitsexperten" (falls sie sich selbst so nennen) einen Browser versuchen auszutricksen, dann eher den IE als Mozilla. Er ist einfach werbewirksamer.
Ich glaube nicht das Mozilla sicherer ist, aber er ist durch eine geringere Nutzung geschützt.
Warum sollte ich es sonst schreiben? :)
"Der Mozilla greift doch gar nicht so tief in die Eingeweide von Windows ein, wie der IE."
Grunsätzlich richtig, aber nicht wenige Sicherheitslücken des IE sind nicht direkt mit Windows in Verbindung. Die gibts natürlich auch, aber nicht nur.
"Zudem kommen neue Moziallversionen in einer schnelleren Frequenz: Selbst wenn dort Sicherheitslücken auftreten, sie werden schneller geschlossen."
Richtig, aber das ist eine her weniger schöne Lösung. Immer das nicht gerade kleine Mozilla neu herunterladen und installieren wegen einer kleinen Sicherheitslücke ist nicht sooo toll
Daher tut das mit Sicherheit nicht jeder, womit angreifbare Mozillas in der Welt existieren.
Am Ende muss immer der Anwender darauf achten dass seine Software aktuell bzw die Sicherheitslücken gepatcht sind.
Unsinnig oder? Man sollte beachten ob und vor allen Dingen wann es die gibt!
Geh auf Heise/Chip.de und Konsorten und schau dich doch mal da um.
2 Monate in denen kein Patch für die IE angeboten wird ist nicht sooo selten.
Letztens eine schöne Meldung: MS kündigt Patch an. Das taten die obwohl die Lücke
schon seit mehr als 3 Wochen bekannt war, gefixt wird er dann mal 2 oder 3 Wochen
später. Das ist ausschlaggebend! nicht wann den ein User einspielt, das ist nicht
die Sache der Programmierer.
Eine Firma die Milliarden hat schafft es nicht auch nur annähernd sichere Software
zu produzieren! und warum? Weil die Programmierer immer nur einen Teil programmieren
ohne Kenntnis vom restlichen Code zu haben. Anderer sind dann zuständig für das
zusammenfügen der Codefragmente. Unter solchen Bedingungen muß man es mal schaffen
ordentliche Software zu proggen.
Es liegt definitiv nicht nur am User. Wenn es keinen Patch gibt dann gibt es keinen,
dann kannst du dich auch auf den Kopf stellen. Gerade MS-Windows mit einem so extrem
hohen Verbreitungsgrad sollte sichere Software produzieren. Denn wie man sieht sind ja
ein männekens davon betroffen.
NikN
ausgerechnet Mozilla als Beispiel zu verwenden ist sicher ungeschickt. Ist in meinen Augen das Mozilla Projekt doch gerade ein Beispiel dafür wie Software Entwicklung sein sollte.
Vieles ist bereits genannt:
Einmal Quelloffen, so dass Leute mit Wissen und Verstand Verbesserungen vornehmen und diese wieder ans Projekt senden , damit diese - wenn sinnvoll- aufgegriffen und eingebaut werden.
Ein Bugzilla, der es auch nicht Proggern erlaubt auf Fehler hinzuweisen und Nutzer über bekannte Fehler und Sicherheitslücken hinweisst.
Mozilla ist gerade bei Webseiten Entwicklern sehr verbreitet und beliebt, gerade da MS den Explorer seit einigen Jahren kaum noch weiter entwickelt hat.
Viele Fehlermeldungen kommen demnach zumindest von Semi-Professionellen, die doch ein besseren Blick für Fehler haben.
...und nicht zu verachten
Fehler dürfen veröffentlicht werden.
Gerade bei Firmenprodukten ist es nicht gerade empfehlenswert, Fehler der Öffentlichkeit zugänglich zu machen. - Es wurden schon einige Leute deshalb vor den Kadi gezogen. Sprich: Fehler- und Sicherheitmeldungen sind nicht erwünscht und werden all zu gerne unter den Teppich gekehrt.
(und allgemein)
Offene Software baut normal auf dem System auf und greift nicht in dieses ein. Durch die geringere Verzahnung ist sicher vieles nicht so einfach und schnell zu verwirklichen aber Fehler und Lücken wirken sich auch nicht so stark auf das restliche System aus bzw. können vom System eher abgefangen werden.
Projekte die offene Software entwickeln sind eher zur Diskussion bereit. - Oder bei welcher Firma sit dir schon der Guru bekannt und du kannst dich mit diesen direkt unterhalten?
Wie gesagt, Mozilla ist für mich ein Parade-Projekt. So sollte es sein, ist aber (verständlicher Weise) nicht bei all Projekten anzutreffen.
Gruß Frankes
über dass kann man meiner meinung zur zeit nur schwer diskutieren. ein zielfürende einschätzung kann man erst geben wenn der marktanteil von mozilla größer ist.
aber ich denke doch dass mozilla um einiges sicherer ist. zu der aussage dass der IE weiter verbreitet ist, könnte man entgegenstellen dass mozilla dafür opensource ist, und es daher für mögliche angreifer leichter sein solle diese lücken zu finden und auszunutzen. oder wie schon wer anderer hier sagte: der apache ist auch sehr verbreitet, und gilt trotzdem als sicherer als der ISS, warum sollte dann andere programme nur weil sie nicht so stark verbreitet sind mehr sicherheitslücken haben? (zugegeben, es ist möglich - aber kein muss)
Ach so? Welche ernstzunehmende Sicherheitslücken hat's denn bei Mozilla je gegeben?
Das einzige wovon ich je gehört habe war dass man bei einer Mozilla-Version herausbekommen konnte auf welchen Link der Benutzer geklickt hat. Eigentlich völlig harmlos aber wurde trotzdem ziemlich ausgeschlachtet und sofort behoben.
Irgendwie geht in der Untersuchung unter, daß auch OSS komerziell sein kann.
Zum 2. Punkt:
D.h. wenn die Entwickler ihre SW mit professionellem Support verkaufen, könnten sie durchaus auch interesse dran haben, Lücken geheim zu halten und irgendwann man heimlich einen Bugfix einfließen zu lassen.
Zum 1. Punkt:
Auch der Punkt, daß mehr Personen nach Fehlern suchen, paßt nicht immer. Ich denke, daß bei den größeren Projekten kaum ein Außenstehender den Sourcecode wirklch durchwühlt. Das dürfte eher ein Merkmal unkomerzieller Projekte sein, bei denen die Teammitglieder eben mehr Interesse mitbringen und daher auch andere Teile lesen. Ob das Projekt anschließend mit Sourcen freigegeben wird oder das Team beschließt, die Sourcen unter verschluss zu halten, ist da wohl eher zweitrangig.
3. : Ohne Worte.
4. Der Punkt stimmt sicherlich. Hat aber nur begrenzt was mit der Qualität der vorher gefundenen SW zu tun.
Gruß
Thorsten M.
Gruß
Thorsten M.
Die Betonung liegt auf "sein kann", aber nicht sein muss. Freie Software hingegen ist (zumindest wenn sie einer GPL-artigen Lizenz unterliegt) nach geltender Rechtsauffassung per Definition kommerziell.
Immer diese Krümelk*****...
Das sieht aber selbst der initiator von OpenSource ganz anders:
"Now that the world is watching, it's time for us to start teaching them about Free Software. Notice, I said Free Software, _not_ Open Source. [..] We must make it clear to the world that those freedoms are still important, and that software such as Linux would not be around without them. [..] One of the unfortunate things about Open Source is that it overshadowed the Free Software Foundation's efforts. This was never fair [..] Sadly, as I've tended toward promotion of Free Software rather than Open Source, Eric Raymond seems to be losing his free software focus. The Open Source certification mark has already been abused in ways I find unconscionable and that I will not abide. I fear that the Open Source Initiative is drifting away from the Free Sofware values with which we originally created it."
nein. muß es nicht :)
Wenn kein binary rauskommt muß auch kein Quellcode rauskommen. Jede Firma kann sich ein freies Programm nehmen, für den internen Gebrauch beliebig erweitern und die ursprünglichen Entwickler sehen davon nie eine einzige Zeile!
Wie kommst Du auf das schmale Brettchen? Wenn ich ein Produkt entwickle und dazu Support verkaufe, ist das Produkt komerziell. Ich muß Marketing-fragen berücksichtigen, da ich den Support nur dann gut verkaufen kann, wenn die Software selbst einen guten Ruf hat.
Eine Software, bei der andauerd Sicherheitslücken bekannt werden, wird sich niemand freiwillig installieren (Windows nutzer mal außen vor). Also könnten die Entwickler sehr wohl auf den Gedanken kommen, Bugs nicht nach außen zu reporten und statdessen im nächsten Release unter der Hand zu fixen.
Gruß
Thorsten M.
Es geht bisher rein um die Frage, ob Software besser quelloffen oder geschlossen ist.
Wie kommst du also zu deiner Aussage?
Wenn es an den Beispielen der Schreiber liegt bedenke:
Gerade Firmen haben aber häufig die Angst, dass ihre Software geklaut wird, wenn sie die Quellen offen legen (bestes Beispiel MS, die ja heftig gegen OSS schießen).
Zu deiner Anmerkung zu Punkt 1:
Sicher sind es nicht viele, die den Scoure durchwühlen. Dennoch bietet die Quelloffenheit diese Möglichkeit und es gibt tatsächlich eine handvoll Menschen, denen es Spaß macht, einen Fehler aufzusuchen oder Verbesserungen vorzunehmen -und sei es nur, da sie die Software dringend brauchen.
Die Argumentation, warum OSS qualitativ besser sei, passt nicht für komerzielle Produkte. Dort können sehr wohl Marketing-Entscheidungen getroffen werden, einen Bug möglichst geheim zu halten. (Gab es glaub ich in der Vergangenheit einige Male sogar.) Auch die anderen Argumente passen zwar für nicht komerzielle Software, egal op OS oder nicht, dafür aber nicht für komerzielle Software, wieder egal ob OS oder nicht. Daher paßt die Argumentation nicht zum Thema, es sei denn man nimmt den Schluß OS=nicht komerziell an.
Gruß
Thorsten M.
Aber wer möchte verhindern, dass ich kommerzielle OSS Software für den Eigenbedarf verbessere und verwende, als auch die Verbesserungsvorschläge als Source an die Firma sende.
Ob nach dem Einsenden bereinigten Source ein Bugfix geschieht und Sicherheitslücken veröffentlicht werden, steht übrigens gleichfalls bei Freesoftware in den Sternen, auch wenn es bei Freeware weniger Gründe gibt dies nicht zu tun.
Aber auch mit kleinen Aenderungen kann Software frei bleiben.
Gruss
Viel wird hier darüber diskutiert, ob jeder in der Lage wäre, Open-Source-Programme zu ändern. Das ist jedoch überhaupt nicht der Punkt! Jedem ist es erlaubt. das zu tun!
Dadurch wird es dem Käufer einer Software möglich, sich von seinem Lieferanten zu trennen, ohne die bisherigen Investitionen abschreiben zu müssen. Er kann einen kundigen Entwickler seiner Wahl mit Änderungen beauftragen.
Der Lieferant der Software wird dadurch auch nicht über Gebühr benachteiligt, denn kein Kunde mit klarem Verstand wird sich von seinem Lieferanten trennen, wenn er mit dessen Leistung zufrieden ist. Auch ein noch so kundiger neuer Entwickler muss sich erst in die existierende Software einarbeiten, was zusätzlichen Aufwand erzeugt. Daher ist auch der Lieferant ausreichend geschützt.
Der (vermeintlich) unkundige Käufer aber ist der Willkür seines Lieferanten nicht mehr ausgeliefert. Das ist der entscheidende Vorteil.