.. und imho dadurch das es OSS ist unter der GPL steht auch schlecht manipulierbar
Ich halte persönlich die Gleichung OSS == jeder kann sich die Quellen ansehen == mehr Sicherheit in dem Produkt für nicht immer zutreffend. Sicherlich könnte jeder quelloffenen Code auf Fehler untersuchen, aber 1. kann das (mich eingeschlossen) nicht jeder, 2. muss dann auch ein netter Mensch den Fehler finden und ihn nicht ausnützen. Unbenommen davon bleibt, dass wenn ein Fehler publik wird, bei einem OSS jeder einen Patch einbringen könnte und damit das Problem schneller aus der Welt sein kann. Gerade dies geht bei closed source nicht und es gibt genügend Beispiele, dass Softwarekonzerne die Benutzer längere Zeig auf die Behebung von kritischen Lücken warten lassen.
Deshalb schrieb ich ja auch *Schlecht manipulierbar* hin Klar kann man auch OSS-Software manipulieren bzw. ihre Schwachstellen ausnutzen. Jedoch werden Manipulationen und Schwachstellen im Normalfall äußerst schnell gefunden und behoben, ganz im Gegensatz zu derlei Problemen bei CSS.
Mag sein, dass ich sehr naiv an die Sache herangehe, aber bietet quelloffener Code nicht jedem die Möglichkeit, den Code für sich zu verändern und Schwachstellen auszunutzen oder sicherheitskritische Bereiche zu umgehen, ohne den Code für andere zu veröffentlichen? Wer oder was hält jemand mit solchen Intentionen davon ab? Ich kann das sicherlich nicht, ich kann gerade mal für den Hausgebrauch bashskripten... Das gilt übrigens für jedweden frei verfügbaren Code, wenn ich nicht irre.
Natürlich kann man den Code ändern, wenn es OpenSource ist. Aber dann müsste man versuchen diesen geänderten Code anderen unterzuschieben. Und da wird es dann schon schwerer. Es besteht sicherlich auch die Möglichkeit den Code nach Schwachstellen zu durchforsten, was mit Sicherheit auch gemacht wird. Auf der anderen Seite besitzen aber auch die Benutzer diese Möglichkeit, so dass i.d.R. eine gewisse Anzahl and Leuten die Möglichkeit hat Schachstellen zu beseitigen.
Dadurch, dass das BSI involviert ist, bedeutet es schon fast, das eine Benutzung für das Militär und auswärtige Amt, aber auch normale Behörden möglich wäre. Abgesehen von den Behörden werden die Programmierer, bei geplantem Einsatz, eine solche Software zusätzlich prüfen. Man darf sich natürlich nicht darauf verlassen das OS oder proprietär von vornherein nur sicher ist. Bei OS kann ich aber besser prüfen und ändern. Was mach ich bei proprietät?
Von Manfred Tremmel am Mi, 21. Juni 2006 um 13:22 #
Natürlich kann sich jeder z.B. den Quellcode von Mozilla runterladen und da eine Sicherheitslücke einbauen (wenn das nötige KnowHow vorhanden ist). Wenn er aber das geänderte Programm nicht veröffentlicht, ist er der einzige, der die Schwachstelle auf seinem Rechner hat. Diese Schwachstelle auszunutzen bringt und schadet also niemandem was.
Ein Problem ist auch, dass ein Binary nicht unbedingt aus dem Sourcecode erzeugt worden sein muss. Dagegen helfen nur selbst compilern und die kritische Überprüfung aller Teile mittels öffentlich verfügbaren Hash-Werten.
Ja und endlich. TCPA ist eine sinnvolle Erweiterung solange man (Anwender) die Kontrolle behält. Wird es nur zum Kontrollieren eingesetzt (DRM) ist es der größte Schrott.
Wo bekommt man so was? Ich vermute erst mal, Treiber für Bildschirm etc. liegen im Linuxkernel, ups, wo bekommt man denn L4 und Dokumentationen, hat schon mal wer einen ausprobiert?
Bin mal gespannt wie es sich weiter entwickelt.
TechnoSlave
Ich halte persönlich die Gleichung OSS == jeder kann sich die Quellen ansehen == mehr Sicherheit in dem Produkt für nicht immer zutreffend. Sicherlich könnte jeder quelloffenen Code auf Fehler untersuchen, aber 1. kann das (mich eingeschlossen) nicht jeder, 2. muss dann auch ein netter Mensch den Fehler finden und ihn nicht ausnützen. Unbenommen davon bleibt, dass wenn ein Fehler publik wird, bei einem OSS jeder einen Patch einbringen könnte und damit das Problem schneller aus der Welt sein kann.
Gerade dies geht bei closed source nicht und es gibt genügend Beispiele, dass Softwarekonzerne die Benutzer längere Zeig auf die Behebung von kritischen Lücken warten lassen.
TechnoSlave
Grüße
Philipp
Es besteht sicherlich auch die Möglichkeit den Code nach Schwachstellen zu durchforsten, was mit Sicherheit auch gemacht wird. Auf der anderen Seite besitzen aber auch die Benutzer diese Möglichkeit, so dass i.d.R. eine gewisse Anzahl and Leuten die Möglichkeit hat Schachstellen zu beseitigen.
Dadurch, dass das BSI involviert ist, bedeutet es schon fast, das eine Benutzung für das Militär und auswärtige Amt, aber auch normale Behörden möglich wäre. Abgesehen von den Behörden werden die Programmierer, bei geplantem Einsatz, eine solche Software zusätzlich prüfen. Man darf sich natürlich nicht darauf verlassen das OS oder proprietär von vornherein nur sicher ist. Bei OS kann ich aber besser prüfen und ändern. Was mach ich bei proprietät?
Gruss
Yu Kei
Leider ist da so vieles durcheinandergewürfelt, dass man letztendlich gar nicht weiß, worum es da geht.
Linuxkernel, ups, wo bekommt man denn L4 und Dokumentationen, hat schon mal wer einen ausprobiert?