Auch wenn Du es weiter schön reden willst, ein Backdoor ist und bleibt ein Backdoor nicht wenn es gut verborgen (oder offensichtlich) im Code ist, sondern immer dann wenn es irgend jemand unter Umgehung der konfigurierten Sicherheitsfunktionen Zugriff verschafft - egal wie Hauptsache: Sesam öffne dich! Auch könnten Backdoors vom Hersteller im Code (closed source) deutlich lesbar eingebaut sein (wie bei zahlreichen Netzwerkgeräten) oder aber auch in Hardware gegossen sein oder wie bei Ciscos seriellen Admin Ports "semidokumentiert" sein, usw. usf. - es ist ganz egal - es sind alles Backdoors. Alles Andere ist schlicht Unsinn und zeugt zumindest im Falle des Autors den vorherigen Absatzes von ausgeprägter Verblendung des Selbigen.
Weiter oben in den Kommentaren heisst es, dass bei BSD die Audits teilweise von nicht Experten durchgeführt werden und das ist genau das was ich zurecht Stümperei nenne. Schuster bleib bei deinen Leisten, kann ich nur sagen, wenn vorsätzlich Leute, denen bewusst ist, dass sie einen Code nicht verstehen - nicht wissen was ein komplexer Code macht, an Audits eines solchen Codes heran gehen. Sie machen dann das Gleiche wie Quacksalber und Scharlatane! Und das ist kein Mehrwert - das ist gefährlich!
Jeder der es mag, kann ja gerne zum schnell schneidenden Chirurgen mit scharfem Messer, aber ohne Anatomie Kenntnisse gehen und sich operieren lassen - aber diesen Chirurgen als vorteilhaft darstellen ist schlicht Unsinn. Ich nenne schneiden ohne Wissen eben Stümperei.
Weiter oben in den Kommentaren heisst es, dass bei BSD die Audits teilweise von nicht Experten durchgeführt werden und das ist genau das was ich zurecht Stümperei nenne.
Wo steht denn das? Du argumentierst hier auf einer Basis, die noch nicht einmal mit Fakten belegt ist. Weiter oben steht eigentlich nur, dass es wenige Leute gibt, die den Code vollständig verstehen. Entweder ich bin blind oder du fantasierst dir da was zusammen.
Darüberhinaus müsste man erstmal schauen wer das Audit durchgeführt hat. Zumindest das OpenBSD Core-Team besteht fast ausschliesslich aus anerkannten Experten.
Weiter oben schreibt jemand über das BSD-Auditing: "Das Problem ist halt, dass nur wenige Leute den Code und die Algorithmen dahinter vollständig verstehen. Man muss sich durch unmengen an RFCs wälzen und dann eben noch entsprechendes KnowHow in der Implementierung von Crypto-Algorithmen mitbringen. Dieses Wissen haben eben nicht so viele Leute."
Damit sagt der Autor doch aus, dass bei BSD die Audits teilweise von nicht Experten durchgeführt werden. (das ist genau das was ich zurecht Stümperei nenne) Oder was sonst könnte die Bedeutung hier im Blog sein - Bei allem was hier steht, geht es doch um die Probleme von BSD, nicht um den Weltschmerz im Allgemeinen.
Und auch Du gibst mir ja doch insgeheim recht, wenn Du schreibst: "das OpenBSD Core-Team besteht fast(!) ausschliesslich aus anerkannten Experten" - ja! Du hast es doch noch begriffen - es besteht eben aus anerkannten Experten (nicht viele davon dürften aber Krypto-Experten sein) und auch aus "fast Experten", die ich "nicht Experten" nenne und die ich für die Ursache von vermeidbaren Problemen halte.
Meiner Meinung nach steigerst du dich hier in etwas rein. Du redest von Stümperei während du dich auf unbewiesene/unbekannte Fakten stützt. Das überzeugt nicht wirklich. Auch interpretierst du etwas in den von dir zitierten Satz, was so nicht dasteht. Das es wenig Leute gibt, die den Code vollständig verstehen können heisst nicht, dass dieser auch von diesen überprüft wurde. Vielleicht sollte der Satz auch nur zeigen wie kompliziert so ein Audit ist.
Auch bei meinem Posting interpretierst du etwas rein, was nicht dahsteht. Ich gebe dir nämlich nicht Recht. Ich kenne einfach nicht alle OpenBSD Core Team Mitglieder, weswegen ich "fast ausschliesslich" geschrieben habe. Die restlichen Mitglieder sind vielleicht auch Experten, nur liest man deren Namen nicht so häufig auf Konferenzen - daher sind sie vielleicht Experten, aber nicht unbedingt "anerkannten Experten".
Unterm Strich ist das auch egal, denn es ist nur wichtig, wer den Code auditiert hat. Und das wissen wir nicht.
Auch wenn Du es weiter schön reden willst, ein Backdoor ist und bleibt ein Backdoor nicht wenn es gut verborgen (oder offensichtlich) im Code ist, sondern immer dann wenn es irgend jemand unter Umgehung der konfigurierten Sicherheitsfunktionen Zugriff verschafft - egal wie Hauptsache: Sesam öffne dich! Auch könnten Backdoors vom Hersteller im Code (closed source) deutlich lesbar eingebaut sein (wie bei zahlreichen Netzwerkgeräten) oder aber auch in Hardware gegossen sein oder wie bei Ciscos seriellen Admin Ports "semidokumentiert" sein, usw. usf. - es ist ganz egal - es sind alles Backdoors. Alles Andere ist schlicht Unsinn und zeugt zumindest im Falle des Autors den vorherigen Absatzes von ausgeprägter Verblendung des Selbigen.
Weiter oben in den Kommentaren heisst es, dass bei BSD die Audits teilweise von nicht Experten durchgeführt werden und das ist genau das was ich zurecht Stümperei nenne. Schuster bleib bei deinen Leisten, kann ich nur sagen, wenn vorsätzlich Leute, denen bewusst ist, dass sie einen Code nicht verstehen - nicht wissen was ein komplexer Code macht, an Audits eines solchen Codes heran gehen. Sie machen dann das Gleiche wie Quacksalber und Scharlatane! Und das ist kein Mehrwert - das ist gefährlich!
Jeder der es mag, kann ja gerne zum schnell schneidenden Chirurgen mit scharfem Messer, aber ohne Anatomie Kenntnisse gehen und sich operieren lassen - aber diesen Chirurgen als vorteilhaft darstellen ist schlicht Unsinn. Ich nenne schneiden ohne Wissen eben Stümperei.
Wo steht denn das? Du argumentierst hier auf einer Basis, die noch nicht einmal mit Fakten belegt ist. Weiter oben steht eigentlich nur, dass es wenige Leute gibt, die den Code vollständig verstehen. Entweder ich bin blind oder du fantasierst dir da was zusammen.
Darüberhinaus müsste man erstmal schauen wer das Audit durchgeführt hat. Zumindest das OpenBSD Core-Team besteht fast ausschliesslich aus anerkannten Experten.
Weiter oben schreibt jemand über das BSD-Auditing: "Das Problem ist halt, dass nur wenige Leute den Code und die Algorithmen dahinter vollständig verstehen. Man muss sich durch unmengen an RFCs wälzen und dann eben noch entsprechendes KnowHow in der Implementierung von Crypto-Algorithmen mitbringen. Dieses Wissen haben eben nicht so viele Leute."
Damit sagt der Autor doch aus, dass bei BSD die Audits teilweise von nicht Experten durchgeführt werden. (das ist genau das was ich zurecht Stümperei nenne) Oder was sonst könnte die Bedeutung hier im Blog sein - Bei allem was hier steht, geht es doch um die Probleme von BSD, nicht um den Weltschmerz im Allgemeinen.
Und auch Du gibst mir ja doch insgeheim recht, wenn Du schreibst: "das OpenBSD Core-Team besteht fast(!) ausschliesslich aus anerkannten Experten" - ja! Du hast es doch noch begriffen - es besteht eben aus anerkannten Experten (nicht viele davon dürften aber Krypto-Experten sein) und auch aus "fast Experten", die ich "nicht Experten" nenne und die ich für die Ursache von vermeidbaren Problemen halte.
Meiner Meinung nach steigerst du dich hier in etwas rein. Du redest von Stümperei während du dich auf unbewiesene/unbekannte Fakten stützt. Das überzeugt nicht wirklich. Auch interpretierst du etwas in den von dir zitierten Satz, was so nicht dasteht. Das es wenig Leute gibt, die den Code vollständig verstehen können heisst nicht, dass dieser auch von diesen überprüft wurde. Vielleicht sollte der Satz auch nur zeigen wie kompliziert so ein Audit ist.
Auch bei meinem Posting interpretierst du etwas rein, was nicht dahsteht. Ich gebe dir nämlich nicht Recht. Ich kenne einfach nicht alle OpenBSD Core Team Mitglieder, weswegen ich "fast ausschliesslich" geschrieben habe. Die restlichen Mitglieder sind vielleicht auch Experten, nur liest man deren Namen nicht so häufig auf Konferenzen - daher sind sie vielleicht Experten, aber nicht unbedingt "anerkannten Experten".
Unterm Strich ist das auch egal, denn es ist nur wichtig, wer den Code auditiert hat. Und das wissen wir nicht.