Login
Newsletter
Werbung

Thema: OpenSSL: Mein Herz blutet

4 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von bremse am Do, 10. April 2014 um 00:45 #

Die Distributoren könnten sich für so eine Aufgabe durchaus zusammentun und die Vanilla Pakete der Entwickler nehmen.
Die Distributoren? Das sind manchmal nur 1 oder 2 Leute. Wenn überhaupt, dann ist das bestenfalls für die Großen realisierbar.
OpenSSL sollte z.B. öfters gecheckt werden als irgendein nicht so wichtiges Programm.
... Also bei RedHat würde ich erwarten, dass die Pakete nicht nur zusammenschnüren und support dafür liefern, sondern auch hin und wieder mal einen Code Audit durchführen.
Ich wäre schon froh, wenn mir bspw. Debian nicht so viele (potenziell unzuverlässige) CA mitliefern würde. (Andere Distributionen und BS sind da ebenfalls nicht/kaum besser.
Mein zweiter "Traum" wäre, wenn ich GnuTLS installiere, die übrigen Programme darauf "gewrappt" würden, anstatt stur OpenSSL zu verlangen.
Der wichtigste Punkt ist hier aber folgender:
Es sollte dringend gemacht werden, man sieht es ja hier an diesem extrem schwerwiegenden Sicherheitsbug.
Es ist ja bei Weitem nicht nur OpenSSL. Ein Codeaudit aller relevanten Programme scheint mir bei der Masse die Distributoren doch etwas zu überfordern.
(Vielleicht sollte es eine eng begrenzte Distribution geben, die das überhaupt leisten könnte. Nur müßten sich dann die User dieser Distribution davon verabschieden, laufend die aktuelle Programmversionen zu erhalten.)

Aber die eigentlichen Programmierer sollten endlich mal (wieder?) die Sicherheit an erste Stelle setzen.
Nicht immer nur die Featuritis.
Der OpenSSL-Bug wäre absolut vermeidbar gewesen, wenn die Ersteller besser gearbeitet hätten.

  • 0
    Von Herzlos am Do, 10. April 2014 um 15:05 #

    Die Distributoren? Das sind manchmal nur 1 oder 2 Leute. Wenn überhaupt, dann ist das bestenfalls für die Großen realisierbar.

    Jeder macht so viel er kann.

    Ich bezog mich hauptsächlich auf die großen, wie RedHat, Canonical & Co, aber mit der DB verhindert man eben unnötige Redundanz und wichtige Pakete audited man einfach öfters.

    Im übrigen könnte sich auch jeder fähige User der Open Source Community daran beteiligen, dagegen spricht ja nichts, die müssten sich dann nur beteiligen. Wichtig ist aber, das Arbeit nicht unnötig doppelt gemacht wird und andere Pakete gar nicht auditet werden.

    Aber die eigentlichen Programmierer sollten endlich mal (wieder?) die Sicherheit an erste Stelle setzen.
    Nicht immer nur die Featuritis.
    Der OpenSSL-Bug wäre absolut vermeidbar gewesen, wenn die Ersteller besser gearbeitet hätten.
    Das ist schon richtig.
    Dennoch entstehen viele Sicherheitslücken, weil Fehler eben passieren, deswegen halte ich es für keine gute Idee, wenn nur der Programmierer auf den Code schaut.
    Da besteht also dringend Handlungsbedarf.

    Ich wette sogar dass so manche sicherheitskritische proprietäre Closed Source Software intern vor Release von der Firma wesentlich besser geprüft wird, als OpenSSL, obwohl wir keinen Einblick in diese propritäre Closed Source Software haben und das will was heißen.

    • 0
      Von Herzlos am Do, 10. April 2014 um 15:07 #

      Korrektur:

      Im übrigen könnte sich auch jeder fähige User der Open Source Community daran beteiligen, dagegen spricht ja nichts, die müssten sich dann nur mit ihrem Audit in die DB eintragen.

      0
      Von bremse am Do, 10. April 2014 um 15:34 #

      Dennoch entstehen viele Sicherheitslücken, weil Fehler eben passieren, deswegen halte ich es für keine gute Idee, wenn nur der Programmierer auf den Code schaut.
      Da besteht also dringend Handlungsbedarf.
      Ich schrieb nicht, dass nur die Entwickler darauf schauen sollen. Sie sind aber die Verursacher und haben m.E. auch die Pflicht, etwas sorgfältiger zu arbeiten.
      Und der "Bug" in OpenSSL sieht streng genommen mehr nach Backdoor, als nach einem "kann-mal-passieren-Fehler" aus.
      Das macht es ja auch so peinlich für OpenSSL.
      Andererseits sollten die endlich mal ihren Code "ein wenig" verschlanken und v.a. endlich mal anständig kommentieren.
      Das Zeug durchblickt doch kaum noch jemand.

      Wie ich schon mal erwähnte, ich würde ohnehin GnuTLS in vielen Fällen vorziehen, wenn es die Möglichkeit gäbe, durch einfache Paketinstallation OpenSSL zu ersetzen.

      Ich wette sogar dass so manche sicherheitskritische proprietäre Closed Source Software intern vor Release von der Firma wesentlich besser geprüft wird, als OpenSSL, obwohl wir keinen Einblick in diese propritäre Closed Source Software haben und das will was heißen.
      Lustige Wette. Klar gibt es proprietäre CSS, die sorgfältiger geprüft wurde, als ganz offensichtlich OpenSSL. Nur für welche CSS trifft das zu? Das kann man ohne Insiderkenntnis leider überhaupt nicht beurteilen.
      Dafür habe ich schon zu viel miese (auditierte) CSS gesehen.
      Die Frage ist doch: Wer auditiert wie, nach welchen Gesichtspunkten und Interessen?

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung