Das steht dort nicht und die Schlussfolgerung in pauschalisierter Form ist auch defakto einfach nur falsch und signifikant überspitzt. Tatsächlich wurden in einem Vortrag auf dem 34C3 die drei BSD-Derivate FreeBSD, NetBSD und OpenBSD hinsichtlich der Lücken und Problemanfälligkeiten verglichen. Es gab auch einen klaren Gewinner mit OpenBSD, was defakto auch im Artikel deutlich hervorgehoben wird.
Tatsächlich haben die quelloffenen BSD-Derivate Probleme wie ebenso viele andere freie Projekte: Je weniger Nutzer, desto weniger auch Tests und deutliche Problemstellungen gegenüber Lücken im Code. Daraus jetzt aber den Rückschluss zu ziehen "Die BSD-Kernel sind unsicherer als Linux!" ist einfach wie schlicht ebenso falsch wie Linux durchweg als Inbegriff von Sicherheit zu definieren.
Doch, das steht da. Das kann man dem Text nämlich entnehmen, da es den BSD Leuten schlichtweg an Manpower bzw. zusätzlichen Augen fehlt. Und in dem Text steht auch, dass er es recht leicht hatte, Sicherheitslücken zu finden.
Aber vielleicht ist dein Englisch auch einfach nicht gut genug.
Hier gibt es noch einen Vortrag zum gleichen Thema: 34C3 Vortrag
Das OpenBSD noch am besten abschnitt, das wird im Artikel ja erläutert. Allerdings werden auch einige Dinge nicht implementiert, die für den Alltagseinsatz wichtig wären, weil auch hier wieder die Manpower fehlt. Zumal trotz dem kleineren kleineren Code, der weniger Angriffspunkte bietet, dennoch Probleme gefunden wurden. Das zeigt auf, dass es auch hier an mehr Augen fehlt die sich den Code mal anschauen und durchgehen.
Daraus jetzt aber den Rückschluss zu ziehen "Die BSD-Kernel sind unsicherer als Linux!" ist einfach wie schlicht ebenso falsch wie Linux durchweg als Inbegriff von Sicherheit zu definieren.
Das ist es eben nicht. Da mehr Manpower zwei Dinge bewirkt: 1. Es schauen sich mehr Leute den Code an und Mängel werden schneller gefunden und beseitigt. und 2. Es ist wesentlich schwieriger Mängel mit Vorsatz einzubauen, wenn man dies vor hätte. Da es dutzende Leute bemerken würden.
Einspruch! Die Funde des Herrn van Sprundel sind an sich eine interessante Sache gewesen - sie werden allerdings regelmäßig falsch- und überinterpretiert.
1) Es geht rein um das Gebiet, das einen Sicherheitsforscher interessiert. Wegen vermeitlichen oder tatsächlichen Problemen das berühmte Lied „BSD is dying“ (das von einigen Leuten so schon seit vielen, vielen Jahren gesungen wird und quasi das Gegenstück zum „Year of the Linux desktop“ bildit) anzustimmen, ist aber einigermaßen grotesk. Sicherheit ist ein sehr zentraler Punkt in der Entwicklung von Betriebssystemen, aber daran läßt sich nur sehr bedingt die Überlebensfähigkeit eines Systems ablesen. Mint oder auch Ubuntu - gerade hier erst wieder geschehen - werden auch regelmäßig wegen teils gravierender Schnitzer in Sachen Sicherheit kritisiert. Ist alleine deshalb mit dem baldigen Ableben der Distributionen zu rechnen? Wer dies in Bezug auf eine populäre Linux-Distri behaupten möchte, dem würde man einen Vogel zeigen. Warum aber glauben ansonsten vernünftige Menschen diesen Unsinn, wenn er sich auf *BSD bezieht?
2) Linux hat eine um mehrere Größenordnung höhere Entwickleranzahl, spielt also in einer völlig anderen Liga. Und doch ist *BSD, wenn man die viel kleinere Gemeinschaft beachtet, erheblich innovativer als Linux. Trotz der viel geringeren Anzahl an Entwicklern passieren in *BSD sehr interessante Dinge und die Systeme sind - anders als mache behaupten - nicht ein Relikt, um das sich (noch) ein paar Unverbesserliche jenseits der 60 sammeln. Es sind Systeme, die durch ihren Aufbau und ihre Qualitäten auch jüngeren Leuten etwas zu bieten haben, wenn sie damit in Berührung kommen. Es könnte immer alles noch wesentlich besser sein, aber die meisten BSDs sind stabil aufgestellt und ein Sterben ist wahrlich nicht zu erwarten.
3) Es werden Äpfel mit Birnen verglichen. Ja, ich bin mir bewußt, daß Herr van Sprundel sich auf den Kernel der jeweiligen BSDs gestürzt hat. Dennoch muß man sagen, daß die BSDs Betriebssysteme sind, während Linux eben nur ein Kernel ist. Die Entwicklergemeinschaft arbeitet nur zu einem Teil am Kernel - viele arbeiten am Userland. Mit letzterem hat die reine Linux-Entwicklung im engeren Sinn nichts zu tun, da bei den meisten Distris einfach das GNU-Userland dazugepackt wird. OpenBSD bietet z.B. mit Xenocara einen eigenen Fork (!) von X11 auf, der zum Basissystem gehört und von der Gemeinschaft gepflegt wird. Man kann nach den Funden vielleicht sagen: „Die BSDs könnten durch die Bank weg ein paar mehr Kernel-Entwickler gut gebrauchen“. Die Aussage: „Die Zukunft von *BSD ist ziemlich ungewiß, weil sie viel zu wenig Entwickler haben und deswegen Fehler zu spät gefunden und behoben werden“ ist in jedem Fall eine krasse Überhebung.
4) Die implizierte Behauptung, mehr Entwickler für die Projekte würde das Problem fast von alleine lösen, ist auch gewagt. Selbst unter guten Entwicklern ist nicht davon auszugehen, daß sie unbedingt alle Details des Schedulers verstehen - und völlig zurecht traut sich nicht jeder, an einem Dateisystem herumzuschrauben (was sonst zu einem so „guten“ Ruf führt, wie ihn BTRFS sich erworben hat).
5) Die BSDs haben die Politik, daß für invasive Änderungen zuerst „Oks“ von mehreren respektierten Entwicklern eingeholt werden müssen. Die Befürchtung, irgendjemand könne da ohne weiteres Schweinereien einbauen, ist ziemlich unbegründet.
6) Der Blick von außen ist sehr wertvoll, aber auch ein Herr van Sprundel schätzt einige Dinge falsch ein. Wenn Ed Maste feststellt, daß einige der gemeldeten Fehler zwar solche sind, aber nicht als sicherheitsrelevant angesehen werden, dann glaube ich ihm das. Er ist ein sehr gewissenhafter Entwickler und trifft keine leichtfertigen Aussagen.
Kurz gesagt: Die Funde sind selbstverständlich ernstzunehmen - aber in einem vernünftigen und angemessenen Rahmen. Eine Mücke ist kein Elefant, ganz unabhängig davon, ob sie auch einen Rüssel hat.
Sicherheit ist ein sehr zentraler Punkt in der Entwicklung von Betriebssystemen, aber daran läßt sich nur sehr bedingt die Überlebensfähigkeit eines Systems ablesen. Mint oder auch Ubuntu - gerade hier erst wieder geschehen - werden auch regelmäßig wegen teils gravierender Schnitzer in Sachen Sicherheit kritisiert. Ist alleine deshalb mit dem baldigen Ableben der Distributionen zu rechnen?
Es geht in unserem Thread doch gar nicht um das Ableben, auch wenn die reißerische Überschrift des Journalisten im verlinkten Artikel das suggerieren mag, sondern um die Frage, was denn nun sicherer ist. Und da wird der Inhalt des verlinkten Artikels sehr deutlich.
5) Es braucht doch gar keine invasiven Änderungen. Manchmal führen Kleinigkeiten zu einer Sicherheitslücke. Ein NSA Mitarbeiter muss nur lange genug Vertrauen gewinnen und kann dann an der richtigen Stelle ansetzen und schon ist das Backdoor drin, ohne das es jemandem groß auffällt.
Finde ich einfach wie schlicht wie immer eine absolute Unverschämtheit deinerseits denn genau das habe ich tatsächlich auch geschrieben. Aber wie eh und je: Höfliches "unhöflich" und zwar mit absolutem Vorsatz. Es ist ein grundlegendes Problem, welches weit mehr Projekte betrifft. Und so lässt du selbst schön zur Seite, dass selbst Theo de Raadt dem Prinzip von "mehr Augen durch mehr Beitragende" ja ebenso zugestimmt hat. Ich erwarte aber tatsächlich nichts Anderes mehr von deiner Seite als derlei Frechheiten versteckt im Text.
Die BSD Kernel sind unsicherer als Linux.
Quelle:
is the bsd os dying some security researchers think so
Das steht dort nicht und die Schlussfolgerung in pauschalisierter Form ist auch defakto einfach nur falsch und signifikant überspitzt. Tatsächlich wurden in einem Vortrag auf dem 34C3 die drei BSD-Derivate FreeBSD, NetBSD und OpenBSD hinsichtlich der Lücken und Problemanfälligkeiten verglichen. Es gab auch einen klaren Gewinner mit OpenBSD, was defakto auch im Artikel deutlich hervorgehoben wird.
Tatsächlich haben die quelloffenen BSD-Derivate Probleme wie ebenso viele andere freie Projekte: Je weniger Nutzer, desto weniger auch Tests und deutliche Problemstellungen gegenüber Lücken im Code. Daraus jetzt aber den Rückschluss zu ziehen "Die BSD-Kernel sind unsicherer als Linux!" ist einfach wie schlicht ebenso falsch wie Linux durchweg als Inbegriff von Sicherheit zu definieren.
Doch, das steht da. Das kann man dem Text nämlich entnehmen, da es den BSD Leuten schlichtweg an Manpower bzw. zusätzlichen Augen fehlt.
Und in dem Text steht auch, dass er es recht leicht hatte, Sicherheitslücken zu finden.
Aber vielleicht ist dein Englisch auch einfach nicht gut genug.
Hier gibt es noch einen Vortrag zum gleichen Thema:
34C3 Vortrag
Das OpenBSD noch am besten abschnitt, das wird im Artikel ja erläutert. Allerdings werden auch einige Dinge nicht implementiert, die für den Alltagseinsatz wichtig wären, weil auch hier wieder die Manpower fehlt.
Das ist es eben nicht.Zumal trotz dem kleineren kleineren Code, der weniger Angriffspunkte bietet, dennoch Probleme gefunden wurden.
Das zeigt auf, dass es auch hier an mehr Augen fehlt die sich den Code mal anschauen und durchgehen.
Da mehr Manpower zwei Dinge bewirkt:
1. Es schauen sich mehr Leute den Code an und Mängel werden schneller gefunden und beseitigt.
und
2. Es ist wesentlich schwieriger Mängel mit Vorsatz einzubauen, wenn man dies vor hätte. Da es dutzende Leute bemerken würden.
Einspruch! Die Funde des Herrn van Sprundel sind an sich eine interessante Sache gewesen - sie werden allerdings regelmäßig falsch- und überinterpretiert.
1) Es geht rein um das Gebiet, das einen Sicherheitsforscher interessiert. Wegen vermeitlichen oder tatsächlichen Problemen das berühmte Lied „BSD is dying“ (das von einigen Leuten so schon seit vielen, vielen Jahren gesungen wird und quasi das Gegenstück zum „Year of the Linux desktop“ bildit) anzustimmen, ist aber einigermaßen grotesk. Sicherheit ist ein sehr zentraler Punkt in der Entwicklung von Betriebssystemen, aber daran läßt sich nur sehr bedingt die Überlebensfähigkeit eines Systems ablesen. Mint oder auch Ubuntu - gerade hier erst wieder geschehen - werden auch regelmäßig wegen teils gravierender Schnitzer in Sachen Sicherheit kritisiert. Ist alleine deshalb mit dem baldigen Ableben der Distributionen zu rechnen? Wer dies in Bezug auf eine populäre Linux-Distri behaupten möchte, dem würde man einen Vogel zeigen. Warum aber glauben ansonsten vernünftige Menschen diesen Unsinn, wenn er sich auf *BSD bezieht?
2) Linux hat eine um mehrere Größenordnung höhere Entwickleranzahl, spielt also in einer völlig anderen Liga. Und doch ist *BSD, wenn man die viel kleinere Gemeinschaft beachtet, erheblich innovativer als Linux. Trotz der viel geringeren Anzahl an Entwicklern passieren in *BSD sehr interessante Dinge und die Systeme sind - anders als mache behaupten - nicht ein Relikt, um das sich (noch) ein paar Unverbesserliche jenseits der 60 sammeln. Es sind Systeme, die durch ihren Aufbau und ihre Qualitäten auch jüngeren Leuten etwas zu bieten haben, wenn sie damit in Berührung kommen. Es könnte immer alles noch wesentlich besser sein, aber die meisten BSDs sind stabil aufgestellt und ein Sterben ist wahrlich nicht zu erwarten.
3) Es werden Äpfel mit Birnen verglichen. Ja, ich bin mir bewußt, daß Herr van Sprundel sich auf den Kernel der jeweiligen BSDs gestürzt hat. Dennoch muß man sagen, daß die BSDs Betriebssysteme sind, während Linux eben nur ein Kernel ist. Die Entwicklergemeinschaft arbeitet nur zu einem Teil am Kernel - viele arbeiten am Userland. Mit letzterem hat die reine Linux-Entwicklung im engeren Sinn nichts zu tun, da bei den meisten Distris einfach das GNU-Userland dazugepackt wird. OpenBSD bietet z.B. mit Xenocara einen eigenen Fork (!) von X11 auf, der zum Basissystem gehört und von der Gemeinschaft gepflegt wird. Man kann nach den Funden vielleicht sagen: „Die BSDs könnten durch die Bank weg ein paar mehr Kernel-Entwickler gut gebrauchen“. Die Aussage: „Die Zukunft von *BSD ist ziemlich ungewiß, weil sie viel zu wenig Entwickler haben und deswegen Fehler zu spät gefunden und behoben werden“ ist in jedem Fall eine krasse Überhebung.
4) Die implizierte Behauptung, mehr Entwickler für die Projekte würde das Problem fast von alleine lösen, ist auch gewagt. Selbst unter guten Entwicklern ist nicht davon auszugehen, daß sie unbedingt alle Details des Schedulers verstehen - und völlig zurecht traut sich nicht jeder, an einem Dateisystem herumzuschrauben (was sonst zu einem so „guten“ Ruf führt, wie ihn BTRFS sich erworben hat).
5) Die BSDs haben die Politik, daß für invasive Änderungen zuerst „Oks“ von mehreren respektierten Entwicklern eingeholt werden müssen. Die Befürchtung, irgendjemand könne da ohne weiteres Schweinereien einbauen, ist ziemlich unbegründet.
6) Der Blick von außen ist sehr wertvoll, aber auch ein Herr van Sprundel schätzt einige Dinge falsch ein. Wenn Ed Maste feststellt, daß einige der gemeldeten Fehler zwar solche sind, aber nicht als sicherheitsrelevant angesehen werden, dann glaube ich ihm das. Er ist ein sehr gewissenhafter Entwickler und trifft keine leichtfertigen Aussagen.
Kurz gesagt: Die Funde sind selbstverständlich ernstzunehmen - aber in einem vernünftigen und angemessenen Rahmen. Eine Mücke ist kein Elefant, ganz unabhängig davon, ob sie auch einen Rüssel hat.
Zu 1-4:
Es geht in unserem Thread doch gar nicht um das Ableben, auch wenn die reißerische Überschrift des Journalisten im verlinkten Artikel das suggerieren mag, sondern um die Frage, was denn nun sicherer ist.
Und da wird der Inhalt des verlinkten Artikels sehr deutlich.
5)
Es braucht doch gar keine invasiven Änderungen. Manchmal führen Kleinigkeiten zu einer Sicherheitslücke.
Ein NSA Mitarbeiter muss nur lange genug Vertrauen gewinnen und kann dann an der richtigen Stelle ansetzen und schon ist das Backdoor drin, ohne das es jemandem groß auffällt.
Finde ich einfach wie schlicht wie immer eine absolute Unverschämtheit deinerseits denn genau das habe ich tatsächlich auch geschrieben. Aber wie eh und je: Höfliches "unhöflich" und zwar mit absolutem Vorsatz. Es ist ein grundlegendes Problem, welches weit mehr Projekte betrifft. Und so lässt du selbst schön zur Seite, dass selbst Theo de Raadt dem Prinzip von "mehr Augen durch mehr Beitragende" ja ebenso zugestimmt hat. Ich erwarte aber tatsächlich nichts Anderes mehr von deiner Seite als derlei Frechheiten versteckt im Text.