Datenklau wieder mal....

Dein Thema passt in keines der anderen Freizeit-Foren? Kein Problem, schreib es einfach in diesen Bereich.
Benutzeravatar
uhu72
Keiner schreibt schneller
Beiträge: 2230
Registriert: 26 Okt 2007 20:03
Geschlecht: männlich
AB-Status: AB
Ich bin ...: nur an Frauen interessiert.
Wohnort: 7xxxx

Re: Datenklau wieder mal....

Beitrag von uhu72 »

Ich bin in Security-Sachen nicht so ganz bewandert. Das Argument verstehe ich aber nicht. Wenn ich will, dass niemand in meinem Code rumfuhrwerkt (sei es Backdoors einbauen, oder Sicherheitslücken suchen), dann mache ich es doch gerade nicht Open-Source, sondern lasse nur Leute an den Code, denen ich vertraue. Die Chance, dass ein Maintainer eine Sicherheitslücke 'überliest' (wobei ich nicht glaube, dass ein Maintainer eines größeren Projektes überhaupt alles gegenliest, was da in sein Projekt wandert ;) ), ist doch da wesentlich geringer. Außerdem kann nicht jeder Hinz und Kunz den Code lesen und nach Schwachstellen suchen.
Der springende Punkt ist weniger die Quelloffenheit sondern mehr die Art und Weise wie die Software zum Nutzer kommt. Linux-Nutzer beziehen ihre System- und Anwendungssoftware durch die obligatorische Paketverwaltung automatisch aus erster Hand.
Nur in wenigen Ausnahmefällen wird Software in irgend einer Form manuell installiert. Mal eben eine "TollerBildschirmschoner.exe" irgendwoher herunterladen und gleich mal installieren ist unter Linux halt nicht. Entsprechend ist es schwieriger, dem Nutzer manipulierte Software unter zu jubeln.
Es gibt für jeden Topf einen passenden Deckel. Aber es gibt nicht genug passende Deckel für alle Töpfe!
Benutzeravatar
Le Chiffre Zéro
Keiner schreibt schneller
Beiträge: 2600
Registriert: 10 Sep 2008 10:18
Geschlecht: männlich
AB-Status: AB
Ich bin ...: unfassbar.
Wohnort: Hamburg, Hansestadt, Freie und

Re: Datenklau wieder mal....

Beitrag von Le Chiffre Zéro »

Quelloffenheit kann durchaus für Sicherheit sorgen.

Zum einen werden etwaige Sicherheitslücken erheblich schneller und gezielter aufgestöbert. Relevante Codebereiche durchgucken, Maintainer alarmieren, Patch einreichen, und wenn der Maintainer sich wirklich dahinterklemmt, werden ab dem nächsten Tag auf Millionen Linuxrechnern aktualisierte Softwarepakete ausgerollt.

Zum anderen können Lücken auch schneller und effizienter geflickt werden. Bei proprietärer Closed-Source-Software muß der Software-Inhaber und sein Programmiererteam (sofern er denn ein Team hat) selbst nach der Lücke suchen und die flicken – wenn sie denn Zeit dafür haben. Und die sind dann auch nur ein paar Stunden am Tag da. Bei FLOSS hat man freiwillige, ehrenamtliche Programmierer rund um den Globus, die sich das angucken können – sofern nicht sowieso derjenige, der die Lücke entdeckt hat, ein Patch eingereicht hat – und auch gleich die Macken beheben können. Patch einarbeiten, neue Version als Sicherheitsupdate rausgeben, fertig. Selbst bei Debian geht das schnell, auch wenn sie Sicherheitspatches erst auf diverse ältere Main Releases zurückportieren müssen.

Noch besser ist es bei neuen Sicherheitsfeatures auf Systemebene, also nicht in Form von Zusatzprogrammen. Bei "normalen" Linux-Distributionen kriegt man die mit dem nächsten, spätestens mit dem übernächsten Distributions-Upgrade. Bei Rolling Releases kriegt man die mitunter kurz nach Erscheinen, dann allerdings freiwillig installierbar. Unter Windows kriegt man die, wenn es sie für die Plattform überhaupt geben wird, gegen Geld mit Erwerb der nächsten Windows-Version.
← Das da sind keine Klaviertasten. Es sind Synthesizertasten. Doch, da gibt es Unterschiede.

Ich kann es euch erklären. Ich kann es aber nicht für euch verstehen. Das müßt ihr schon selbst tun.

INTJ nach Myers-Briggs
Genosse Premier

Re: Datenklau wieder mal....

Beitrag von Genosse Premier »

uhu2163 hat geschrieben:
Ich bin in Security-Sachen nicht so ganz bewandert. Das Argument verstehe ich aber nicht. Wenn ich will, dass niemand in meinem Code rumfuhrwerkt (sei es Backdoors einbauen, oder Sicherheitslücken suchen), dann mache ich es doch gerade nicht Open-Source, sondern lasse nur Leute an den Code, denen ich vertraue. Die Chance, dass ein Maintainer eine Sicherheitslücke 'überliest' (wobei ich nicht glaube, dass ein Maintainer eines größeren Projektes überhaupt alles gegenliest, was da in sein Projekt wandert ;) ), ist doch da wesentlich geringer. Außerdem kann nicht jeder Hinz und Kunz den Code lesen und nach Schwachstellen suchen.
Der springende Punkt ist weniger die Quelloffenheit sondern mehr die Art und Weise wie die Software zum Nutzer kommt. Linux-Nutzer beziehen ihre System- und Anwendungssoftware durch die obligatorische Paketverwaltung automatisch aus erster Hand.
Nur in wenigen Ausnahmefällen wird Software in irgend einer Form manuell installiert. Mal eben eine "TollerBildschirmschoner.exe" irgendwoher herunterladen und gleich mal installieren ist unter Linux halt nicht. Entsprechend ist es schwieriger, dem Nutzer manipulierte Software unter zu jubeln.
Na gut, das seh ich ein. Ich vergesse immer, dass es auch Leute geben soll, die auf eine in einer E-Mail angehängte Rechnung.pdf.exe draufklicken. Sowas zieht unter Linux natürlich nicht. ;)
w82nrw

Re: Datenklau wieder mal....

Beitrag von w82nrw »

Genosse Premier hat geschrieben:Rechnung.pdf.exe draufklicken. Sowas zieht unter Linux natürlich nicht. ;)
Ich bekomme keine Rechnung, ich bekomme eine Kreditbewilligung - viiiieel besser :mrgreen: