Jens Benecke <[EMAIL PROTECTED]> writes: > Das ist richtig - aber umgekehrt stimmt es: Du hast quasi automatisch ein > sichereres System, wenn es open source ist bzw. der Quellcode _irgendwie_ > offenliegt. Das ist IMHO der springende Punkt.
Das ist schlicht falsch und sehr blauaeugig. OSS birgt auch Gefahren und Probleme. So kann man OSS-Software sehr viel leichter manipulieren -- man hat ja den Source und muss nicht mit dem Debugger muehsam an Patchen arbeiten oder alles nachprogrammieren. Niemand kann dir garantieren, dass der Quelltext, den du da gerade heruntergeladen hast, wirklich das unveraenderte Original ist, selbst dann nicht, wenn du es von der offiziellen Homepage geholt hast (da gibt es ja nun mehr als genug bekannte Attacken, z.B. man-in-the-middle). Und davon mal abgesehen holen sich die meisten Leute die Software heute eh vorkompiliert aus dem Netz -- wer weiss schon, was man da bekommt. Damit hat man letztlich also ein viel unsicheres System als bei closed-source. Allerdings hast du insofern Recht, als dass der Originalsource natuerlich sehr viel besser inspiziert und debuggt werden kann. Das alleine bringt aber nicht automatisch mehr Sicherheit. Leicht vergessen wird, dass OSS erstmal nur die reine *Moeglichkeit* bietet, dass sehr viele Experten den Quelltext analysieren. Daraus folgt noch lange nicht, dass dies wirlich geschieht. Und wie oft hast du schon den Source der von dir benutzten Software analysiert? Ich stelle mir das mal gerade fuer XEmacs vor: Da brauche ich ja Monate, um ueberhaupt einen Ueberblick zu bekommen. Also dieses blinde Vertrauen in OSS kann ich bis heute nicht nachvollziehen. Nur durch die Offenlegung von Quelltext wird keine Software besser oder sicherer. Nicht, dass ich jetzt wieder falsch verstanden werde: Ich befuerworte OSS. Ich finde dieses Modell sehr gut, wichtig und hilfreich. Ich faende es mehr als Schade, wenn es keine OSS mehr gaebe. Aber ich bin nicht so blauaeugig zu behaupten, OSS waere automatisch besser oder sicherer. Nochmals: Sicherheit ist kein Zustand, sondern ein Prozess. Und damit bringt die Offenlegung des Quelltextes erstmal absolut nichts. Ich brauche auf jeden Fall noch die externen Experten, die nicht voll in die Entwicklung eingebunden sind, die den Quelltext inspizieren. Nur dann habe ich durch OSS wirklich einen Vorteil. Und es gibt eine Menge OSS, bei denen nur die Hauptentwickler in den Sourcen arbeiten. Und dort habe ich gegenueber closed-source erstmal keinen echten und direkten Vorteil. > Weißt Du, ich kenne "einige" Admins die für den internen Einsatz im > Outlook-Source die Funktion zum Öffnen von Attachments mit einem > erzwungenen Virenscan verknüpfen (oder ganz deaktivieren) würden, wenn sie > könnten. Aber ohne Source ist sowas überhaupt gar nicht erst möglich. Wenn ich mich recht erinnere (ohne Outlook jetzt genau zu kennen) unterstuetzt es doch Plugins fuer alles Moegliche. Das gewuenschte sollte sich also durchaus in irgendeiner Form realisieren lassen. Ich kenne eine Menge Leute (mich eingeschlossen), die wuerde gerne eine Menge Dinge tun -- tun sie aber letztlich doch nicht. Offen gesagt: Ich halte obiges nur fuer ein vorgeschobenes Argument. Zumal die Nutzer anschliessend Sturm laufen wuerden. Selbst MS wuerde Attachments in Outlook nicht implentieren und standardmaessig aktivieren, wenn die User das nicht haben wollten. Und selbst Sun musste Javas Sandbox aufweichen, weil die User unbedingt mehr Komfort haben wollten. > Du mußt aber zugeben, daß NT by default deutlich löchriger ausgeliefert > wird als eine typische Linux-Distro. Oder liegt bei Dir standardmäßig /usr > auf "drwxrwxrwx"? :-) (nur so als blödes Beispiel) Hmmm.... na ja, vielleicht. Ich habe das noch nie im Detail untersucht. Eine typische Linux-Distro hat auch so etliche Probleme. War da nicht mal was mit einer Linux-Distro, die standardmaessig "/" per NFS an alle Welt exportiert hat? Ist das vielleicht weniger schlimm? > "Was ich viel lieber wissen möchte: Wann zahlt Microsoft für den > Milliarden- Schaden, den die fehlenden Sicherheitsvorkehrungen von > Windows & Outlook angerichtet haben? Und warum werden von den > betroffenen Firmen bloß die Symptome bekämpft, anstatt endlich mal > sichere (non-MS) Software einzusetzen?" Genau solche Sprueche meine ich: Das ist so pauschal einfach Unsinn. -- Until the next mail..., Stefan. ------------------------------------------------ Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe debian-user-de <deine emailadresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ------------------------------------------------ Anzahl der eingetragenen Mitglieder: 729
