Hi Stefan! * Stefan Nobis <[EMAIL PROTECTED]> [000521 13:47]: > > Das ist richtig - aber umgekehrt stimmt es: Du hast quasi automatisch ein > > sichereres System, wenn es open source ist bzw. der Quellcode _irgendwie_ > > offenliegt. Das ist IMHO der springende Punkt. > > Das ist schlicht falsch und sehr blauaeugig. OSS birgt auch Gefahren > und Probleme. So kann man OSS-Software sehr viel leichter manipulieren
Das kann man mit ein bisschen Assembler auch mit ClosedSource. > Niemand kann dir garantieren, dass der Quelltext, den du da gerade > heruntergeladen hast, wirklich das unveraenderte Original ist, selbst > dann nicht, wenn du es von der offiziellen Homepage geholt hast (da gibt es > ja nun mehr als genug bekannte Attacken, z.B. man-in-the-middle). Du weisst aber schon, was PGP ist? Anmerkung: Das nur zum Sicherstellen, ob es wirklich eine Originalquelle ist - vor Backdoors oder ähnlichem schützt das natürlich auch nicht. Aber dazu mehr weiter unten. > Und davon mal abgesehen holen sich die meisten Leute die Software heute > eh vorkompiliert aus dem Netz -- wer weiss schon, was man da bekommt. Ich würde sagen: Distributoren wie SuSE oder Redhat können es sich nicht leisten, ihre Distributionen mit Backdoors oder ähnlichem auszustatten. Wenn das publik würde, dann würde wohl niemand mehr Geld in diese Distributionen investieren. Bei einem Projekt wie Debian halte ich es aber schon für wahrscheinlicher, dass da jemand ein Backdoor einschleust; schliesslich sind ja da viele Leute rund um den Erdball beteiligt. Aber wenn das Backdoor bemerkt würde, dann könnte der jeweilige Maintainer wohl nie mehr etwas für das Projekt machen. Ich glaube, dass dies eine grosse Hemmschwelle setzt. Und wer vorkompillierte Binaries aus unbekannten (= nicht vom Distributor) Quellen holt ist eh selber Schuld. > Damit hat man letztlich also ein viel unsicheres System als bei > closed-source. Würde ich nicht sagen. Bei OpenSource gibt es _immer_ Leute, die den Quelltext anschauen. Und wenn jemand was schlechtes findet, dann ist dies sicher innerhalb von Stunden um den Erdball gelaufen. Und wenn man weiss, dass der Programmier das Backdoor heineingebracht hat, dann ist ziemlich sicher, dass _niemand_ mehr Software von dieser Person beziehen wird. Das finde ich, setzt eine grosse Hemmschwelle. Wenn Du ein Trojaner zB. als Mailclient tarnst und dies als OpenSource released, dann gibt es sicherlich jemand, der die findet. Und dann bist Du so ziemlich im Arsch... dann benutzt' niemand mehr Deine Programme, es will dir auch niemand Support geben (zB. im Usenet oder Mailinglisten). Bei CloseSource-Software ist die Hemmschwelle niedriger; niemand hat den Quellcode, also wieso soll ich kein Backdoor einbauen, es würde es ja sowieso niemand merken? Ich hoffe, Du verstehst, auf was ich hinauswill :) > Ich stelle mir das mal gerade fuer XEmacs vor: Da brauche ich ja > Monate, um ueberhaupt einen Ueberblick zu bekommen. Na ja, das hättest Du bei kleineren Programmen wie ae oder so auch. > Also dieses blinde Vertrauen in OSS kann ich bis heute nicht > nachvollziehen. Nur durch die Offenlegung von Quelltext wird keine > Software besser oder sicherer. Da stimme ich Dir zu. Nur die Hemmschwelle ist anderes verteilt, siehe oben. > Und selbst Sun musste Javas Sandbox aufweichen, weil die User > unbedingt mehr Komfort haben wollten. Wenn Sun das tuen würde, dann würden sicherlich viele Java-Anwender von Java abspringen (mich eingeschlossen). > War da nicht mal was mit einer Linux-Distro, die standardmaessig "/" > per NFS an alle Welt exportiert hat? Kann sein. Nur ein Admin, der diesen Fehler nicht bemerkt taugt IMHO nichts. Das würde man durch einen kurzen Check der /etc/exports merken - und das gehört einfach zu einem wöchentlichen Securitycheck dazu (und auch zum Abschlusscheck, wenn man ein System frisch installiert hat). > Ist das vielleicht weniger schlimm? Na ja, schlimm ist es nicht wirklich, da man es ja abstellen kann. Grüsse, Thomas -- .-. Thomas Bader · [EMAIL PROTECTED] · http://www.t-bader.ch/ .-. oo| oo| /`'\ Einen Unix-Shellaccount gibt es unter http://www.trash.net/ /`'\ (\_;/) PGP Key-ID: 0x3A4B7F5D (RSA) 0x7584F5D8 (DSA/EG) (\_;/) ------------------------------------------------ Um sich aus der Liste auszutragen schicken Sie bitte eine E-Mail an [EMAIL PROTECTED] die im Body "unsubscribe debian-user-de <deine emailadresse>" enthaelt. Bei Problemen bitte eine Mail an: [EMAIL PROTECTED] ------------------------------------------------ Anzahl der eingetragenen Mitglieder: 729
