Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
On Wed, Jun 29, 2016 at 01:47:27PM +0200, Bernhard Reiter wrote: > Am Dienstag, 28. Juni 2016 16:48:30 schrieb Paul Hänsch: > > Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir > > dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit > > systemd haben wir uns einige dieser Dienste auch auf Serversystemen > > eingetreten. > Ein Audit ist keine notwendige Bedingung für sicher entwickelte Software, > mehr eine Art Hinterherprüfen. Und dann ist immer die Frage: Was wird, mit > welchem Ziel audiert. Naja, da stimme ich nicht so ganz zu. Ein Faktor ist, das ist richtig, dass die Software z.B. überhaupt unter Beachtung bestimmter Sicherheitsanforderungen geschrieben wird. Wird sie das nicht, kann auch ein Audit eine schlechtere Software hinterlassen, als wenn das Programm von vorneherein mit Blick auf bestimmte Sicherheiten ausgelegt ist. Insofern ist der Audit keine _hinreichende_ Bedingung. Zu den Regeln sicherheitskritischer Entwicklung gehört aber auch, dass ein Entwicklerteam oder gar ein einzelner Entwickler nicht in seiner Betriebsblindheit allein gelassen wird. Hier kommt der Audit, von Seiten einer weiteren Partei ins Spiel. Dieser ist dann tatsächlich eine _notwendige_ Bediungung, bevor wir annehmen, dass ein Programm sich für den Einsatz unter entsprechend gesetzten Sicherheitsanforderungen eignet. _Was_ dabei auditiert wird, hängt unter anderem von diesen Anforderungen ab, aber es gibt auch etliche allgemeingültige Regeln. > Es ist gut möglich, dass jeder der von Dir genannten Komponenten > besser überprüft wurde als die von der EU genannten. Abgesehen von Wortklauberein darüber, was möglich, und was wahrscheinlich ist: nope ;-). Hierzu muss man auch sagen, dass einige dieser Programm, irgendwann mal für Desktopsessions geschrieben wurden, und erst nach und nach in einen Bereich überschwappen, in denen sie regelmäßig mit privilegierten Systemservices kooperieren. Das bringt veränderte Anforderungen mit, und diese rechtfertigen eine Überprüfung unter veränderten Kriterien. -- Paul Hänsch █▉Webmaster, System-Hacker █▉█▉█▉ Jabber: p...@jabber.fsfe.org▉▉ Free Software Foundation Europe signature.asc Description: PGP signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
Am Dienstag, 28. Juni 2016 16:48:30 schrieb Paul Hänsch: > Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir > dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit > systemd haben wir uns einige dieser Dienste auch auf Serversystemen > eingetreten. Ein Audit ist keine notwendige Bedingung für sicher entwickelte Software, mehr eine Art Hinterherprüfen. Und dann ist immer die Frage: Was wird, mit welchem Ziel audiert. Es ist gut möglich, dass jeder der von Dir genannten Komponenten besser überprüft wurde als die von der EU genannten. -- FSFE -- Founding Member of the GAblogs.fsfe.org/bernhard Support our work for Free Software: https://fsfe.org/support/?ber signature.asc Description: This is a digitally signed message part. ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
On 06/28/2016 05:16 PM, walter harms wrote: > Was mich immer wieder verwundert ist die Tatsache das offensichtlich keiner > mehr > eine Webseite ohne google bauen kann. die machen eine Security audit koennen > aber > nicht mal eine Webseite produzieren ? oder warum soll ich einen Zugang zu > google.com > oeffnen ? Ja, das habe ich mich auch gefragt... Mir war auch erst nicht so ganz klar, wieso bei mir die Meldung kam das mein Rechner kein Internet hat und ich doch bitte einen anderen Rechner benutzen soll um das Formular abzuschicken. Ein simples CAPTCHA sollte man auch ohne das Verlinken von google noch auf seiner Seite unterbringen können, wenn es denn unbedingt sein muss. Meine Bemerkung war auch eine eindeutige Kritik gegen goolge CAPTCHA. Viele Grüße Thomas signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
Am 26.06.2016 21:50, schrieb Erik Grun: > "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit > unterzogen werden?" > > "Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt > EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete > Freie Software eigenen Sicherheitsaudits unterzogen werden können. Jetzt > startet die EU dazu eine öffentliche Konsultation, in der darüber > abgestimmt werden darf, welches der vielen möglichen > Freien-Software-Programme eigentlich zuerst auditiert werden soll." > > https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll-einem-sicherheitsaudit-unterzogen-werden/ > > > Hier geht es direkt zur Umfrage: > https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice > > Mitmachen und Teilen unbedingt erwünscht! ;) > > > Außerdem bin ich am überlegen, bei welcher Software ich es mir > am ehesten wünschte, dass man sie einem Audit unterzöge. > > Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei > nicht sehr weit oben auf dieser Wunschliste stehen. ;) > > > Viele Grüße > > -- Erik > Die Idee ist ja toll, da gibt es seit Jahren Codeanalyse Programme die sich an Open Source versuchen und nun gibt es auch Geld von der EU ? Was mich immer wieder verwundert ist die Tatsache das offensichtlich keiner mehr eine Webseite ohne google bauen kann. die machen eine Security audit koennen aber nicht mal eine Webseite produzieren ? oder warum soll ich einen Zugang zu google.com oeffnen ? re, wh ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
On Sun, Jun 26, 2016 at 09:50:57PM +0200, Erik Grun wrote: > "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit > unterzogen werden?" > [...] > Außerdem bin ich am überlegen, bei welcher Software ich es mir > am ehesten wünschte, dass man sie einem Audit unterzöge. Da gucke ich doch mal in meine Prozessliste, meine APT-Dependencies, etc. und schaue nach der Software, die wohl irgendwie Installiert sein muss und die ganze Zeit läuft, obwohl ich sie *nicht* benutze, jedenfalls nicht direkt und willentlich. Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit systemd haben wir uns einige dieser Dienste auch auf Serversystemen eingetreten. Macht mal alle ein `htop -u root`. Wer sieht den polkitd laufen? (das ist quasi sudo als unix-daemon) Wer weiß auf Anhieb, wo der Konfiguriert wird, und welche rules der per Default mitbringt? Liegt das an mir, oder habt ihr auch das Gefühl, dass diese Dinge neben *zig Apache- und MySQL-Audits immerwieder unter dem Radar durch fliegen? Wenn _die_ Audits raus kommen, will ich Popcorn im Haus haben. Ich habe jedenfalls DBUS und Polkit mal reingeworfen, jetzt habe ich keine lust mehr auf das ReCaptcha. -- Paul signature.asc Description: PGP signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
On Mon, Jun 27, 2016 at 11:07:34AM +0200, Florian Ermisch wrote: > Am 26. Juni 2016 21:50:57 MESZ, schrieb Erik Grun: > > > > Hier geht es direkt zur Umfrage: > > https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice > > ich bin überrascht, das Firefox nicht dabei ist. Immernoch der > verbreitetste FLOSS-Browser, oder? Mal abgesehen davon, dass ich auf der Seite nix sehe, bevor ich JavaScript einschalte: | The list has been prepared based on inventory of open source software | used in the European Commission in 2014 as well as the catalogue of | products available for use within the European Commission as of June | 2016. Setzt die EU überhaupt Firefox ein? Ich befürchte ja, dass ein Sicherheitsaudit das Budget der EU überfordert. Memoryleaks mit DoS-Effekt zähle ich auch als sicherheitskritisch, und das dann zu auditieren dürfte sehr interessant werden. Phänomenologisch sehe ich hier großen Bedarf, weil das wie Windows95 wirkt, mit der Ansage: regelmäßig neu starten. -- Gruss Frank ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
Hallo Michael, hallo Liste, Am 27.06.2016 um 09:47 schrieb RA Stehmann: > Man mag beide Programme als nicht sehr sicherheitsrelevant einstufen, > aber das - denke ich - ist eine andere Sache. das war das einzige Kriterium, nach dem ich die Bewerbung vorgenommen habe. Wenn man allerdings dein anderes Kriterium ("Vorzüge Freier Software an […] konkret der Überprüftheit eines dieser Programme erläutern […]") miteinbezieht, dann ist Notepad++ oder 7zip vielleicht doch keine allzu schlechte Wahl. ;) Grüße -- Erik -- pub rsa4096/0xC02662E2370D6F27 2016-05-27 [SCA] [verfällt: 2017-05-27] Schl.-Fingerabdruck = 7E0E 8A9E EAEE 075D E689 F32F C026 62E2 370D 6F27 uid[ ultimativ] Erik Grunuid[ ultimativ] Erik Grun sub rsa4096/0x1DF94895FA78155E 2016-05-27 [E] [verfällt: 2017-05-27] Sie fragen sich, was diese Signatur bedeutet? Dann gehen Sie auf *emailselfdefense.fsf.org/de/infographic.html* um zu erfahren wie Sie ihre E-Mails sicher verschlüsseln können. signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
Hallo zusammen, Am 27.06.16 schrieb Florian Ermisch: > Zu 7zip: Womöglich ist es effektiver, ein bösartiges Zipfile als Anhang zu > verschicken, als eine im Mailclient, weil das auch Webmailbenutzer erwischen > kann. Gab es bei 7-Zip nicht gerade erst Schlagzeilen über Sicherheitslücken in einer älteren Version (weswegen in den Heise-Foren natürlich gleich wieder jemand die Sicherheit von freier Software in Frage stellte)? Vielleicht wäre ein Audit der aktuellen 7-Zip-Version als "Flucht nach vorn" in diesem Fall gar nicht so schlecht. Viele Grüße Stef ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
Moin, ich bin überrascht, das Firefox nicht dabei ist. Immernoch der verbreitetste FLOSS-Browser, oder? Als Browser sehr exponiert und wohl häufiger zu finden als Chromium oder Midori. Zu 7zip: Womöglich ist es effektiver, ein bösartiges Zipfile als Anhang zu verschicken, als eine im Mailclient, weil das auch Webmailbenutzer erwischen kann. Trotzdem eine "interessante" Auswahl. Frage mich, wie die zustande kam. Gruß, Florian Am 26. Juni 2016 21:50:57 MESZ, schrieb Erik Grun: > "EU-Umfrage: Welches Freie-Software-Programm soll einem > Sicherheitsaudit > unterzogen werden?" > > "Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt > EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete > Freie Software eigenen Sicherheitsaudits unterzogen werden können. > Jetzt > startet die EU dazu eine öffentliche Konsultation, in der darüber > abgestimmt werden darf, welches der vielen möglichen > Freien-Software-Programme eigentlich zuerst auditiert werden soll." > > https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll-einem-sicherheitsaudit-unterzogen-werden/ > > > Hier geht es direkt zur Umfrage: > https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice > > Mitmachen und Teilen unbedingt erwünscht! ;) > > > Außerdem bin ich am überlegen, bei welcher Software ich es mir > am ehesten wünschte, dass man sie einem Audit unterzöge. > > Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip > dabei > nicht sehr weit oben auf dieser Wunschliste stehen. ;) > > > Viele Grüße > > -- Erik ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
Am 26.06.2016 um 21:50 schrieb Erik Grun: > > > Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei > nicht sehr weit oben auf dieser Wunschliste stehen. ;) > Beide Programme sind weit verbreitet. Sie sind hervorragende Beispiele, um Leuten, die mit dem Begriff "Freie Software" wenig anfangen können, zu erklären, dass sie tatsächlich schon Freie Software nutzen. Und es wäre dann nett, die Vorzüge Freier Software an der Überprüfbarkeit und konkret der Überprüftheit eines dieser Programme erläutern zu können. Man mag beide Programme als nicht sehr sicherheitsrelevant einstufen, aber das - denke ich - ist eine andere Sache. Gruß Michael signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
"EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?" "Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete Freie Software eigenen Sicherheitsaudits unterzogen werden können. Jetzt startet die EU dazu eine öffentliche Konsultation, in der darüber abgestimmt werden darf, welches der vielen möglichen Freien-Software-Programme eigentlich zuerst auditiert werden soll." https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll-einem-sicherheitsaudit-unterzogen-werden/ Hier geht es direkt zur Umfrage: https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice Mitmachen und Teilen unbedingt erwünscht! ;) Außerdem bin ich am überlegen, bei welcher Software ich es mir am ehesten wünschte, dass man sie einem Audit unterzöge. Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei nicht sehr weit oben auf dieser Wunschliste stehen. ;) Viele Grüße -- Erik -- pub rsa4096/0xC02662E2370D6F27 2016-05-27 [SCA] [verfällt: 2017-05-27] Schl.-Fingerabdruck = 7E0E 8A9E EAEE 075D E689 F32F C026 62E2 370D 6F27 uid[ ultimativ] Erik Grunuid[ ultimativ] Erik Grun sub rsa4096/0x1DF94895FA78155E 2016-05-27 [E] [verfällt: 2017-05-27] Sie fragen sich, was diese Signatur bedeutet? Dann gehen Sie auf *emailselfdefense.fsf.org/de/infographic.html* um zu erfahren wie Sie ihre E-Mails sicher verschlüsseln können. signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de