Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Paul Hänsch]

On Wed, Jun 29, 2016 at 01:47:27PM +0200, Bernhard Reiter wrote:
> Am Dienstag, 28. Juni 2016 16:48:30 schrieb Paul Hänsch:
> > Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir
> > dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit
> > systemd haben wir uns einige dieser Dienste auch auf Serversystemen
> > eingetreten.

> Ein Audit ist keine notwendige Bedingung für sicher entwickelte Software,
> mehr eine Art Hinterherprüfen. Und dann ist immer die Frage: Was wird, mit 
> welchem Ziel audiert.

Naja, da stimme ich nicht so ganz zu. Ein Faktor ist, das ist richtig, dass
die Software z.B. überhaupt unter Beachtung bestimmter Sicherheitsanforderungen
geschrieben wird. Wird sie das nicht, kann auch ein Audit eine schlechtere
Software hinterlassen, als wenn das Programm von vorneherein mit Blick auf
bestimmte Sicherheiten ausgelegt ist. Insofern ist der Audit keine
_hinreichende_ Bedingung.

Zu den Regeln sicherheitskritischer Entwicklung gehört aber auch, dass ein
Entwicklerteam oder gar ein einzelner Entwickler nicht in seiner
Betriebsblindheit allein gelassen wird. Hier kommt der Audit, von Seiten
einer weiteren Partei ins Spiel. Dieser ist dann tatsächlich eine
_notwendige_ Bediungung, bevor wir annehmen, dass ein Programm sich für den
Einsatz unter entsprechend gesetzten Sicherheitsanforderungen eignet.

_Was_ dabei auditiert wird, hängt unter anderem von diesen Anforderungen ab,
aber es gibt auch etliche allgemeingültige Regeln.

> Es ist gut möglich, dass jeder der von Dir genannten Komponenten
> besser überprüft wurde als die von der EU genannten.

Abgesehen von Wortklauberein darüber, was möglich, und was wahrscheinlich
ist: nope ;-).

Hierzu muss man auch sagen, dass einige dieser Programm, irgendwann mal für
Desktopsessions geschrieben wurden, und erst nach und nach in einen Bereich
überschwappen, in denen sie regelmäßig mit privilegierten Systemservices
kooperieren. Das bringt veränderte Anforderungen mit, und diese rechtfertigen
eine Überprüfung unter veränderten Kriterien.

-- 
Paul Hänsch █▉Webmaster, System-Hacker
  █▉█▉█▉  
Jabber: p...@jabber.fsfe.org▉▉ Free Software Foundation Europe


signature.asc
Description: PGP signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Bernhard Reiter]

Am Dienstag, 28. Juni 2016 16:48:30 schrieb Paul Hänsch:
> Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir
> dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit
> systemd haben wir uns einige dieser Dienste auch auf Serversystemen
> eingetreten.

Ein Audit ist keine notwendige Bedingung für sicher entwickelte Software,
mehr eine Art Hinterherprüfen. Und dann ist immer die Frage: Was wird, mit 
welchem Ziel audiert.

Es ist gut möglich, dass jeder der von Dir genannten Komponenten
besser überprüft wurde als die von der EU genannten.

-- 
FSFE -- Founding Member of the GAblogs.fsfe.org/bernhard
Support our work for Free Software: https://fsfe.org/support/?ber


signature.asc
Description: This is a digitally signed message part.
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Thomas Doczkal]

On 06/28/2016 05:16 PM, walter harms wrote:
> Was mich immer wieder verwundert ist die Tatsache das offensichtlich keiner 
> mehr
> eine Webseite ohne google bauen kann. die  machen eine Security audit koennen 
> aber
> nicht mal eine Webseite produzieren ? oder warum soll ich einen Zugang zu 
> google.com
> oeffnen ?
Ja, das habe ich mich auch gefragt... Mir war auch erst nicht so ganz
klar, wieso bei mir die Meldung kam das mein Rechner kein Internet hat
und ich doch bitte einen anderen Rechner benutzen soll um das Formular
abzuschicken. Ein simples CAPTCHA sollte man auch ohne das Verlinken von
google noch auf seiner Seite unterbringen können, wenn es denn unbedingt
sein muss.

Meine Bemerkung war auch eine eindeutige Kritik gegen goolge CAPTCHA.

Viele Grüße
Thomas



signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[walter harms]

Am 26.06.2016 21:50, schrieb Erik Grun:
> "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit
> unterzogen werden?"
> 
> "Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt
> EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete
> Freie Software eigenen Sicherheitsaudits unterzogen werden können. Jetzt
> startet die EU dazu eine öffentliche Konsultation, in der darüber
> abgestimmt werden darf, welches der vielen möglichen
> Freien-Software-Programme eigentlich zuerst auditiert werden soll."
> 
> https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll-einem-sicherheitsaudit-unterzogen-werden/
> 
> 
> Hier geht es direkt zur Umfrage:
> https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice
> 
> Mitmachen und Teilen unbedingt erwünscht! ;)
> 
> 
> Außerdem bin ich am überlegen, bei welcher Software ich es mir
> am ehesten wünschte, dass man sie einem Audit unterzöge.
> 
> Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei
> nicht sehr weit oben auf dieser Wunschliste stehen. ;)
> 
> 
> Viele Grüße
> 
> -- Erik
> 

Die Idee ist ja toll, da gibt es seit Jahren Codeanalyse Programme die sich
an Open Source versuchen und nun gibt es auch Geld von der EU ?

Was mich immer wieder verwundert ist die Tatsache das offensichtlich keiner mehr
eine Webseite ohne google bauen kann. die  machen eine Security audit koennen 
aber
nicht mal eine Webseite produzieren ? oder warum soll ich einen Zugang zu 
google.com
oeffnen ?

re,
 wh
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Paul Hänsch]

On Sun, Jun 26, 2016 at 09:50:57PM +0200, Erik Grun wrote:
> "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit
> unterzogen werden?"

> [...]

> Außerdem bin ich am überlegen, bei welcher Software ich es mir
> am ehesten wünschte, dass man sie einem Audit unterzöge.

Da gucke ich doch mal in meine Prozessliste, meine APT-Dependencies, etc. und 
schaue nach der Software, die wohl irgendwie Installiert sein muss und die 
ganze Zeit läuft, obwohl ich sie *nicht* benutze, jedenfalls nicht direkt und 
willentlich.

Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir dabei 
sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit systemd haben 
wir uns einige dieser Dienste auch auf Serversystemen eingetreten.

Macht mal alle ein `htop -u root`.
Wer sieht den polkitd laufen? (das ist quasi sudo als unix-daemon)
Wer weiß auf Anhieb, wo der Konfiguriert wird, und welche rules der per Default 
mitbringt?

Liegt das an mir, oder habt ihr auch das Gefühl, dass diese Dinge neben *zig 
Apache- und MySQL-Audits immerwieder unter dem Radar durch fliegen? Wenn _die_ 
Audits raus kommen, will ich Popcorn im Haus haben.

Ich habe jedenfalls DBUS und Polkit mal reingeworfen, jetzt habe ich keine lust 
mehr auf das ReCaptcha.

--
Paul


signature.asc
Description: PGP signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Frank Guthausen]

On Mon, Jun 27, 2016 at 11:07:34AM +0200, Florian Ermisch wrote:
> Am 26. Juni 2016 21:50:57 MESZ, schrieb Erik Grun :
> > 
> > Hier geht es direkt zur Umfrage:
> > https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice
> 
> ich bin überrascht, das Firefox nicht dabei ist. Immernoch der
> verbreitetste FLOSS-Browser, oder?

Mal abgesehen davon, dass ich auf der Seite nix sehe, bevor ich
JavaScript einschalte:

| The list has been prepared based on inventory of open source software
| used in the European Commission in 2014 as well as the catalogue of
| products available for use within the European Commission as of June
| 2016.

Setzt die EU überhaupt Firefox ein? Ich befürchte ja, dass ein
Sicherheitsaudit das Budget der EU überfordert. Memoryleaks mit
DoS-Effekt zähle ich auch als sicherheitskritisch, und das dann
zu auditieren dürfte sehr interessant werden. Phänomenologisch
sehe ich hier großen Bedarf, weil das wie Windows95 wirkt, mit
der Ansage: regelmäßig neu starten.
-- 
Gruss
Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Erik Grun]

Hallo Michael,
hallo Liste,

Am 27.06.2016 um 09:47 schrieb RA Stehmann:

> Man mag beide Programme als nicht sehr sicherheitsrelevant einstufen,
> aber das - denke ich - ist eine andere Sache.

das war das einzige Kriterium, nach dem ich die Bewerbung vorgenommen habe.

Wenn man allerdings dein anderes Kriterium ("Vorzüge Freier Software an
[…] konkret der Überprüftheit eines dieser Programme erläutern […]")
miteinbezieht, dann ist Notepad++ oder 7zip vielleicht doch keine allzu
schlechte Wahl. ;)


Grüße

-- Erik

-- 
pub   rsa4096/0xC02662E2370D6F27 2016-05-27 [SCA] [verfällt: 2017-05-27]
  Schl.-Fingerabdruck = 7E0E 8A9E EAEE 075D E689  F32F C026 62E2 370D 6F27
uid[  ultimativ] Erik Grun 
uid[  ultimativ] Erik Grun 
sub   rsa4096/0x1DF94895FA78155E 2016-05-27 [E] [verfällt: 2017-05-27]

Sie fragen sich, was diese Signatur bedeutet?
Dann gehen Sie auf *emailselfdefense.fsf.org/de/infographic.html*
um zu erfahren wie Sie ihre E-Mails sicher verschlüsseln können.



signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Stef]

Hallo zusammen,

Am 27.06.16 schrieb Florian Ermisch :

> Zu 7zip: Womöglich ist es effektiver, ein bösartiges Zipfile als Anhang zu
> verschicken, als eine im Mailclient, weil das auch Webmailbenutzer erwischen
> kann.

Gab es bei 7-Zip nicht gerade erst Schlagzeilen über Sicherheitslücken
in einer älteren Version (weswegen in den Heise-Foren natürlich gleich
wieder jemand die Sicherheit von freier Software in Frage stellte)?
Vielleicht wäre ein Audit der aktuellen 7-Zip-Version als "Flucht nach
vorn" in diesem Fall gar nicht so schlecht.

Viele Grüße

Stef
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Florian Ermisch]

Moin,

ich bin überrascht, das Firefox nicht dabei ist. Immernoch der verbreitetste 
FLOSS-Browser, oder? Als Browser sehr exponiert und wohl häufiger zu finden als 
Chromium oder Midori.

Zu 7zip: Womöglich ist es effektiver, ein bösartiges Zipfile als Anhang zu 
verschicken, als eine im Mailclient, weil das auch Webmailbenutzer erwischen 
kann.

Trotzdem eine "interessante" Auswahl. Frage mich, wie die zustande kam.

Gruß, Florian

Am 26. Juni 2016 21:50:57 MESZ, schrieb Erik Grun :
> "EU-Umfrage: Welches Freie-Software-Programm soll einem
> Sicherheitsaudit
> unterzogen werden?"
> 
> "Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt
> EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete
> Freie Software eigenen Sicherheitsaudits unterzogen werden können.
> Jetzt
> startet die EU dazu eine öffentliche Konsultation, in der darüber
> abgestimmt werden darf, welches der vielen möglichen
> Freien-Software-Programme eigentlich zuerst auditiert werden soll."
> 
> https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll-einem-sicherheitsaudit-unterzogen-werden/
> 
> 
> Hier geht es direkt zur Umfrage:
> https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice
> 
> Mitmachen und Teilen unbedingt erwünscht! ;)
> 
> 
> Außerdem bin ich am überlegen, bei welcher Software ich es mir
> am ehesten wünschte, dass man sie einem Audit unterzöge.
> 
> Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip
> dabei
> nicht sehr weit oben auf dieser Wunschliste stehen. ;)
> 
> 
> Viele Grüße
> 
> -- Erik

___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[RA Stehmann]

Am 26.06.2016 um 21:50 schrieb Erik Grun:
>
> 
> Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei
> nicht sehr weit oben auf dieser Wunschliste stehen. ;)
> 

Beide Programme sind weit verbreitet. Sie sind hervorragende Beispiele,
um Leuten, die mit dem Begriff "Freie Software" wenig anfangen können,
zu erklären, dass sie tatsächlich schon Freie Software nutzen.

Und es wäre dann nett, die Vorzüge Freier Software an der
Überprüfbarkeit und konkret der Überprüftheit eines dieser Programme
erläutern zu können.

Man mag beide Programme als nicht sehr sicherheitsrelevant einstufen,
aber das - denke ich - ist eine andere Sache.

Gruß
Michael





signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Netzpolitik.org: "EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"

[Erik Grun]

"EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit
unterzogen werden?"

"Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt
EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete
Freie Software eigenen Sicherheitsaudits unterzogen werden können. Jetzt
startet die EU dazu eine öffentliche Konsultation, in der darüber
abgestimmt werden darf, welches der vielen möglichen
Freien-Software-Programme eigentlich zuerst auditiert werden soll."

https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll-einem-sicherheitsaudit-unterzogen-werden/


Hier geht es direkt zur Umfrage:
https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice

Mitmachen und Teilen unbedingt erwünscht! ;)


Außerdem bin ich am überlegen, bei welcher Software ich es mir
am ehesten wünschte, dass man sie einem Audit unterzöge.

Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei
nicht sehr weit oben auf dieser Wunschliste stehen. ;)


Viele Grüße

-- Erik

-- 
pub   rsa4096/0xC02662E2370D6F27 2016-05-27 [SCA] [verfällt: 2017-05-27]
  Schl.-Fingerabdruck = 7E0E 8A9E EAEE 075D E689  F32F C026 62E2 370D 6F27
uid[  ultimativ] Erik Grun 
uid[  ultimativ] Erik Grun 
sub   rsa4096/0x1DF94895FA78155E 2016-05-27 [E] [verfällt: 2017-05-27]

Sie fragen sich, was diese Signatur bedeutet?
Dann gehen Sie auf *emailselfdefense.fsf.org/de/infographic.html*
um zu erfahren wie Sie ihre E-Mails sicher verschlüsseln können.



signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de