Follow

Oft lese ich:"Software XY ist Open-Source, das macht sie sicherer". Das ist Quatsch. Open-Source sorgt in erster Linie für Transparenz und macht Software nicht automatisch sicher. Auch Open-Source hat Lücken. Dank der Quelloffenheit werden diese aber oftmals schneller gefunden. 🤖

@kuketzblog
Gegen Sicherheitslücken hilft das wenig. Es liest ja auch kaum jemand mal den Quellcode wirklich.

Aber es hilf ungemein gegen "Entwicklung vom Hersteller eingestellt", absurde/kundenfeindliche Lizenzbedingungen und Spyware oder gegen "das funktioniert nur unter Windows 3.11"

@drazraeltod @kuketzblog Gegen "das funktioniert nur unter Windows 3.11" hätte ich auch gerne was :-D
Mein Vater betreibt seit 1996 ein System (mit wechselnder Hardware) unter Windows 3.11, da die Software für den Schneidplotter nur darunter läuft. Aber: es läuft und läuft und läuft

@funqr @kuketzblog tja, hätt' er mal den code und die Lizenz ihn zu verändern… ;-)

solange das zeugs nicht am netz hängt, geht das ja mal alles noch

ansonsten hast du dann immer irgendwelche "spaßigen" konstruktionen bis hin zu "ich leg einen RPi hin, der emuliert x86 mit DOS und ein Script steuert dessen COM-Port an und stellt Funktionen im Netz bereit" :D

@funqr @drazraeltod

Ich auch! Habe einen alten Laserdrucker, der eigentlich noch funzt. Habe ihn weder unter W10 noch Linux (Kubuntu und Manjaro) zum Laufen bekommen

@BrancaCadelaPreta @funqr erinnere mich nicht an das Zeugs!

Habe jedes Mal wieder Spaß mit meinem Dell c1660w.

Ich habe den mal unter Linux zum Laufen bekommen… ein einziges Mal. Es geht also theoretisch.

Seitdem immer mal wieder paar Stunden nutzlos in jenes Vorhaben auf diversen Rechnern versenkt. -.-

@kuketzblog Bei OpenSource ist es schwieriger, Hintertüren, Spyware, PUP etc. absichtlich einzubauen, deshalb:
Ja, OpenSource ist tendenziell sicherer.

@Maxi
Ich würde hier eher "vertrauenswürdiger" statt "sicherer" sagen. Im Sinne der IT Sicherheit ist OSS nicht per se besser als closed-source. Aber man muss nicht blind vertrauen, dass eben solche Einbauten nicht vorhanden sind. Insbesondere wenn man die Binaryblobs prüfen kann, siehe Fdroid ^^
@kuketzblog

@kuketzblog Bei deiner Messenger-Matrix gibst du das Datum des letzten #Audit s an. Ein Audit kann bei #ClosedSource nur sehr eingeschränkt funktionieren. Wenn auch die Audits nach Standards, regelmäßig und transparent funktionieren (so dass nicht Oligopole, staatliche oder akkreditierte Stellen entscheiden, was sicher ist, also, nicht Macht, sondern von allen, zumindest allen Peers, nachvollziehbare Regeln und Tests entscheiden). Halt so, wie wirs aus Wissenschaft und Rechtsprechung kennen. Wenn regelmäßige Audits, die den Namen verdienen, mit der #Quelloffenheit verbunden sind, dann, glaube ich, ist Open source tatsächlich sicher(er).

@kuketzblog Der Quellcode ist lesbar und einsehbar. Ob ihn jemand liest, ist eine andere Sache! Auch OpenSource-Software kann Fehler und Sicherheitslücken enthalten. Die große Frage ist, von wem und mit welcher Intention der Code gelesen wird. Sympathisch ist OpenSource aber dennoch,da es überhaupt möglich ist, den Code zu lesen. Die Entwickler haben "nichts zu verbergen"!

@kuketzblog

Ich wage mal die Behauptung, dass dieser Vergleich ganz ganz schwierig ist. Denn:

Open Source Software ist tendenziell eher Hobby-Qualität. Auch bezügl. Sicherheit. Hat die Vergangenheit ja vielfach gezeigt. Das könnten Kommerzielle besser können. Wer guckt bei FOSS dann wirklich drauf? Wird das vielleicht überschätzt?

Aber man kann sich halbwegs sicher sein, dass der Entwickler keine _bewussten_ Bösartigkeiten verbaut hat.

Das ist für mich DER Wert an FOSS.

@kuketzblog @pino_ac

Open Source Software ist tendenziell eher Hobby-Qualität. Auch bezügl. Sicherheit.


Ja, richtig.

Und Quellcode in Firmen / kommerziellen Produkten (jener welcher mir in den letzten 20 Jahren beruflich begegnet ist oder den ich selber verfasst habe - sowohl im Windows wie auch Linux Umfeld) ist leider ebenfalls oft schludrig, aus verschiedenen Quellen/dem Internet zusammenkopiert, hat keinen einheitlichen Stil und ist oft unwartbar. Der Kunde sieht es ja nicht, man hat Termindruck, etc. :-(

Highlights:
- HPE ALM welches bei der Installation jedes Visual C++ Redistributable von 2008 - 2015 in 32 und 64 bit benötigt und somit Programmteile aus all diesen Versionen nutzt, welche in 10 Jahren nie neu kompiliert wurden.
- VB.Net scripts mit Variablen- und Funktionsnamen in Deutscher Sprache um Funktionen der Buchhaltungs-Lösung an den Kunden anzupassen.
- Eine Java Applikation welche "zum Testen" den Login als Admin ohne Passwort erlaubt, wenn man das Dreibuchstaben-Kürzel des Entwicklers als Benutzernamen eingibt (bei einem Source Code Audit zufällig entdeckt, warte nun schon seit 2 Jahren darauf, dass der das wieder entfernt und die Installation aktualisiert)
- Cisco Router, welche mit dem im Handbuch dokumentierten Standard-Passwort und zugreifbar aus dem ganzen Firmennetz betrieben werden, weil diese keine Passwort-Änderung beim ersten Login erzwingen (besser wäre: Trust on first use, ändern erzwingen und Passwort-Reset nur per physischem Zugriff erlauben)
- Immer und immer wieder: Neuste Bibliothek bei der Entwicklung verwenden, welche noch in keiner Enterprise Distro verfügbar ist, aber sobald die Funktion umgesetzt ist, diese nie mehr aktualisieren, bis 10 - 15 Jahre später die aktuelle Programmiersprachenversion nicht mehr dazu kompatibel ist und/oder üble Warnings zu der alten Bibliothek von sich gibt.

Und ja, ich hatte auch schon mehrmals das Vergnügen meine eigenen Sünden vom Anfang meiner Laufbahn nochmals anfassen zu dürfen. Ich würde gerne sagen "ich war jung und wusste es nicht besser", aber oft musste es einfach nur schnell gehen und man will es dann später irgendwann einmal ausbügeln. Tja.

@elrido @kuketzblog

Kommt mir sehr bekannt vor. Die Software meines Arbeitgebers würde deine Liste an Highlights noch erweitern. :)

Deshalb habe ich extra ganz vorsichtig geschrieben, sie könnten das besser können.

Software von kleineren Buden ist qualitativ oft auf Höhe von Hobbyprojekten und darunter. Und auch mich suchen da schonmal meine Altlasten aus frühen Tagen heim. Ich sage nicht, dass Hobbyentwickler dümmer sind. Aber große Firmen haben mehr Ressourcen und schauen breiter drauf.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!