PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenSource+ Sicherheit = #true?



YoshiGreen
22.08.2004, 23:26
Tjoa, erstmal eine wichtige Sache: ich bin mir nicht sicher, ob dieser Thread nicht vielleicht eher ins PC Forum gehört, aber es interessiert mich vor allem die Programmiertechnische Seite, in diesem Sinne erstell ich ihn mal in diesem Forum.

Wie man der Überschrift sicher entnehmen kann ist die Fragestellung dieses Threads, wie sicher OpenSourceprogramme sind.
Ich hatte letztens mit BJ (einige kennen ihn vielleicht) beim einkaufen eine interessante Diskussion zu diesem Thema.
Aufgehängt haben wir das ganze an den "großen" OS Win und Linux.

Wir konnten uns nicht einigen wie sicher Linux nun wirklich ist. Ich vertrete die Meinung, dass es sehr sicher ist, weil jeder die Möglichkeit hat den Code einzusehen und Schwachstellen aufzudecken sowie zu stopfen. Andererseits können bösartige User dadurch relativ schnell Sicherheitslücken finden.
Ich glaube, dass Linux solange sicher ist, solange es ein OS für den "Untergrund" bleibt, weil es sich momentan kaum lohnt Viren u.ä. für Linux zu programmieren, weil es einfach zu wenige User gibt.

Etwas anderes ist, dass an Linux ja jeder weiterprogrammieren kann (ich habe mich jetzt nicht mit der Organisation beschäftigt, aber soweit ich weiß darf jeder daran weiter arbeiten wie er lustig ist) das fertig gestellte Stück wird dann wieder zum Organisator zurückgeschickt. BJ meinte jetzt, dass da eine große Sicherheitslücke ist, weil man ja bösartigen Code in seinem neu programmierten Stück verstecken kann.
Jetzt wissen wir wie gesagt nicht wie die Organisation genau aussieht und ob sowas überhaupt praktisch möglich ist.

Nehmt doch einfach mal Stellung zu diesen Gedanken und postet eure Meinung :D

Jesus_666
23.08.2004, 16:23
Original geschrieben von YoshiGreen
Wir konnten uns nicht einigen wie sicher Linux nun wirklich ist. Ich vertrete die Meinung, dass es sehr sicher ist, weil jeder die Möglichkeit hat den Code einzusehen und Schwachstellen aufzudecken sowie zu stopfen. Andererseits können bösartige User dadurch relativ schnell Sicherheitslücken finden.
Allerdings werden gefundene Sicherheitslücken in der Regel sofort beseitigt. Und der Code wird permanent von hunderten von Leuten überprüft - im Gegensatz zu Closed Source-Anwendungen.


Ich glaube, dass Linux solange sicher ist, solange es ein OS für den "Untergrund" bleibt, weil es sich momentan kaum lohnt Viren u.ä. für Linux zu programmieren, weil es einfach zu wenige User gibt.
Im Serverbereich ist Linux bereits das dominante OS. Und es ist ziemlich sicher, obwohl es mit Sicherheit einen Haufen Leute gibt, die versuchen, das zu ändern.


Etwas anderes ist, dass an Linux ja jeder weiterprogrammieren kann (ich habe mich jetzt nicht mit der Organisation beschäftigt, aber soweit ich weiß darf jeder daran weiter arbeiten wie er lustig ist) das fertig gestellte Stück wird dann wieder zum Organisator zurückgeschickt. BJ meinte jetzt, dass da eine große Sicherheitslücke ist, weil man ja bösartigen Code in seinem neu programmierten Stück verstecken kann.
Jetzt wissen wir wie gesagt nicht wie die Organisation genau aussieht und ob sowas überhaupt praktisch möglich ist.
Jeder neue Code wird an die zuständigen Maintainer geschickt, die ihn gründlich überprüfen. Nur, wenn sie der Meinung sind, daß der neue Code für den Kernel sinnvoll ist und keine unerwünschten Funktionen enthält, kommt er in den Kernel. In der Hinsicht hat Linus das letzte Wort und er wird garantiert nichts reinlassen, was Linux weniger sicher macht.
Bei anderen Projekten sieht es normalerweise so aus, daß Änderungen nur dann übernommen werden, wenn die Entwickler damit zufrieden sind - und gefährlicher Quellcode ist in der Regel auffällig. Zumal die vorgeschlagenen Änderungen oft nicht 1:1 übernommen werden.
Alerdings kann man bei Open Source-Projekten relativ sicher sein, daß die Entwickler keinen Unsinn reingebaut haben - weil jeder den Code einsehen kann werden ungesunde Funktionen schnell entdeckt oder (im Normalfall) gar nicht erst eingebaut. *nix-Geeks neigen dazu, paranoid zu sein und mögen so was nicht. Rate mal, wer einen guten Teil der Open Soure-Bewegung ausmacht. ^_~

Crash-Override
23.08.2004, 17:24
Ganz generell gesehen find ich Open Source schon sicher, doch selbstverständlich hat Micro$oft auch gute Sicherheitsexperten die ihren Quellcode durchsehen, von daher denke ich das es auch sicher sein müsste (! [kA was die immer falsch machen ;)]).

Wenn zu viele Leute an einem Quellcode rumschreiben, dan wird es imho net so gut, weil jeder so seinen eigenen Style hat. Einer mag lieber die Lange form, weil ers so besser versteht und ein anderer wiederum findet es besser die Abkürzung über (was weiß ich) die WinApi (ok schlechtes Beispiel) oder so was zu machen...

Open Source an sich find ich klasse, da man dabei auch viel Lernen kann bzw. verbessern kann. So werden auch einige meiner Programme OpenSource. XTraAni (meno hab im Moment gar keine Zeit zum Weiterarbeiten), die Neuauflage von UltraPHP (noch nicht erschienen) und mein Maker RPG-Main (momentan nur für die Betatester einsehbar)...

Vor allem sollte der Open Source Markt auf der Windows Platform sich mal vergrößern, denn da ist so gut wie alles Closed Source (:(). Linux dagegen ist eine Beliebte Platform für Open Source Anwendungen, da ist ja so gut wie jedes 2. Projekt Open Source. Um ehrlich zu sein: Mir fällt im Moment nicht mal ein komerzielles Programm / Spiel für Linux ein, das etwas kostet :rolleyes: ...

Jesus_666
23.08.2004, 17:37
Original geschrieben von Crash-Override
Ganz generell gesehen find ich Open Source schon sicher, doch selbstverständlich hat Micro$oft auch gute Sicherheitsexperten die ihren Quellcode durchsehen, von daher denke ich das es auch sicher sein müsste (! [kA was die immer falsch machen ;)]).
Microsoft beschäftigt vielleicht 30 kompetente Leute, die den Code durchsehen. Linux wird von hunderten von kompetenten Leuten untersucht, von denen einige auch noch Spezialisten in ihrem Fachgebiet sind - kein Closed Source-Hersteller könnte es sich leisten, so viele Fachleiute einzustellen.


Wenn zu viele Leute an einem Quellcode rumschreiben, dan wird es imho net so gut, weil jeder so seinen eigenen Style hat. Einer mag lieber die Lange form, weil ers so besser versteht und ein anderer wiederum findet es besser die Abkürzung über (was weiß ich) die WinApi (ok schlechtes Beispiel) oder so was zu machen...
Wie schon gesagt werden Änderungen nur übernommen, wenn sie passen und beim Einbau normalerweise auch an den Codingstil des Projektes angepaßt.


Open Source an sich find ich klasse, da man dabei auch viel Lernen kann bzw. verbessern kann. So werden auch einige meiner Programme OpenSource. XTraAni (meno hab im Moment gar keine Zeit zum Weiterarbeiten), die Neuauflage von UltraPHP (noch nicht erschienen) und mein Maker RPG-Main (momentan nur für die Betatester einsehbar)...
Wunderbar, beonders dein Maker - in der Hinsicht gibt es bisher kaum Open Source-Programme und ein OSS*-Programm bietet immer eine Grundlage, um weitere zu entwickeln (zum Beispiel wird es langsam mal Zeit, daß ein portabler Maker entwickelt wird).


Vor allem sollte der Open Source Markt auf der Windows Platform sich mal vergrößern, denn da ist so gut wie alles Closed Source (:(). Linux dagegen ist eine Beliebte Platform für Open Source Anwendungen, da ist ja so gut wie jedes 2. Projekt Open Source. Um ehrlich zu sein: Mir fällt im Moment nicht mal ein komerzielles Programm / Spiel für Linux ein, das etwas kostet :rolleyes: ...
VMWare Workstation. Glaube ich zumindest.
Aber es stimmt: Fast alle Programme für Linux sind Open Source und die besten OSS-Programme für Windows sind einfach Ports von Linux-Programmen.

*OSS = Open Source Software, ich beziehe mich hier nicht auf das Open Sound System

Crash-Override
24.08.2004, 04:09
Mapedtioren gibt es schon einige, aber zumeist für das freie Betriebssystem ;) und dann auch noch in C++ (nichts gegen die Sprache,aber Pascal ist für mich heimischer)

Beispiel?
Mappy (http://www.geocities.com/SiliconValley/Vista/7336/robmpy.htm)

Jesus_666
24.08.2004, 05:13
Original geschrieben von Crash-Override
Mapedtioren gibt es schon einige, aber zumeist für das freie Betriebssystem ;) und dann auch noch in C++ (nichts gegen die Sprache,aber Pascal ist für mich heimischer)

Beispiel?
Mappy (http://www.geocities.com/SiliconValley/Vista/7336/robmpy.htm) Es gibt einen Unterschied zwischen einem Mapeditor und einer kompletten Spiele-IDE mit eigener Skriptsprache und der Fähigkeit, selbstlaufende Spiele zu erzeugen.

BTW, demnächst wird Microsoft Pascal.NET rausbringen, gleich nach FORTRAN.NET und Assembler.NET.

Ineluki
24.08.2004, 09:23
sorry, fuer OT,

aber ist ASM.net ein schlechter Scherz ?

Jesus_666
24.08.2004, 14:32
Genauso wie Pascal.NET und FORTRAN.NET. Ich hätte vielleicht noch bash.NET hinzufügen sollen.

Ineluki
24.08.2004, 22:20
Naja ... Pascal.NET ist ja im Prinzip nix anderes als Delphi 8 :(
Und das davon M$ ne eigene Version rausbringt koennte ich mir echt vorstellen. Und eine lange Zeit lang war M$ sowieso einer der bedeutenndsten Fortran Compiler Entwickler .. also waere Fortran.net gar nicht so abwegig.

lediglich ASM.net liess mich schlucken, waere aber auch im bereich des Moeglichen M$ ist alles zuzutrauen ...

PS: wie stehts denn nun, wollen wir vielleicht wirklich Free-DSA als OSS-OS entwickeln ? ^____^

Gruss Ineluki

Jesus_666
25.08.2004, 04:59
Original geschrieben von Ineluki
PS: wie stehts denn nun, wollen wir vielleicht wirklich Free-DSA als OSS-OS entwickeln ? ^____^
Öhm, hab' ich was verpaßt? O_o

YoshiGreen
25.08.2004, 14:38
Tjoa, dass is ja auch mal cool, dass ich nen Mod auf eine angehende 1:1 Diskussion hinweise ^^
Eigentlich gings ja um das Thema wie sicher OpenSource Programme sind, aso scheint ja hier die Ansichtweise endeutig zu sein, dass OS dadurch sicher ist, das halt viele Leute gleichzeitg den Code prüfen können?!
Wäre kwul wenn sich auch mal andere dazu äußern, müssen ja nicht unbedingt OS-User sein. EInfach die Gedanken die ihr zu OS und Sicherheit habt ^_^

Latency
25.08.2004, 14:47
Ich bin auch der überzeugung, dass OSS sicherer ist als Closed Source Software das liegt aber IMHO eher daran dass die meiste OSS für Linux geschrieben wird und Linux ja von Haus aus sicherer ist als Windows da der Standarduser != Admin. Dass hunderte User den Code überprüfen ist ne andere geschichte, die aber auch damit zusammenhängt, zudem wenn man freiwillig so ein Programm entwickelt ist man eher versucht auf Fehlerfreiheit zu achten als wenn man Geld dafür kriegt, denn Kohle gibts auch bei Fehlerhafter Software, aber ansehen in der Com. nicht.

@Yoshi-Green: Bitte gewöhne dir an OSS zu schreiben, den OS ist ne gebräuchliche Abkürzung für Operating Software, und dann kannst du dir denken, dass ich lang gebraucht habe diesen Satz zu verstehen: "Wäre kwul wenn sich auch mal andere dazu äußern, müssen ja nicht unbedingt OS-User sein"

terror666
02.12.2004, 00:47
der thread ist zwar schon etwas älter, aber ich geb trotzdem meinen senf dazu


Um ehrlich zu sein: Mir fällt im Moment nicht mal ein komerzielles Programm / Spiel für Linux ein, das etwas kostet :rolleyes: ...
das ist n witz, oder?? ich könnte dir auf anhieb

Programme:
Softimage|XSI
Maya

Spiele:
UT,UT2003,UT2004,Rune,SimCity3000,CallOfPower,Q3A,Nordland,Tribes2,Doom3,NWN uvm.

@Topic:
ich bin mir auch ziemlich sicher das OpenSource sicherer ist als ClosedSource.

zum thema viren:
ich hab schon seit jahren keinen virus mehr gesehen. das einzigste was einem heut noch begegnet sind delitantisch programmierte würmer die in VisualBasic geschrieben wurden.
(was im übrigen ein ziemliches armutszeugnis für windows ist)

Maisaffe
02.12.2004, 21:57
der thread ist zwar schon etwas älter, aber ich geb trotzdem meinen senf dazu


das ist n witz, oder?? ich könnte dir auf anhieb

Programme:
Softimage|XSI
Maya

Spiele:
UT,UT2003,UT2004,Rune,SimCity3000,CallOfPower,Q3A,Nordland,Tribes2,Doom3,NWN uvm.

@Topic:
ich bin mir auch ziemlich sicher das OpenSource sicherer ist als ClosedSource.

zum thema viren:
ich hab schon seit jahren keinen virus mehr gesehen. das einzigste was einem heut noch begegnet sind delitantisch programmierte würmer die in VisualBasic geschrieben wurden.
(was im übrigen ein ziemliches armutszeugnis für windows ist)
Das mit den Spielen ist schrott, die gibts ja auch für Windows ;)

Es ging eher um Programme (welche speziel für Linux sind(?)).

Das mit der Sichheit ist schon ein Problem, deswegen würde ich nicht auf jede x-beliebige Software (im moment jetz linux) umsteigen, die keier kennt (bzw. wenn die jetz von nem kumpel ist sollte das was anderes sein ;)).

Dennis

Lukas
02.12.2004, 22:32
Ich habe zwar schon mal hier reingepostet, aber ich mach's nochmal, da der Post durch den Crash verloren gegangen ist.

Ich persönlich halte OSS für sicherer, weil einfach mehr Leute den ode durchgucken und nach Fehlern suchen. Da ist es egal, ob das um den FF und den IE oder Linux und Windoof geht. Warum muss Micro$chrott wohl jede Woche einen neuen Windoof-Sicherheitspatch rausbringen? Bestimmt nicht, weil das Betriebsystem keine Sicherheitslücken hat.

IMO kann man das allerdings nicht zu 100% an den Betriebssystemen vergleichen, da Windoof einfach viel verbreiteter und damit ein attraktiveres Ziel für die Hacker ist.

Zu guter letzt sei gesagt, dass natürlich kein Programm fehlerfrei ist und sich überall Sicherheitslücken einschleichen können, egal ob open oder closed Source.