Open vs Closed Source

17.08.2014 20:52 - Gestartet von blumenwiese

Womit erneut - nach OpenSSH - bestätigt wurde, dass auch Open-Source-Software nicht zwingend sicherer als Closed-Source-Software ist.

Der offene Source-Code ermöglicht es halt jeden leicht nach Schwachstellen zu suchen,. Und den meisten Elan legen dabei nun mal die Bösewichte an den Tag. Bei Closed-Source muss auch ein Bösewicht erst einmal durch Zufall auf eine Schwachstelle stoßen und kann nicht im Programmcode gezielt danach suchen.

Und der Vorteil von Open-Source, dass eben viele Leute den Programmcode begutachten und etwaige Schwachstellen entdecken können, besteht eben all zu oft nur in der Theorie, wie man bei OpenSSH ja deutlich gesehen hat. Hier ebenfalls. IN beiden Fällen bestanden bzw. bestehen die Lücken schon seit langer Zeit, blieben aber von den "Guten" bisher unentdeckt.

Damit spreche ich mich keineswegs gegen Open-Source aus. Ich warne nur davor, in Open-Source einen all zu großen Vorteil gegenüber Closed-Source erkennen zu wollen oder es gar als Allheilmittel gegen Schwachstellen anzusehen.

Menü

[1] Kai Petzke antwortet auf blumenwiese

18.08.2014 11:27

Benutzer blumenwiese schrieb:

Bei Closed-Source muss auch ein Bösewicht erst einmal durch Zufall auf eine Schwachstelle stoßen und kann nicht im Programmcode gezielt danach suchen.

Gehen Sie davon aus, dass die größten Bösewichte über mächtige Decompiler verfügen, die aus dem Binärcode wieder (halbwegs) lesbaren Programmcode erzeugen. Im Zweifelsfall sind diese auch noch gleich mit automatischen Routinen zur gezielten Suche nach möglichen Buffer Overruns und anderen typischen Problemfällen kombiniert.

Ich warne nur davor, in Open-Source einen all zu großen Vorteil gegenüber Closed-Source erkennen zu wollen oder es gar als Allheilmittel gegen Schwachstellen anzusehen.

Hier sind wir uns in der Tat einig.

Benutzername:
Passwort: