Und wieder mal in einem Artikel gelesen, dass Closed-Source-Software sicherer wäre als Open-Source-Software, weil letztere eine Einladung für Hacker sei, darin gezielt nach Sicherheitslücken zu suchen.
-
Closed-Source-Software, die im Artikel als sicherer dargestellt wird, der kann man nicht "unter die Motorhaube" schauen. Da können zig Lücken drin sein. Wenn Kriminelle diese Lücken durch Trial and Error finden, gibt es nur eine kleine Anzahl an Leuten, die die Software überhaupt fixen können. Es gibt keine große Community im Hintergrund und keine ethische Verpflichtungen gegenüber der Gesellschaft. Mit Glück einen Wartungsvertrag, der die Hersteller zwingt, die SW zu maintainen.
Sich aber im Krisenfall auf ein Stück Papier zu verlassen anstatt auf eine große Gemeinschaft ethisch verpflichteter Menschen, die wissen, was sie tun, ist eindeutig zu kurz gedacht und verankert rein im Management-Denken, Verantwortung immer nur abzugeben; "Wir brauchen eine Krisennummer, die wir anrufen können!" Und dann? Dann hat man den nächsten Polohemd-Träger dran, der ebenfalls wieder wen anruft, bis die Telefonkette durch ist und gefixt ist in der Zeit gar nichts.
-
Entwickler:innen, die ihren Code ins Netz stellen, sind sich dessen bewusst, dass eine riesige Community fähig ist, ihren Code zu beurteilen und auf fragwürdige Umsetzungen hinzuweisen und ggf den Code selbst zu forken und weiterzuentwickeln. Sie haben also ein ethisches Eigeninteresse daran, sauberen Code in die Welt zu entlassen.
@viennawriter "Sie haben also ein ethisches Eigeninteresse daran, sauberen Code in die Welt zu entlassen." - weil ich da Gegenbeispiele kenne, halte ich das zumindest für optimistisch.
Security by obscurity hilft nicht automatisch, aber wenn deine Angreifer hohe Kosten haben dein System nachzubauen, werden bestimmte Angriffe weniger wahrscheinlich.
(Blöderweise haben staatliche Angreifer idR die tiefsten Taschen)
-
Sich aber im Krisenfall auf ein Stück Papier zu verlassen anstatt auf eine große Gemeinschaft ethisch verpflichteter Menschen, die wissen, was sie tun, ist eindeutig zu kurz gedacht und verankert rein im Management-Denken, Verantwortung immer nur abzugeben; "Wir brauchen eine Krisennummer, die wir anrufen können!" Und dann? Dann hat man den nächsten Polohemd-Träger dran, der ebenfalls wieder wen anruft, bis die Telefonkette durch ist und gefixt ist in der Zeit gar nichts.
Es wird wie so oft nicht nach validen Lösungen geschaut, sondern nach VerantwortungsAbwälzung und Möglichkeiten, mit dem Finger zu zeigen. Wenn mal bloß irgendwer in einer Verwaltung den A* in der Hose hätte, wieder mehr Miteinander zu wagen, Communities einzubinden und Verantwortung zu verteilen, statt sie auf Stücken von Papier mit Stempeln darauf in Ordner zu heften, wären wir als Gesellschaft ein ganzes Stück weiter.
-
@viennawriter "Sie haben also ein ethisches Eigeninteresse daran, sauberen Code in die Welt zu entlassen." - weil ich da Gegenbeispiele kenne, halte ich das zumindest für optimistisch.
Security by obscurity hilft nicht automatisch, aber wenn deine Angreifer hohe Kosten haben dein System nachzubauen, werden bestimmte Angriffe weniger wahrscheinlich.
(Blöderweise haben staatliche Angreifer idR die tiefsten Taschen)
@lobingera Es gibt für alles Gegenbeispiele. Ich gehe tatsächlich davon aus, das das Gros der Menschen, die OSS maintainen, das mit gutem Gewissen gegenüber der Community tun. Und wenn das gewählte Stück Papier von Microsoft kommt, müssen wir über die Güte von deren Produkten jetzt nicht anfangen.
-
Und wieder mal in einem Artikel gelesen, dass Closed-Source-Software sicherer wäre als Open-Source-Software, weil letztere eine Einladung für Hacker sei, darin gezielt nach Sicherheitslücken zu suchen. Das ist doch ein Denkfehler. Als ob die SW sich in dem Moment materialisieren würde und genau dann alle anfangen, sich damit zu beschäftigen. Zumeist sind die schon seit Jahren da, zigmal geforkt und oft auch gut gewartet. Sprich: Viele Augen haben den Code gesehen und verbessert.
@viennawriter Software wird nicht unsicher, weil Sicherheitslücken bekannt sind, sondern weil Sicherheitslücken vorhanden sind. -
@viennawriter Software wird nicht unsicher, weil Sicherheitslücken bekannt sind, sondern weil Sicherheitslücken vorhanden sind.
@diesch Ich ergänze: Und durch die Geschwindigkeit, wie diese dann gefixt werden (können).
-
Und wieder mal in einem Artikel gelesen, dass Closed-Source-Software sicherer wäre als Open-Source-Software, weil letztere eine Einladung für Hacker sei, darin gezielt nach Sicherheitslücken zu suchen. Das ist doch ein Denkfehler. Als ob die SW sich in dem Moment materialisieren würde und genau dann alle anfangen, sich damit zu beschäftigen. Zumeist sind die schon seit Jahren da, zigmal geforkt und oft auch gut gewartet. Sprich: Viele Augen haben den Code gesehen und verbessert.
@viennawriter hö 🤨 wie kommt man auf die quatschige Idee das Closed Source sicherer wäre?
-
@viennawriter hö 🤨 wie kommt man auf die quatschige Idee das Closed Source sicherer wäre?
@SuicideSchaf Wenn ich mal von der Argumentation "OSS = unsicher weil da kann ja jeder drin nach Vulns suchen" ableite, dann ist sie vermutlich für den Autor des Artikels deswegen sicherer, weil keiner reingucken kann. Also klassisches Security by Obscurity.
-
Entwickler:innen, die ihren Code ins Netz stellen, sind sich dessen bewusst, dass eine riesige Community fähig ist, ihren Code zu beurteilen und auf fragwürdige Umsetzungen hinzuweisen und ggf den Code selbst zu forken und weiterzuentwickeln. Sie haben also ein ethisches Eigeninteresse daran, sauberen Code in die Welt zu entlassen.
@viennawriter
Wohingegen Entwickler:innen, die nach etwas willkürlichem wie Zeilen Code bezahlt werden, eher den Aufwand gering halten wollen, um möglichst viele Zeilen rauszuhauen… -
@viennawriter
Wohingegen Entwickler:innen, die nach etwas willkürlichem wie Zeilen Code bezahlt werden, eher den Aufwand gering halten wollen, um möglichst viele Zeilen rauszuhauen…@ArnimRanthoron Gibt's davon viele im OSS-Bereich? Ernstgemeinte Frage. Ich dachte, die sind eher im Corporate Umfeld zu finden, was dann tendenziell Closed-Source-Software fabriziert.
