Mozilla: Freie Software besser vor Lücken geschützt

Software Mozilla hat erst kürzlich eine neue Version seines freien Web-Browsers Firefox veröffentlicht. Mit der Ausgabe 2.0.0.5 wurden einige Sicherheitslücken behoben, die erst wenige Tage zuvor entdeckt worden waren. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Man reiche ihm ein Keks... das liest sich ja als wäre er einer der Winfuture-Newcomment schreiber :D
 
@.omega.: Wer ihm? Dem Sicherheitschefin von Mozilla?
 
@.omega.: :) man reiche ihm einen Keks, kniet hierbei nieder und setzt ein ehrfürchtiges Gesicht auf. So muss das heißen.
 
Das sehe ich genauso. Wieso einen Monat auf nen Patch warten, wenn es schneller geht. Außerdem bearbeiten die bei Mozilla und besonders bei Ubuntu (hab schon zig Emails hin und hergeschickt) Anfragen und Bug-Reporte schnell und effezient. Bei MS bekommt man nichtmal ne (automatische) Email, die erklärt, dass MS den Bug-Report erhalten hat. Ein Update darauf kommt auch nie. Bei Ubuntu hab ich schon ein paar Mal was eingeschickt und hatte am selben Tag ein Update und ein paar Tage später gab es dann spätestens einen Patch oder eine Erklärung, wie man das Problem beheben kann.
 
Da ist viel Eigenlob dabei :) Da finde ich das schon interesannter , sowas liesst man bei WF nicht . http://www.heise.de/newsticker/meldung/93284
 
@~LN~: Also den Heise-Artikel finde ich persönlich besser geschrieben als den hier. Sehr interessant ist auch Jesper's Blog http://tinyurl.com/37o23j auf dem im Artikel verwiesen wird. Vorallem die Aussage von Snyder [...] Außerdem räumt sie ein, dass man dieses Problem beim Erstellen des Fixes für 2.0.0.5 bereits hätte finden und beheben müssen. [...] wird hier bei WF völlig vergessen. Der 2.0.0.5 ist nicht gepatcht.
 
Man kann das einfach nicht vergleichen!

Microsoft kann gar nicht sooo schnell ein neues Sicherheitsupdate für eines ihrer Produkte auf den Markt werfen! Das liegt daran, dass die Produkte von Mirosoft so weit verbreitet sind. Daher muss Microsoft vorher ausgiebig alles mögliche testen, was sehr, sehr viel Zeit beansprucht, denn wenn MS einfach so wild drauf los die Updates veröffentlicht, dann ist das Geschreie groß und alle lästern über MS, weil man ja für das Produkt bezahlt hat und daher auch Support/Updates dafür erwartet. Bei Open-Source ist etwas anderes. Es gibt keine Verpflichtungen. Wenn da mal etwas nicht richtig funktinoiert, ist es nicht weiter tragisch, weil sich ja jeder sagt "das Programm ist ja eh gratis, also darf ich auch nicht zu viel erwarten... warte ich halt noch ein bisschen bis wieder Update kommt, welches das neue Problem dann behebt". Übrigens kann man das Problem, was ich gerade ansprach sehr gut in letzter Zeit erkennen. Micosoft wurde immer wieder in aller Öffentlichkeit kritisiert, dass die Updates so selten herauskommen. Wenn MS dann mal "Euch" zurliebe schneller ein Update herausbringt ohne es gründlich testen zu können, dann tauchen zig Fehler auf und alle beschweren sich, wie blöd Microsoft doch sei, dass die keine vernünftigen Updates herausbringen können - überlegt mal wieviele Milliarden Konfigurationen auf der Welt vorhanden sind, für die MS ein funktionierendes Update herausbringen muss.

Übrigens: Meiner Meinung nach sind Open-Source-Programme nicht so sicher wie Closed-Source-Programme. Grund: Ganz einfach. Bei Open-Source kann der findige Hacker sich einfach eine Lücke im Code suchen und wird IMMER eine finden, da man immer alles umgehen kann. Bei nicht quell-offenen Programmen muss der Hacker viel mehr probieren, sodass es viel schwieriger ist und es viel länger dauert.

Wären Open-Source-Programme und Closed-Source-Programme gleich verbreitet, würde es defintiv mehr Sicherheitslücken bei den OS-Programmen geben. Der einzige Unterschied ist nur, wie ich ja schon ansprach, dass für die Sicherheitslücken aber auch die Updates schneller erscheinen.
 
@sushilange: also ich finde das es kein problem ist die updates auch schneller rauszubringen... ist ja nun nicht so als ob jeder bug oder jede sicherheitslücke sich bei jedem system anderst verhält... bisher hatte ich keine schlechte erfahrungen durch schnelle updates unter linux...
bei MS hatte ich bisher schon mal probleme... (soll nicht heißen das man nur probleme hat kommt halt alle paar monate mal vor) ich denke MS könnte wenn sie wollten die updates auch früher rausbringen.
 
@sushilange: Dafür ein +
 
@sushilange: anscheinend reicht lange testen bei mircosoft schon gar nicht mehr aus, da die hauseigene software über jahre hinweg nur gestreckt wurde. unendlich viele zeilencodes wo selbst microsoft mitarbeiter nicht mehr durchblicken. microsoft fühlt sich im übrigen auch nicht dazu verpflichtet fehlerfreie software zu basteln. du kannst dich ja gerne mal bei microsoft beschweren wenn etwas nicht läuft, die lachen dich aus. serviceverträge muss man auch da abschliessen, das ist bei windows und linux gleich. wenn das nicht so währe, müsste microsoft ja das sicherste system der welt haben. haben sie aber nicht, hat keiner. so ist es also eine einstellungssache wie man mit fehlern und lücken umgeht. die offenen machen das sehr gut und der vorteil, man kann sich selbst davon überzeugen, weil nichts versteckt wird. man will, dass lücken entdeckt werden. bei microsoft versteckt man alles, damit keiner reinschauen kann. hat vorteile, aber auch nachteile. nachteilig ist ja wohl, dass man microsoft 100 prozentig vertrauen muss. wer das tut, selbst schuld, da microsoft ein gewinnorientierter betrieb ist. geschlossene software sind zeitbomben. open source ist immer transparent und dadurch sicherer, weil man weltweit nach offenen stellen suchen kann.
 
Vorwürfe gegen MS ohne Beweise vorzulegen , ist doch immer dasselbe .
 
@spreemaus: ich stimme dir im großem und ganzem zu aber das mit den zeitbomben ist wohl eher übertrieben. gibt auch gute closed source programme die gut gewartet werden, MS macht das zwar nicht gerade so gut mit deren politik aber man kann nicht anhand von MS jede closed-source software vertäufeln!
 
@sushilange: Microsoft testet seinen IE unter Windows - dort dann aber auch nicht bei allen Windows-Systemen sondern nur unter denen, die auch noch Support haben. Firefox wird unter mehr Windowsversionen getest und dazu noch andere Platformen wie Mac OS X und Linux. Also ist der Aufwand sicher bei Firefox höher als beim IE. Das Argument wäre also ungültig. Das einzige was bei Microsoft verständlich ist, ist die Wartezeit von bis zu einem Monat weil nur einmal im Monat Patches kommen. Das ist dafür, dass Systemadministratoren nicht die ganze Zeit nach Updates schauen müssen sondern nur einmal im Monat. Da Mozilla das anders aufgebaut hat muss dort nur die neue Version auf die Updateserver gelegt werden und die Programme updaten prüfen selbst auf Updates.
 
Was für ein Blabla. Ob eine Software quelloffen oder nicht ist, hat real mit der Qualität und Fehlerbehebung gar nichts zu tun. Das gilt nur rein theoretisch. Theoretisch kann jeder mal schnell in sein Firefox reinschauen und die Fehler beheben - so eben zwischen Müsli und Kaffee. Wenn das wirklich so trivial wäre, dann hätte es den Fehler gar nicht gegeben.

Den Quellcode zu haben nützt erst mal gar nichts, da die Anwendungen heutzutage viel zu komplex sind um mal eben daran zu arbeiten. Man muss sich ausgiebig damit beschäftigen. Da außerdem die meisten Leute, die behaupten programmieren zu können, nur üblen Spaghetti-Code abliefern, bleiben effektiv nur wenige Leute übrig, die ernsthaft an solchen Anwendungen arbeiten. Und dann stellt sich die Frage, ob diese lieber Features produzieren oder qualitativ hochwertige Software.

Microsoft ist beispielsweise vor ein paar Jahren dazu übergegangen, 0-Warnung-Code von ihren Programmierern zu verlangen. Das hat damals einen deutlichen Qualitätsschub gebracht. Wenn man sich den Sourcecode von Windows anschaut - allein in Deutschland haben den mehrere Dutzend Unis - stellt man fest, dass er sehr strukturiert und gut kommentiert ist. So etwas trägt zur Qualität und Wartbarkeit bei.

Wenn man sich Open-Source-Anwendungen anschaut, dann stellt man fest, dass es dort ebenfalls sauber programmierte, gut kommentierte Programme gibt. Aber genauso gibt es auch üble Hacks, die man nie wieder anfassen und ändern sollte. Open Source hat viele Vorteile, aber Qualität und Wartbarkeit sind unabhängig davon - schließen sich aber auch nicht aus.

Vor einer Weile gab es mehrere Studien wo z.B. Windows und Linux verglichen wurden was die Anzahl an Bugs und die Zeit zur Behebung betrafen. bei der Anzahl der Fehler nahmen sich beide nicht so viel (durch Vista wird vermutlich aber Windows wieder "gewinnen"). Bei der Fehlerzeit aber lag Suse an erster Stelle als schnellster Bugbeheber, MS war auch recht gut und einiger andere Linux-Distris waren sehr schlecht. Was sagt uns das? Wie schnell Fehler behoben werden hängt maßgeblich von der Firma / den Entwicklern ab und nichts anderes.
 
@timurlenk: Ich glaube, es geht bei der Quelloffen-Aussage nicht um die Fehlerbehebung, sondern um die möglichen Angriffspunkte, die dadurch besser sichtbar werden. Diese werden (mit Kenntnis des Quellcodes) schneller gefunden und ausgenutzt, womit die Entwickler dann schneller Kenntnis von diesen Lücken haben und im Produkt wieder schließen können.
 
Was für ne Schwachsinnsargumentation. MS macht die 1 Mal im Monat-Sache nicht, weil keiner die Quellen hat, sondern weil sich das die Firmenkunden wünschen. Aber war ja klar, dass die sich selbst loben. Würd ich auch so machen.
 
@Kirill: die könnten die updates ja dann immer optional "makieren" und dann einmal im monat als ne art "pflicht" makieren, dann wären alle glücklich :) wäre dann in etwa wie unter linux da sind neue versionen auch erst als "testing" makiert bis sie ausreichend getestet wurden :-)
 
@darkstar85: Microsoft macht das, damit Systemadministratoren nicht ständig nach Updates schauen muss sondern nur einmal im Monat updates einspielen muss. Wenn man einen einzigen PC hat ist das natürlich kein Problem aber wenn man mal hunderte PCs verwaltet sollte da nicht ein unangemeldetes Update kommen, das ein System vielleicht abschießt oder unerwartete Änderungen durchführt.
 
@ccMatrix: deswegen sollen die die uptades ja dann erstmal solang in die kategorie optional schieben dann können leute die es wollen installieren und einmal im monat werden die dann in "pflicht" geschoben und die administratoren haben ihren frieden genauso wie die anwender die gern früher die updates haben wollen sollte ja nicht schwer sein das zu machen... soll übrigens auch administratoren geben die nicht so lang warten wollen... wäre auch für die gut!
 
Ist doch auch gut für die ganzen paranoiden Privatanwender, die denken sie hätten etwas (vielleicht den Product-Key oO) vor MS zu verbergen, und die Spionage-Funktion "automatische Windows Updates" erst mal abschalten... man sieht ja am Blaster, wie viel es genutzt hat, dass der Patch schon 3 Wochen lang über automatische Updates eingespielt worden wäre... Ist doch schön: Solche Leute müssen auch nur noch ein mal im Monat ihre Updates einspielen, vielleicht überwinden sie sich ja dazu... ach gott, ich träume schon wieder...
 
Geht das schon wieder los ...
 
Bei OSS werden Schwachstellen schneller gefunden und auch schneller gefixt. Das liegt daran, dass jeder den Code ansehen kann und auch sagen kann "Hier ist der Fehler, so kann man es beheben". Bei Closed-Software ist dies nicht möglich. Und wenn 10.000 Testen und auch den Quellcode ansehen (ist nicht viel in der OSS-Szene!), dann ist die Wahrscheinlichkeit einen Fehler zu finden viel höher, als wenn 100 Mitarbeiter einer Firma suchen.
 
http://www.heise.de/newsticker/meldung/93346
 
Nunja, die Dame ist Sicherheitsexpertin bei Mozilla, wer hätte also eine andere Einschätzung erwartet? :) Ich hingegen denke nicht, dass quelloffene Software sicherer ist - im Gegenteil. Es ist einfacher, Sicherheitslücken zu finden, wenn der Code offen ist. Dass Mozilla auf Lücken oftmals schneller reagiert als MS, steht auf einem ganz anderen Blatt und ist mitnichten ein Beweis dafür, dass OpenSource-Software sicherer ist :)
 
@pkon: "es ist einfacher, Sicherheitslücken zu finden, wenn der Code offen ist." ich mache dir keinen Vorwurf, weil du es nicht besser weißt, aber es soll dir versichert sein, dass es in der Realität so nicht aussieht. Fehler werden dank der Quelloffenheit schneller entdeckt, als dass Schwachpunkte ausgenutzt werden, weil sich eben viele Experten auf der ganzen Welt (von der "guten" Seite) die Quelltexte anschauen können. Bei proprietären Systemen ist die einzelne Firma jedoch auf sich allein gestellt, die Lücken zu finden und zu stopfen. Bei ClosedSource bleiben Lücken jedoch eben oft unentdeckt und werden dann eben länger ausgenutzt.
 
Die Überschrift ist faktisch falsch. Freie Software und Open Source sind erstens mal unterschiedliche Dinge, und zweitens erklärt die gute Frau, dass das Finden von Lücken bei OpenSource (angeblich) effektiver sei und die Patches (angeblich) schneller erscheinen - ein Schutz vor Lücken ist etwas "vorbeugendes", hier geht es aber alleine um das Schließen. Und daran sieht man, dass das wichtigste Element der Sicherheit am PC nicht die Software, sondern der Benutzer ist, egal ob er Open Source oder Closed Source einsetzt, aktualisiert er seine Software nicht (wie war das nochmals mit Blaster & Co? Mit aktivierten Windows Updates wäre gar nichts passiert...), kann er sich die Welt ja schön reden "Juhu ich nehm OpenSource, mir kann nichts was tun...".
 
@mibtng: also ich hab cron laufen, da muss ich mir keine gedanken machen! auch nicht bei anwendungsprogramme die werden auch wenn nötig upgedated :)
 
Welcher unabhängige Sicherheitsexperte würde solch dummes Zeug labbern.
 
@swissboys: wenn du dich über einen so kleinen scherz aufregst, denke ich ist deine fachliche wie auch sachliche kenntnis auf kleiner ebene, sorry und gruss an ms :-))).
 
@swiss_hummer: Es wäre schön, du würdest auf der Ebene vor deiner Nase den blauen Pfeil finden.
 
Diese Dame "Window Snyder" ist bei schon ein bisschen unten durch, da sie sich mit der angeblichen "Sicherheitslücke" im IE den URL-Handler des Firefox betreffend ziemlich weit aus dem Fenster gelehnt hat. Ich meine man hätte doch mit Microsoft Kontakt aufnehmen können bevor man große Töne in die Öffentlichkeit setzt. Kann ich nicht verstehen so etwas. Jetzt ist es hinterher für sie ganz schön peinlich gewesen. Hätte sie eben alles besser prüfen müssen, die Dame. Daher gebe ich auf die neue Aussage von ihr jetzt auch nicht viel.
Abgesehen davon denke ich auch, dass Qualität von Software nicht davon abhängt, ob ein Produkt Open-Source ist oder nicht.
Ich denke es ist kein Argument, dass bei einem Closed-Source Programm lange nicht so viel getestet werden kann wie bei Open-Source. Mal ehrlich, wie viel Prozent der Firefox-User testen denn wirklich aktiv?
Es ist genauso kein Argument das jemand bei einem Open-Source Programm mal eben ein paar Sicherheitslücken finden kann. Das ist sicher nicht so einfach, da muss sich jemand auch erst mal mit dem Prorgamm beschäftigen um den inneren Programmablauf erst mal zu verstehen. Es kommt eben darauf an, wer an dem Programm arbeitet und wie viel er von seinem "Job" versteht. Egal ob OS oder CS!!!
 
Dass ist wiedereinmal ein Frage der Glaubwürdigkeit. Es gab auch schon solche Meldungen von "Experten" die das Gegenteil behauptet haben. Zumindest kann man mit solchen Meldungen gratis Werbung für sein Produkt machen. Was der Wahrehit zumindest am nächsten kommt.
 
Ich bersönlich finde den Microsoft Windows Internet Explorer 7.0 besser als den scheiß Mozilla Firefox
 
@Trate: Ja, *klatsch* Lebe deine subjektiven Meinungen und lasse uns dran teilhaben. Ich finde den IE hingegen scheiße. Aber wen interessiert es? Genau! Jeder nutzt das, was er will und das ist auch gut so. Aber dieses gegenseitige Bashing geht mir auf den Sack!
 
Firefox 2.0.0.5 Remote Code Execution flaw:
http:// xs-sniper.com/blog/remote-command-exec-firefox-2005/
 
Ich bezweifle, dass OpenSource wirklich besser vor Lücken geschützt ist. Sie werden vielleicht schneller entdeckt und dadurch auch schneller geschlossen, dafür werden Lücken bei ClosedSource nicht so schnell entdeckt aber oftmals genauso schnell geschlossen wie bei OpenSource. Fazit: Beides hat irgendwie seine Vor- und Nachteile, aber hundertprozentig besser ist keines von ihnen. :-)
 
@trollblog.de: IE ist Closed Source und es werden trotzdem mehr als genug Schwachstellen gefunden. Also von "nicht so schnell entdeckt", kann garkeine Rede sein. Man muss eben den Source nicht offen vor sich haben, um Schwachstellen zu finden, jedoch um die Lücken besser zu finden und effizienter schließen zu können schon.
 
@Com01: Wobei ich aber finde, dass sich die Situation in Sachen Sicherheitslücken mit dem Internet Explorer 7 erheblich verbessert hat. Der Internet Explorer 6 war ja auch sicherheitstechnisch total veraltet ...
 
@trollblog.de: Ja, das stimmt wohl.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte