Open Source-Software weniger sicher als gedacht?

Sicherheitslücken Open Source-Software wird meist eine größere Sicherheit als proprietären Anwendungen zugeschrieben. In der Realität scheint dies jedoch nicht der Fall zu sein - so das Ergebnis einer Studie durch den Security-Dienstleister Fortify. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wer sagte überhaupt, dass Open Soure sicherer ist?
 
@davidsung: Das frag ich mich auch gerade. Bestimmt die Aussage von jemandem dessen Gehalt davon abhing. Wie immer fern der Wahrheit.
 
@davidsung: open source wird oft mit linux in verbindung gebracht.. daher schätz ich
 
Bei Open Source kann doch jeder den Quellcode einsehen und nach Fehlern suchen und sie gar selber fixen, das geht ja sooooo viel schneller als bei closed Source, wo man sich auf die Gnade des Herstellers verlassen muss, denn die Comunity/OS Hersteller bringen ja Patches immer sofort, andere nur einmal im Monat .......... das ist auf einmal alles nie gesagt worden oder wie?
 
@davidsung: Och, wenn du hier mal rumstöberst und bei News zu OPenSource-Produkten die Kommentare liest, wirst du einige finden die das sagen. Das Prinzip, dass jeder nach Lücken suchen kann ist schon richtig. Aber längst nicht jeder kann sie auch fixen. Meist kann man nur Postings auf Mailinglisten machen und nicht direkt am Quellcode fummeln. Ob dieses Posting gelesen/beachtet/eingepflegt wird steht auf nem ganz anderen Blatt.
 
@willi_winzig: Haste nen Clown gefrühstückt? Dein Text macht übrigens null Sinn, weil du dauernd Worte verwechselst^^ Es wurde gefragt wer gesagt hat das CS sicher ist und ich habe geantwortet. Es sind ja solche Größen wie du, die mit diesen hohlen Floskeln dauernd um sich werfen in einem Windowsforum wohlgemerkt. So groß kann die Community gar nicht sein, das du dauernd hier rum trollen musst, oder findest du dort nur keine Freunde und willst dich hier profilieren mit deinem Halbwissen? Geh und lern endlich lesen, schreiben und verstehen!!
 
@ willi_winzig: Dickes fettes PLUS von mir. Der fällt hier nur negativ auf. Habe noch KEINEN einzigen sachbezogenen Post von ihm gelesen. Er hat ganz sicher ein psychisches Problem. Aber lassen wir das, sonst weit er noch.
 
@PCLinuxOS: Das kommt davon weil du genau sowenig lesen und verstehen kannst wie WW, ihr habt die gleiche Tuxbrille auf, aber lassen wir das Trolle soll man ja nicht füttern. Übrigens: Was soll ich denn weiten? Euren Horizont? Das wäre eine Lebensaufgabe.
 
@davidsung: Das tolle ist ja, dass zwar jeder THEORETISCH im Code lesen und verbessern kann - aber ich wage zu behaupten, dass weniger als 5% der User das auch tut und das von diesen 5% auch wiederrum weniger als 5% überhaupt verstehen, was dort geschrieben wird und eine Lücke finden. Und von diesen 5% der 5% finden vlt. wiederrum nur 5% eine Möglichkeit die Lücke zu fixen. Und von den 5% der 5% der 5% ist es vlt. so, dass 5% auch ihre Lösung an an den "Macher" der Software übermitteln und dass da schlussendlich auch was gefixxed wird ...
 
@davidsung: OpenSource ist aufjedenfall mal eines! Nämlich billig oder umsonst. Dafür darf man nicht viel verlangen, bekommt aber in der Regel mehr als erwartet. Ausserdem ist es möglich dafür zu entwickeln. Was natürlich aber auch eine Sicherheitslücke bedeutet weil ist der source code offen wird es auch einige Kriminelle geben die das für sich zu nutzen wissen.
 
wenn ich Java schon höre... Java = unsicher,
aber nicht jede Open Source muss gleich unsicher sein...
 
@blue_think: 'Java = unsicher' halte ich für eine ziemlich unqualifizierte Aussage. Dass jede Open Source Software unsicher ist hat keiner gesagt.
 
@blue_think: Java ist by Design ziemlich sicher...
 
blue_think=uninformiert. Hier Mal eine kleine Kurzinfo für blue_unknown: Java gehört neben C-Sharp, dank eigener Speicherverwaltung und virtueller Laufzeitumgebung zu den aktuell sichersten Programmiersprachen die es gibt!!! Versuch mal den berühmten "BufferOverflow", der die häufigste Ursache für eine Sicherheitslücke ist, zu erzwingen........
 
"elf meist genutzten offenen Java-Applikationen im Unternehmensbereich": Das ist ja ne ausgiebige Untersuchung!
 
@zivilist: Wenn du schon einmal eine Software auf Sicherheitslücken untersucht hast, weißt du wie umfangreich das sein kann, gerade bei so umfangreichen Software-Produkten wie den hier getesteten.
 
@zivilist: Ich glaub meine Turbo Pascal Programme von früher sind auch nicht sicher (auch wenn sie nichts leisten konnten)... mist demzufolge sind generell Turbo Pascal Programme nicht sicher !!! *wuseldusel*
 
@voks: Stimmt ja, Fuzzing ist ja so schwierig bei den heutigen Möglichkeiten.
 
@RobCole: Die werden wohl ein wenig mehr als nur ein bisschen Fuzzing gemacht haben.
 
@voks: Wie ich merke, fehlt dir die Erfahrung beim Thema Fuzzing. Mit ein bisschen prüfen ist bei dem Umfang der bisherigen Fuzzing-Tools nicht zu reden. Aber du prüfst bestimmt nach dem Whitebox-Verfahren...
 
@RobCole: WhiteBox-Test gehört genauso dazu wie BlackBox-Test und so weiter. Aber das weißt du ja.
 
bei den closed source dingern weis man wenigstens wen man verklagen kann, wenn etwas wegen groben programmierfehlern in die fritten geht.
 
@LoD14: Aha, da haben wir wieder jemanden erwischt, der keine Eulas liest. Ich empfehle dir mal z.B. die Eula von MS Windows zu lesen, dann weist du auch wen du hier verklagen kannst, deine Oma evtl. In der Regel hast du bei Standardsoftware immer einen Haftungssauschluss auch wenn der Schrott wie im Falle Windows einige hundert Euro kostet.
 
@[U]nixchecker: Die EULA interessiert nicht weiter, wenn sie nicht bereits vor dem Kauf eingesehen werden kann.
 
@[U]nixchecker: Ja, DU hast die EULA nicht gelesen! LoD14 hat recht wenn er sagt, dass der Kunde für jegliche bezahlte Software bei groben/fahrlässigen Fehlern Anspruch auf Nachbesserung/Schadensersatz hat. Grundlage dafür ist das BGB, besonders dann, wenn AGBs den Käufer unverhältnismäßig benachteiligen. Bei kostenloser Software, jedoch auch noch rechtliche Ansprüche zu stellen, dazu wird sich keine juristische Person finden lassen.
 
Es gibt nur 2 Dinge im Leben, die sicher sind: Der Tod und die Steuern.
 
@DSidious: LOOOOOOOOOOOOOOOOOOOL (+)
 
Open Source-Software weniger sicher als gedacht?
 
@voytela: hey, du kannst von der überschrift abschreiben - glückwunsch :)
 
@voytela: oder kopieren. Ich hasse auch Überschriften die als Frage formuliert sind.
 
Alle angeführten Projekte haben ein zentrales Bugtrackingsystem... "Den Angaben zufolge soll die Studie allerdings keinen direkten Vergleich zwischen quell offener und proprietärer Software darstellen" wo ist dann der Sinn der Studie? Das Software generell unsicher ist? Welch Erkenntnis...
 
@ThreeM: Du warst schneller...
 
@ThreeM: "Gefunden wurden zahlreiche Sicherheitslücken, die vor allem Cross-Site-Scripting- und SQL-Injection-Angriffe ermöglichen." und "Das Problem sehen die Sicherheitsexperten von Fortify vor allem in der Organisation des Entwicklungsprozesses."
Sie haben Sicherheitslücken festgestellt und suchen die vermeintliche Ursache. Der Sinn ist halt der, dass die Entwickler darauf aufmerksam gemacht werden.

Edit: "Aber auch im Nachhinein fänden zu selten Korrekturen statt."
 
@ThreeM: Bugtracking ist wohl hier nicht gemeint, sondern sowas wie security@xyz.com, also ne direkte Kontaktmöglichkeit bei Sicherheitslücken. Wenn die bei JBoss das aber als Argument bringen, dann waren das wohl Praktikanten, die die Studie erstellt haben. Denn bei JBoss hat man direkte Kontaktmöglichkeiten bei sicherheitslelevanten Bugs.
 
@[U]nixchecker: Was ist an Bugtracking indirekter als an einer Support Adresse? Die Bugreports sehen die betroffenen Programmierer direkt. Bei Supportmails geht das ganze meistens noch den Umweg über (oftmals inkompetente) Servicemitarbeiter.
 
@ThreeM: Ich halte ein Bugtracking System schon für ein "Reporting-System" Aber gut, das mag Definitionssache sein...
 
@Fenix: Ich finde es im Falle Sicherheitslücken weitaus besser, wenn hier sofort die für Sicherheitslücken zuständigen Entwickler eine Mail bekommen. Es ist auch viel unkomplizierter, Niemand muss sich beim Bugtracker registrieren etc.. Nimmst du die Registrierung raus, wird dein Bugtracker zugespammed. Klar kannst du das trotzdem noch mit nem Bugtracking kombinieren, aber in erster Linie sollte so ein Kontakt möglichst unkompliziert stattfinden und nem Reporter überhaupt kein Vorwissen abverlangen. Außerdem bekommt nicht Hinz und Kunz die Info, so das zuerst Aktionen ergriffen werden können bevor das Ganze groß die Runde macht. P.S. Es geht hier auch nicht um Supportmails
 
@[U]nixchecker: Zum Thema Fachwissen: Ohne selbiges wird wohl niemand eine neue Sicherheitslücke entdecken, zumindest ist die Wahrscheinlichkeit dafür minimal und so viel Fachwissen ist es jetzt auch nicht, eben zu lesen, was da über reporting bugs steht und das genau nach der Anleitung zu machen. Sicherheitslücken geheim zu halten ist sich etwas vorzumachen und kann leicht dazu führen, dass keiner merkt, ob die Lücke überhaupt geschlossen wurde. Das die Entwickler bei direkten Mails das ganze schneller im Überblick haben mag ich zu bezweifeln: Die Bugtracking Systeme sind auf Übersichtlichkeit ausgelegt, verleiten dazu, genau die benötigten Informationen zu liefern und haben den Vorteil, dass sie - im Gegensatz zu einfachen EMails - es erschweren, Lücken einfach zu vergessen, weil sie als offene Bugtickets rumgeistern, bis jemand das ganze schließt. Mal ganz abgesehen davon, dass sie es den "Kunden" ermöglichen, schon entdeckte Lücken und noch nicht geschlossene Lücken im Vorfeld zu sehen und ihre Entscheidung, ob sie die Software benutzen wollen, sinnvoll zu treffen. Die wenigsten closed source Hersteller machen ihre eigene Software schlecht, dort erfährt man über Lücken meistens nur über dritte oder nach langer Suche und hat Probleme nachzuvollziehen, wie lange es dauert, bis sie behoben werden und im Durchschnitt wurden.
 
@Fenix: Okay ein Beispiel, du findest im Yahoo Mail Portal eine Sicherheitslücke, so jetzt musst du dich erstmal auf die Suche nach deren Bugtracking System machen, jetzt musst du dich registrieren, dann musst du deren Tool durchgucken bis du die entsprechende Kategorie gefunden hast, Ist ja nicht so, dass es auf dieser Welt ein Bugtrackingtool, z.B. Bugzilla, gibt. Bis das alles erledigt ist hat der Reporter schon die Lust verloren oder 10 Leute die Lücke ausgenutzt. Es gibt zig Firmen bei denen ist das viel einfacher gelöst. Und passend zum Thema JBoss gehört zu RedHat, jetzt guckst du mal zu http://www.redhat.com/about/contact/ und was findest du da sofort eine Adresse an die du sofort deine Lücke reporten kannst. Einfacher und Intuitiver gehts nicht, genau das meine ich und evtl die Jungs von der Studie auch. Was das verheimlichen von Lücken angeht, also ich finde es z.B. schon gut, wenn ich eine Nacht drüber Schlafen könnte und am nächsten Tag eine Lücke fixen könnte, bis es die Lücke bekannt ist, Cracker sitzen rund um die Welt und haben just in dem Moment in dem sie gemeldet wurde gerade Zeit schnelle nen Exploit zu schreiben und schon sind tausende von einer Lücke bedroht.
 
@[U]nixchecker: Der Zeitgewinn ist illusorisch, das System ist und bleibt kompromitiert. Wenn einer auf die Idee kam, weiß man nicht wie viele andere es schon sind und es ist besser, wenn man bekannt gibt, was los ist, sodass entsprechend betroffene (Teil-)Systeme abgeschaltet werden können. Ich sehe auch nicht den Zeitgewinn beim einsenden der Lücke. Die Programmierer - sodenn es überhaupt an sie weitergeleitet und nicht vom Support todgelabert wird - werden genau die Fragen stellen, die im tracking System per default abgefragt werden: Resultat: 3 Emails hin und her statt nur einmal tracker Formular ausfüllen. So viel Fachkenntnis, wie dazu nötig ist, sollte man schon bei einem Administrator, der derartige Software betreibt und in der Lage ist Sicherheitslücken zu finden voraussetzen können. Und selbst wenn nicht, die Systeme haben nahezu alle Mailinglisten oder irgendeine andere Form der Kontaktaufnahme, die exakt genauso funktionieren, wie die angegebenen Supportadressen und bei denen sich immer jemand vertrauenswürdiges findet, der den Report ins Tracking System einträgt.
 
"Dies wird unter anderem auf ein mangelndes Reporting-System zurückgeführt. So würden die meisten Open Source-Projekte nicht über eine zentrale Anlaufstelle verfügen, an die Fehler gemeldet werden können." OpenCMS: http://bugzilla.opencms.org/ Apache Derby: http://issues.apache.org/jira/browse/DERBY JBoss: https://jira.jboss.org/jira/secure/Dashboard.jspa ____- Mir ist eigentlich kaum ein OpenSource Projekt ohne BugTracking System bekannt, dafür sehr viele Closed Source Lösungen bei denen der Support aus einer unfähigen Telefon oder Email Auskunft besteht, die rät das Produkt neu zu installieren und das neuste Update "einzuspielen". Scheint ja eine sehr seriöse Studie zu sein, bei der geringen Stichprobenanzahl und den offensichtlichen Patzern. Winfuture Redation: Wie wäre es damit, die provokative Überschrift aufgrund der offensichtlichen Mängel der Studie zu ändern? Bezüglich Verfahrensweise/gründliche Fehlersuche: http://codestriker.sourceforge.net/ http://code.google.com/p/googletest/ Beide finden Einsatz. Aussagekräftigere Daten, als von dieser Studie findet man bei http://www.sqo-oss.org/xwiki/bin/view/Main/WebHomes
 
selten sowas unqualifiziertes und falsches gelesen. so eine beknackte und irreführende "studie" hab ich selten gesehen.
 
@willi_winzig: Das liegt daran, das DU noch nie eine Studie herausgebracht hast, du würdest das sicher toppen^^
 
@OttoNormalUser: war ja klar das unser ottonormaldenker wieder speicherplatz verbrauchen muss um sein gesülze abzugeben. bravo, klopf dir mal auf die schulter du laberbacke.
 
@willi_winzig: Mach ich doch glatt, allein schon weil du Troll immer wieder drauf anspringst^^
 
@OttoNormalUser: Falsch, denn erst schreibt er einen Post und DANN schreibst du. Also gehst DU immer auf SEINE Posts ein. Das bedeutet, du bist der Troll.
 
@PCLinuxOS : Diese Definition steht genau wo? Im man.troll^^?
 
also soweit ich weiß ist beispielsweise das open source cms joomla bisher noch nie gehackt worden. wenn, dann war eine installierte erweiterung schuld daran. okay, joomla basiert nicht auf java, sondern php - dennoch denke ich, dass open source und kommerzielle anwendungen sich in diesem punkt kaum unterscheiden dürften.
 
@Executter: also das Joomla nie gehackt wurde, stimmt so nicht. Aber die Sicherheitslücken wurden sehr schnell gefixt. Was aber egal ist, da immer noch sehr viele Admins mit einer veralteten Version von Joomla arbeiten.
Es gibt ja sowieso nie ein sicheres Betriebssystem, Software, Script oder sonstiges. Das war nie so und wird auch nie so sein. Menschen programmieren und Menschen sind fehlbar...
 
Ein Hoch auf das sichere Windows.
 
@besserwiss0r: Steht wo? Oder war das jetzt eine Studie von dir ohne Text?^^
 
Es relativiert die boulevardeske Überschrift.
 
@besserwiss0r: Da die Überschrift eine Frage ist, hätte ein Ja oder Nein völlig ausgereicht.
 
Hätt ich "Nein" geschrieben, hätte das aber wieder keiner verstanden ("Häääää?") und ich hätte Gegenbeispiele, Begründungen usw. liefern müssen. Also mach ich's so.
 
Ahja, endlich mal wieder eine Trollfuterstudie. Ich werde heut Abend extra lange wach bleiben um mir die Geistigen Ergüsse zu Gemüte ziehen. :)
 
Schade, dass dies hier nicht heise ist eigentlich.
 
@PCLinuxOS: Wozu wach bleiben? Die Buchstaben verschwinden nicht und es gibt täglich Nachschub : -)
 
Tja, bei Opensource kann jeder selber Bugs fixen und jeder kann selber nach Fehlern suchen. Es scheint nur lange nicht jeder zu tun und das ist das Problem an der Sache. Je professioneller das Projekt wird, desto mehr werden auch Fehler gesucht und behoben - von Leuten, die genau dafür bezahlt werden.
 
"Open Source" bedeutet ja nicht, dass keine Leute fürs Fehlerfinden bezahlt werden.
 
@der_ingo: ...und es kann auch nicht jeder programmieren, es gibt sicherlich wesentlich mehr Anwender als Progger und das jeder mal eben einen Fehler selbst beseitigen soll, ist wirklich humbug. Der Gedanke bei Open Source ist wohl ein anderer...
 
Was für Gays, wie die Kinder. Von nix ne Ahnung aber alles wissen wollen. Wenn einer sagt das AMD den Mond auf die Erde wirft, diskutiert ihr drüber das Intel einen viel größeren Mond hat. ... Warum sucht ihr immer nach einer endgültig richtigen Meinung? Die gibt es nicht ... nur eine relativ richtige Meinung . Also vom Betrachtungswinkel abhängig. Viel Spaß beim suchen und finden. MAnchmal kann ich nur den Kopf schütteln.
 
Ich auch, nach dem Wort "Gays" habe ich spontan die Lust verloren, dich ernst zu nehmen. :o ... auch wenn deine Kernaussage wohl wahr sein mag. (Hihi, Mond! *lqtm*)
 
Kann ich wunderbar mit leben
 
Zum Zwecke der Übersichtlichkeit hier wäre es nett, wenn du bei zukünftigen Antworten den blauen Pfeil neben deinem Beitrag nutztest. :)
 
Sofern vorhanden, ist das ein Deal. ^^
 
Der ist immer vorhanden. Nicht neben den Antworten, aber neben dem Originalbeitrag. Der reicht ja.
 
Und Microsoft hat bezahlt!!!!
 
@kfedder: ....und dich gleich davon in Kenntnis gesetzt, damit du uns davon berichten kannst....
 
ca. 70% aller Kommentatoren hier haben es mal wieder nicht geschafft den Text richtig zu lesen und vorallem zu verstehen. Man sollte einen Text auch zu deuten wissen (und es geht um Anwendungen, die hauptsächlich in Unternehmen zum Einsatz kommen, nicht um irgendwelche Heimanwendungen)... Pisa lässt grüßen. Im übrigen finde ich die Argumentation seitens der Firma recht schlüssig. Lässt sich im Grunde auf jede OpenSource Anwendung übertragen (für die, die wieder nichts verstehen: Das heißt im Umkehrschluss nicht, dass jede OpenSource Anwendung automatisch nichts taugt oder unsicher ist).
 
Ich finde Open Source und Closed Source haben beide Vor- und Nachteile die sich gegenseitig aufheben. Bei Open Source kann man den Quellcode nach Fehlern durchsuchen, bei Closed Source nicht, ok. Aber wenn man einen Fehler im Open Source Produkt gefunden hat, was ja naturgemäß schneller möglich sein sollte als bei CS, dann steht es einem frei davon zu berichten oder es für sich selber zu benutzen, bzw. einen Exploit zu verkaufen. Gibt genug Leute die dafür zahlen würden. Wenn man bei CS was findet (schwerer als bei OpenSource) dann stehen einem genua die gleichen Möglichkeiten offen. Also alles in allem nimmts sich nicht viel.
 
warum viele worte verlieren: [ . . . . "Fortify" also counts Fidelity Brokerage Services LLC, "Microsoft", Scottrade Inc. and the U.S. Air Force among its customers . . . . ] - warum sollten ausgerechnet die opensource freundlich sein??? - nuff said!
 
@bilbao: Müssen sie ja nicht, sind ja schließlich nur Kunden von Fortify und keine Auftraggeber für Studien, also WTF?
 
Jetzt hätte ich aber die Studie noch mit propietärer Software. Bitte dann noch wie schwer die Sicherheitsrisiken/lücken sind. High, Medium und Low.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles