Millionen-Betrag fließt nach der Heartbleed-Krise

Als Schlussfolgerung aus der Heartbleed-Krise will die Linux Foundation einen Millionenbetrag in die Wartung von Software investieren, die für die kritischen Internet-Bereiche notwendig ist. mehr... Internet, IT, Erde Bildquelle: Flickr Internet, IT, Erde Internet, IT, Erde Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Es war ja immer ein Argument *FÜR* Open Source, dass jeder den Sourcecode lesen und überprüfen könne, so dass kritische Lücken schnell gefunden und behoben werden... Ab sofort ein Argument weniger? Überprüfen KÖNNEN <> TATSÄCHLICH überprüfen...
 
@rallef: es ist immer noch ein Argument dafür, denn im Prinzip wissen wir nur wer was und warum gemacht hat, WEIL es Open-Source ist. Wäre es closed-source (bei z.B. Oracle oder Microsoft), hätten wir vermutlich nicht einmal um den Bug gewusst bzw. evtl. etwas "oberflächlich" behoben bekommen - ohne zu wissen, ob der Fehler weg ist. Nachprüfen kannst du es also bei Bedarf immer noch. Es kann ja keiner etwas dafür, dass du darauf vertraust, dass andere diese Arbeit für dich machen - und du trotzdem kostenlose, sichere und quell-offene Software genießen willst.
 
@rallef: So what? ich werde weiterhin Open-Source Software bevorzugen. Bei Closed-Source will ich mir garnicht ausmalen wieviele Sicherheitslücken wissentlich eingebaut werden.
 
@rallef: das problem ist dass openssl kaum entwickler hat und kaum einer interesse hat daran zu arbeiten... ist halt "nur" ne library für ssl...
 
@rallef: Weil ne Lücke gefunden wird, wird das Argument hinfällig? Stell dir vor, diese Lücke hätte sich in einem proprietärem Softwareprojekt befunden. Da ist die Gruppe der Personen, welche den Code warten können, noch kleiner. Die Menschen, welche die Software reverse engineeren, machen sich die Mühe wohl kaum, um Sicherheitslücken zu finden, auf die sie den Hersteller hinweisen können. Eine Person ohne schlechte Intentionen findet eine Lücke bestenfalls zufällig. Die Lücke wird dann nicht nur später entdeckt, sondern landet auch noch im Darknet und niemand bekommt es mit. Und Firmen wie Microsoft haben schon mehrmals gezeigt, dass Lücken nur gefixt werden, wenn sie öffentlich bekannt werden. Nur intern bekannte Lücken werden mal gerne für Monate oder gar Jahre offen gelassen.
 
@Friedrich Nietzsche: jahre offen gelassen... jap, genau wie hier im falle der ach so tollen und sicheren opensource software... eure argumentationen sind zwar alle toll. aber fakt ist nun mal immer noch, dass offener code nur dann sicher ist, wenn er auch von allen überprüft wird und nicht nur, dass dazu prinzipiell die möglichkeit besteht! das sollte endlich mal verstanden werden. während die NSA vermutlich 2000 bis 5000 mitarbeiter damit beschäftigt, dass diese nur nach fehlerhaftem code suchen sollen, dann findet sich schnell ein negatives gegenszenario zu den opensource verfechtern. denn die NSA hat diesen bug vermutlich viel schneller entdeckt, als ein paar leute, die oft in solchen open source projekten (zum teil auch noch nur hobby mäßig) arbeiten. und auch da tun diese auch mal was anderes, als nur nach fehlerhaftem code zu suchen. anders, als die mitarbeiter der NSA & co, die nur dafür abgestellt werden. und dass die NSA gefundene bugs öffentlich macht, wird hier ja wohl kaum einer glauben. also nutzen sie es für sich aus. und gerade bei opensource, dass ja viel verwendung findet wird bei der NSA sicher beliebt sein, denn da kommt man auch an den aktuellen quellcode problemlos dran. selbiges gilt auch für die zahlreichen hacker auf der welt. diese werden auch ähnlich vorgehen und gefundene lücken für sich nutzen und keinem was davon erzählen. denn für diese ist der opensource code auch viel leichter einzusehen und zu überprüfen, als das doch eher umständliche herausfinden von bugs über andere methoden. opensource ist praktisch nicht viel sicherer, als closed source. ich sehe da keinen in der sicherheit weiter vorne als den anderen. damit hat rallef also schon recht. dieses argument hat bei mir auch damals schon nicht gezogen. denn wer sucht denn schon nach fehlern?! das ist einfach ein wunschdenken der opensource fans (oder besser gesagt, der kurzsichtigen verteidigung der präferierten software, damit sie einem keiner madig machen kann)...
 
@larusso: Ich verstehe deine Argumente nicht so ganz, denn jede Software hat Bugs. Jemand der behauptet OpenSource sei fehlerfrei, ist sicherlich nicht unbedingt ernst zu nehmen. Aber gerade dieser Bug ist doch ein Beweis, das OpenSource funktioniert. Jeder der möchte kann den Code durchsuchen, und in diesem Fall hat eben jemand bei Google einen schweren Bug gefunden. Wie viele Leute überprüfen denn z.B. den MS-SSL Code auf unbekannte Bugs? 5 Entwickler? Vielleicht 6 Entwickler? Vielleicht befindet sich darin sogar noch ein viel größerer Bug, den die NSA schon seit Jahren ausnutzt. Wie viele Entwickler außerhalb MS können das prüfen?
 
@Overflow: naja, der heartbleed bug war 2 jahre lang offen. also hat 2 jahre lang niemand in den code geguckt und hier nach "irgendetwas" gesucht. was ja aber die opensource gemeinde immer so hinstellen will. gerade dieser bug ist der "beweis", dass opensource nicht so funktioniert, wie es hypothetisch immer von der opensource gemeinde dargestellt werden will. der bug wurde, soweit ich weiß auch nur durch zufall gefunden. ich glaube kaum, dass google einen mitarbeiter beschäftigt, der in opensource code anderer nur nach fehlern suchen soll. im gegensatz zu sehr vielen mitarbeitern der NSA. wie viele entwickler den MS-SSL code auf fehler überprüfen? keine ahnung, aber bestimmt nicht weniger leute als beim open SSL! natürlich kann sich bei MS-SSL auch ein bug (viel größer? naja, wie viel größer kann ein bug noch sein, als der heartbleed bug?) befinden. ich schrieb ja nirgends, dass opensource weniger sicher wäre oder closed source sicherer! ich schrieb nur davon, dass das argument, dass von opensource fans imer hervorgebracht wird, dass ja jeder den code überprüfen kann, praktisch kaum verwendung findet. bei einem unternehmen wie MS könnte ich mir dagegen vorstellen, dass es schon den ein oder anderen gibt, der nach sowas suchen soll. und selbst wenns so ist (was vermutlich auch so ist), dass bugs in closed source öfter mal nur bei bekannt werden geschlossen werden, macht es opensource code nun mal nicht sicherer und damit hat auch das argument, dass jeder nachgucken kann, nichts zu tun! deswegen brauch mir keiner damit zu kommen! ich schrieb nirgends, dass closed source sicherer sei. ;) das argument, dass jeder nachgucken könne und opensource code sicherer macht, ist rein hypothetischer natur! was man auch in diesem fall sieht.
 
@larusso: Stimmt, 2 Jahre ist sicherlich zu lange. Aber ich denke nicht, das das primär was mit OpenSource zu tun hat, hier wurde einfach bei der Codeprüfung geschlampt. Aber gleichzeitig gibt es jetzt ja z.B. einen Bug in Windows, der dort seit Windows XP ist, also jetzt 12 Jahre lang offen ist. Ist das jetzt ein Beweis, das bei ClosedSource besser geprüft wird? Und genau die MS-SSL Implementation kann eben niemand außerhalb Microsoft überprüfen, und wenn keiner einen Bug meldet, meinst du, das MS große Ressourcen in die Überprüfung investiert? (Soooo schlimm ist Heartbleed nicht, zumindest nicht so schlimm, wie zuerst dargestellt). Das OpenSource hier funktioniert hat, zeigt doch gerade, das der Bug von einem außenstehenden Entwickler (jemand bei Google) gefunden wurde (er wurde ja letztendlich gefunden, wer weiß, ob das bei ClosedSource aus so gewesen wäre). Aber du hast recht, das ganze hat viiiel zu lange gedauert, und ist kein besonders starkes Argument für OpenSource. Allerdings würde ich jetzt nicht zu stark verallgemeinern, es gibt durchaus OpenSource-Projekte, wo das ganze deutlich besser funktioniert, für so eine wichtige Implementation wie OpenSSL wurde sicherlich zu wenig investiert (sowohl Zeit als auch Geld)...
 
@Overflow: nein, ich wollte damit ja auch nicht sagen, dass die 2 jahre ein problem an opensource selbst wären. sondern an der argumentation, dass man ja wegen der quelloffenheit eine höhere sicherheit hätte, weil ja quasi jeder nachschauen könnte. wenns aber 2 jahre dauert, bis das einem per zufall aufgefallen ist (das geschah wohl kaum, weil der google mitarbeiter nun extra danach geschaut hat. im gegensatz zu anderen organisationen, von denen ich weiter oben schrieb), dann kann ich dieses argument ja auch nicht mehr bringen (was ich aber auch vor diesem bug schon immer bezweifelt hab). es ist kein problem an opensource selbst, sondern was in der praxis nun die realität ist. und ob nun ein mitarbeiter bei MS über den code stolpert und auch zufällig einen bug in ihrer software erkennt (was gleichwahrscheinlich wäre, evtl. sogar noch wahrscheinlicher, wenn mehrere programmierer immer wieder über den quellcode gehen und eigentlich was anderes vorhaben aber zufällig diesen bug erkennen. das hängt natürlich immer davon ab, wie viele programmierer in einem projekt beteiligt sind), dann sollte es diesen mitarbeiter nach erkennen eines bugs doch auch nicht so sehr stören, ein "null" hinzuzufügen. ich könnt mir sogar vorstellen, dass unternehmen selbst nach schließen solcher bugs, diese gar nicht weiter in den changelogs präsentieren, weil zum einen die sache nicht so groß war (programmiertechnisch) und zum anderen ein nicht erwähnen eines behobenen sicherheitsproblems wohl besser fürs geschäft wär. ob der bug in windows schon 12 jahre existiert, kann man gar nicht sagen. der heartbleed bug existiert ja auch nicht so lange, wie es open ssl gibt. dieser kam erst durch patches nachträglich zustande. so auch evtl. bei windows. wenn keiner den quellcode lesen kann, kann er auch nicht im klartext nach fehlern suchen, sondern muss sie etwas umständlicher suchen. das soll kein vorteil von closed source sein. wäre wohl auch kein so gutes. aber quelloffenheit garantiert eben auch nicht das gegenteil. also ich sehe zu viel "gutes" bei opensource und zu viel "schlechtes" bei closed source, wenn opensource verfechter ihr konzept als das bessere darstellen. ;) opensource projekte, bei denen das besser läuft, will ich auch gar nicht bestreiten. unternehmen, bei denen es besser läuft, aber auch nicht. ;)
 
@Overflow: und naja, der heartbleed bug ist wohl doch ein sehr gravierender bug. wenn wohl die meisten webserver openssl verwenden und dieser bug einem hacker die einfache möglichkeit gibt, vielen webserven ganz einfach anfragen zu schicken und der webserver daraufhin dann einen gewissen speicherbereich ohne zu zucken im klartext zurücksendet, dann brauchts nicht viel um an passwörter oder kreditkarten heranzukommen. man brauch nur etwas glück, wenn gerade jemand sein passwort irgendwo eingegeben hat. schon kann der webserver einem interessierten dieses passwort weitergeben. noch ein paar andere PCs infiziert und schon kann ich mehrere computer solche anfragen beliebig oft durchführen lassen und die daten sammeln. und du kannst dir sicher vorstellen, wie schnell sich sowas im großen stil durchführen lässt. also der fehler ist schon recht gravierend, würd ich sagen.
 
@larusso: Ich habe irgendwie das Gefühl, du gehst davon aus, das bei OpenSource der Quelltext zum größten Teil von außerhalb geprüft wird (oder darauf verlassen wird, das jemand von außerhalb prüft), und es intern keine regelmäßigen Prüfungen gibt. Das ist ja nicht so. Das Problem ist ja eher, das das OpenSSL Projekt ziemlich klein ist (11 Personen). Wenn OpenSSL ClosedSource wäre, wäre der Bug wohl für die nächsten Jahre immer noch drin. Ich würde also eher sagen, man kann davon ausgehen, das OpenSource hier deutlich geholfen hat. Natürlich ist es Blödsinn zu behaupten, das OpenSource automatisch sicherer ist. Ich denke übrigens schon, das der Bug bei Windows schon seit 2002 drin ist, spätestens mit dem Erscheinen von XP SP3. Hacker (im negativen Sinne), die Schwachstellen finden wollen, machen sich nicht die Mühe Millionen Zeilen Quelltext zu lesen, Stichwort "fuzzing".
Natürlich war der Heartbleed-Bug schlimm, allerdings waren ja nie die am Anfang genannten 70% des Internets betroffen, zudem stand ja auch schon ein Patch bereit. Den aktuellen Windows-Bug (der ja wohl vermutlich für XP nie geschlossen wird?) würde ich allerdings aus Nutzersicht ähnlich gefährlich einstufen. Wäre XP OpenSource würde sicherlich schon ein Patch bereitstehen ;)
 
@Overflow: naja, so wie es die opensource gemeinde immer darstellt, ist der große triumph von opensource ja schon, dass es "die Möglichkeit" gibt, dass freiwillige den code überprüfen können. wie sehr nun intern überprüfungen stattfinden, keine ahnung. würde aber, wenn ich so darüber nachdenke, sagen, dass es ähnlich dem ist, wie es in einem unternehmen auch ist. aber wie viele freiwillige finden sich denn schon, in ihrer freizeit nur nach fehlern im code zu suchen. ich kann mir sehr gut vorstellen, dass programmierer in ihrer freizeit (wenn sie da auch noch programmieren wollen), besseres finden, als nach fehlern zu suchen. mag ja auch sein, dass der bug bei closed source noch länger drin gewesen wäre. sicher war openssl dadurch aber 2 jahre lang nicht.
 
@larusso: " denn wer sucht denn schon nach fehlern?!" Wie viele Ressourcen, glaubst du, steckt ein kommerzielles Unternehmen in die Wartung der Software? Nicht mehr als unbedingt notwendig, da das eine Kostenstelle ist. Und dann muss man noch hoffen, dass der Bug gefixt wird, was bei weitem nicht selbstverständlich ist. Außerhalb der Firma suchen suchen bei proprietärer Software großteils nur Menschen mit schlechten Absichten nach Bugs - denen mit den guten Absichten wird es ja schwer gemacht, für die lohnt es sich auch nicht, weil sie die Lücke ja nicht verkaufen würden und diese Bughunting-Prämien bei Weitem nicht von jedem Unternehmen bezahlt. Das Verhältnis ist hier noch weit ungünstiger als bei OSS. Das einzige Plus bei der Sicherheit ist das sogenannte Security through Obscurity. Das hat allerdings den Nachteil, dass man selbst als Firma kaum mitbekommen kann, ob ein Bug bereits ausgenutzt wird. http://de.wikipedia.org/wiki/Security_through_obscurity
 
@Friedrich Nietzsche: natürlich wird ein unternehmen nicht mehr als nötig in die wartung der software stecken. aber wer wendet bitte die ressourcen für opensource code auf? genauso wenige. und da oft nicht bezahlt, werden es hier vermutlich auch noch weniger leute sein, die das bei opensource machen. denn opensource wird von den menschen hauptsächlich genutzt, und nicht in den quellcode geguckt! wüsste also nicht, wo ich schrieb, dass closed source sicherer sei. dieses argument für opensource, dass hier jeder nachprüfen kann ist, wie ich oben schrieb, nur hypothetischer natur. denn praktisch dürfte das nachprüfen kaum verwendung finden. dieses argument macht opensource, nur weils rein hypothetisch möglich ist, nicht sicherer! zu dem fall, wer aus guten und schlechten gründen nach bugs sucht, hab ich auch schon weiter oben ein szenario geliefert. ich denke meins ist weder wahrscheinlicher, noch unwahrscheinlicher als deins. welche software ist also vom prinzip her sicherer?
 
@larusso: Du sagst: Genauso wenige. Ich sage genauso wenige plus Freiwillige. Wie viele das sind, hängt natürlich von der Beliebtheit der Software ab. Proprietäre Software dreht den freiwilligen von vornherein den Hahn ab. Zudem wird proprietäre Software, welche keinen Gewinn mehr abwirft, meist gar nicht mehr gewartet. Das nennt sich Support-Ende. Spätestens sobald ein Bug im Darknet die Runde macht, ist man mit proprietärer Software schlechter dran. Selbst wenn sie noch gewartet wird.
 
@Friedrich Nietzsche: naja, aber in den "genau so wenigen" sind die freiwilligen doch schon drin. die meisten machen dass doch freiwillig. da ist nichts bezahltes oder so. und wenn doch, dann ists ähnlich wie bei einem unternehmen. sobald eine software keinen gewinn mehr abwirft, ist sie evtl. auch veraltet und keiner will sie mehr. ähnlich dürfte das doch bei unbeliebten opensource projekten sein. wenn sie kein erfolg haben, wird deren weiterentwicklung und pflege auch sein gelassen. wer die software eines solchen projekts dann noch nutzt, ist selbst schuld. sehe da keinen großen unterschied zu closed source.
 
@larusso: Omg, langsam wirst du aber anstregenden. Bei Open Source haben die Freiwilligen zumindest die Möglichkeit, bei proprietärer Software nicht. Und du wirst mir hoffentlich zustimmen, dass die Möglichkeit, wenn sie schon nicht genutzt wird, zumindest nicht schadet. Und wenn sie genutzt wird, dann stellt es einen Vorteil dar. Es gibt Statistiken, die das belegen. Erst kürzlich wurde gezeigt, dass OSS-Code im Schnitt halb so viele Fehler wie proprietärer Code aufweist.
 
@Friedrich Nietzsche: wieso ich anstrengend?! wenn ich einen standpunkt habe, der den boden durch andere gegenargumente nicht verliert, warum sollte ich dann meinen standpunkt hergeben? dann entkräfte doch meine argumente! dann wär ich längst bereit, meinen standpunkt weiter zu hinterfragen. ja diese tolle "Möglichkeit" von der du da sprichst. ich hab hier glaub ich schon zwei mal geschrieben, dass dieses argument bei mir (aus genannten gründen) noch nie gezogen hat, und jetzt kommst du plötzlich wieder genau mit dieser alten leier. sorry, aber das finde ich nun anstrengend... und wo bitte, hab ich je geschrieben, dass diese möglichkeit schadet oder das opensource deswegen schlechter wäre als closed source?!?!... das finde ich nun auch wieder anstrengend. denn das hab ich schon öfter geschrieben. hast du meine argumente also eigentlich verstanden? statistiken? welche? da kommen wir der sache, um meinen standpunkt zu hinterfragen, doch schon näher. aber welche statistiken? von wem wurden die in auftrag gegeben? red hat?...
 
@larusso: Dazu braucht es nur simple Logik, den Vorteil zu erkennen. Wozu du anscheinend nicht in der Lage bist. Zur Studie: Die wurde von niemanden in Auftrag gegeben, sondern wurden von einem Unternehmen durchgeführt, welches durch Code-Statistiken ihr Geld verdient: http://www.itespresso.de/2014/04/18/open-source-software-ist-weniger-fehlerhaft-als-proprietaere-projekte/ Die Software, welche dazu genutzt wird, ist übrigens proprietär: http://de.wikipedia.org/wiki/Coverity_Static_Analysis Die müssten schon sehr gut bezahlt worden sein, wenn sie durch ihre eigene Studie ihr eigenes Programmier-Paradigma torpedieren.
 
@Friedrich Nietzsche: logik, ja... ausgehend davon, wie ich den menschen sehe, bin ich logisch vorgegangen. in deinem link steht zur herangehensweise leider nicht viel. naja, gar nichts... aber ja, wenn du meinst, dass diese statistik der "beweis" wäre, dass opensource nun wirklich sicherer sei, als closed source, dann bin ich derjenige, der tatsächlich anstrengend sei und nicht logisch logisch vorgehe?! warum?! weil ich nicht überlesen will, dass in deinem eigenen link steht, dass diese firma den code von opensource und closed source seit sechs jahren überprüft und _jetzt erst_ _zum ersten_ mal opensource vor closed source liegt?! das ist dein beweis? was war dann bitte in den letzten 6 jahren? diese statistik hat nicht deinen erwartungen entsprochen, also war diese statistik nichts für dich wert? und jetzt gibt sie dein favorisiertes ergebnis wieder und zack ist diese statistik für dich der beweis? sorry, aber das ist unlogisch! und scheinbar verkennst du die bedeutung einer statistik. und nein, ich will hier einer satatistik auf keinen fall die bedeutung absprechen, wie es häufig von laien getan wird. nur verstehen laien oft nicht, was eine statistik aussagt. ein laie hängt sich nur an dem "ergebnis" einer statistik fest, die einem die medien vorsetzen. zu der Methodik sagen sie nichts, zu der methodik wird vom laien nichts gesagt. und gerade diese ist die grundlage für eine ordentliche interpretation der ergebnisse. aber egal, du willst scheinbar nicht verstehen... diese statistik ändert an meinem standpunkt leider gar nichts. im gegenteil! sie lässt mich noch stärker so argumentieren wie bisher! weder closed, noch open source ist sicherer!!! aber egal. ich leg mir die ergebnisse mal (für dich) genauso aus wie du: die statistik hat signifikant öfter closed source eine bessere codequalität zugesprochen als opensource. damit ist der beweis gegeben, dass closed source sicherer ist als open source. (wie du die statistik auslegst brauchst du mir übrigens nicht sagen. viel mehr sollte dir meine auslegung eher was zeigen. nämlich inwiefern deine herangehensweise an dinge, die du hören willst, eher ein einreden ist... ;) )
 
@larusso: Lerne lesen: Darin steht gar nichts, dass OSS zum nun ersten Mal besser wäre. Nur dass es so ist. Zum Zeitpunkt, seit wann das so ist, wurde keine Aussage gemacht. Die Statistik macht nur zur Patchgeschwindigkeit eine Aussage. Und dass sie an deinem Standpunkt nichts ändert war mir vorher schon klar. Nur: Du laberst die ganze Zeit von "nur einer Statistik". Selbst hast du aber noch nichts weiter zur Unterlegung deiner Argumente anführen können, als ein Jucken im kleinen Zeh. Ich denke, das wird sich trotz ellenlanger Postings auch nicht ändern.
 
@Friedrich Nietzsche: jup, okay. ich lerne lesen...
warum hast du mir dann überhaupt den link gegeben, wenn das meinen standpunkt gar nicht weiter hinterfragen sollte? und warum hangelst du dich daran auf, dass ich noch nichts weiter zum thema (andere studien etc.?) beigetragen habe, während dein letzter beitrag meinen standpunkt angeblich nicht revidieren sollte?!?! logik? wenn im artikel steht, dass die firma seit sechs jahren den code überprüft (ja, keine aussage über sicherheit etc. aber aussagen über "weniger fehlerhaft" und "defekt-dichte". aber ich dachte, dass du das auch auf die sicherheit beider konzepte übertragen willst und deswegen hab ich oben so ungenau von sicherheit und codequalität geschrieben), und nun einen news artikel rausbringt, dass _nun zum ersten mal_ (!!!) opensource vorne liegt, dann heißt das bitte was?!... etwa dass das seit der ersten überprüfung so ist und opensource schon immer vorne lag?! wenn ich so blöd bin und den artikel nicht verstehe, dann erklär ihn mir doch bitte!... Zitat deines links: "Die Firma prüft seit sechs Jahren die Codequalität. Erstmals liegt quelloffene Software nun vorne."... sorry, was bitte schreibst du mir dann da fürn quatsch?!?! so, und damit meine ach so sinnlos langen postings nicht noch länger werden, und da du dich ja immer weiter mit "anstrengend" und nicht "logisch" ;) auszeichnest, klinke ich mich hier aus und gehe weiter "lesen lernen"... du kannst das ja schon. :) EDIT: nur weil ich deine meinung über opensource weiterhin nicht teile, musst du mir nicht mit jedem neuen mal so blöd kommen wie "ich wäre anstrengend", "ich würde nicht logisch vorgehen", "ich sollte lesen lernen"... wenn du sachlich mit mir diskutieren willst, gerne. so wird das aber für mich zu blöd!! um nicht zu sagen "anstrengend"... mit diesem verhalten wirst du nämlich ganz sicher nicht recht behalten...
 
@rallef: Das würde ich nicht sagen. Ein Vorteil dieser Transparenz ist ja dass man weniger abhängig von einzelnen Herstellern ist. Das Problem ist wohl eher organisatorischer Natur. Entwickler habenZeitdruck weil sie einer bezahlter Arbeit nachgehen müssen. Die Software ist ganz einfach fertig wenn sie läuft und korrekte Ergebnisse liefert, auf Dinge wie Entfernung von überflüssigem Code oder zeitaufwändige Tests wird lieber verzichtet (keine Ahnung ob und wie das bei OpenSSL aussieht). Das kannaber theoretisch auch bei kommerzieller Software passieren, einfach weil die Unternehmen auch versuchen Kosten zu sparen (eben zu Lasten der Qualität). Eine ähnliche Möglichkeit damit umzugehen ist das Anlegen eines Forks (wie es übrigens das OpenBSD-Projekt vor kurzem gemacht hat http://www.heise.de/security/meldung/OpenBSD-Team-bereinigt-und-forkt-OpenSSL-2174226.html )
 
@pengo: soweit ich weiß, entstand der bug in diesem fall gerade weil zu wenig code geschrieben wurde. es hat glaub ich ein Null gefehlt, oder die angabe der länge einer zeichenkette. generell würd ich sagen, dass sicherheitsbugs nicht durch "überflüssigen code" entstehen, sondern gerade weil entsprechender code fehlt. will ich eine zeichenkette einlesen, so funktioniert das schon, indem ich ganz einfachen code schreibe, der genau das macht. wenn ich aber gewisse mögliche fehler in meinem code nicht betrachte (wie z.b. liegt die zeichenkette genau in der form und art vor, wie ich sie brauche und das programm sie korrekt verarbeiten kann?), dann kanns ein sicherheitsproblem geben. will ich diese probleme abfangen, wird sich dadurch auch mein code vergrößern. also nix mit überflüssigem code. ;)
 
Oh da bleibt aber weniger für die eigene Tasche! :D
 
Auf einmal gehts...
 
4 Tage nach anderen Newsseiten kommt Winfuture nun auch damit an. Irgendwie sind die News in letzter Zeit total verspätet hier... noch etwas mehr und ich komme mir wie bei tomshardware vor, wo die News teilweise noch später aufschlagen. Früher gabs mal Zeiten, wo hier wenigstens noch News standen, welche woanders noch nicht da waren - inzwischen leider auch nicht mehr so :(
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte