4. Wer überprüft in Open Source Programmen den Code auf Schadsoftware?

Wer überprüft in Open Source Programmen den Code auf Schadsoftware?

  • ?

    rüdiger schrieb:

    2. Opensource heißt nicht kostenlos. Viel OS-Software wird von Leuten entwickelt, die dafür bezahlt werden. Bei größeren Distributionen leben auch die Maintainer von ihrer Arbeit. Sie haben also auch kein Interesse daran, dass ihnen etwas peinliches passiert und auch hier wäre der Name viel präsenter.

    Wer überprüft denn den Code von Paketen im Ubuntu Universe Zweig?

    Alle Arbeit die nicht in main liegt, wird von Canonical AFAIK nicht bezahlt.
    Wer überprüft die Pakete in universe?

    Und noch schlimmer, wer überprüft überhaupt, ob medibuntu.org sichere Pakete liefert?
    Gerade hier könnte man doch extrem böses Zeug einbauen, denn die Pakete liegen ja eh schon als Binary vor und ob dazu auch der gleiche Quellcode benutzt wurde, wie das ebenso verfügbare Quellcodepaket, das ist doch höchst fraglich.

    [QUOTE
    3. Opensource heißt nicht, dass jeder in den Code schreiben kann. 15 jährige Scriptkiddies können nicht einfach einen Patch in den Linuxkernel packen. Das geht vorher durch die eigentlichen Entwickler/Maintainer/Verantwortlichen und für kleinere OS-Projekte ist es ohnehin äußerst selten einen großen Patch zu erhalten.
    [/QUOTE]
    Siehe oben.

    Der Linux Kernel steht in dieser Frage ja eh außen vor.
    Entscheident sind die kleinen Helferlein.
    Wer von euch hat z.B. mal den Code von zerofree durchgescheckt.
    Und wer von euch hat sich den Code von Geany angeschaut?

    0
  • ?

    wer überprüft das in closed source programmen? dsa is ne viel interessantere frage imo.

    0
  • ?

    ;fricky schrieb:

    ach ja, und dass man niemals seine kreditkartennummer u.ä. persönliche daten in ein programm eingibt, versteht sich von selbst.
    🙂

    Nö, denn den Firefox benutzt ja sicher der ein oder andere wohl.

    Firefox mag jetzt vielleicht nicht der kritische Punkt sein, aber was ist mit Plugins für Firefox oder Programme die Hintergrundprozesse starten und die Tastatureingaben mitaufzeichnen?

    0
  • ?

    findet man sofort raus. bei nem schrott closed source plugin für internet expl0der hingegen findet man das nie raus. deshalb ist closed source software generell unsicher. 👎

    so zu tun als ob dies ein problem von open source wär, ist mal wieder typisch für die mentalität dieses forums 🙄

    0
  • A

    Code Audit schrieb:

    Wenn ich mir aber nur von den großen Firmen Software kaufe.
    Wie z.B. Windows & MS Office von Microsoft, sowie vielleicht noch Adobe Photoshop CS, dann habe ich als normaler Benutzer doch schon alles wichtige (wie OS, Textverarbeitung, Browser, Bildbearbeitungsprogramm etc.) was man so braucht und da diese Firmen einen Ruf und teure Prozesskosten zu verlieren haben, werde ich da sicher keine Schadsoftware finden, die dazu führt, mir mein Online Banking Bankkonto leerzuräumen.

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    0
  • ?

    abc.w schrieb:

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    Das sind dann aber Sicherheitslücken und keine beabsichtigt eingebauten Schadroutinen.

    0
  • ?

    Bei Software von großen Herstellern muß ich mir als Privatperson keine Sorgen um meinen Online Banking Account machen, denn derartige Ausleseschadroutinen würden die Hersteller niemals einbauen.

    Ganzs anders sieht es bestenfalls bei Firmenrechnern aus.
    Da kann ich mir schon vorstellen, daß die großen Hersteller Routinen einbauen, die ihnen für die Industrispionage helfen.

    0
  • A

    Code Audit schrieb:

    abc.w schrieb:

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    Das sind dann aber Sicherheitslücken und keine beabsichtigt eingebauten Schadroutinen.

    Bist Du sicher ? 😉

    0
  • ?

    abc.w schrieb:

    Code Audit schrieb:

    abc.w schrieb:

    Aber dann hast Du immer noch die Wahrscheinlichkeit, dass die frommen MS Programmierer ein Hintertürchen für die andere Schadsoftware eingebaut haben könnten...

    Das sind dann aber Sicherheitslücken und keine beabsichtigt eingebauten Schadroutinen.

    Bist Du sicher ? 😉

    Ja, denn wenn es beabsichtigt wäre, dann könnte man die Hersteller zu horrenden Schadensersatzforderungen gerichtlich zwingen und das will kein hersteller.

    0
  • ?

    jo und was hindert nen angestellten programmierer das zu machen? muss ja ned gleich ne verschwörung von m$ und IBM sein.reicht auch wenn einer allein ein paar buffer overfl0ws und solchen schr0tt einbaut. closed source ist gefährlich. open source ist gut.

    0
  • B

    Code Audit schrieb:

    Bei Software von großen Herstellern muß ich mir als Privatperson keine Sorgen um meinen Online Banking Account machen, denn derartige Ausleseschadroutinen würden die Hersteller niemals einbauen.

    Die großen Firmen bauen natürlich nicht absichtlich Hintertüren ein in ihre Programme, du siehst das aber trotzdem falsch. Gerade bei Quasimonopolprogrammen wie Windows, Flash, adobe reader etc. entstehen Monokulturen die sie überhaupt erst zu Angriffszielen machen. Dazu kommt dann noch, dass es gerade bei Microsoft ein riesiger Aufwand ist Patches gegen alle möglichen Hardwarekombinationen etc zu testen und dann auch auszuliefern. Das führt dazu, das ein Patch für eine bekannte Sicherheitslücke oft Monate, aber eigentlich fast immer bis zum nächsten Patch-Day (der im Zzweifelsfall einen Monat hin ist) auf sich warten lässt.

    0
  • A

    Code Audit schrieb:

    Ja, denn wenn es beabsichtigt wäre, dann könnte man die Hersteller zu horrenden Schadensersatzforderungen gerichtlich zwingen und das will kein hersteller.

    Wie war denn das bei dem einen Hersteller, dessen Software ein Rootkit installiert hatte? Es gab, glaube ich, eine Rückrufaktion? Wurden die Programmierer gefeuert? Wurde jemand zu horrenden Schadensersatzforderungen gezwungen?

    0
  • ?

    ya s0ny lässt grüßen. schön alles mit r00tk1ts zugepflastert. soviel dazu daß große hersteller ja sowas niemals machen 🙄

    0
  • R

    Code Audit schrieb:

    rüdiger schrieb:

    2. Opensource heißt nicht kostenlos. Viel OS-Software wird von Leuten entwickelt, die dafür bezahlt werden. Bei größeren Distributionen leben auch die Maintainer von ihrer Arbeit. Sie haben also auch kein Interesse daran, dass ihnen etwas peinliches passiert und auch hier wäre der Name viel präsenter.

    Wer überprüft denn den Code von Paketen im Ubuntu Universe Zweig?

    Alle Arbeit die nicht in main liegt, wird von Canonical AFAIK nicht bezahlt.
    Wer überprüft die Pakete in universe?

    Die Maintainer der Pakete in universe.

    Code Audit schrieb:

    Und noch schlimmer, wer überprüft überhaupt, ob medibuntu.org sichere Pakete liefert?

    Medibuntu liefert vorallem Closed-Source-Sachen. zB die ganzen Codecs. Die kann man natürlich nicht überprüfen. Aber das ist ja eher das Problem von Closedsource.

    Code Audit schrieb:

    [QUOTE
    3. Opensource heißt nicht, dass jeder in den Code schreiben kann. 15 jährige Scriptkiddies können nicht einfach einen Patch in den Linuxkernel packen. Das geht vorher durch die eigentlichen Entwickler/Maintainer/Verantwortlichen und für kleinere OS-Projekte ist es ohnehin äußerst selten einen großen Patch zu erhalten.

    Siehe oben.

    Der Linux Kernel steht in dieser Frage ja eh außen vor.
    Entscheident sind die kleinen Helferlein.
    Wer von euch hat z.B. mal den Code von zerofree durchgescheckt.
    Und wer von euch hat sich den Code von Geany angeschaut?[/quote]

    Auch bei Geany oder zerofree (kenne die Software nicht), wird man nicht einfach in den Sourcetree schreiben können. Eine Google suche ergibt, dass die Personen für Geany verantwortlich sind: http://www.geany.org/Main/Authors

    Wenn die sich nun alle drei entscheiden böse zu werden und kein Maintainer den bösen Code entdeckt und der böse Code auch während irgend welcher Alpha- oder Beta-phasen der Distributionen nicht gefunden wird und wirklich sonst keiner in den Code schaut, dann könnten die bösen Code auf dein System schmuggeln. Aber das ist keine Besonderheit von Opensource. Genauso könnte es auch mit Closedsource passieren nur würde da jede Kontrolle nach den Entwicklern wegfallen.

    0
  • ?

    abc.w schrieb:

    Hast Du viel Geld in "closed source" Software inverstiert...

    Nö.

    abc.w schrieb:

    NÖh schrieb:

    Und wie kommt an sowas rein, wenn doch alle so gut aufpassen?...

    Das hätte genauso gut in einem closed source Projekt passieren können. Auch wenn der Code unter vier Augen reviewed und eingecheckt wäre.

    Und meine eigentlich Frage hast du nicht beantwortet, sondern bist nur ausgewichen.

    0
  • A

    NÖh schrieb:

    Und meine eigentlich Frage hast du nicht beantwortet, sondern bist nur ausgewichen.

    Was soll man denn da groß beantworten 😕

    0
  • R

    @NÖh
    Es wurde ja entdeckt und entfernt. Es war eben ein Test von einem Entwickler, der eben Zugriff auf den Quellcode hatte. Genau wie es bei Closedsource auch passieren kann. Es war niemand anonymes und es wurde entdeckt.

    Hier nochmal zum mitschreiben:
    Software kann immer Schadcode enthalten. Das ist unabhängig davon, ob eine Software opensource oder closedsource ist. Der unterschied ist nur, dass bei Opensourcesoftware potentiell mehr Leute auf den Code schauen und Schadcode somit eher gefunden werden kann.

    0
  • W

    Wobei hier die Betonung klar auf 'kann' liegen sollte.

    0
  • ?

    abc.w schrieb:

    NÖh schrieb:

    Und meine eigentlich Frage hast du nicht beantwortet, sondern bist nur ausgewichen.

    Was soll man denn da groß beantworten 😕

    Ich kann es ja mal beantworten. Es gibt sehr wenige Leute die Lust haben den Code von anderen zu kontrolieren. Die Leute programmieren viel lieber was neues, weil das mehr Spass macht. Es wird zwar immer behauptet, dass bei Open Source viel mehr Leute den Code anschauen und er deshalb besser sein soll, aber es gibt trotzdem unmengen an Bugs im Firefox, allen möglichen Linux Distributionen usw. (kannst dir ja mal die Buglisten anschauen). Ja, es gibt auch Bugs in Closed Source SW, aber Open Source ist auch nicht besser, nur weil mehrere den Code anschauen könnten. Irgendwie scheint diese so hochgepriesene Kontrolle von Open Source nicht wirklich gut zu funktionieren.

    0
  • ?

    tja, mit Korrektheitsaussagen durch Ansehen der Sourcen ist das so eine Sache - schon die Aussage, ob ein Programm stets anhält oder nicht, ist durch Ansehen der Sourcen im allgemeinen Fall beweisbar unmöglich (Halteproblem).

    letztendlich wird man anderen Programmierern und Testern vertrauen müssen oder auch nicht - welche Einzelperson hätte schon die Lust, Zeit und Intelligenz, um die vielen Mio. Zeilen an Quelltext zu analysieren, deren binaries sie täglich verwendet?

    0
Anmelden zum Antworten