4. Wer überprüft in Open Source Programmen den Code auf Schadsoftware?

Wer überprüft in Open Source Programmen den Code auf Schadsoftware?

  • W

    Wobei hier die Betonung klar auf 'kann' liegen sollte.

    0
  • ?

    abc.w schrieb:

    NÖh schrieb:

    Und meine eigentlich Frage hast du nicht beantwortet, sondern bist nur ausgewichen.

    Was soll man denn da groß beantworten 😕

    Ich kann es ja mal beantworten. Es gibt sehr wenige Leute die Lust haben den Code von anderen zu kontrolieren. Die Leute programmieren viel lieber was neues, weil das mehr Spass macht. Es wird zwar immer behauptet, dass bei Open Source viel mehr Leute den Code anschauen und er deshalb besser sein soll, aber es gibt trotzdem unmengen an Bugs im Firefox, allen möglichen Linux Distributionen usw. (kannst dir ja mal die Buglisten anschauen). Ja, es gibt auch Bugs in Closed Source SW, aber Open Source ist auch nicht besser, nur weil mehrere den Code anschauen könnten. Irgendwie scheint diese so hochgepriesene Kontrolle von Open Source nicht wirklich gut zu funktionieren.

    0
  • ?

    tja, mit Korrektheitsaussagen durch Ansehen der Sourcen ist das so eine Sache - schon die Aussage, ob ein Programm stets anhält oder nicht, ist durch Ansehen der Sourcen im allgemeinen Fall beweisbar unmöglich (Halteproblem).

    letztendlich wird man anderen Programmierern und Testern vertrauen müssen oder auch nicht - welche Einzelperson hätte schon die Lust, Zeit und Intelligenz, um die vielen Mio. Zeilen an Quelltext zu analysieren, deren binaries sie täglich verwendet?

    0
  • A

    NÖh schrieb:

    Ich kann es ja mal beantworten. Es gibt sehr wenige Leute die Lust haben den Code von anderen zu kontrolieren. Die Leute programmieren viel lieber was neues, weil das mehr Spass macht. Es wird zwar immer behauptet, dass bei Open Source viel mehr Leute den Code anschauen und er deshalb besser sein soll, aber es gibt trotzdem unmengen an Bugs im Firefox, allen möglichen Linux Distributionen usw. (kannst dir ja mal die Buglisten anschauen). Ja, es gibt auch Bugs in Closed Source SW, aber Open Source ist auch nicht besser, nur weil mehrere den Code anschauen könnten. Irgendwie scheint diese so hochgepriesene Kontrolle von Open Source nicht wirklich gut zu funktionieren.

    Funktioniert denn die Kontrolle von Closed Source Software?

    0
  • ?

    abc.w schrieb:

    NÖh schrieb:

    Ich kann es ja mal beantworten. Es gibt sehr wenige Leute die Lust haben den Code von anderen zu kontrolieren. Die Leute programmieren viel lieber was neues, weil das mehr Spass macht. Es wird zwar immer behauptet, dass bei Open Source viel mehr Leute den Code anschauen und er deshalb besser sein soll, aber es gibt trotzdem unmengen an Bugs im Firefox, allen möglichen Linux Distributionen usw. (kannst dir ja mal die Buglisten anschauen). Ja, es gibt auch Bugs in Closed Source SW, aber Open Source ist auch nicht besser, nur weil mehrere den Code anschauen könnten. Irgendwie scheint diese so hochgepriesene Kontrolle von Open Source nicht wirklich gut zu funktionieren.

    Funktioniert denn die Kontrolle von Closed Source Software?

    Funktioniert denn die Kontrolle von Open Source Software?

    0
  • A

    DummesSpiel schrieb:

    Funktioniert denn die Kontrolle von Open Source Software?

    Ich bin der Meinung, JA, besser als bei Closed Source Software.

    0
  • G

    Zumindest funktioniert dort, per definitionem, die Kontrolle durch die Nutzer besser 🤡

    0
  • H

    quelle schrieb:

    könnt ihr mal quellen zu diesen vorfällen vorlegen?!!?!?

    @Headhunter & borg

    -.-"

    Finde leider keinen direkten Bezug auf die versuchte KDE Infektion. Aber alleine die Tatsache dass es geht ist doch schon schlimm genug. Zu dem Thema:

    Compilerbugs von Ken Thompson - "wenn der Code nicht das tut, was er sagt"

    Oder was ist mit stupiden Bugs, die sich (im Nachhinein) als Sicherheitstor aufweisen. Kann man solche Bugs auch böswillig erstellen?:
    http://digitaloffense.net/tools/debian-openssl/

    Fazit: Es gibt keine Sicherheit :)`

    Edit: Noch ein schönes Beispiel: Auf dem 26C3 wurde ein 0-Day für den Messenger Pidgin veröffentlicht. Durch einen Programmbug können durch Emoticons auf entfernten Clients beliebige Programme heruntergeladen und gestartet werden. Ist sowas einfach nur ein dummer Programmierfehler, oder böswillig?

    0

  • Headhunter schrieb:

    Edit: Noch ein schönes Beispiel: Auf dem 26C3 wurde ein 0-Day für den Messenger Pidgin veröffentlicht. Durch einen Programmbug können durch Emoticons auf entfernten Clients beliebige Programme heruntergeladen und gestartet werden. Ist sowas einfach nur ein dummer Programmierfehler, oder böswillig?

    Ja, bei dem Video musste ich auch etwas schmunzeln...
    Wenn man lange genug sucht, findet man sicher bei jeder Software eine Schwachstelle die sich ausnutzen laesst.

    0
  • ?

    Headhunter schrieb:

    Oder was ist mit stupiden Bugs, die sich (im Nachhinein) als Sicherheitstor aufweisen. Kann man solche Bugs auch böswillig erstellen?:
    http://digitaloffense.net/tools/debian-openssl/

    👍

    0
  • A

    Man kann sich jetzt überlegen, ausgehend von den Vorfällen in Open Source, was bei Closed Source alles passiert und was "Closed" bleibt...

    @NÖh: Man kann sich bei Open Source Software in den Code einlesen, Sicherheitslücken finden und schöne Viren Programmieren. Aber scheinbar gibt es nicht so viele Viren oder verstecken sie sich so gut, dass wir sie nicht bemerken 😕

    0
  • R

    @Headhunter
    Ja, aber das ist ja alles nichts, was auf Opensource zurück zu führen ist. Closedsource-Software hat auch Sicherheitslücken und ob die nun absichtlich oder unabsichtlich sind, weiß man da noch weniger (Bei OS kannst du ja idR einfach im VCS recherchieren wie es zum Problem gekommen ist).

    Und gerade in CS wird doch absichtlich viel Blödsinn eingebaut. Ich sag nur Sony Rootkit oder die ganze andere Kopierschutzsoftware, die sich dann als Kerneldriver installiert und das System halb lahmlegt.

    0
Anmelden zum Antworten