Wow, mittlerweile ist's sogar die Top-Schlagzeile auf SPON. Sein Name ist dort gekürzt. Bei Forbes gibt's auch einen Artikel zu heartbleed, den ich schön geschrieben finde, was die Erklärung von OpenSSL als OpenSource betrifft. Aber die stellen sich nicht so an mit der Veröffentlichung seines Namens. Ich hoffe, er verkraftet so viel "Ruhm".
¡Nuestro amigo... el Computador!
Guter Artikel!
Genau das.It’s hard to be mad at a guy so devoted to a project that he was doing bug fixes on a holiday. Because it is an open-source project, anyone can review it, and the hope — one deeply rooted in the philosophy of the Internet age — is that through crowd-sourcing, mistakes will be inevitably be caught and scourged.
Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
"Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)
Er hat ein sehr sehr sehr sehr großes HausZitat von Efraim
mfg
cane
Es existiert kein Patch für die menschliche Dummheit.
Interessant auch das ExclusivInterview mit demjenigen, der den Bug eingebaut hat vom Sydney Morning Herald
..."It’s unfortunate that it’s used by millions of people, but only very few actually contribute to it," he said.
"The benefit of open source software is that anyone can review the code in the first place.
"...the more people look at it, the better, especially with a software like OpenSSL."
Nun muss also jeder Open-Source Programmierer befürchten, dass er nach einem Fehler an den Pranger genagelt wird. Das bringt ja eine wahnsinns Motivation, auch weiterhin offene Codes zu schreiben. Tolle Sache für die Schlapphüte. Danke an Fefe. Von wem wirst Du eigentlich bezahlt?
Ich war kurz davor "Fefe" eine Mail mit der Bitte zu schreiben die Verschwörungstheorien bitte den Internetforen zu überlassen- da gehören diese nämlich hin
Für mich lernt man daraus zwei Dinge:
1. Selbst Open Source code der essentiell ist wird nicht zwangsläufig sorgfältig genug unter die Lupe genommen => jeder andere Code hat dieses Problem somit noch viel stärker
2. Es sollte kein Source Code an Neujahr eingereicht werden, wenn die Gefahr besteht dass sowohl der Einreicher als auch der Kontrollierende noch verkatert sind
Geändert von Newbie314 (11.04.14 um 07:52 Uhr)
Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
"Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)
Das ist doch jetzt nichts neues. Debian vor ein paar Jahren lange Zeit auch einen dicken Klopper in OpenSSL. Offensichtlich ist es ja wohl so, dass keiner Code-Reviews macht. Da ist es dann theoretisch ganz toll, dass jeder den Quelltext angucken kann, aber wenn es halt keiner macht...
Und zum Thema proprietäre Software: Das ist eine müßige, theoretische Diskussion. Vermutlich bleiben sie genauso lange unentdeckt wie in quelloffener Software. Halt solange, bis sie jemand findet...
Spekulativ: ich vermute dass solche Lücken in proprietärer SW noch länger offen bleiben.
Hier hat ein Google Mitarbeiter eine Lücke entdeckt die von jemand ganz anderem der mit Google gar nichts zu tun hat / hatte eingebaut wurde.
Bei proprietärem Code wäre das nicht möglich / illegal. Per Gesetz darf man proprietäre Software anderer Leute nicht reverse engineering, d.h. solche lücken fände jemand außerhalb der für den Code verantwortlichen Firma bestenfalls durch Verhaltenstests.
Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
"Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)
Hier gibt es ein paar Infos dazu.
Zitat:
undWho found the Heartbleed Bug?
This bug was independently discovered by a team of security engineers (Riku, Antti and Matti) at Codenomicon and Neel Mehta of Google Security, who first reported it to the OpenSSL team. Codenomicon team found heartbleed bug while improving the SafeGuard feature in Codenomicon's Defensics security testing tools and reported this bug to the NCSC-FI for vulnerability coordination and reporting to OpenSSL team.
Die Lücke wurde also offensichtlich, zumindestens auf Seiten Codenomicons, durch Verhaltenstests gefunden. Und ich wage zu bezweifeln, dass der Google-Mitarbeiter ein Code-Review gemacht hat.What is the Defensics SafeGuard?
The SafeGuard feature of the Codenomicon's Defensics security testtools automatically tests the target system for weaknesses that compromise the integrity, privacy or safety. The SafeGuard is systematic solution to expose failed cryptographic certificate checks, privacy leaks or authentication bypass weaknesses that have exposed the Internet users to man in the middle attacks and eavesdropping. In addition to the Heartbleed bug the new Defensics TLS Safeguard feature can detect for instance the exploitable security flaw in widely used GnuTLS open source software implementing SSL/TLS functionality and the "goto fail;" bug in Apple's TLS/SSL implementation that was patched in February 2014.
Merci, interessante Info!
Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
"Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)
Exakt dasselbe habe ich gedacht als ich den Blog von diesem Fefe gelesen habe. Die Bildzeitung könnte das nicht besser machen.
Wie der Spiegel unter Berufung auf Bloomberg berichtet, kannte die NSA die Heartbleed-Lücke angeblich schon jahrelang und hat diese auch aktiv ausgenutzt. [1]
Oder anders formuliert: Die NSA steht moralisch auf der gleichen Stufe wie ein Internet-Krimineller und gefährdet noch dazu die Sicherheit von Millionen von Menschen durch das Verschweigen der Lücke. Ich will gar nicht wissen welcher Geheimdienst noch Kenntnis davon hatte und wieviel Dissidenten in Ländern mit "Demokratiedefizit" darunter leiden mussten/müssen.
Aber schön dass jetzt auch dem Dümmsten vor Augen geführt wird um was für ein Pack es sich bei der NSA handelt.
-hanky-
[1] http://www.spiegel.de/netzwelt/netzp...-a-964032.html
85.214.20.141 - Anti-Zensur-DNS-Server (FoeBuD)
"Die Nicht-Lösung eines nicht existierenden Problems" - Ron Gonggrijp über Wahlmaschinen
.. aber Snowden werfen sie vor er habe Agenten gefährdet...
Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
"Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)
Erschütternd an diesem Ergebnis finde ich nicht, dass nur 12,2% ihr Verhalten geändert haben, sondern dass 49,8% der Deutschen die Stasi akzeptieren (aka "Ich habe nichts zu verbergen"). Und das ohne jeglichen Druck oder Zwang - es war ja schließlich nur eine Umfrage. Wenn dieser Teil der Befragten ja wenigstens den Wert einer Privatsphäre anerkannt hätte ("...Daten ausreichend gesichert."), aber nein - die pfeifen einfach darauf!
¡Nuestro amigo... el Computador!
Berechtigungen
Zitieren
Lesezeichen