zorin
06.02.04, 12:35
Hi zusammen,
obwohl die offensichtlichen Vorteile von Open Source oft diskutiert wurden, hat sich bei mir eine Frage aufgedrängt, die mir trotz allem unklar ist.
Basis ist der Thread :
http://www.linuxforen.de/forums/showthread.php?threadid=71478&highlight=open+source+closed+source
bzw, die Aussage von almoeli ganz am Ende.
These: Da bei OSS viele Leute in den Code schauen können, werden Sicherheitslücken schneller gefunden.
Bei Closed Source hingegen kann dies nur die Entwicklungsabteilung der Firma.
Ok, gehen wir nun von "den Guten" und "den Bösen" aus. Die Frage ist nun, da bei CSS die Bösen auch nicht (meistens jedenfalls, NSA und M$ mal ausgenommen ;) ) in die Sourcen schauen dürfen, die Wahrscheinlichkeit einer Entdeckung doch auch gering ist. Oder anders gefragt, wie kann man CSS Sicherheitslücken entdecken? Durch ausprobieren?
Ich habe versucht mir das so zu erklären:
Folgendes Szenario: Ein Software A (OSS) und B(CSS) kommen mit jeweils einem ähnlichen (gleichen) Sicherheitsleck auf den Markt. Beide Programme haben den gleichen Verbreitungs- bzw. Nutzungsgrad. Bei A merken 1000 Leute (weil OSS) , dass da ein Bug drin ist. Bei Programm B merkt es nur einer (vielleicht durch Zufall). Ist somit die Wahrscheinlichkeit grösser, dass einer der 1000 OSS Leute den Bug meldet, bei der CSS der eine aber nicht? Da kommt aber die Frage folgende auf: Nehmen wir mal an 50% der Leute sind "die Guten" und 50% "die Bösen". Dann dürfte die wahrscheinlichkeit dass der Fehler gemeldet wird bei beiden gleich hoch sein, oder? Oder geht die Theorie von einem deutlich höheren Anteil der Guten aus (was ich mal hoffe)?
Versteht mich nicht falsch, ich bin absoluter Fan von OSS, ich würds nur gern komplett verstehen.
Gruss Zorin
obwohl die offensichtlichen Vorteile von Open Source oft diskutiert wurden, hat sich bei mir eine Frage aufgedrängt, die mir trotz allem unklar ist.
Basis ist der Thread :
http://www.linuxforen.de/forums/showthread.php?threadid=71478&highlight=open+source+closed+source
bzw, die Aussage von almoeli ganz am Ende.
These: Da bei OSS viele Leute in den Code schauen können, werden Sicherheitslücken schneller gefunden.
Bei Closed Source hingegen kann dies nur die Entwicklungsabteilung der Firma.
Ok, gehen wir nun von "den Guten" und "den Bösen" aus. Die Frage ist nun, da bei CSS die Bösen auch nicht (meistens jedenfalls, NSA und M$ mal ausgenommen ;) ) in die Sourcen schauen dürfen, die Wahrscheinlichkeit einer Entdeckung doch auch gering ist. Oder anders gefragt, wie kann man CSS Sicherheitslücken entdecken? Durch ausprobieren?
Ich habe versucht mir das so zu erklären:
Folgendes Szenario: Ein Software A (OSS) und B(CSS) kommen mit jeweils einem ähnlichen (gleichen) Sicherheitsleck auf den Markt. Beide Programme haben den gleichen Verbreitungs- bzw. Nutzungsgrad. Bei A merken 1000 Leute (weil OSS) , dass da ein Bug drin ist. Bei Programm B merkt es nur einer (vielleicht durch Zufall). Ist somit die Wahrscheinlichkeit grösser, dass einer der 1000 OSS Leute den Bug meldet, bei der CSS der eine aber nicht? Da kommt aber die Frage folgende auf: Nehmen wir mal an 50% der Leute sind "die Guten" und 50% "die Bösen". Dann dürfte die wahrscheinlichkeit dass der Fehler gemeldet wird bei beiden gleich hoch sein, oder? Oder geht die Theorie von einem deutlich höheren Anteil der Guten aus (was ich mal hoffe)?
Versteht mich nicht falsch, ich bin absoluter Fan von OSS, ich würds nur gern komplett verstehen.
Gruss Zorin