PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Open Source und Closed source



zorin
06.02.04, 12:35
Hi zusammen,

obwohl die offensichtlichen Vorteile von Open Source oft diskutiert wurden, hat sich bei mir eine Frage aufgedrängt, die mir trotz allem unklar ist.

Basis ist der Thread :
http://www.linuxforen.de/forums/showthread.php?threadid=71478&highlight=open+source+closed+source

bzw, die Aussage von almoeli ganz am Ende.
These: Da bei OSS viele Leute in den Code schauen können, werden Sicherheitslücken schneller gefunden.
Bei Closed Source hingegen kann dies nur die Entwicklungsabteilung der Firma.
Ok, gehen wir nun von "den Guten" und "den Bösen" aus. Die Frage ist nun, da bei CSS die Bösen auch nicht (meistens jedenfalls, NSA und M$ mal ausgenommen ;) ) in die Sourcen schauen dürfen, die Wahrscheinlichkeit einer Entdeckung doch auch gering ist. Oder anders gefragt, wie kann man CSS Sicherheitslücken entdecken? Durch ausprobieren?

Ich habe versucht mir das so zu erklären:
Folgendes Szenario: Ein Software A (OSS) und B(CSS) kommen mit jeweils einem ähnlichen (gleichen) Sicherheitsleck auf den Markt. Beide Programme haben den gleichen Verbreitungs- bzw. Nutzungsgrad. Bei A merken 1000 Leute (weil OSS) , dass da ein Bug drin ist. Bei Programm B merkt es nur einer (vielleicht durch Zufall). Ist somit die Wahrscheinlichkeit grösser, dass einer der 1000 OSS Leute den Bug meldet, bei der CSS der eine aber nicht? Da kommt aber die Frage folgende auf: Nehmen wir mal an 50% der Leute sind "die Guten" und 50% "die Bösen". Dann dürfte die wahrscheinlichkeit dass der Fehler gemeldet wird bei beiden gleich hoch sein, oder? Oder geht die Theorie von einem deutlich höheren Anteil der Guten aus (was ich mal hoffe)?


Versteht mich nicht falsch, ich bin absoluter Fan von OSS, ich würds nur gern komplett verstehen.

Gruss Zorin

Thomas Engelke
06.02.04, 13:05
Die meisten Leute, die ein Programm verwenden, sind daran interessiert, es clean zu halten, da daran die Sicherheit ihres eigenen Systemes hängt. dies ist etwas vollkommen Natürliches. Entdecke ich einen Bug, so submitte ich ihn mittels Bugzilla oder ähnlicher Mechanismen.

Denken wir mal daran, das innerhalb der Zeit t beide deiner Beispielapplikationen genutzt werden. Nicht alle Nutzer der OSS entdecken den Fehler zur gleichen Zeit. Die 1000 Nutzer entdecken ihn auf t verteilt. Wenn der erste Nutzer ihn entdeckt, wird er in seinem Interesse den Fehler berichten. Damit liegt die Chance auf eine frühere Entdeckung bei OSS deutlich höher. Besonders, wenn man bedenkt, daß man die Existenz einer Schwachstelle "relativ" einfach nachvollziehen kann, wenn man in den Code schaut.

AD!

drcux
06.02.04, 13:08
- CSS-Programmierer können absichtlich "Hintertüren" einbauen (und das machen sie auch)
- CSS-Programmierer können "unsauberen" Code produzieren
- "unsauberer" Code ist schwer zu "warten", Sicherheitslücken werden oft nicht geschlossen, sondern einfach "umgangen", das wiederum verursacht wieder neue Sicherheitslücken, ein Teufelskreis :D

und noch vieles mehr...

zorin
06.02.04, 13:40
Hi,

danke für Eure Antworten.

@Thomas Engelke: Ja schon klar. Aber Du gehst davon aus, dass alle Leute so "ehrlich" sind wie Du. Kriminelle können Ihr System ja absichern, ohne den Bug zu melden.
Der Prozentsatz, der bei dem CSS-Programm den Fehler findet, besteht ja auch aus x% "Guten" und (100-x)% "Bösen", genau wie bei OSS. Ich hoffe Ihr versteht auf was ich hinaus will!

Annahme: 70% der menschen sind gut 30% schlecht. 1000 finden den OSS Bug, 10 den CSS Bug. Die Wahrscheinlichkeit, dass nur "schlechte Menschen" den Bug finden ist prozentual (!) bei beiden gleich, aber absolut (!) gesehen bei OSS höher. Kann man so für OSS argumentieren, oder mach ich grad nen logischen Fehler?


@drcux: Dass Firmen schädlichen Code einfügen können und tun ist mir klar! Diesen Anteil wollte ich ausschliessen! Btw. was war das eigentlich mit der Backdoor-in-Win98-Geschichte. Ein Fake oder tatsächlich so?

Gruss Zorin

zorin
06.02.04, 13:59
@drcux: Hey sag mal Du bist nicht zufällig Heise-Redakteur, oder? :D

siehe: http://heise.de/newsticker/meldung/44381

q.e.d würde der Mathematiker sagen :rolleyes:

Gruss Zorin

Russel-Athletic
06.02.04, 14:06
Also deine Rechnung ist soweit ich sehe korrekt, und in so einem Fall wäre es auch schlecht um die Sicherheit von Opensource.
ABER:
1. Wenn ein Bug entdeckt und veröffentlicht wird, kann es innerhalb kurzer Zeit inoffizielle Patches von freiwilligen geben, oder die Hauptprogrammierer haben schon einen Oatch geschrieben
2.Bei css kontrollieren 200 Leute die Software,u nd sind dafür zuständig die Lücke zu schließen, bei oss kontrollieren mehrere 1000 Leute die Softwar, also haben wir 700 Leute die den Bug melden und gegebenenfalls den Bug bei sich schon schließen.


So denk ich mir das :D

Thomas Engelke
06.02.04, 14:12
Original geschrieben von zorin
@Thomas Engelke: Ja schon klar. Aber Du gehst davon aus, dass alle Leute so "ehrlich" sind wie Du. Kriminelle können Ihr System ja absichern, ohne den Bug zu melden.

Ich glaube weniger. Du scheinst davon auszugehen, daß jeder, der einen solchen Bug finden kann, ihn auch (die Quellen vorausgesetzt) selbst beheben kann und will. Ich persönlich mag einen Bug finden können, aber ich bin zu faul und zu dumm, um ihn selbst zu berichtigen. Dafür ist der Author bzw. Maintainer da.

AD!