Re: Handelsblatt: "Open Source wird ein ernstes Problem“
On 16.03.2016 13:50, Matthias Kirschner wrote: > * Bjoern Schiessle [2016-03-16 13:04:41 +0100]: > >> ich hatte einen Leserbrief an das Handelsblatt geschrieben. Dieser >> blieb leider unbeantwortet, so dass wir diesen jetzt auf >> Netzpolitik.org veröffentlicht haben: >> https://netzpolitik.org/2016/kommentar-warum-freie-software-kein-sicherheitsproblem-darstellt-2/ > > Der Artikel ist außerdem gerade als eines der Feature auf Netzpolitik. > Ich habe mir erlaubt einen Kommentar zum Kommentar zu kommentieren. Gruß Michael signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Hallo, On Fri, 4 Mar 2016 10:28:59 +0100 Henry Jensen wrote: > > http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html > > natürlich ist damit freie Software gemeint. > > Argument: Niemand fühlt sich für freie Software verantwortlich, daher > werden Fehler nicht gefunden oder behoben. Als Beispiel wir die > DROWN-Lücke genannt. Die Botschaft: Freie Software ist unsicher und > Unternehmen sollten sie daher nicht einsetzen. > > Ist natürlich FUD, aber wie begegnet man dem argumentativ? ich hatte einen Leserbrief an das Handelsblatt geschrieben. Dieser blieb leider unbeantwortet, so dass wir diesen jetzt auf Netzpolitik.org veröffentlicht haben: https://netzpolitik.org/2016/kommentar-warum-freie-software-kein-sicherheitsproblem-darstellt-2/ Viele Grüße, Björn -- Björn Schießle Free Software Foundation Europe (https://fsfe.org) Deputy Coordinator Germany www: http://www.schiessle.org gnupg/pgp key: 0x0x2378A753E2BF04F6 fingerprint: 244F CEB0 CB09 9524 B21F B896 2378 A753 E2BF 04F6 pgp_YA_N4veu2.pgp Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
* Bjoern Schiessle [2016-03-16 13:04:41 +0100]: > ich hatte einen Leserbrief an das Handelsblatt geschrieben. Dieser > blieb leider unbeantwortet, so dass wir diesen jetzt auf > Netzpolitik.org veröffentlicht haben: > https://netzpolitik.org/2016/kommentar-warum-freie-software-kein-sicherheitsproblem-darstellt-2/ Der Artikel ist außerdem gerade als eines der Feature auf Netzpolitik. Viele Grüße Matthias -- Matthias Kirschner - President - Free Software Foundation Europe Schönhauser Allee 6/7, 10119 Berlin, Germany | t +49-30-27595290 Registered at Amtsgericht Hamburg, VR 17030 | (fsfe.org/donate) Contact (fsfe.org/about/kirschner) - Weblog (k7r.eu/blog.html) ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Hallo. Am 04.03.2016 um 13:14 schrieb Marcus Moeller: > In einer aktuellen ct' habe ich eine Anzeige von Bitdefender gesehen die > vor der Linux Monokultur im Serverbereich warnt. Fand ich auch recht > speziell. Ja, hab ich auch gesehen und mehrmals überlegt wie ich damit umgehe. Grandios finde ich nämlich noch, dass der Artikel eigentlich vor Angriffen über PHP und Co warnt. Als ob die Verwundbarkeit von PHP-Anwendungen jetzt irgendwas mit dem zugrunde liegenden Betriebssystem zu tun hätte... Gruß, Bernd signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
> Am 08.03.2016 um 20:15 schrieb Thomas Doczkal : > > On 03/04/2016 01:14 PM, Marcus Moeller wrote: >> In einer aktuellen ct' habe ich eine Anzeige von Bitdefender gesehen die >> vor der Linux Monokultur im Serverbereich warnt. Fand ich auch recht >> speziell. > Stand in dem Artikel drin, wieso man glaubt das es eine Monokultur von > Server Linux Distributionen gibt? > > Mir fallen sofort eine Vielzahl von Enterprise Linux Distributionen ein. Es war eine Werbung, kein Artikel. Es ging dort um Linux generell. Viele Grüsse Marcus ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
On 03/08/2016 08:52 PM, Ferdinand Pöll wrote: > Ganz unten im Testbericht steht, dass die Website einen HTTP 301 liefert. Die > Testsoftware geht anscheinend also nicht auf HTTP Statuscodes ein, sondern > bewertet wirklich nur TLS. Ja, das ist mir dann auch aufgefallen. Wie es aussieht wird die Weiterleitung über eine "sicher" Verbindung ausgeführt und das Resultat am Ende ist dann eine ungesicherte Kommunikation mit der Webseite. SSL Labs scheint hier nur die sichere Verbindung zu bewerten und den Weiterleitung(en) nicht zu folgen. HTTPS Everywhere scheint hier nur einen Teilerfolg erzielen zu können. https://www.eff.org/https-everywhere/atlas/domains/heise.de.html Viele Grüße Thomas signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Ganz unten im Testbericht steht, dass die Website einen HTTP 301 liefert. Die Testsoftware geht anscheinend also nicht auf HTTP Statuscodes ein, sondern bewertet wirklich nur TLS. Am 8. März 2016 20:42:46 MEZ, schrieb Thomas Doczkal : >On 03/04/2016 02:50 PM, Benedikt Geißler wrote: >> Dadurch bedingt ist es ja auch immer wieder schön zu sehen, wenn mal >wieder >> auf einschlägigen Nachrichtenseiten über TLS berichtet wird, aber >eben diese >> Webseiten kein https anbieten, weil sonst die Werbung nicht so >richtig >> funktionieren würde… >> >> Benedikt >Ich frage mich gerade welche "dirty hacks" die anwenden, um das >Ergebnis >wie bei ssllabs.com[1] zu erzielen und per Browser[2] keine SSL >Verbindung zur Verfügung zu stellen. > >Man wird leider konsequent auf die http:// Seite weitergeleitet... > >Viele Grüße >Thomas > >[1] https://www.ssllabs.com/ssltest/analyze.html?d=heise.de >[2] $ firefox --version >Mozilla Firefox 44.0.2 > > > > > > >___ >fsfe-de mailing list >fsfe-de@fsfeurope.org >https://mail.fsfeurope.org/mailman/listinfo/fsfe-de -BEGIN PGP SIGNATURE- iQJEBAEBCgAuJxxGZXJkaW5hbmQgUMO2bGwgKE5FVSkgPGZwaG9tZUBsaXZlLmRl PgUCVt8tXgAKCRBueKad5QQicaTfD/4xtMQa65/TjCr4iOts/wW/hdsb0cTBbq8s XaeIV1KHeZbdckMcPdc6tZYHQLKSsjfDS+X4JK7axukq6XOXQJawK3p9TmFBqHas TJFBbwRsxWdYgYIdiUvi8G5ki3gTLMXWJBJADMM1GQvg01xYp11xo+l1ybLlro2q 9Qb7U2/W5lp6JLUK1leYvjIF9QQyqbOk5SXNa1WVn6Na1s+NdmaFXWGXa37Y/aNU QG0CrzfHYRJQ605NeiA7+2dUaILqEtcyJEDRgYDbDsUC+wlDJR69wZpd5+0yV/Lt K/5vWECSBGbyLnyvh9V+2TsMpMDLDpvG2Twg/AZiVvRTa7pSzWpLB+DlbRmroWsp fQbnj2xILCMYhueLn7oiqjHuuGSbMSokM1OF9ernm4grAtfyjCxv5+o1YT0u0alz t2PQlYFllw5H/Ui8Pv1LN+EvpgLWZAuD06pAUgFyLo/TN+iIdmcYRGxk8AKrs7L/ dEgCYLeEGW7R5nBMJowy6yba0p7FyUtQjN0THOFKldiqGy0FSl9nV37D86tHbyFk 6LoScgEO7iH4LpL3XUkL6zxGz9gJWw6GPhe01sl2R4T/Wwhk+6Yy2jjTa8E9UHKX WaMH3FMOAqWfaMdVzTYs2oCWkl9H0xjBI+4Qgc0bDppKbnWRfHx146m4+wppmgVM KqAuJherEw== =9X5y -END PGP SIGNATURE- ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
On 03/04/2016 02:50 PM, Benedikt Geißler wrote: > Dadurch bedingt ist es ja auch immer wieder schön zu sehen, wenn mal wieder > auf einschlägigen Nachrichtenseiten über TLS berichtet wird, aber eben diese > Webseiten kein https anbieten, weil sonst die Werbung nicht so richtig > funktionieren würde… > > Benedikt Ich frage mich gerade welche "dirty hacks" die anwenden, um das Ergebnis wie bei ssllabs.com[1] zu erzielen und per Browser[2] keine SSL Verbindung zur Verfügung zu stellen. Man wird leider konsequent auf die http:// Seite weitergeleitet... Viele Grüße Thomas [1] https://www.ssllabs.com/ssltest/analyze.html?d=heise.de [2] $ firefox --version Mozilla Firefox 44.0.2 signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
On 03/04/2016 01:14 PM, Marcus Moeller wrote: > In einer aktuellen ct' habe ich eine Anzeige von Bitdefender gesehen die > vor der Linux Monokultur im Serverbereich warnt. Fand ich auch recht > speziell. Stand in dem Artikel drin, wieso man glaubt das es eine Monokultur von Server Linux Distributionen gibt? Mir fallen sofort eine Vielzahl von Enterprise Linux Distributionen ein. Viele Grüße Thomas signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
On 04.03.2016 16:17, Benedikt Geißler wrote: > >> Aber Open Source bedeutet auch, dass niemand wirklich verantwortlich ist, >> Fehler zu finden oder zu beheben. > > Bei freien Softwareprojekten gibt es immerhin i. d. R. Bugtracker mit Leuten, > die bereit sind, sich darum zu kümmern. Kann mir dagegen z. B. mal jemand > sagen, wo der öfentliche Bugtracker von Microsoft oder Apple ist? Anfragen > direkt per Mail könnten ja auch genauso gut ungesehen im Sande verlaufen… > Es gibt nicht nur Bugtracker. Bei Debian z.B. sind die Pakete vom Maintainer signiert. Dadurch ist die Verantwortlichkeit klar ersichtlich. Man weiß, an wen man sich wenden kann (abgesehen davon, dass es kein Problem ist, den Maintainer eines Paketes durch kurze Recherche im www zu ermitteln). Im Übrigen kann man Freie Software auch im Rahmen eines Werkvertrages erstellen oder anpassen lassen. Auch dann hat man einen - sogar rechtlich - Verantwortlichen. Und schließlich kann man auch, evt. mit anderen Nutzern zusammen, die Fehlerbehebung selbst in die Hand nehmen und z.B. einen Kundigen damit beauftragen. Das geht bei proprietärer Software nicht. Gruß Michael signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Am 4. März 2016 18:13:30 MEZ, schrieb walter harms : > > > Am 04.03.2016 13:07, schrieb Radoje Stojisic: > > Wie wäre es mal, wenn wir das Gedankenspiel umdrehen: > > > > Die Fehler werden eben gefunden, *weil* es Open Source. > > Ich will nicht wissen wie viele solcher Fehler in Microsofts > Lösungen > > und Co. stecken, die nicht > > gefunden werden können, *weil* es eben kein Open Source ist. Und > wenn es > > jemand findet, dann verkauft es für gut Geld an ein Hacker Team. > > > > Somit stellt man sicher das keine dritte Instanz von dem Fehler > > profitieren kann, ohne das es der > > Endverbraucher letzendlich weiß. > > > > Es sieht doch so aus: > bei Open-Source bekommt jemand eine Mail und macht einen Bugfix. > > bei Closed-Source kann man den Bug verkaufen und das nicht unbedingt > an den Inhaber des Codes. Oh, ein hochqualitativer Bug in sowas wie OpenSSH oder eben OpenSSL würde sicher auch Geld bringen! Aber sobald die Katze ausm Sack is stehen in kürzester Zeit Patches bereit, weil es a) Leute gibt, die sich dafür verantwortlich fühlen und b) welche, die von Firmen wie Google, Amazon, Facebook und Redhat dafür gut bezahlt werden, diese Probleme für _alle_ zu beheben und nicht nur die eigenen Kunden. Und in Produkten, deren Code nie jemand zu sehen bekommt und für den man keine Rechenschaft ablegen muss, solange man den neuen Eyecandy rechtzeitig zum funktionieren bekommt, haben die Leute ziemlich wenig Anreiz, sich um Nebensächlichkeiten wie „Sicherheit“ zu kümmern. Entsprechend lernt da kaum wer aus solchen Fehlern, wenn es keinen signifikanten Verlust an Gewinn bedeutet. Außerdem darf man eingesetzte Software von Oracle und SAP AFAIK nicht mal auf Sicherheitsprobleme untersuchen, ohne lizenzbrüchig zu werden. (Da sollten nützliche Argumente drinne sein, wenn auch vermutlich nicht allgemeinverständlich.) > > Was bei den meisten Firmen ein Problem ist, ist das weitermelden von > Bugs. Das geht gut mit Linuxdistributionen wo man in der Regel einen > Bugtracker hat, aber vielfach macht sich einfach keiner die Mühe. > (Von Patches wollen wir da mal lieber nicht reden). (Ach, weil gewisse Unternehmen sich jahrelang nicht die Mühe machen, Patches zu veröffentlichen?) > > re, > wh > Gruß, Florian > > > Grüße > > > > Radi > > > > Am 04.03.16 um 11:56 schrieb Matthias Kirschner: > >> * Henry Jensen [2016-03-04 10:28:59 +0100]: > >> > >>> > [...] ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Am 04.03.2016 13:07, schrieb Radoje Stojisic: > Wie wäre es mal, wenn wir das Gedankenspiel umdrehen: > > Die Fehler werden eben gefunden, *weil* es Open Source. > Ich will nicht wissen wie viele solcher Fehler in Microsofts Lösungen > und Co. stecken, die nicht > gefunden werden können, *weil* es eben kein Open Source ist. Und wenn es > jemand findet, dann verkauft es für gut Geld an ein Hacker Team. > > Somit stellt man sicher das keine dritte Instanz von dem Fehler > profitieren kann, ohne das es der > Endverbraucher letzendlich weiß. > Es sieht doch so aus: bei Open-Source bekommt jemand eine Mail und macht einen Bugfix. bei Closed-Source kann man den Bug verkaufen und das nicht unbedingt an den Inhaber des Codes. Was bei den meisten Firmen ein Problem ist, ist das weitermelden von Bugs. Das geht gut mit Linuxdistributionen wo man in der Regel einen Bugtracker hat, aber vielfach macht sich einfach keiner die Mühe. (Von Patches wollen wir da mal lieber nicht reden). re, wh > Grüße > > Radi > > Am 04.03.16 um 11:56 schrieb Matthias Kirschner: >> * Henry Jensen [2016-03-04 10:28:59 +0100]: >> >>> http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html >>> >>> natürlich ist damit freie Software gemeint. >>> >>> Argument: Niemand fühlt sich für freie Software verantwortlich, daher >>> werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke >>> genannt. >>> Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie >>> daher nicht einsetzen. >>> >>> Ist natürlich FUD, aber wie begegnet man dem argumentativ? >> Da weiß man gar nicht, wo man anfangen soll... Ich glaube ich schreibe >> einen Leserbrief. >> >> Viele Grüße >> Matthias >> > > > > > ___ > fsfe-de mailing list > fsfe-de@fsfeurope.org > https://mail.fsfeurope.org/mailman/listinfo/fsfe-de ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 Hallo zusammen, Zu SAP: Meines Wissens bieten die aber auch Software an, die bestimmte Funktionen nur mit Microsoft Office bietet. In meinen Augen sollte man an solchen Stellen dieses Argument gegen freie Software entkräften, indem man nicht nur sagt, dass der Fehler ohne Freiheit nicht entdeckt worden wäre, sondern auch noch dazu sagt, dass es bspw. bei Debian ein Security-Team gibt, das für kritische Fehler eigentlich immer zeitnah einen Fix bereitstellt. Danach könnte man mit weiteren Argumenten für Freie Software weitermachen, um das Verständnis der Leute zu verbessern. Gruß Ferdinand Am 4. März 2016 16:05:05 MEZ, schrieb Frank Lanitz : >Am 2016-03-04 15:55, schrieb Henry Jensen: >> Muss mich korrigieren, ich habe das Zitat falsch zugeordnet. Es war >> Justin Somaini der den Unsinn zu Freier Software von sich gab, der >ist >> CSO bei SAP. >> >> Aber es zeigt in erschreckender Weise, wer sich heute alles "Experte" >> nennen darf und "Chief Security Officer" werden kann. > >Schön ist, dass SAP bei seinen Datenbankprodukten z.B. auf openssl >baut, >HANA AFAIK Linux-only ist und insgesamt so der ein oder andere Talk auf > >den C3 von den letzten Jahren viel über die Politik des Patches dort >aussagt. Ändert ja aber nichts dran, dass es $Mensch glaubt. Und da >sind >wir wieder bei der Frage des OP: Wie darauf reagieren. Ich lasse die >Leute gerne mal die Lizenzvereinbarungen von eben z.B. SAP lesen und >frage sie dann, ob sie verstanden haben, wann SAP ihnen Support gibt >und >ob ihr Bug gefixt wird. Kann man jetzt nicht immer und mit jedem >machen. > >Gruß Frank >___ >fsfe-de mailing list >fsfe-de@fsfeurope.org >https://mail.fsfeurope.org/mailman/listinfo/fsfe-de -BEGIN PGP SIGNATURE- iQJEBAEBCgAuJxxGZXJkaW5hbmQgUMO2bGwgKE5FVSkgPGZwaG9tZUBsaXZlLmRl PgUCVtmnNwAKCRBueKad5QQiceYXD/9rKmJOdXSn1oeTImZBPVfvn3n9BZB9xkzD Vgq39tscXDbBjROyN35sqImEIvCwe/00JMaSgv0z5OgndL+nDdH6uPn96+6bg6AW QKFyNE3/AR1iXnMLlOPU7omMrYs8P+IRcWqG4Qx1Nu17VFJY9F5pT8dU/S7d+tZA uL1sgOMByyFDB3XMOFzl/OO2vvnYNhQ3eZ2mGHfD8gRRJy6V5LmLOrgKYFVnwfam NK+Q2ObkgcXr+4EETVweEgWzA0vO3duuUm3LNdnBgGP88ZcOpjRHRyPy4LoBllza h3pGTahuKkouAZSIhNt8De0sYB5VlNcDze17L+TiiWSIHwEqEJ4jH7b/c7SjdFVk jqFCKGcSfu6wX7m3E/YP18Zb2WmHdH4KYyqK/I5O78g1e/jeQPVRPeKOIf1a4+Ji bB6oG2yj8RRdk0Gsi/QaU2b8u/KvB0v0ay5m3VdU8ho+zYL5EgU6jkQrHlJGIvCP k5UtX3Dn2lFbzmiyWspyzUATlwkormrFwhM2fKhS4bv15RpQS4ESLL0iQGJiq3+/ Zkm9GoqsYiXtCLR27ugf7LFuHq0Alo4eR3fB2Ao1aSyCQozAJAMv1X6KxpugWnMq RHvNX+VmKC8zqmIOB871yOL3GcDOqnf9xRpf8WziYL/yIJicpGYcBvga7ZYdQTRU kd29SBXd8A== =+o44 -END PGP SIGNATURE- ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Was mir zuächst einmal auffällt, ist dass der Artikel entgegen der Überschrift offenbar nur zu einem kleinen Teil über „Open Source-Software“ handelt. Ich zitiere mal ein paar Stellen: > „Wir ermitteln ja nicht gegen die Firma. Wir wollen Hacker aufspüren. [...]“ Das ist aber beunruhigend, wenn sie gegen Leute mit Ethik [1] vorgehen wollen. Die Cracker können also unbehelligt weitermachen. > „Ich habe Angst, aber weiß nicht genau wovor.“ Denn die Bedrohungslage ist > extrem komplex geworden. „Früher war alles auf einen Großcomputer in einem > abgeschlossenen Raum. Heute sind die Daten rund um die Welt verteilt.“ Daten wandern nicht von allein in die „Cloud“. Deren Einsatz ist eine bewusste Entscheidung, man braucht sich dann auch nicht über die Gefahren zu wundern. „there is no cloud, just other people's computers“ – man kann sich aber auch bewusst für eine *freie* „Cloud“-Lösung (ich denke z. B. an Owncloud) entscheiden und braucht sich bei korrekter Einrichtung dann keine Sorgen mehr machen, ob die Daten irgendwo herumschwirren. vgl. auch das User Data Manifesto [2]. > Wichtige Bereiche der Netzwerke werden „unsichtbar“ gemacht. Ein > Eindringling findet dann kaum noch etwas Interessantes vor. Das hört sich für mich ja eher nach dem Konzept „security by obscurity“ an. Wichtiger wäre ja einfach eine verschlüsselte Übertragung. > Die Herausforderungen wachsen dabei überproportional. Besonders die Zunahme > von „Open Source“-Software ist ein Problem. Interessant, dass gerade durch die Netzwerkverschleierung die Herausforderungen der Aufwand höher wird was das dann mit freier Software zu tun haben soll… > Durch sie wird die Erstellung von Apps schneller und preisgünstiger, aber > „man weiß nie, wer wirklich was programmiert hat und wo Lücken sein > könnten.“ Klingt für mich so, als wenn schlecht bezahlte Programmierer in „Billiglohnländern“ irgendetwas zusammenkopieren. Sind daraus nicht auch schon ein paar GPL-Verletzungen resultiert? Insofern ist hier bessere Kontrolle seitens der Firmen in der Tat erstrebenswert. Allerdings halte ich es für schlichtweg falsch, zu sagen, man könne nicht wissen, wer was gecodet hat. Genau andersherum wird ein Schuh daraus: z. B. in [3] kann man sehr gut sehen, welche Zeilen zuletzt von wem bearbeitet wurden. Bei proprietärer Software hingegen kann man nicht so ohne Weiteres in Erfahrung bringen, von welchem Dienstleister oder sogar Programmierer welcher Code eingeflossen bzw. wie oben gesagt zusammengeschustert worden ist. > Die angegriffene Software [es geht um DROWN] ist Open Source, sie steht also > offen jedem kostenlos und frei zur Verfügung – und wird in tausenden > Unternehmen eingesetzt�. Wenn ich das richtig sehe, ist der Kern dieses Angriffs, dass einfach das veraltete SSLv2 benutzt wird und dadurch die Lücke auftritt [4], [5]. Ein zeitgemäß konfigurierter Webserver ist demzufolge gar nicht erst davon betroffen (so wie bei FREAK, POODLE und Logjam wohl auch). Vor diesem Hintergrund verstehe ich auch nicht wirklich den Medienrummel darum, es würde doch auch genügen, deutlich darauf hinzuweisen, dass man seinen Web- oder Mailserver noch einmal auf seine Konfiguration überprüfen sollte. > Die angegriffene Software ist Open Source, sie steht also offen jedem > kostenlos und frei zur Verfügung – und wird in tausenden Unternehmen > eingesetzt. a) Handelt es sich (nach meiner Interpretation) vielmehr um eine Schwäche des Protokolls SSLv2 und somit nicht einer bestimmten Software, obschon einige Versionen von OpenSSL eine noch billigere Variante dieses Angriffs ermöglichen. b) Was ist mit Windows (nur als Beispiel)? Es ist *nicht* frei, wird aber auch von tausenden Unternehmen eingesetzt. Ist es jetzt deswegen sicherer? Wie man sieht, ist der oben zitierte Satz also keine sinnvolle Folgerung. > Aber Open Source bedeutet auch, dass niemand wirklich verantwortlich ist, > Fehler zu finden oder zu beheben. Bei freien Softwareprojekten gibt es immerhin i. d. R. Bugtracker mit Leuten, die bereit sind, sich darum zu kümmern. Kann mir dagegen z. B. mal jemand sagen, wo der öfentliche Bugtracker von Microsoft oder Apple ist? Anfragen direkt per Mail könnten ja auch genauso gut ungesehen im Sande verlaufen… > „Ich bin sicher“, so der Sicherheitschef von SAP, „dass wir große > Unternehmen scheitern sehen werden, weil sie es versäumen, Sicherheit für > sich als wichtiges Unterscheidungsmerkmal in ihrer Branche > herauszuarbeiten.“ Bei Unternemen wie Antivirenherstellern, die sich ja schon nominell zweifelsohne „Sicherheit“ auf die Fahne geschrieben haben, sieht man das ja sehr gut: es gab bisher kaum einen, der nicht selber mal eine Panne hatte. Ein Beispiel davon ist in [6]. (Darüber hinaus ist Sicherheit ja auch kein käuflich erwerbbares Produkt, sondern ein Prozess, bei dem meiner Meinung nach freie Software unverzichtbar ist.) Das soll erstmal genügen, Gruß Benedikt [1] https://www.gnu.org/philosophy/rms-hack.html [2]
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Am 2016-03-04 15:55, schrieb Henry Jensen: Muss mich korrigieren, ich habe das Zitat falsch zugeordnet. Es war Justin Somaini der den Unsinn zu Freier Software von sich gab, der ist CSO bei SAP. Aber es zeigt in erschreckender Weise, wer sich heute alles "Experte" nennen darf und "Chief Security Officer" werden kann. Schön ist, dass SAP bei seinen Datenbankprodukten z.B. auf openssl baut, HANA AFAIK Linux-only ist und insgesamt so der ein oder andere Talk auf den C3 von den letzten Jahren viel über die Politik des Patches dort aussagt. Ändert ja aber nichts dran, dass es $Mensch glaubt. Und da sind wir wieder bei der Frage des OP: Wie darauf reagieren. Ich lasse die Leute gerne mal die Lizenzvereinbarungen von eben z.B. SAP lesen und frage sie dann, ob sie verstanden haben, wann SAP ihnen Support gibt und ob ihr Bug gefixt wird. Kann man jetzt nicht immer und mit jedem machen. Gruß Frank ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Muss mich korrigieren, ich habe das Zitat falsch zugeordnet. Es war Justin Somaini der den Unsinn zu Freier Software von sich gab, der ist CSO bei SAP. Aber es zeigt in erschreckender Weise, wer sich heute alles "Experte" nennen darf und "Chief Security Officer" werden kann. On Fri, 4 Mar 2016 13:41:33 +0100 Henry Jensen wrote: > Der Zitategeber, Leo Taddeo, früherer FBI-Mitarbeiter und nun CSO bei > der Firma Cryptzone hat auch andere ziemlich merkwürdige Ansichten: > > "I think this is only the beginning,” former FBI special agent Leo > Taddeo told IBT. “As the deployment of powerful encryption on cell > phones becomes more commonplace, more crimes will go unsolved. This > means more criminals will get away and more Americans will be victims" > > Also mehr Verschlüsselung = mehr Kriminalitätsopfer. Alles klar. > > > Quelle: > > http://www.ibtimes.com/apple-has-unlocked-iphones-us-supreme-court-might-decide-it-needs-again-2311260 > ___ > fsfe-de mailing list > fsfe-de@fsfeurope.org > https://mail.fsfeurope.org/mailman/listinfo/fsfe-de ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Am Freitag, 4. März 2016, 13:58:33 CET schrieb WD Zimmermann: > Ich frage mich, worin das "ernste Problem" wirklich besteht und wer es > tatsächlich hat, wenn ich allein schon zum Lesen des Artikels > "eingeladen" werde, folgende Adressen (die mir das Addon noscript vom > Rechner fern hält) frei zu schalten: > > xing-share.com > vhb.de > trackjs.com > google.com > googletagsservices.com > goggle-analytics.com > outbrain.com > ioam.de > kaloo.ga > twitter.com > unggad.net > emetric.de > theadex.com > facebook.net > iqcontentplatform.de > t4ft.de > yieldlab.net > visualrevenue.com > > Es wird uns schon unglaublich schwer gemacht, auch vom Handelsblatt, > verantwortlich und kompetent mit dem Rechner umzugehen. Dadurch bedingt ist es ja auch immer wieder schön zu sehen, wenn mal wieder auf einschlägigen Nachrichtenseiten über TLS berichtet wird, aber eben diese Webseiten kein https anbieten, weil sonst die Werbung nicht so richtig funktionieren würde… Benedikt ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
# Wolf-dieter Zimmermann [04.03.2016 @ 13:58]: > Es wird uns schon unglaublich schwer gemacht, auch vom Handelsblatt, > verantwortlich und kompetent mit dem Rechner umzugehen. Was verwendest Du auch Freie Software wie NoScript, um so etwas herauszufinden? Du würdest Dich viel sicherer fühlen, wenn Du das erst gar nicht wüsstest. Immer dieses Misstrauen... ;-) SCNR, Max -- Max Mehl - Coordinator German FSFE Team - www.fsfe.org More contact possibilities: http://fsfe.org/about/mehl Private blog: blog.mehl.mx | Private homepage: mehl.mx Your donation enables our work: http://fsfe.org/donate signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Ich frage mich, worin das "ernste Problem" wirklich besteht und wer es tatsächlich hat, wenn ich allein schon zum Lesen des Artikels "eingeladen" werde, folgende Adressen (die mir das Addon noscript vom Rechner fern hält) frei zu schalten: xing-share.com vhb.de trackjs.com google.com googletagsservices.com goggle-analytics.com outbrain.com ioam.de kaloo.ga twitter.com unggad.net emetric.de theadex.com facebook.net iqcontentplatform.de t4ft.de yieldlab.net visualrevenue.com Es wird uns schon unglaublich schwer gemacht, auch vom Handelsblatt, verantwortlich und kompetent mit dem Rechner umzugehen. -- Freundliche Grüße | Diese Nachricht wurde mit Wolf-Dieter Zimmermann | Freier Software gesendet E: wd.zimmerm...@posteo.de | U: netzwerk-bildung.net 0x6DEFAE0E.asc Description: application/pgp-keys ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Der Zitategeber, Leo Taddeo, früherer FBI-Mitarbeiter und nun CSO bei der Firma Cryptzone hat auch andere ziemlich merkwürdige Ansichten: "I think this is only the beginning,” former FBI special agent Leo Taddeo told IBT. “As the deployment of powerful encryption on cell phones becomes more commonplace, more crimes will go unsolved. This means more criminals will get away and more Americans will be victims" Also mehr Verschlüsselung = mehr Kriminalitätsopfer. Alles klar. Quelle: http://www.ibtimes.com/apple-has-unlocked-iphones-us-supreme-court-might-decide-it-needs-again-2311260 ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Hi all. > http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html > > natürlich ist damit freie Software gemeint. > > Argument: Niemand fühlt sich für freie Software verantwortlich, daher > werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke > genannt. > Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie > daher nicht einsetzen. > > Ist natürlich FUD, aber wie begegnet man dem argumentativ? Wer schon Internet als Tag Link hinterlegt ist aus meiner Sicht nicht wirklich ernst zu nehmen. In einer aktuellen ct' habe ich eine Anzeige von Bitdefender gesehen die vor der Linux Monokultur im Serverbereich warnt. Fand ich auch recht speziell. Viele Grüsse Marcus ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
Wie wäre es mal, wenn wir das Gedankenspiel umdrehen: Die Fehler werden eben gefunden, *weil* es Open Source. Ich will nicht wissen wie viele solcher Fehler in Microsofts Lösungen und Co. stecken, die nicht gefunden werden können, *weil* es eben kein Open Source ist. Und wenn es jemand findet, dann verkauft es für gut Geld an ein Hacker Team. Somit stellt man sicher das keine dritte Instanz von dem Fehler profitieren kann, ohne das es der Endverbraucher letzendlich weiß. Grüße Radi Am 04.03.16 um 11:56 schrieb Matthias Kirschner: > * Henry Jensen [2016-03-04 10:28:59 +0100]: > >> http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html >> >> natürlich ist damit freie Software gemeint. >> >> Argument: Niemand fühlt sich für freie Software verantwortlich, daher >> werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke >> genannt. >> Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie >> daher nicht einsetzen. >> >> Ist natürlich FUD, aber wie begegnet man dem argumentativ? > Da weiß man gar nicht, wo man anfangen soll... Ich glaube ich schreibe > einen Leserbrief. > > Viele Grüße > Matthias > ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: Handelsblatt: "Open Source wird ein ernstes Problem“
* Henry Jensen [2016-03-04 10:28:59 +0100]: > http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html > > natürlich ist damit freie Software gemeint. > > Argument: Niemand fühlt sich für freie Software verantwortlich, daher > werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke > genannt. > Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie > daher nicht einsetzen. > > Ist natürlich FUD, aber wie begegnet man dem argumentativ? Da weiß man gar nicht, wo man anfangen soll... Ich glaube ich schreibe einen Leserbrief. Viele Grüße Matthias -- Matthias Kirschner - President - Free Software Foundation Europe Schönhauser Allee 6/7, 10119 Berlin, Germany | t +49-30-27595290 Registered at Amtsgericht Hamburg, VR 17030 | (fsfe.org/donate) Contact (fsfe.org/about/kirschner) - Weblog (k7r.eu/blog.html) ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Handelsblatt: "Open Source wird ein ernstes Problem“
Hallo zusammen, http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html natürlich ist damit freie Software gemeint. Argument: Niemand fühlt sich für freie Software verantwortlich, daher werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke genannt. Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie daher nicht einsetzen. Ist natürlich FUD, aber wie begegnet man dem argumentativ? Viele Grüße, Henry ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
