Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[RA Stehmann]

On 16.03.2016 13:50, Matthias Kirschner wrote:
> * Bjoern Schiessle  [2016-03-16 13:04:41 +0100]:
> 
>> ich hatte einen Leserbrief an das Handelsblatt geschrieben. Dieser
>> blieb leider unbeantwortet, so dass wir diesen jetzt auf
>> Netzpolitik.org veröffentlicht haben:
>> https://netzpolitik.org/2016/kommentar-warum-freie-software-kein-sicherheitsproblem-darstellt-2/
> 
> Der Artikel ist außerdem gerade als eines der Feature auf Netzpolitik. 
> 
Ich habe mir erlaubt einen Kommentar zum Kommentar zu kommentieren.

Gruß
Michael





signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Bernd Wurst]

Hallo.

Am 04.03.2016 um 13:14 schrieb Marcus Moeller:
> In einer aktuellen ct' habe ich eine Anzeige von Bitdefender gesehen die
> vor der Linux Monokultur im Serverbereich warnt. Fand ich auch recht
> speziell.

Ja, hab ich auch gesehen und mehrmals überlegt wie ich damit umgehe.

Grandios finde ich nämlich noch, dass der Artikel eigentlich vor
Angriffen über PHP und Co warnt. Als ob die Verwundbarkeit von
PHP-Anwendungen jetzt irgendwas mit dem zugrunde liegenden
Betriebssystem zu tun hätte...

Gruß,
Bernd



signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Marcus Möller]

> Am 08.03.2016 um 20:15 schrieb Thomas Doczkal :
> 
> On 03/04/2016 01:14 PM, Marcus Moeller wrote:
>> In einer aktuellen ct' habe ich eine Anzeige von Bitdefender gesehen die
>> vor der Linux Monokultur im Serverbereich warnt. Fand ich auch recht
>> speziell.
> Stand in dem Artikel drin, wieso man glaubt das es eine Monokultur von
> Server Linux Distributionen gibt?
> 
> Mir fallen sofort eine Vielzahl von Enterprise Linux Distributionen ein.

Es war eine Werbung, kein Artikel. Es ging dort um Linux generell. 

Viele Grüsse
Marcus
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Thomas Doczkal]

On 03/08/2016 08:52 PM, Ferdinand Pöll wrote:
> Ganz unten im Testbericht steht, dass die Website einen HTTP 301 liefert. Die 
> Testsoftware geht anscheinend also nicht auf HTTP Statuscodes ein, sondern 
> bewertet wirklich nur TLS.
Ja, das ist mir dann auch aufgefallen. Wie es aussieht wird die
Weiterleitung über eine "sicher" Verbindung ausgeführt und das Resultat
am Ende ist dann eine ungesicherte Kommunikation mit der Webseite. SSL
Labs scheint hier nur die sichere Verbindung zu bewerten und den
Weiterleitung(en) nicht zu folgen.

HTTPS Everywhere scheint hier nur einen Teilerfolg erzielen zu können.
https://www.eff.org/https-everywhere/atlas/domains/heise.de.html

Viele Grüße
Thomas



signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Ferdinand Pöll]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Ganz unten im Testbericht steht, dass die Website einen HTTP 301 liefert. Die 
Testsoftware geht anscheinend also nicht auf HTTP Statuscodes ein, sondern 
bewertet wirklich nur TLS.

Am 8. März 2016 20:42:46 MEZ, schrieb Thomas Doczkal :
>On 03/04/2016 02:50 PM, Benedikt Geißler wrote:
>> Dadurch bedingt ist es ja auch immer wieder schön zu sehen, wenn mal
>wieder
>> auf einschlägigen Nachrichtenseiten über TLS berichtet wird, aber
>eben diese
>> Webseiten kein https anbieten, weil sonst die Werbung nicht so
>richtig
>> funktionieren würde…
>>
>> Benedikt
>Ich frage mich gerade welche "dirty hacks" die anwenden, um das
>Ergebnis
>wie bei ssllabs.com[1] zu erzielen und per Browser[2] keine SSL
>Verbindung zur Verfügung zu stellen.
>
>Man wird leider konsequent auf die http:// Seite weitergeleitet...
>
>Viele Grüße
>Thomas
>
>[1] https://www.ssllabs.com/ssltest/analyze.html?d=heise.de
>[2] $ firefox --version
>Mozilla Firefox 44.0.2
>
>
>
>
>
>
>___
>fsfe-de mailing list
>fsfe-de@fsfeurope.org
>https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
-BEGIN PGP SIGNATURE-
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=9X5y
-END PGP SIGNATURE-

___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Thomas Doczkal]

On 03/04/2016 02:50 PM, Benedikt Geißler wrote:
> Dadurch bedingt ist es ja auch immer wieder schön zu sehen, wenn mal wieder 
> auf einschlägigen Nachrichtenseiten über TLS berichtet wird, aber eben diese 
> Webseiten kein https anbieten, weil sonst die Werbung nicht so richtig 
> funktionieren würde…
> 
> Benedikt
Ich frage mich gerade welche "dirty hacks" die anwenden, um das Ergebnis
wie bei ssllabs.com[1] zu erzielen und per Browser[2] keine SSL
Verbindung zur Verfügung zu stellen.

Man wird leider konsequent auf die http:// Seite weitergeleitet...

Viele Grüße
Thomas

[1] https://www.ssllabs.com/ssltest/analyze.html?d=heise.de
[2] $ firefox --version
Mozilla Firefox 44.0.2




signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Thomas Doczkal]

On 03/04/2016 01:14 PM, Marcus Moeller wrote:
> In einer aktuellen ct' habe ich eine Anzeige von Bitdefender gesehen die
> vor der Linux Monokultur im Serverbereich warnt. Fand ich auch recht
> speziell.
Stand in dem Artikel drin, wieso man glaubt das es eine Monokultur von
Server Linux Distributionen gibt?

Mir fallen sofort eine Vielzahl von Enterprise Linux Distributionen ein.

Viele Grüße
Thomas



signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[RA Stehmann]

On 04.03.2016 16:17, Benedikt Geißler wrote:

> 
>> Aber Open Source bedeutet auch, dass niemand wirklich verantwortlich ist,
>> Fehler zu finden oder zu beheben.
> 
> Bei freien Softwareprojekten gibt es immerhin i. d. R. Bugtracker mit Leuten, 
> die bereit sind, sich darum zu kümmern. Kann mir dagegen z. B. mal jemand 
> sagen, wo der öfentliche Bugtracker von Microsoft oder Apple ist? Anfragen 
> direkt per Mail könnten ja auch genauso gut ungesehen im Sande verlaufen…
> 
Es gibt nicht nur Bugtracker.

Bei Debian z.B. sind die Pakete vom Maintainer signiert. Dadurch ist die
Verantwortlichkeit klar ersichtlich. Man weiß, an wen man sich wenden
kann (abgesehen davon, dass es kein Problem ist, den Maintainer eines
Paketes durch kurze Recherche im www zu ermitteln).

Im Übrigen kann man Freie Software auch im Rahmen eines Werkvertrages
erstellen oder anpassen lassen. Auch dann hat man einen - sogar
rechtlich - Verantwortlichen.

Und schließlich kann man auch, evt. mit anderen Nutzern zusammen, die
Fehlerbehebung selbst in die Hand nehmen und z.B. einen Kundigen damit
beauftragen. Das geht bei proprietärer Software nicht.

Gruß
Michael





signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Florian Ermisch]

Am 4. März 2016 18:13:30 MEZ, schrieb walter harms :
> 
> 
> Am 04.03.2016 13:07, schrieb Radoje Stojisic:
> > Wie wäre es mal, wenn wir das Gedankenspiel umdrehen:
> > 
> > Die Fehler werden eben gefunden, *weil* es Open Source.
> > Ich will nicht wissen wie viele solcher Fehler in Microsofts
> Lösungen
> > und Co. stecken, die nicht
> > gefunden werden können, *weil* es eben kein Open Source ist. Und
> wenn es
> > jemand findet, dann verkauft es für gut Geld an ein Hacker Team.
> > 
> > Somit stellt man sicher das keine dritte Instanz von dem Fehler
> > profitieren kann, ohne das es der
> > Endverbraucher letzendlich weiß.
> > 
> 
> Es sieht doch so aus:
> bei Open-Source bekommt jemand eine Mail und macht einen Bugfix.
> 
> bei Closed-Source kann man den Bug verkaufen und das nicht unbedingt
> an den Inhaber des Codes.

Oh, ein hochqualitativer Bug in sowas
wie OpenSSH oder eben OpenSSL würde
sicher auch Geld bringen!

Aber sobald die Katze ausm Sack is
stehen in kürzester Zeit Patches bereit,
weil es a) Leute gibt, die sich dafür 
verantwortlich fühlen und b) welche, die
von Firmen wie Google, Amazon, 
Facebook und Redhat dafür gut bezahlt
werden, diese Probleme für _alle_ zu 
beheben und nicht nur die eigenen 
Kunden.
Und in Produkten, deren Code nie jemand
zu sehen bekommt und für den man keine
Rechenschaft ablegen muss, solange 
man den neuen Eyecandy rechtzeitig zum 
funktionieren bekommt, haben die Leute
ziemlich wenig Anreiz, sich um Nebensächlichkeiten wie „Sicherheit“ zu
kümmern.
Entsprechend lernt da kaum wer aus 
solchen Fehlern, wenn es keinen 
signifikanten Verlust an Gewinn bedeutet.

Außerdem darf man eingesetzte Software
von Oracle und SAP AFAIK nicht mal auf Sicherheitsprobleme untersuchen, ohne
lizenzbrüchig zu werden.

(Da sollten nützliche Argumente drinne
sein, wenn auch vermutlich nicht
allgemeinverständlich.)
> 
> Was bei den meisten Firmen ein Problem ist, ist das weitermelden von
> Bugs. Das geht gut mit Linuxdistributionen wo man in der Regel einen
> Bugtracker hat, aber vielfach macht sich einfach keiner die Mühe.
> (Von Patches wollen wir da mal lieber nicht reden).

(Ach, weil gewisse Unternehmen sich
jahrelang nicht die Mühe machen, 
Patches zu veröffentlichen?)
> 
> re,
>  wh
> 

Gruß, Florian

> 
> > Grüße
> > 
> > Radi
> > 
> > Am 04.03.16 um 11:56 schrieb Matthias Kirschner:
> >> * Henry Jensen  [2016-03-04 10:28:59 +0100]:
> >>
> >>>
> [...]
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[walter harms]

Am 04.03.2016 13:07, schrieb Radoje Stojisic:
> Wie wäre es mal, wenn wir das Gedankenspiel umdrehen:
> 
> Die Fehler werden eben gefunden, *weil* es Open Source.
> Ich will nicht wissen wie viele solcher Fehler in Microsofts Lösungen
> und Co. stecken, die nicht
> gefunden werden können, *weil* es eben kein Open Source ist. Und wenn es
> jemand findet, dann verkauft es für gut Geld an ein Hacker Team.
> 
> Somit stellt man sicher das keine dritte Instanz von dem Fehler
> profitieren kann, ohne das es der
> Endverbraucher letzendlich weiß.
> 

Es sieht doch so aus:
bei Open-Source bekommt jemand eine Mail und macht einen Bugfix.

bei Closed-Source kann man den Bug verkaufen und das nicht unbedingt
an den Inhaber des Codes.

Was bei den meisten Firmen ein Problem ist, ist das weitermelden von
Bugs. Das geht gut mit Linuxdistributionen wo man in der Regel einen
Bugtracker hat, aber vielfach macht sich einfach keiner die Mühe.
(Von Patches wollen wir da mal lieber nicht reden).

re,
 wh



> Grüße
> 
> Radi
> 
> Am 04.03.16 um 11:56 schrieb Matthias Kirschner:
>> * Henry Jensen  [2016-03-04 10:28:59 +0100]:
>>
>>> http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html
>>>
>>> natürlich ist damit freie Software gemeint.  
>>>
>>> Argument: Niemand fühlt sich für freie Software verantwortlich, daher
>>> werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke 
>>> genannt.
>>> Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie
>>> daher nicht einsetzen.
>>>
>>> Ist natürlich FUD, aber wie begegnet man dem argumentativ?
>> Da weiß man gar nicht, wo man anfangen soll... Ich glaube ich schreibe
>> einen Leserbrief.
>>
>> Viele Grüße
>> Matthias
>>
> 
> 
> 
> 
> ___
> fsfe-de mailing list
> fsfe-de@fsfeurope.org
> https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Ferdinand Pöll]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA512

Hallo zusammen,

Zu SAP: Meines Wissens bieten die aber auch Software an, die bestimmte 
Funktionen nur mit Microsoft Office bietet.
In meinen Augen sollte man an solchen Stellen dieses Argument gegen freie 
Software entkräften, indem man nicht nur sagt, dass der Fehler ohne Freiheit 
nicht entdeckt worden wäre, sondern auch noch dazu sagt, dass es bspw. bei 
Debian ein Security-Team gibt, das für kritische Fehler eigentlich immer 
zeitnah einen Fix bereitstellt. Danach könnte man mit weiteren Argumenten für 
Freie Software weitermachen, um das Verständnis der Leute zu verbessern.

Gruß

Ferdinand



Am 4. März 2016 16:05:05 MEZ, schrieb Frank Lanitz :
>Am 2016-03-04 15:55, schrieb Henry Jensen:
>> Muss mich korrigieren, ich habe das Zitat falsch zugeordnet. Es war
>> Justin Somaini der den Unsinn zu Freier Software von sich gab, der
>ist
>> CSO bei SAP.
>>
>> Aber es zeigt in erschreckender Weise, wer sich heute alles "Experte"
>> nennen darf und "Chief Security Officer" werden kann.
>
>Schön ist, dass SAP bei seinen Datenbankprodukten z.B. auf openssl
>baut,
>HANA AFAIK Linux-only ist und insgesamt so der ein oder andere Talk auf
>
>den C3 von den letzten Jahren viel über die Politik des Patches dort
>aussagt. Ändert ja aber nichts dran, dass es $Mensch glaubt. Und da
>sind
>wir wieder bei der Frage des OP: Wie darauf reagieren. Ich lasse die
>Leute gerne mal die Lizenzvereinbarungen von eben z.B. SAP lesen und
>frage sie dann, ob sie verstanden haben, wann SAP ihnen Support gibt
>und
>ob ihr Bug gefixt wird. Kann man jetzt nicht immer und mit jedem
>machen.
>
>Gruß Frank
>___
>fsfe-de mailing list
>fsfe-de@fsfeurope.org
>https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
-BEGIN PGP SIGNATURE-
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=+o44
-END PGP SIGNATURE-

___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Benedikt Geißler]

Was mir zuächst einmal auffällt, ist dass der Artikel entgegen der Überschrift 
offenbar nur zu einem kleinen Teil über „Open Source-Software“ handelt. Ich 
zitiere mal ein paar Stellen:

> „Wir ermitteln ja nicht gegen die Firma. Wir wollen Hacker aufspüren. [...]“

Das ist aber beunruhigend, wenn sie gegen Leute mit Ethik [1] vorgehen wollen. 
Die Cracker können also unbehelligt weitermachen.

> „Ich habe Angst, aber weiß nicht genau wovor.“ Denn die Bedrohungslage ist
> extrem komplex geworden. „Früher war alles auf einen Großcomputer in einem
> abgeschlossenen Raum. Heute sind die Daten rund um die Welt verteilt.“

Daten wandern nicht von allein in die „Cloud“. Deren Einsatz ist eine bewusste 
Entscheidung, man braucht sich dann auch nicht über die Gefahren zu wundern.

„there is no cloud, just other people's computers“ – man kann sich aber auch 
bewusst für eine *freie* „Cloud“-Lösung (ich denke z. B. an Owncloud) 
entscheiden und braucht sich bei korrekter Einrichtung dann keine Sorgen mehr 
machen, ob die Daten irgendwo herumschwirren. vgl. auch das User Data 
Manifesto [2].

> Wichtige Bereiche der Netzwerke werden „unsichtbar“ gemacht. Ein
> Eindringling findet dann kaum noch etwas Interessantes vor.

Das hört sich für mich ja eher nach dem Konzept „security by obscurity“ an. 
Wichtiger wäre ja einfach eine verschlüsselte Übertragung.

> Die Herausforderungen wachsen dabei überproportional. Besonders die Zunahme
> von „Open Source“-Software ist ein Problem.

Interessant, dass gerade durch die Netzwerkverschleierung die 
Herausforderungen der Aufwand höher wird was das dann mit freier Software zu 
tun haben soll…

> Durch sie wird die Erstellung von Apps schneller und preisgünstiger, aber
> „man weiß nie, wer wirklich was programmiert hat und wo Lücken sein
> könnten.“

Klingt für mich so, als wenn schlecht bezahlte Programmierer in 
„Billiglohnländern“ irgendetwas zusammenkopieren. Sind daraus nicht auch schon 
ein paar GPL-Verletzungen resultiert? Insofern ist hier bessere Kontrolle 
seitens der Firmen in der Tat erstrebenswert.

Allerdings halte ich es für schlichtweg falsch, zu sagen, man könne nicht 
wissen, wer was gecodet hat. Genau andersherum wird ein Schuh daraus: z. B. in 
[3] kann man sehr gut sehen, welche Zeilen zuletzt von wem bearbeitet wurden. 
Bei proprietärer Software hingegen kann man nicht so ohne Weiteres in 
Erfahrung bringen, von welchem Dienstleister oder sogar Programmierer welcher 
Code eingeflossen bzw. wie oben gesagt zusammengeschustert worden ist.

> Die angegriffene Software [es geht um DROWN] ist Open Source, sie steht also
> offen jedem kostenlos und frei zur Verfügung – und wird in tausenden
> Unternehmen eingesetzt.

Wenn ich das richtig sehe, ist der Kern dieses Angriffs, dass einfach das 
veraltete SSLv2 benutzt wird und dadurch die Lücke auftritt [4], [5]. Ein 
zeitgemäß konfigurierter Webserver ist demzufolge gar nicht erst davon 
betroffen (so wie bei FREAK, POODLE und Logjam wohl auch). Vor diesem 
Hintergrund verstehe ich auch nicht wirklich den Medienrummel darum, es würde 
doch auch genügen, deutlich darauf hinzuweisen, dass man seinen Web- oder 
Mailserver noch einmal auf seine Konfiguration überprüfen sollte.

> Die angegriffene Software ist Open Source, sie steht also offen jedem
> kostenlos und frei zur Verfügung – und wird in tausenden Unternehmen
> eingesetzt.

a) Handelt es sich (nach meiner Interpretation) vielmehr um eine Schwäche des 
Protokolls SSLv2 und somit nicht einer bestimmten Software, obschon einige 
Versionen von OpenSSL eine noch billigere Variante dieses Angriffs 
ermöglichen.

b) Was ist mit Windows (nur als Beispiel)? Es ist *nicht* frei, wird aber auch 
von tausenden Unternehmen eingesetzt. Ist es jetzt deswegen sicherer?

Wie man sieht, ist der oben zitierte Satz also keine sinnvolle Folgerung. 

> Aber Open Source bedeutet auch, dass niemand wirklich verantwortlich ist,
> Fehler zu finden oder zu beheben.

Bei freien Softwareprojekten gibt es immerhin i. d. R. Bugtracker mit Leuten, 
die bereit sind, sich darum zu kümmern. Kann mir dagegen z. B. mal jemand 
sagen, wo der öfentliche Bugtracker von Microsoft oder Apple ist? Anfragen 
direkt per Mail könnten ja auch genauso gut ungesehen im Sande verlaufen…

> „Ich bin sicher“, so der Sicherheitschef von SAP, „dass wir große
> Unternehmen scheitern sehen werden, weil sie es versäumen, Sicherheit für
> sich als wichtiges Unterscheidungsmerkmal in ihrer Branche
> herauszuarbeiten.“

Bei Unternemen wie Antivirenherstellern, die sich ja schon nominell 
zweifelsohne „Sicherheit“ auf die Fahne geschrieben haben, sieht man das ja 
sehr gut: es gab bisher kaum einen, der nicht selber mal eine Panne hatte. Ein 
Beispiel davon ist in [6]. (Darüber hinaus ist Sicherheit ja auch kein 
käuflich erwerbbares Produkt, sondern ein Prozess, bei dem meiner Meinung nach 
freie Software unverzichtbar ist.)

Das soll erstmal genügen,
Gruß Benedikt

[1] https://www.gnu.org/philosophy/rms-hack.html
[2] 

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Frank Lanitz]

Am 2016-03-04 15:55, schrieb Henry Jensen:

Muss mich korrigieren, ich habe das Zitat falsch zugeordnet. Es war
Justin Somaini der den Unsinn zu Freier Software von sich gab, der ist
CSO bei SAP.

Aber es zeigt in erschreckender Weise, wer sich heute alles "Experte"
nennen darf und "Chief Security Officer" werden kann.


Schön ist, dass SAP bei seinen Datenbankprodukten z.B. auf openssl baut, 
HANA AFAIK Linux-only ist und insgesamt so der ein oder andere Talk auf 
den C3 von den letzten Jahren viel über die Politik des Patches dort 
aussagt. Ändert ja aber nichts dran, dass es $Mensch glaubt. Und da sind 
wir wieder bei der Frage des OP: Wie darauf reagieren. Ich lasse die 
Leute gerne mal die Lizenzvereinbarungen von eben z.B. SAP lesen und 
frage sie dann, ob sie verstanden haben, wann SAP ihnen Support gibt und 
ob ihr Bug gefixt wird. Kann man jetzt nicht immer und mit jedem machen.


Gruß Frank
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Henry Jensen]

Muss mich korrigieren, ich habe das Zitat falsch zugeordnet. Es war
Justin Somaini der den Unsinn zu Freier Software von sich gab, der ist
CSO bei SAP.

Aber es zeigt in erschreckender Weise, wer sich heute alles "Experte"
nennen darf und "Chief Security Officer" werden kann.


On Fri, 4 Mar 2016 13:41:33 +0100
Henry Jensen  wrote:

> Der Zitategeber, Leo Taddeo, früherer FBI-Mitarbeiter und nun CSO bei
> der Firma Cryptzone hat auch andere ziemlich merkwürdige Ansichten:
> 
> "I think this is only the beginning,” former FBI special agent Leo
> Taddeo told IBT. “As the deployment of powerful encryption on cell
> phones becomes more commonplace, more crimes will go unsolved. This
> means more criminals will get away and more Americans will be victims"
> 
> Also mehr Verschlüsselung = mehr Kriminalitätsopfer. Alles klar.
> 
> 
> Quelle: 
> 
> http://www.ibtimes.com/apple-has-unlocked-iphones-us-supreme-court-might-decide-it-needs-again-2311260
> ___
> fsfe-de mailing list
> fsfe-de@fsfeurope.org
> https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Benedikt Geißler]

Am Freitag, 4. März 2016, 13:58:33 CET schrieb WD Zimmermann:
> Ich frage mich, worin das "ernste Problem" wirklich besteht und wer es
> tatsächlich hat, wenn ich allein schon zum Lesen des Artikels
> "eingeladen" werde, folgende Adressen (die mir das Addon noscript vom
> Rechner fern hält)  frei zu schalten:
> 
> xing-share.com
> vhb.de
> trackjs.com
> google.com
> googletagsservices.com
> goggle-analytics.com
> outbrain.com
> ioam.de
> kaloo.ga
> twitter.com
> unggad.net
> emetric.de
> theadex.com
> facebook.net
> iqcontentplatform.de
> t4ft.de
> yieldlab.net
> visualrevenue.com
> 
> Es wird uns schon unglaublich schwer gemacht, auch vom Handelsblatt,
> verantwortlich und kompetent mit dem Rechner umzugehen.

Dadurch bedingt ist es ja auch immer wieder schön zu sehen, wenn mal wieder 
auf einschlägigen Nachrichtenseiten über TLS berichtet wird, aber eben diese 
Webseiten kein https anbieten, weil sonst die Werbung nicht so richtig 
funktionieren würde…

Benedikt

___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Max Mehl]

# Wolf-dieter Zimmermann [04.03.2016 @ 13:58]:
> Es wird uns schon unglaublich schwer gemacht, auch vom Handelsblatt,
> verantwortlich und kompetent mit dem Rechner umzugehen.

Was verwendest Du auch Freie Software wie NoScript, um so etwas
herauszufinden? Du würdest Dich viel sicherer fühlen, wenn Du das erst
gar nicht wüsstest. Immer dieses Misstrauen... ;-)

SCNR,
Max

-- 
Max Mehl - Coordinator German FSFE Team - www.fsfe.org
More contact possibilities: http://fsfe.org/about/mehl
Private blog: blog.mehl.mx | Private homepage: mehl.mx
Your donation enables our work: http://fsfe.org/donate



signature.asc
Description: OpenPGP digital signature
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[WD Zimmermann]

Ich frage mich, worin das "ernste Problem" wirklich besteht und wer es
tatsächlich hat, wenn ich allein schon zum Lesen des Artikels
"eingeladen" werde, folgende Adressen (die mir das Addon noscript vom
Rechner fern hält)  frei zu schalten:

xing-share.com
vhb.de
trackjs.com
google.com
googletagsservices.com
goggle-analytics.com
outbrain.com
ioam.de
kaloo.ga
twitter.com
unggad.net
emetric.de
theadex.com
facebook.net
iqcontentplatform.de
t4ft.de
yieldlab.net
visualrevenue.com

Es wird uns schon unglaublich schwer gemacht, auch vom Handelsblatt,
verantwortlich und kompetent mit dem Rechner umzugehen.

-- 
Freundliche Grüße   | Diese Nachricht wurde mit
Wolf-Dieter Zimmermann  | Freier Software gesendet
E: wd.zimmerm...@posteo.de  | U: netzwerk-bildung.net


0x6DEFAE0E.asc
Description: application/pgp-keys
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Henry Jensen]

Der Zitategeber, Leo Taddeo, früherer FBI-Mitarbeiter und nun CSO bei
der Firma Cryptzone hat auch andere ziemlich merkwürdige Ansichten:

"I think this is only the beginning,” former FBI special agent Leo
Taddeo told IBT. “As the deployment of powerful encryption on cell
phones becomes more commonplace, more crimes will go unsolved. This
means more criminals will get away and more Americans will be victims"

Also mehr Verschlüsselung = mehr Kriminalitätsopfer. Alles klar.


Quelle: 

http://www.ibtimes.com/apple-has-unlocked-iphones-us-supreme-court-might-decide-it-needs-again-2311260
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Marcus Moeller]

Hi all.

> http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html
> 
> natürlich ist damit freie Software gemeint.  
> 
> Argument: Niemand fühlt sich für freie Software verantwortlich, daher
> werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke 
> genannt.
> Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie
> daher nicht einsetzen.
> 
> Ist natürlich FUD, aber wie begegnet man dem argumentativ?

Wer schon Internet als Tag Link hinterlegt ist aus meiner Sicht nicht
wirklich ernst zu nehmen.

In einer aktuellen ct' habe ich eine Anzeige von Bitdefender gesehen die
vor der Linux Monokultur im Serverbereich warnt. Fand ich auch recht
speziell.

Viele Grüsse
Marcus

___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Re: Handelsblatt: "Open Source wird ein ernstes Problem“

[Matthias Kirschner]

* Henry Jensen  [2016-03-04 10:28:59 +0100]:

> http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html
> 
> natürlich ist damit freie Software gemeint.  
> 
> Argument: Niemand fühlt sich für freie Software verantwortlich, daher
> werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke 
> genannt.
> Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie
> daher nicht einsetzen.
> 
> Ist natürlich FUD, aber wie begegnet man dem argumentativ?

Da weiß man gar nicht, wo man anfangen soll... Ich glaube ich schreibe
einen Leserbrief.

Viele Grüße
Matthias

-- 
Matthias Kirschner - President - Free Software Foundation Europe
Schönhauser Allee 6/7, 10119 Berlin, Germany | t +49-30-27595290
Registered at Amtsgericht Hamburg, VR 17030  | (fsfe.org/donate)
Contact (fsfe.org/about/kirschner)  -  Weblog (k7r.eu/blog.html)
___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de

Handelsblatt: "Open Source wird ein ernstes Problem“

[Henry Jensen]

Hallo zusammen,

http://www.handelsblatt.com/technik/it-internet/cebit2016/rsa-sicherheitskonferenz-open-source-wird-ein-ernstes-problem/13052788.html

natürlich ist damit freie Software gemeint.  

Argument: Niemand fühlt sich für freie Software verantwortlich, daher
werden Fehler nicht gefunden oder behoben. Als Beispiel wir die DROWN-Lücke 
genannt.
Die Botschaft: Freie Software ist unsicher und Unternehmen sollten sie
daher nicht einsetzen.

Ist natürlich FUD, aber wie begegnet man dem argumentativ?

Viele Grüße,

Henry





___
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de