[Stefan_der_held]

Zitat (RalphS: 30. April 2015 - 17:16)

... im übrigen ist grad OpenSSL da interessant in diesem Kontext. Wie lange waren "Heartbeat" und "POODLE" da drin verborgen? Wie lange bestand die Möglichkeit, das zum eigenen Vorteil auszunutzen? Wie wahrscheinlich ist es, daß das über all die Jahre keiner getan hat?

stimmt es ist ja OpenSource und dann: "Upps... über Jahrzehnte ist es nicht gefunden worden von den drölftausend code-Schnüfflern..."

Es ist nur traurig, dass andere Unternehmen hierauf gesetzt haben.

[Sturmovik]

Heartbleed... perfektes Beispiel gegen die Mär "Security through Obscurity".
Diese Lücke (in Form des Exploits) wurde nicht durch Quellcodeanalyse entdeckt, sondern durch Reverse-Engineering. Da isses total Wurst, ob der Code einsehbar ist, oder nicht.

Und wie lange die Lücke ab welcher Version drin war, ist anhand der Entwicklerdoku nachvollziehbar (Hab die Daten jetzt aber weder im Kopf, noch hab ich Lust, danach zu suchen)

Und genauso ist ebendiese Lücke ein gutes Beispiel für schnelle Reaktionszeiten bei Open-Source-Software und katastrophale Zustände bei Webserverbetreibern. Die Lücke war binnen weniger Tage gefixt, nur ham die Serverbetreiber gepennt, und entweder ewig nicht gepatcht, oder die Zertifikate nach Beseitigung der Lücke erneuert.

Wie lange brauchte nochmal Microsoft, um eine viel ältere Lücke in SChannel zu fixen?

@Stefan: es waren im Fall von Heartbleed keine Jahrzehnte, ziemlich genau zwei Jahre.

Und im Fall von Poodle sind alle betroffen, die TLS1 nach der ursprünglichen Spezifikation einsetzen, egal ob open|closed Source

Dieser Beitrag wurde von Sturmovik bearbeitet: 30. April 2015 - 18:06

[RalphS]

Der Punkt ist einfach der, daß weder Open- noch Closed-Source System konzeptbedingt sicherer oder unsicherer sind.

"Eigentlich" müßte ab und an jedes weiterentwickelte Projekt weggeworfen und neu entwickelt werden - das schließt Sicherheitslücken zwar nicht zwangsläufig, verschiebt sie aber, sodaß man auch keinen "Generalschlüssel" für alle Versionen in die Hand bekommt, wenn was irgendwo nicht ganz dicht war.

Ganz abgesehen davon, daß man irgendwann einfach nicht mehr durchsieht. Bewundere da die Mozilla-Entwickler.

... Ansonsten ist es einfach die Faulheit der Nutzer (in diesem Kontext: Diensteanbieter).

Kleines Beispiel: Ein Forum soll gehostet werden.

Was wird gemacht:
- Standard-Debian-Installation
- Standard-LAMP-Konfiguration
- Autokonfiguration durch diesen oder jenen Paketmanager und/oder Setupscript der Komponenten
- Standardinstallation von phpBB
- Fertig => das Ganze geht online.

Was tu ich also? Ich hol mir die phpBB-Quellen, guck da durch, sehe "ah das sind die Spaltennamen" und fertig ist meine SQL-Injektion.

Dabei wäre es so einfach gewesen: Keine Standardkonfiguration verwenden.

Dieser Beitrag wurde von RalphS bearbeitet: 30. April 2015 - 18:14

[Sturmovik]

Zitat (RalphS: 30. April 2015 - 18:07)

Der Punkt ist einfach der, daß weder Open- noch Closed-Source System konzeptbedingt sicherer oder unsicherer sind.

Stimmt auffallend. Angreifbar sind sie alle, denn Fehler gibts auf beiden Seiten, mal mehr mal weniger kritisch.
Der Sicherheits/Vertrauensvorteil von offenem Code kommt erst zum Tragen, wenn die komplette Toolchain überprüft wurde.

Zitat

Ganz abgesehen davon, daß man irgendwann einfach nicht mehr durchsieht. Bewundere da die Mozilla-Entwickler.

Der Code soll (wie ich gehört hab) noch recht brauchbar sein. Da gibts durchaus grausamere Projekte, wie TrueCrypt oder eben OpenSSL. Bei letzerem haben die "OpenSSL-Retter" alleine 2 Jahre damit verbracht, Code einzurücken, um den lesbar zu machen und schonmal ein paar Sachen zu kommentieren.

[bb83]

Zitat

... es ist schwer, mit jemandem über Open Source zu diskutieren, wenn dieser Jemand keine klare Vorstellung davon hat, was "Open Source" überhaupt sein soll (und deshalb auf 'Open source ist nicht dasselbe wie Open source' ausweichen muß).

Ach komm, worauf willste denn jetzt damit heraus?

Zitat

Ansonsten geb ich Dir natürlich Recht, daß man natürlich ganz problemlos quelloffene sicherheitskritische Anwendungen haben kann. Aber das heißt natürlich nicht automatisch, daß jeder an die Quellen ran darf. NDA gehen auch für Open Source.

Was ich genau mit: OpenSource!=OpenSource meinte?
Gibt ja auch Unternehmen, die den Windows Quellcode haben sollen...

Zitat

... im übrigen ist grad OpenSSL da interessant in diesem Kontext. Wie lange waren "Heartbeat" und "POODLE" da drin verborgen? Wie lange bestand die Möglichkeit, das zum eigenen Vorteil auszunutzen? Wie wahrscheinlich ist es, daß das über all die Jahre keiner getan hat?

Liest du die Beiträge überhaupt, oder springst du nur auf Schlüsselbegriffe an?
Genau das habe ich doch auch hier geschrieben:

Zitat

...
Das auch das nicht zu fehlerfreier Software führt ist bekannt, siehe als Beispiel das letzte OpenSSL Debakel.Jeder nutzt OpenSSL, aber wenige haben was dazu beigetragen. Das Bewusstsein dafür hat sich aber durch die letzten Sicherheitslücken und Snowden Leaks ins positive geändert.Sicherheit kann !nicht! auf der Schulter einer einzigen Firma/Person getragen werden, schon gar nicht wenn diese von Geheimdiensten und der Politik bedrängt wird. Hier muss das Mehraugenprinzip zum Zuge kommen.
...

Zitat

Der Punkt ist einfach der, daß weder Open- noch Closed-Source System konzeptbedingt sicherer oder unsicherer sind.

Gerade vom Konzept her hat OpenSource imho das bessere Potential. Closed Source setzt einfach zuviel auf Vertrauen, gerade was absichtliche Backdoors usw. angeht. Sicherheitslücken werden in beiden gleichermaßen gefunden, fixen (lassen) kann ich selber nur in OS Software.

[Morgoth81]

Ich verwende die "Windows Firewall Control 4" (von Binisoft, es gibt eine ähnlich klingende Software eines anderen Herstellers) und bin damit sehr zufrieden. Sie funktioniert auch gut unter der aktuellen Insider Preview. Sie meldet natürlich auch alle windowseigenen Programme, die nach Hause telephonieren wollen. Mit so einem Aufsatz für die windowseigene Firewall empfinde ich Drittanbieter-Firewalls eigentlich als überflüssig.

[Stefan_der_held]

Zitat (Morgoth81: 03. Mai 2015 - 11:39)

Ich verwende die "Windows Firewall Control 4" (von Binisoft, es gibt eine ähnlich klingende Software eines anderen Herstellers) und bin damit sehr zufrieden.

Dir ist aber schon klar, dass dies keine Firewall sondern einfach eine andere GUI zur Verwaltung der windowseigenen Firewall ist? Daher funktioniert die - verständlicher weise da diese sich seit Vista nur marginal verändert hat - auch im aktuellen Windows.

Bevor man allerdings mit solcher Software sein System belastet sollte man sich evtl. mit den Möglichkeiten der Konfiguration über die windowsseitig gelieferte GUI beschäftigen.

Suchbegriffe unter Windows sind hier

Windows-Firewall (sehr komplex!)
Apps über die Windows-Firewall kommunizieren lassen (für Anwender, einfach gehalten, Grundfunktionen)