Wer sind "die Linuxer" und welcher Meinung sind die Deiner Meinung nach?meego hat geschrieben:Da sind die Linuxer aber offenbar anderer Meinung.
Verschlüsselung / Datenbankzugriff
@jerch: meego meint wahrscheinlich Leute, die OpenSource deshalb gut finden, weil es da keine versteckten Hintertüren geben kann, weil die Hoffnung besteht, dass irgendwer sie entdeckt.
@meego: So lange ich die Hardware beherrsche, kann ich ja auch alles Prüfen, notfalls dadurch, dass ich mich an die Netzwerkkarte klemm und schau, dass niemand "nach Hause" telefoniert. Sobald ich aber die Hardware nicht mehr unter meinem Schreibtisch stehen hab, kann ich nur noch vertrauen.
@meego: So lange ich die Hardware beherrsche, kann ich ja auch alles Prüfen, notfalls dadurch, dass ich mich an die Netzwerkkarte klemm und schau, dass niemand "nach Hause" telefoniert. Sobald ich aber die Hardware nicht mehr unter meinem Schreibtisch stehen hab, kann ich nur noch vertrauen.
Ja. GNUPG z.B. auch.Sirius3 hat geschrieben:@jerch: meego meint wahrscheinlich Leute, die OpenSource deshalb gut finden, weil es da keine versteckten Hintertüren geben kann, weil die Hoffnung besteht, dass irgendwer sie entdeckt.
@meego: Wenn es einen Mail-Anbieter gibt der Mails bei sich auf dem Server für mich mit GnuPG verschlüsselt, dann *muss* ich dem vertrauen, dass er kein verändertes GnuPG verwendet, und wenn der mir sagt ich kann ja den Quelltext von GnuPG einsehen und das wäre der Grund warum ich nicht vertrauen muss sondern *sicher* sein kann, dann vertraue ich dem ganz bestimmt *nicht* mehr, denn so eine Aussage würde den als vertrauenswürdigen Anbieter restlos disqualifizieren.
Mal davon abgesehen das man so einem Anbieter private Schlüssel anvertrauen müsste mit denen der noch viel mehr anstellen könnte, auch mit unverändertem GnuPG, so dass man so einem Anbieter wirklich sehr viel Vertrauen entgegenbringen müsste.
Mal davon abgesehen das man so einem Anbieter private Schlüssel anvertrauen müsste mit denen der noch viel mehr anstellen könnte, auch mit unverändertem GnuPG, so dass man so einem Anbieter wirklich sehr viel Vertrauen entgegenbringen müsste.
@meego:
Was BlackJack sagt, ist sehr wichtig in Bezug auf Opensource und wird oft falsch verstanden. Durch den Einblick in den Quellcode kann leichter geprüft werden, ob Schadcode enthalten ist bzw. kann systematischer nach Bugs/Sicherheitslücken gesucht werden. Und nur weil es leichter möglich ist, wird das nicht automatisch allumfänglich gemacht (siehe OpenSSL und Heartbleed). Zum Teil sind solche Prüfungen auch nur schwer durchführbar, weil der Code sehr spezielles Domänenwissen voraussetzt (exotische Sprache, komplexe Algorithmen etc..)
In keinster Weise kann Opensource garantieren, dass der Gegenüber auch genau das dem Sourcecode entsprechende Kompilat einsetzt und schadecodefrei ist (absichtlich oder durch Einwirkung Dritter). Vor Jahren gab es mal einen Angriff auf die Debian-Repositories - daraufhin wurden alle Repo-Schlüssel zurückgezogen, eben weil die Distributoren nicht mehr garantieren konnten, dass die Signaturschlüssel nicht kompromittiert waren. Mit einem kompromittierten Reposchlüssel wäre es relativ leicht gewesen, "falsche" Binärpakete in die Debian Standardinstallationen zu mogeln.
Was BlackJack sagt, ist sehr wichtig in Bezug auf Opensource und wird oft falsch verstanden. Durch den Einblick in den Quellcode kann leichter geprüft werden, ob Schadcode enthalten ist bzw. kann systematischer nach Bugs/Sicherheitslücken gesucht werden. Und nur weil es leichter möglich ist, wird das nicht automatisch allumfänglich gemacht (siehe OpenSSL und Heartbleed). Zum Teil sind solche Prüfungen auch nur schwer durchführbar, weil der Code sehr spezielles Domänenwissen voraussetzt (exotische Sprache, komplexe Algorithmen etc..)
In keinster Weise kann Opensource garantieren, dass der Gegenüber auch genau das dem Sourcecode entsprechende Kompilat einsetzt und schadecodefrei ist (absichtlich oder durch Einwirkung Dritter). Vor Jahren gab es mal einen Angriff auf die Debian-Repositories - daraufhin wurden alle Repo-Schlüssel zurückgezogen, eben weil die Distributoren nicht mehr garantieren konnten, dass die Signaturschlüssel nicht kompromittiert waren. Mit einem kompromittierten Reposchlüssel wäre es relativ leicht gewesen, "falsche" Binärpakete in die Debian Standardinstallationen zu mogeln.
- cofi
- Python-Forum Veteran
- Beiträge: 4432
- Registriert: Sonntag 30. März 2008, 04:16
- Wohnort: RGFybXN0YWR0
Um es nochmal auf den Punkt zu bringen: Auch wenn der Quelltext das tut was ich will, heisst das noch lange icht, dass das Programm auch aus diesem erstellt wurde.
Und besonders bei Kompilaten, muss man dann auch noch dem Compiler vertrauen koennen, siehe http://cm.bell-labs.com/who/ken/trust.html
Und besonders bei Kompilaten, muss man dann auch noch dem Compiler vertrauen koennen, siehe http://cm.bell-labs.com/who/ken/trust.html
Michael Markert ❖ PEP 8 Übersetzung ❖ Tutorial Übersetzung (3.x) ⇒ Online-Version (Python 3.3) ❖ Deutscher Python-Insider ❖ Projekte