Software Test in der ix 9/2014

Also frueher hat mir der Heise-Verlag mal ein Beleg-Exemplar geschickt, wenn die nen Artikel ueber Hibiscus hatten. Aber von dem hier hab ich gar nichts mitgekriegt. Was waren denn die Kritikpunkte an Hibiscus - abgesehen von der komplizierten Einrichtung ;) ?



Die Sache mit dem Sicherheitsvorteil ruehrt daher, dass man bei Opensource prinzipiell in den Quellcode schauen kann und damit *nachweislich* ueberpruefen kann, was die Software macht und ob sie Sicherheitsluecken enthaelt. Bei Closed-Source muss man dem Hersteller vertrauen.

Ob diese Kontroll-Moeglichkeit etwas nuetzt, wenn man die Programmiersprache nicht lesen kann und daher stattdessen dem Entwickler vertrauen muss - oder der Community, die hoffentlich schonmal in den Programm-Code geschaut hat - das steht auf einem anderen Blatt.

Es geht eigentlich nur um die *Moeglichkeit*, die Software einer nachweisbaren Überprüfung unterziehen zu können, was mit Closed-Source schon prinzipiell nicht geht.

Danke fuer die Zitate aus dem Artikel.

Und wegen dem Thema OpenSource und Sicherheit: Wir sollten das einfach ruhen lassen und die Diskussion nicht wieder anfangen ;)
Diese Frage ist gefuehlt so alt wie die Menschheit. Und an ihr entzweien sich nach wie vor die Geister.

Komischerweise ist diese Ansicht bzgl. quelloffen vor allem bei Linux sehr verbreitet, aber bei Tests für die Windows Plattform fragt keiner danach.

Also ich schaue durchaus schon auch mal in den Quellcode eines Programms, dass ich mir installieren will, dessen Reputation in der Community ich aber nicht einschaetzen kann, weil es vielleicht recht unbekannt ist.

Ich erkläre die Debatte um das Thema Sicherheitsgewinn von Open-Source gegenüber Close-Source hiermit für beendet ;)

öh, nö!
Ich verlasse mich doch jeden Tag auch darauf, dass ausgebildete Lebensmitteltechniker die Ungefährlichkeit meines Essens testen, weil ich leider nichtmal ein Labor zu Hause habe. Ich traue halt einer Firma, die keine meterhohen Zäune um ihren Betriebshof legt und mich und alle anderen zu einer Besichtigung ihrer Arbeit einlädt wesentlich mehr als anderen. Das Prinzip nennt man schlichtweg Transparenz.
Es gibt hunderte von Konzepten in der Wirtschaft, ich nenne mal ein Beispiel:
http://www.glaeserne-meierei.d…roduktion/
Ich habe nur eine leise Ahnung davon, wie Käse wirklich hergestellt wird und was die Bakterien wirklich mit der Milch anstellen, aber ich traue doch diesen engagierten Leuten gefühlsmäßig x-mal mehr, als einem industriellen closed-door-Käse-Massenhersteller.

So, das war mir noch wichtig und jetzt ist gut und wenn ihr wollt, mach ich den Thread zu...

Im Käsebeispiel hätten wir es auf der einen Seite im Extremfall mit einem einfoliertem Supermarkt-Massenprodukt zu tun und im open-source-Bereich ein Käsestück von der Käsetheke der Meierei, wo jeder die Leute bei der Arbeit beobachten könnte, oder?
Alle mit Sachverstand könnten unsaubere Arbeit erkennen und müssen nicht auf den Rückruf / Käsepatch des Herstellers warten. Denn ein Rückruf der schlechten Charge setzt voraus, dass der Hersteller reagiert.
Wann tut er das?
Entweder findet a) irgendjemand die schlechte Stelle oder b) der Hersteller findet dies selbst heraus und reagiert "netterweise" und kehrt es nicht unter den Teppich.
Bei a) ist dies ja unstrittig einfacher, wenn der Quellcode offen ist, oder? (Ich halte diese heuristischen Fehlersuchen und automatischen Bugfinder zwar für auch ganz nett, aber...)

b) bleibt beiden als Option

Jetzt argumentiere ich mal gegen mich selbst: Es gibt natürlich Situationen, bei denen open-source für die Sicherheit eine Falle ist. Und zwar halte ich die Gefahr für etwas größer, dass die Mitmach-Möglichkeiten Betrüger und Schädlinge anziehen könnte. Sowas soll es ja schon mehrfach gegeben haben. Beim Käsebeispiel würde ich ja auch nicht wollen, dass jeder an die Molke herankommt.

Ich finde die Diskussion darüber wichtig. Aber ich denke natürlich auch, dass dies eher eine Frage des Bauchgefühls und des Vertrauens ist. Ich traue einem langjährigen Hersteller einer closes-source HBCI-Software sicherlich genauso weit, wie ich einem langjährigen open-source-Team traue. Bei neuen "Playern" bin ich da grundsätzlich misstrauischer. "Trau, schau, wem" halt.

Gruß
Raimund

Hatte über das Käsebeispiel auch nochmal nachgedacht und finde, dass es eigentlich hinkt. Denn beim Käse richtet sich die Transparenz ja auf den Herstellungsprozess. Vergleich zu Opensource wäre also die Programmierarbeit an sich. Wenn nun beim Käse jemand auf dem Weg vom Werk zum Händler den Käse manipuliert oder beim Händler oder sogar beim Endkunden Zutrittsbeschränkungen durchbricht und ihn dort manipuliert, nützt dem Konsument die ganze Transparenz bei der Herstellung nichts, er wird ihn trotzdem essen und krank davon werden bis das irgendwann einem auffällt. Dann sind aber schon etliche Konsumenten erkrankt. Und das trifft m.E. eher den Vergleich mit Opensource. Die Software würde ja im Fall des Falles nicht beim Programmierer sondern beim Benutzer vom Trojaner manipuliert. Ggf. hat der Trojaner dafür vorher Firewall und Virenscanner des Benutzers durchbrochen. Und da nützt es auch nichts, dass es Opensource und transparent ist, genau wie beim Käse

Aber wie schon gesagt, oft hilft einfach der Glauben an etwas, man will nicht immer Fakten hören. Ist wie in der Medizin

P.S.: Wir brauchen das m.E. nicht unbedingt abtrennen. Die Urmessage galt den Programmherstellern als Info und die restliche Diskussion ist es - angesichts der Tatsache, dass es hier nie ein Ergebnis im Sinne von Lösung geben wird - eigentlich nicht wert, separiert zu werden. Meine Frage zu diesem Thema war eigentlich auch eher rethorisch. Ich dachte, die hätten einen Tippfehler, hätte nicht damit gerechnet, dass tatsächlich jemand Opensource für sicherer als closed Source hält. Aber gut, so sei es

Zur Qualitätsbeurteilung und gemeinsamer Arbeit an einem Projekt ist Opensource in meinen Augen optimal geeignet. Aber ein Plus an SIcherheit bei Onlinebanking Software sehe ich überhaupt nicht, ganz im Gegenteil! Und ich glaube auch nicht, dass das der ursprüngliche Ansatz bei Opensource ist/war.

Ja gut, wenn wir die akute Infektionsgefahr einer Software außen vor lassen, passt es auch wieder. Hab ja gesagt, für Prävention und guten Code ist Opensource super geeignet. Wovon ich bisher sprach waren Trojaner, die so gestaltet sind, dass sie den Quellcode der Software in einer Weise ändern, dass der Benutzer bei der nächsten Überweisung andere Daten angezeigt bekommt, als vom Trojaner tatsächlich verwendet wurden. Oder sich der Trojaner eine Ebene tiefer in die Netzwerkkommunikation ein nistet wie heutige Trojaner das beim Browser auch tun. Also ein typischer Trojanerangriff halt. Und um diese Gefahr geht es doch derzeit beim Onlinebanking, oder nicht? Daher hab ich auch nur die unter dem Wort "Sicherheit" betrachtet und nichts anderes. Und wer einen Trojaner herstellen will hat es doch bei Opensource viel einfacher, er kann sich geeignete Angriffsszenarien einfach auf diesem Code aufbauen.
Klar gelten alle derzeit in Opensource erhältlichen Onlinebanking Programme derzeit rein mengenmäßig als Niesche und sind damit weniger gefährdet als Massenprodukte. Aber wie lange noch wird das gut gehen, sich unter dem "lohnt sich nicht" bzw. "gibts auf Linux nicht" Mäntelchen zu verstecken? Eines Tages wird es auch da krachen, wenn auf anderen Wegen nicht mehr genügend Schaden angerichtet werden kann. Ob es allerdings soweit kommt weiss natürlich niemand.