UPS, Studie sieht Open-Source-Software als Spitzenreiter bei Sicherheitslücken

http://www.heise.de/newsticker/data/odi-27.11.02-000/

Frohes Diskutieren! :slight_smile:
Christian

hallo

das ist immer das selbe argument das microsoft und fans benutzen und
deswegen auch schon ziemlich ausgelutscht
so ein argument klingt auf dem ersten blick natuerlich schlimm fuer
opensource und gut fuer microsoft, das aber nur
weil es in ein gutes licht gerueckt wurde.

software hat per definition fehler. es gibt immer fehler. man kann nicht zu
100% garantieren dass eine software keine fehler hat.
microsoftprodukte haben mit sicherheit mehr fehler als gewisse
opensource-software. darunter auch weitaus fatalere und mit viel
groeberen folgen
der unterschied liegt jedoch auf der hand (und der wird gerne vertuscht)
nachdem opensource fuer alle einsichtbar ist kann man folgedessen auch die
fehler leichter finden (bzw sie ausnutzen).
was folgt daraus? dass *irgend*jemand den fehler behebt. fehler die auf CERT
announct werden sind in der regel auch zu dem zeitpunkt
gepatcht und man muss sich als systemadmin eben die cert seiten ansehen und
die patches nachspielen, wenn man auf der sicheren seite sein moechte

klar findet man bei einer software von der man den sourcecode nicht zur
verfuegung hat nicht so schnell fehler und eine abteilung ( ich nehme mal an
dass es so ist) in der microsoftfirma
welche auf fehler stossen koennte ist sicher kleiner als die
opensource-community bei der theoretisch jeder einzelne einen fehler finden
koennte.

das ist das "security by obscurity" prinzip das microsoft verwendet und
davon auch noch ueberzeugt ist.
klar lassen sich mit solchen argumenten gutglaeubige kunden ueberzeugen.
welcher weg der bessere ist steht glaube ich ausser diskussion.
natuerlich soll versucht werden die fehler in einer software klein zu halten
anstatt sie zu verstecken, das ist wohl klar.

meiner meinung nach sind solche studien und argumentationsweisen nur dazu da
um kunden welche sich schnell fuer etwas entscheiden und schnell
irgendwelchen
"studien" glauben schenken auf die microsoftseite (zurueck?)zu ziehen.

ad bind: wenn man meint bind haette zu viele bugs dann nimmt man eben
tinydns oder was anderes. diese moeglichkeit hat man ja wie wir wissen
und die bugs im apache sind bei weitem nicht so fatal wie gewisse im IE
ausserdem beziehen sich viele nur auf apache unter win32 und/oder sind nicht
sicherheitsrelevant.. aber das ist ein anderes thema

peter