1. Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst Du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen
    Information ausblenden
  2. Willkommen im Forum von DIGITAL FERNSEHEN - dem führenden Portal für digitales Fernsehen, Medien und Entertainment. Wenn du hier neu bist, schau dich ruhig etwas um und melde dich an, um am Forengeschehen teilnehmen zu können.
    Information ausblenden

Heartbleed

Dieses Thema im Forum "Computer & Co." wurde erstellt von _falk_, 10. April 2014.

  1. _falk_

    _falk_ Platin Member

    Registriert seit:
    8. Juni 2011
    Beiträge:
    2.287
    Zustimmungen:
    85
    Punkte für Erfolge:
    58
    Anzeige
    Ein wirklich katastrophaler Fehler, der mir als OpenSource-Anhänger sehr zu denken gibt.

    Ich hätte wirklich nicht gedacht, dass ein Fehler in quelloffener Software, die von zig Millionen Servern eingesetzt wird um eigentlich Daten zu schützen, zwei Jahre von den Betreibern unentdeckt bleibt, zumal der Fehler trivial ist.

    Ich glaube nicht, dass die NSA dahinter steckt. Ich glaube aber, dass die NSA, die akribisch jede Software auf Sicherheitslücken überprüft, diesen Fehler längst entdeckt und auch aktiv für sich ausgenutzt hat.

    Das muss man erst mal verdauen :(
     
  2. LHB

    LHB Institution

    Registriert seit:
    5. Januar 2005
    Beiträge:
    19.755
    Zustimmungen:
    6
    Punkte für Erfolge:
    48
    AW: Heartbleed

    Wieso sollte die NSA nicht dahinter stecken? Oder CIA oder oder oder? Die haben auch schonmal ne Backdoor in OpenBSD reingebastelt, allerdings wurde die entdeckt und geschlossen!

    Und jetzt gleich Open Source schlechtzureden ist aber auch falsch! Bei Microsoft und Apple gab und gibts immer wieder massig solche "Bugs" und die nicht von jedermann zu entdecken, da deren OS closed sind! Solche NSA-Hintertüren gibts bei MS und APPLE massenweise und sind sogar gewollt!
     
    Zuletzt bearbeitet: 11. April 2014
  3. _falk_

    _falk_ Platin Member

    Registriert seit:
    8. Juni 2011
    Beiträge:
    2.287
    Zustimmungen:
    85
    Punkte für Erfolge:
    58
    AW: Heartbleed

    In diesem Fall gibt es aber nichts schönzureden. Der "Fehler" wurde bereits vor zwei über zwei Jahren eingereicht. Jeder hätte ihn entdecken können.

    git.openssl.org Git - openssl.git/commit

    Bei einer derart sicherheitsrelevanten und weitverbreiteten Bibliothek einfach eine Katastrophe. Damit waren die eigentlich verschlüsselten Daten über Jahre hinweg für wissende Angreifer entschlüsselbar. Nachweislich wurde die Lücke auch ausgenutzt.

    Spionage-Botnet nutzte Heartbleed-Lücke schon vor Monaten aus | heise Security

    Da tröstet es auch wirklich nicht, wenn auch andere Software willentlich oder unabsichtlich Sicherheitslücken hat.
     
  4. Gag Halfrunt

    Gag Halfrunt Lexikon

    Registriert seit:
    26. November 2001
    Beiträge:
    22.635
    Zustimmungen:
    9
    Punkte für Erfolge:
    48
    AW: Heartbleed

    Traurig, dass so etwas überhaupt erst passieren muss, um den Leuten die Augen zu öffnen, die Open-Source-Software blind vertrauen.

    Vielleicht sieht man in Zukunft das alles ein wenig kritischer.

    Open Source ist nicht sicherer als Closed Source.
     
  5. _falk_

    _falk_ Platin Member

    Registriert seit:
    8. Juni 2011
    Beiträge:
    2.287
    Zustimmungen:
    85
    Punkte für Erfolge:
    58
    AW: Heartbleed

    Das hoffe ich auch.

    Zum Glück ist der Fehler entdeckt, wenn auch - welch Ironie - die Datenkrake Google ihn für die Allgemeinheit entdeckt hat.
     
  6. Gag Halfrunt

    Gag Halfrunt Lexikon

    Registriert seit:
    26. November 2001
    Beiträge:
    22.635
    Zustimmungen:
    9
    Punkte für Erfolge:
    48
    AW: Heartbleed

    Ich will hier echt nicht nachtreten, aber als wir vor einiger Zeit hier schon einmal dieses Thema hatten und ich die Meinung vertreten habe, dass nur aufgrund der Möglichkeit, einen Code öffentlich einzusehen, er dadurch nicht sicherer wird, wurde ich regelrecht gekreuzigt.

    Es ist halt ein blindes Vertrauen. Die Idee, dass etwas, was öffentlich ist, auch von der Öffentlichkeit kontrolliert wird, ist ein gefährlicher Trugschluss. Wikipedia ist hier ja ein gutes Beispiel dafür. In populären Bereichen ist die Qualität gut, in weniger populären findet man jede Menge Fehler oder gar vorsätzlich eingebaute Falschaussagen.

    Denn hinter dem Prinzip versteckt sich ein grundlegender Denkfehler: Der Großteil der Konsumenten solcher Informationen, sei es nun Wikipedia oder ein Open-Source-Code, suchen diese Quelle auf, weil sie es selbst nicht wissen. Wie also sollen diese Konsumenten dann die Qualität der Quelle beurteilen können?

    Warum sollte ein Experte für ein bestimmtes Thema selbiges bei Wikipedia nachschlagen, wenn er dort letztlich nur das erwarten kann, was er selber schon weiß? Natürlich wird es einige geben, die das trotzdem tun. Aber es sind wenige. Und je spezieller ein Thema ist, desto kleiner wird diese Menge.

    Bei Programmcode ist das noch komplizierter. Ich selbst nutze auch Open-Source-Code für private Spielereien. Selbstverständlich mache ich mir nicht die Mühe, den Code komplett zu überprüfen. Denn wenn ich das tun würde und könnte, dann könnte ich ihn genauso gut selbst schreiben. Einen fremden Quellcode zu überprüfen ist übrigens mitunter deutlich aufwändiger, als ihn zu schreiben, da man ja zunächst die gesamte Logik verstehen muss, um dann den tatsächlich ausprogrammierten Code dagegen prüfen zu können. Da man ein bestimmtes Problem auf unendlich viele Weisen lösen kann, ist das verdammt schwierig.

    Wenn es sich dann auch noch um einen reinen Flüchtigkeitsfehler handelt, den man leicht übersehen kann, das zudem noch in einer wenig restriktiven Programmiersprache, dann passiert so etwas wie hier.

    Deshalb neige ich persönlich eher kommerziellen Closed Source zu vertrauen, da der Hersteller hierfür haften muss und demzufolge ein entsprechendes Interesse daran hat, dass der Code fehlerfrei ist.
     
  7. _falk_

    _falk_ Platin Member

    Registriert seit:
    8. Juni 2011
    Beiträge:
    2.287
    Zustimmungen:
    85
    Punkte für Erfolge:
    58
    AW: Heartbleed

    Wir Anhänger des OpenSource haben sicherlich einige Lektionen zu lernen. Zum einen natürlich, nicht blind auf die Sicherheit von Bibliotheken zu vertrauen, nur weil diese quelloffen und weit verbreitet sind. Hier hat sich meine Argumentation als falsch erwiesen.

    Meiner Meinung nach sollten unabhängig finanzierte Organisationen, wie z.B. das Deutsche Forschungsnetz, diese Bibliotheken besser prüfen. Eine Maßnahme, die übrigens nur bei OpenSource möglich ist.
     
  8. Gag Halfrunt

    Gag Halfrunt Lexikon

    Registriert seit:
    26. November 2001
    Beiträge:
    22.635
    Zustimmungen:
    9
    Punkte für Erfolge:
    48
    AW: Heartbleed

    Selbstverständlich kann auch Software mit nicht öffentlichem Quellcode von unabhängigen Organisationen überprüft werden. Gerade in sicherheitsrelevanten Bereichen ist das völlig normal.

    Das Hauptproblem von Open Source ist und bleibt letztlich die Haftung. Wenn niemand dafür geradestehen muss, dann bleibt der Qualitätsanspruch entsprechend niedrig.

    Die Verantwortung wird hier nämlich auf die Nutzer abgewälzt. Sprich: Wenn du Open-Source-Code verwendest, bist du dafür verantwortlich, dass er korrekt funktioniert.

    Ich hab übrigens auch schon in Projekten mitgearbeitet, bei denen der Auftraggeber ganz klar vorgegeben hat: Keine Open-Source-Produkte!
     
  9. Lechuk

    Lechuk Institution

    Registriert seit:
    14. April 2002
    Beiträge:
    15.385
    Zustimmungen:
    336
    Punkte für Erfolge:
    93
    Technisches Equipment:
    Sat:
    Atemio AM510
    19,2° - 28,2°

    Bild:
    Optoma HD26 92"
    aktives 3D

    Ton:
    Denon X4300H incl. Auro 3D
    Heimkino Boxensystem eingerichtet nach 3.1.13 ITU.R 3/2

    Samsung BD-D6500 3D
    Samsung BD-F7500 3D

    EgoIggo S95 X Pro mit nightly Build Kodi
    Rii i8 Minitastatur

    LD
    Denon LA-2300A
    AW: Heartbleed

    Eine Sprecherin der NSA hat, laut Radiobericht, bekannt gegeben, daß die NSA nichts davon wußte und auch keinerlei solche Lücken zu nutzen wußte.
    ;)
    Klar doch.
     
  10. VIDA

    VIDA Silber Member

    Registriert seit:
    24. Dezember 2011
    Beiträge:
    576
    Zustimmungen:
    6
    Punkte für Erfolge:
    28
    AW: Heartbleed

    Ja gebe Dir Recht.

    P.S. Gilt Dein Angebot noch, oder doch nicht.

    :winken: