Autor Thema: Lizenzen  (Gelesen 25674 mal)

Another Stupid Coder

  • Beiträge: 749
    • Profil anzeigen
Gespeichert
« Antwort #20 am: 14. December 2004, 21:22 »
@joachim-neu Doch es geht definitiv drum wer schneller ist, denn wenn die Lücke gestopft ist, bevor irgendjemand sie kannte, ist es, als hätte sie nie bestanden. Das GnuPG OpenSource ist, kannst du dir ja den Code ansehen, dann weißst du wie man Verschlüsselung in OpenSource-Programmen realisiert...so algos wie Blowfish oder MD5 sind sowieso schon bekannt, da braucht man kein OpenSource :)

TeeJay

  • Beiträge: 630
    • Profil anzeigen
    • http://www.jay-code.de
Gespeichert
« Antwort #21 am: 14. December 2004, 22:40 »
Und hier erwähne ich nochmal:

Es ist ein trugschluss wenn man behauptet das man "mal eben" in den Programmcode schaut, dann das Sicherheitsloch oder den Bug findet und diesen ruck zuck ausmerzt und man ist zufrieden.

Das geht so einfach nicht und das passiert so einfach auch nicht.
Die meisten Sicherheitslöcher werden von den Leuten die Original an dem Code gebaut haben gestopft und von sonst kaum jemanden, weil es einfach zu viel Zeit dauern würde, die Codestelle zu lokalisieren und dann auch noch so zu verändern, das das restliche Programm nicht betroffen ist, wenn man sich mit dem Code nicht auskennt.

Und ganz nebenbei: Bei MS sind die Sicherheitslücken zu 90% in Anwendungssoftware wie IIS oder IE. Bei Linux liest man schon erheblich häufiger das ein Sicherheitsloch im KERNEL steckt!

Und das mit dem Bezahlen von Code der einfach nur funzt ist so nicht korrekt. In Firmen herrschen Strenge regeln wie Code zu verfassen und zu kommentieren ist, damit auch ein evtl. Nachfolger damit klarkommt. Also würde ich sagen es sehr leichtsinnig ist zu behaupten das man einfach schlampig Code tippt und dann dafür die Kohle einsackt.

Und NASM könnte es doch genauso geben (auch kostenlos) wenn es NICHT Open SOurce wäre.....was wäre denn dann anders? Rein garnix.
Wenn jemand sowas freiwillig schreibt und es nicht verkaufen will, dann kann er es auch so als freien DL ins Inet setzen ohne den Source.
Und mal ganz ehrlich: Ich benutze auch einiges an Open Source Software. Aber mir würde im Traum nicht einfallen mich durch den Code zu wuseln um ein evtl. Loch oder Bug zu finden. Ich hab mal spaßhalber in den Apache Code geschaut und es sah gräßlich aus!...
----------------------
Redakteur bei LowLevel

TeeJay

  • Beiträge: 630
    • Profil anzeigen
    • http://www.jay-code.de
Gespeichert
« Antwort #22 am: 14. December 2004, 22:45 »
PS zum verschlüsseln.

Ein verschlüsslungscode wird heute nur dann als sicher erachtet, wenn er OFFEN gelegt ist und trotzdem nicht ohne weiteres geknackt werden kann.

Schlaue Leute setzen sich dann hin, analysieren den Algorithmus und überlegen sich mit welchem Aufwand man diesen knacken könnte. Und danach wird dann bestimmt wie sicher der Code ist.
----------------------
Redakteur bei LowLevel

hannibal

  • Host
  • Beiträge: 400
    • Profil anzeigen
    • brainsware - the rock.
Gespeichert
« Antwort #23 am: 14. December 2004, 23:28 »
mir ist bis jetzt noch kein algorithmus bekannt, der die md5-checksumme in eine zeichenkette zurueckrechnen kann.
\\o
o//
\o/

Ivan Keen Lee

  • Beiträge: 8
    • Profil anzeigen
Gespeichert
« Antwort #24 am: 14. December 2004, 23:46 »
@Another Stupid Coder:

Danke, wenigstens einer :).

@joachim_neu:

Stimmt sorry habe ich  vertauscht. Mein Fehler.

@TeeJay:

Zitat
Und hier erwähne ich nochmal:

Es ist ein trugschluss wenn man behauptet das man "mal eben" in den Programmcode schaut, dann das Sicherheitsloch oder den Bug findet und diesen ruck zuck ausmerzt und man ist zufrieden.


Richtig sehe ich auch so. Aber du hast behauptet, dass offener Code ein Risiko sei, weil Cracker diese ja ausnutzen können. Um dies ausnutzen zu können, müssen sie den Code verstehen. Wenn es die also verstehen, dann müssen andere den Code auch verstehen und dann das Sicherheitsloch auch beheben können.

Nebenbei ein Cracker muss sowieso doch masochistisch (wie schreibt man das  ? *g* ) veranlagt sein, wenn er durch den Quellcode ein Sicherheitsloch finden will, oder ?


Zitat
Und ganz nebenbei: Bei MS sind die Sicherheitslücken zu 90% in Anwendungssoftware wie IIS oder IE. Bei Linux liest man schon erheblich häufiger das ein Sicherheitsloch im KERNEL steckt!


Das kann sein. Aber darum kann man nicht behaupten, dass  der Kernel von MS sicherer sei. Eben weil OSS frei ist und jeder  in den Quellcode gucken kann, wurden diese Sicherheitslücken entdeckt und man kann  diese beheben. Vielleicht noch bevor es irgendeinen Schaden verursacht hat.
Bei MS kannst du aber nicht sagen, dass es keine Sicherheitslücken im Kernel gibt. Hier merkt man es erst, wenn ein Schaden entstanden ist.
Bei OSS können Sicherheitslücken schneller entdeckt werden und somit auch behoben werden.  Die Software wird ausgereifter und somit sicherer. Und das gilt ja nicht nur für den Linux- Kernel sondern  für alle Software, die frei sind.


Zitat

Aber offene Quellcodes sind auf kurz oder lang ein Sicherheitsrisiko.
Man glaubt derzeit nur nicht daran, weil es bisher keiner ausnutzt, weil ein Virus für Linux nix bringen würde, da es auf zu wenig Rechnern läuft.


Naja so wenige Rechner sind es auch nicht. Würdest du alle Linuxrechner ausschalten, würdest du ungefähr die Hälfte des Internets mit ausschalten...

Zitat
Und NASM könnte es doch genauso geben (auch kostenlos) wenn es NICHT Open SOurce wäre.....was wäre denn dann anders? Rein garnix.


Dadurch dass es OSS ist, wird es, wie oben beschrieben, sicherer. Auch wenn man die Sicherheit weglässt, wäre die Software anders, wenn sie z.B. nur Freeware wäre. Dadurch, dass alle an der Software arbeiten können, nimmt  die Software viel schneller Form an. Vielleicht würde NASM ein  wichtiges Feature fehlen oder eine Funktion, wenn es nicht OSS wäre.

Achja und zum Thema man kann OSS nicht kommerziell benutzen, also mit OSS kann man kein Geld verdienen, stimmt nicht.
Man verdient nämlich durch den Support und meinetwegen auch durch die Handbücher. Wie einer meiner Vorgänger schon gesagt hat, Red Hat ist ein gutes Beispiel dafür.

MFG

Ivan Keen Lee

elfish_rider

  • Beiträge: 293
    • Profil anzeigen
Gespeichert
« Antwort #25 am: 15. December 2004, 12:23 »
Red Hat und SuSE sind auch nicht wirkliche OSS-Entwickler, sie vertreiben nur den Linux-Kernel mit (sogar teilweise kommerziellen) Tools. Man sollte schon zB von den Linux-Kernelentwicklern und so reden (gut, ist auch ein Spezialfall) oder den NASM-Entwicklern, die verdienen überhaupt nichts an Handbüchern (die ausserdem meistens unter der LGPL stehen) und Support.

TeeJay

  • Beiträge: 630
    • Profil anzeigen
    • http://www.jay-code.de
Gespeichert
« Antwort #26 am: 15. December 2004, 14:15 »
Jein und Nein zu den angegebenen Argumenten.

Klar kann man mit OSS Geld verdienen. Aber schau dir den vergleich MS und Red Hat mal an.... na klingelts?
Die Einnahmen beider Firmen dürften sich um die ein odere andere Potenz unterscheiden.

Und ich sags nochmal: Die meiste OSS wird von Anfang bis Ende immer nur von den selben Leuten entickelt und verbessert. Bestenfalls Leute die sich die ganze Zeit noch damit beschäftigen bringen mal eine Verbesserung rein.

Aber glaube kaum das jemand der heute mal frisch einsteigt sich mal eben den Apache Quellcode durchliest und dann mal eben ein kleines neues Feature einbaut.

Und das mit "das nur wenige Rechner mit Linux laufen" war auf die Desktoprechner bezogen. Und diese sind ja gerade für Virenschreiber die Zielrechner.
----------------------
Redakteur bei LowLevel

Roshl

  • Beiträge: 1 128
    • Profil anzeigen
    • http://www.lowlevel.net.tc
Gespeichert
« Antwort #27 am: 15. December 2004, 15:14 »
Es kann gar keinen Algorythmus geben der MD5 in einen String  zurückumwandelt, denn es ist ja eine SUMME. 3+7=10 5+5=10 1+9=10
Wenn ich dir ne 10 gebe dann kannst du nicht sagen wie die errechnet wurde!
Was man allenfalls machen könnte wäre mit Stochastik zu arbeiten, d.h. die Wahrscheinlichkeit ausrechnen mit der der String dem entsprechen könnte, denn meistens werden ja nicht willkürliche Zahlen und Buchstabenkolonnen eingegeben sondern irgndwas was nach Wörtern oder so aussieht. Aber selbst dann gibt es noch Millionen übrigbleibende Kombis.
Ich hab hier grade den 2.6.9 Linuxkernel vor mir und was soll ich sagen? Ich kapiere gar nichts. Bis man da dahinter steigt vergehen Wochen oder mehr. Die Leutchen die sich ans Bug gesuche machen brauchen da auch viel Zeit für,  und die wissen was sie tun! Und das sicher nicht schlechter als ein so genannter Profi, denn nur weil ich bezahlt werden arbeite ich doch nicht besser, im Gegenteil, die Römer haben auch die ein oder andere Schlacht verloren obwohl sie dafür bezahlt wurden (und das garnichtmal so schlecht). Die Germanen waren zahlenmässig und von Ausrüstung und Technik weit unterlegen, aber sie haben gewonnen! Warum? Weil sie erstens ihr Gebiets bestens kannten und zweitens weil sie ihre Heimat schützen wollten, also aus sowas wie der Ideologie herraus. So auch die Bug-hunter, die daran glauben was sie tun.
Ausserdem gibt es Menschen (wie mich) die antikapitalistisch eingestellt sind, für die Geld also so gut wie überhaupt kein Grund ist was zu tun.
Eigentlich hat  jeder den Quellcode von Windows auf der Platte, einfach  dissasemblen und man kanns als Asm-Code lesen (deswegen ist disasm  auch verboten) aber bis man da durch ist ist man 90^^ Aber man hat Code in der  selben Form vorliegen als  wenn man MenuetOS-Code nehmen würde (von der (oft spärlichen) Kommentierung mal  abgesehn)
Ich werde den vollständigen Code meines OS jedenfalls nicht öffentlich machen, teile davon sicherlich als Codeausschnitte, aber nicht als ganzens, abgesehn davon das den eh keiner Lesen könnte, denn ich kommentiere absolut gar nicht. Wenn ich sage mein Code hat 100 zeilen dann hat er 100, da ist kein Einziges Kommentar bei, aber Kommentieren  ist ja ne Wissenschaft für sich, mir reicht als Kommentar die Namen der Variablen und Strukturen PUDW reicht mir damit ich weiss das es eine Struktur für die MMX ist und eine 2 Gepackte Doppelworte repräsentiert.
[schild=1]Wieder ein wertvoller(?) Beitrag von Roshl[/schild]

Ivan Keen Lee

  • Beiträge: 8
    • Profil anzeigen
Gespeichert
« Antwort #28 am: 15. December 2004, 16:03 »
Hmmm ich  glaube ich komme  falsch rüber .

1. Also eigentlich war  es nur  mein Ziel zu zeigen, dass man     auch OSS kommerziell nutzen kann, besser oder schlechter, das ist Ansichtssache.

2. Wollte ich auch zeigen, dass OSS auch viele Vorteile hat.

3. Es ist schwer  zu sagen, ob OSS oder Closed Source                  Software sicherer ist.

Ok, das war mir  erst mal wichtig. Achja und das ist ne  interessante Diskussion finde ich ^^. Macht irgendwie sogar spaß, da hier keiner angegriffen wird oder sich angegriffen fühlt.

So und weiter gehts:

Zitat
Red Hat und SuSE sind auch nicht wirkliche OSS-Entwickler


Häh warum nicht  ? Guck mal in changelog vom Linuxkernel.
Dort wurden viele Sachen von SuSE-Arbeiter gemacht.
Yast2  z.b. ist OSS und wurde von  SuSE entwickelt. Der Code ist also offen unter der GPL-Lizenz, also warum sind sie keine  OSS-Entwickler?

 Das  restliche wurde ja mit  den 3 Punkten eigentlich gesagt.
Ok ich muss noch für eine Klausur lernen ^^. Drück mir  die Daumen ^^.

elfish_rider

  • Beiträge: 293
    • Profil anzeigen
Gespeichert
« Antwort #29 am: 15. December 2004, 18:45 »
Ich meinte, sie verdienen das Geld an den Distributionen, die auch kommerzielle Software enthalten. Natürlich passen sie den Kernel ihren Wünschen an, aber das ist nicht die Ursache für ihre finanzielle Unabhängigkeit d.h. für ihr Geldverdienen.

Übrigens muss man ja nicht die Absicht haben, möglichst viel daran zu verdienen und möglichst reich zu werden, auch wenn man nicht OSS entwickelt.

 

Einloggen