Jan.Trippler@t-online.de (Jan Trippler) schrieb:
- Wieso bringst Du ständig (wenn ich richtig gezählt habe, waren es jetzt 3 x) dieses völlig abwegige 3D-Karten-Treiber- Beispiel? Das ist doch total unwichtig, wenn wir uns über sicherheitsrelevante Systeme (Abteilungs- und Kommunikationsserver: Dein Beispiel!) unterhalten. Wir reden beim Thema Sicherheit doch nicht über den gemeinen Zocker, oder?
Dann lies meine Mails bitte erneut. Mir geht es bei dem Argument immer um die Prioritäten in der Entwicklung. Und genau dieses beispiel zeigt sehr gut, dass die Priorität bei der Entwicklung nicht die Sicherheit ist.
- Es bestreitet wohl kaum jemand, dass Linux - wie im übrigen auch kommerzielle Unix-Systeme - und natürlich Win* - immer wieder Sicherheitslücken offenbaren. Der Unterschied ist z. B. der, dass M$ versucht, gerichtlich gegen das Veröffentlichen von Sicherheitslecks vorzugehen, während OS-Projekte zuallererst versuchen, das Leck zu stopfen. Linux und Win* ausschließlich auf technischer Ebene zu vergleichen, ist schlicht und einfach Unfug.
Daran habe ich nichts auszusetzen gehabt.
- 90% der Fehler sitzen vor dem Monitor. Mit einer entspr. Ich habe auch daran nie gerüttelt!
Wobei es doch ein Unterschied ist, ob eine Standardinstallation gleich alle Tore offen lässt oder ob diese erst einmal relativ sicher ist und man dann vieles erst aktivieren muss. Aber das ist ein Argument, welches ich in anderer Form immer wieder gebracht habe - und wo ich das Beispiel der 3D Treiber bringe: Sichtweise der Entwickler!
Hast Du Dir schon mal überlegt, wie das wäre, wenn BSD eine ähnliche Verbreitung wie jetzt Linux finden würde? Na klar. Aber glaubst Du, das OpenBSD, welches vor allem Security auf die Fahnen schreibt, dann plötzlich Ihre Politik ändern würde? das ist doch schlicht weg Unsinn!
Was meinst Du, wieviele selbsternannte BSD-Admins es auf einmal geben würde, wie viele Distris (die auch Closed Source verbreiten könnten - die BSD-Lizenz lässt das ja im Gegensatz zur GPL zu) es gäbe, mit welchen tollen Features und klaffenden Sicherheitslücken? Um den Punkt ist es mir nie gegangen. Das Argument mit den verwundbaren Linux Rechnern ist nicht von mir gekommen und ich habe dieses Argument auch nie verwendet. Denn um diesen Punkt geht es mir schlicht nicht!
Es gibt nicht vorrangig ein Sicherheitsproblem in Linux, es gibt _immer_ eine Kluft zwischen Werbung und Wahrheit, in dem Moment, wenn es um Geld geht. Warte es nur ab, bald entdeckt ein findiges Startup das Marketing-Potenzial der BSD- Sicherheit, und dann läuft alles nach altbewährtem Rezept ab :-(
P.S.: Ich habe nur die Punkte der laaangen Diskussion angesprochen, die mir auffielen - wie schon gesagt, als Außenstehender ;-).
Dann beschäftige Dich mit Qualitätssicherung und ähnlichen Dingen! Was ist denn so schlimm daran, wenn ich gewisse Nachteile aufzeige? Ich habe diese auch schon relativiert, als klar wurde, dass manche den Stellenwert der Argumente nicht einschätzen konnten. Was argumentierst Du denn hier mit mir? Die Argumente, die Du bringst, widersprechen meinen Argumenten nicht. Du relativierst diese nur ein bisschen. Ja und? Ich habe nie behauptet, dass Linux Müll ist! Aber wenn es um Sicherheit geht ist es garantiert nicht meine erste Wahl! Und dies kann ich mir Argumenten belegen. Immer, wenn du etwas machst oder etwas unterlässt, gehst Du Risiken ein. Diese Risiken sollte man aber kennen und dann sagen: Ja - dieses Risiko bin ich bereit zu tragen! Wer sich keine Gedanken über Risiken macht, der ist in meinen Augen nicht in der Lage, eine verantwortungsvolle Position zu bekleiden. Es ist doch absolut nicht schlimmes, wenn ich sage: Ich nehme am Verkehr teil. Ich gehe damit ein Risiko ein (tausende Tote und Verletzte im Jahr sprechen eine deutliche Sprache). Ich versuche, das Risiko zu minimieren und dann trage ich ein gewisses Restrisko. Das ist beim Einsatz von Systemen auch nicht anders. Verstehst Du diese Art der Argumentation? Ich habe jetzt schon mehrfach versucht klar zu stellen, worum es mir geht! Und der Vergleich zwischen liunux und Windows ist nicht soo abwegig. Die Sicherheit von beidem ist - das entsprechende Security-Modell vorausgesetzt - in etwa ebenbürtig. Die Risiken unterscheiden sich nicht so sehr. Und die tatsache, dass es andere, grössere Risiken gibt, ändert nicht am vorhandensein anderer Risiken. Ob diese Risiken für mich entscheidend sind oder ob ich gewillt bin, gegen diese Risiken etwas zu unternehmen (Evtl. kompiliere ich den kernel neu und disable einige Dinge?) ist dabei egal! Nur wie willst Du etwas gegen ein Risiko unternehmen, wenn Du das Risiko noch nicht einmal wahrnimmst? Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53