[linux-l] Linux sicher machen

Volker Grabsch vog at notjusthosting.com
Mo Okt 23 11:47:23 CEST 2006 

On Sun, Oct 22, 2006 at 07:01:55PM +0200, Norman Steinbach wrote:
> > Errm, warum? Der Source ist da, der Source ist (u.a. von RedHat)
> > überprüft worden - was du da hast ist Paranoia, die durch nichts belegt ist.
[...]
> ist sie auch von
> anderen (nicht wirtschaftlich abhängigen) Herausgebern einer
> Distribution überprüft worden? Ich glaube, überzeugen könnte ich mich
> höchstens, indem ich programmieren lerne und die Source selbst
> überprüfe.

Nichtmal das reicht, denn selbst als Top-Programmierer wirst du den
gesamten Kernel nicht ohne weiteres überprüfen können. Schon gar nicht
den Linux-Kernel. Du könntest einzelne Module bis ins letzte Detail
verstehen, und dir einen Gesamt-Überblick verschaffen. Das war's aber
auch schon. Das Teil ist einfach zu groß. Du brauchst Unterstützung,
du kannst sowas nur im Team stämmen, wenn überhaupt.

Es ist einfach die falsche Herangehensweise. Natürlich stärkt es das
Vertrauen in den Code, wenn er für jeden einsehbar ist und daher von
Organisationen auf Herz und Nieren geprüft werden kann, oder auch von
dir selbst. Aber das ist nicht das zentrale Thema.

Worum es *eigentlich* geht, ist dass bei freier Software jeder etwas
beisteuern kann. Wer also eine Sicherheitslücke findet, hat das Recht,
sie selbst zu schließen, und die Motivation, das zu veröffentlichen,
ist ebenfalls groß, weil man dann mit als Autor in das Projekt eingeht,
was gerade für Hacker sehr reizvoll ist.

Das heißt, freie Software motiviert die vielen Leute, die "dunkle
Masse", die mal im Kernel-Code rumstöbert, vielleicht ein oder zwei
Module schreibt, ihr Wissen zu veröffentlichen. Und *das* ist wichtig.
Dadurch wird der Code nämlich auch von Leuten überprüft, die *nicht*
dafür beauftragt wurden und *trotzdem* ihr Wissen veröffentlichen.

Diese Motivation existiert bei nicht-freier Software kaum, selbst wenn
deren Quellcode für jedermann einsehbar ist. Wenn dann auch noch die
Lizenz so restriktiv ist, dass man den Code zwar ansehen, aber nicht
modifizieren und compilieren darf, dann ist's eh vorbei, dann kann der
Code (fast) nur noch mit Bleistift und Papier analysiert werden, und
soooo gute Programmierer gibt's nicht, die allein dadurch, quasi im
Geiste, den Code auf Herz und Nieren überprüfen könnten.


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l