[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [FYI] MS: "Closed source is more secure"
- To: dietz@rotfl.franken.de
- Subject: Re: [FYI] MS: "Closed source is more secure"
- From: Thomas Roessler <roessler@does-not-exist.org>
- Date: Fri, 13 Apr 2001 17:54:44 +0200
- Cc: debate@fitug.de
- Comment: This message comes from the debate mailing list.
- In-Reply-To: <20010413155648.A22974@rotfl.franken.de>; from dietz@rotfl.franken.de on Fri, Apr 13, 2001 at 03:56:48PM +0200
- Mail-Followup-To: dietz@rotfl.franken.de, debate@fitug.de
- References: <3AD6F2A8.18157.152221@localhost> <20010413155648.A22974@rotfl.franken.de>
- Sender: owner-debate@fitug.de
- User-Agent: Mutt/1.3.17i
On 2001-04-13 15:56:48 +0200, dietz@rotfl.franken.de wrote:
>> The head of Microsoft's security response team argued here
>> Thursday that closed source software is more secure than open
>> source projects, in part because nobody's reviewing open source
>> code for security flaws.
> Er lügt. Die Reviews sind vielfach sogar öffentlich. Außerdem
> hindert niemand Unternehmen daran, Open-Source-Produkte selber zu
> reviewen.
Dann erklär' mir mal bitte CA-2000-09. Oder
http://www.zetetic.net/docs/bugs/bugtraq_04-09-2001.txt.
Beides sind kritische Fehler. Beides sind Fehler, die durch
Durchsicht des Programmcodes gefunden wurden. Und beides sind
Fehler, die - wenn der peer review wirklich so stark wäre, wie
manche es behaupten - viel früher (im Fall von PGP 5: Jahre früher)
hätten gefunden und eliminiert werden müssen.
Allerdings sollte man dazu sagen, daß die Tatsache, daß der
Review-Prozeß bei Open-Source-Software häufig eher schlecht als
recht funktioniert, nichts darüber aussagt, ob er denn bei Microsoft
besser arbeitet.
Insbesondere folgt aus Closed Source natürlich überhaupt nicht, daß
ein besserer Review-Prozeß möglich sei.
--
Thomas Roessler <roessler@does-not-exist.org>