Re: [FYI] Ross Anderson - Open and closed security are roughly equivalent

[Dietz Proepper <dietz@rotfl.franken.de>]

Axel H Horns:
> http://www.theregister.co.uk/content/55/29294.html
>
> ------------------------------ CUT -------------------------------
>
> Open and closed security are roughly equivalent
>
> By John Leyden
>
> Posted: 12/02/2003 at 09:48 GMT
>
> Open and closed approaches to security are basically equivalent, with
> opening a system up to inspection helping attackers and defenders
> alike.

Anderson übersieht eine Kleinigkeit - es gibt im engeren Sinn sowas wie closed 
source nicht. Es ist natürlich wesentlich aufwendiger, anhand eines Compilats 
Einsichten zu gewinnen - aber keinesfalls unmöglich.
Nein. Er hat imo explizit Unrecht. Ein Angreifer ist so oder so in der 
besseren Position, er muß "nur" beweisen daß eine Software einen Fehler 
beinhaltet, wohingegen der "Gute" die Abwesenheit aller Fehler testieren 
möchte.
Letzteres ist auch bei abstrakter ("hochsprachlicher") Formulierung aufwendig 
bis unmöglich, ersteres wird nicht wesentlich aufwendiger.

Dietz

--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de