Re: [FYI] MS: "Closed source is more secure"

[dietz@rotfl.franken.de]

On Fri, Apr 13, 2001 at 05:54:44PM +0200, Thomas Roessler wrote:
> On 2001-04-13 15:56:48 +0200, dietz@rotfl.franken.de wrote:
> 
> >> The head of Microsoft's security response team argued here
> >> Thursday that closed source software is more secure than open
> >> source projects, in part because nobody's reviewing open source
> >> code for security flaws.
> 
> > Er lügt. Die Reviews sind vielfach sogar öffentlich. Außerdem
> > hindert niemand Unternehmen daran, Open-Source-Produkte selber zu
> > reviewen.
> 
> Dann erklär' mir mal bitte CA-2000-09. Oder
> http://www.zetetic.net/docs/bugs/bugtraq_04-09-2001.txt.

Moment... Zu letzterem - ja mei. Wer Generatoren die er nicht selber
geschrieben hat vertraut dem ist auch nicht zu helfen. Oder anders,
wieviel Leute haben den Teil von stip gerev'd?
Zu ersterem - find' ich im Moment keinen Pointer 'drauf.

> Beides sind kritische Fehler.  Beides sind Fehler, die durch
> Durchsicht des Programmcodes gefunden wurden.  Und beides sind
> Fehler, die - wenn der peer review wirklich so stark wäre, wie

Ich habe _nie_ _nie_ _nie_ behauptet, peer reviews seien für
sicherheitsrelevante Dinge die beste Wahl. Naja, Du hast mir
das auch nicht direkt unterstellt ;).

> manche es behaupten - viel früher (im Fall von PGP 5: Jahre früher)

Ich vermute einfach daß sich CA-2000-09 auf den "Angriff" auf
PGP-Schlüssel bezieht. Nun ja. Es ist sicher ungeschickt, es
wie getan zu machen, nur ist eigentlich in allen Dokumenten die ich
im Kopf habe die Rede von "secure storage". Das "reliable computing"
ist imo implizit.

> hätten gefunden und eliminiert werden müssen.

Äh, verzeih bitte aber reviews sind Prozesse die im besten Fall
die Anwesenheit, nie aber die Abwesenheit von Fehlern beweisen können.
Sie sind halt _wesentlich_ billiger als formale Beweise. Und wesentlich
weniger verläßlich.

> Allerdings sollte man dazu sagen, daß die Tatsache, daß der
> Review-Prozeß bei Open-Source-Software häufig eher schlecht als
> recht funktioniert, nichts darüber aussagt, ob er denn bei Microsoft
> besser arbeitet.

Hast Du MSens Statement gelesen? Die sagen, open source werde
_nicht_ reviewed. Und dies kann ganz eindeutig verneint werden.
Ob MS besonders ausgefeilte Reviewmethoden verwendet oder kürzlich
einen cache voller Kristallkugeln gefunden hat weiß ich nicht.

Wenn ja dann sollten sie die derart entstandenen Produkte doch
bitte mal zu verkaufen anfangen.

> Insbesondere folgt aus Closed Source natürlich überhaupt nicht, daß
> ein besserer Review-Prozeß möglich sei.

Sicher nicht. Genauso wie die Umkehrung (dies nur als Annahme,
glauben tu' ich was anderes). Damit sind beide Verfahren
gleichwertig, nicht wie MS behauptet Teilmengen.
Bedenkt man zudem daß open source reviews im gegensatz zu c-s den
Vorteil haben daß Hinz und Kunz (Du hast den Schockwellenreiter
gelesen ?;) diese nachvollziehen können so würde ich Deiner Behauptung
entgegensetzen daß aus open source zumindest eine bessere
Bewertbarkeit der Reviews folgen kann.

Dietz