[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Ross Anderson - Open and closed security are roughly equivalent



* Dietz Proepper wrote:
> Anderson übersieht eine Kleinigkeit - es gibt im engeren Sinn sowas wie
> closed source nicht. Es ist natürlich wesentlich aufwendiger, anhand
> eines Compilats Einsichten zu gewinnen - aber keinesfalls unmöglich.

Das ist Ross klar. Er hat nur den Unterschied verlernt. :-)

> Nein. Er hat imo explizit Unrecht. Ein Angreifer ist so oder so in der
> besseren Position, er muß "nur" beweisen daß eine Software einen Fehler
> beinhaltet, wohingegen der "Gute" die Abwesenheit aller Fehler testieren
> möchte.
>
> Letzteres ist auch bei abstrakter ("hochsprachlicher") Formulierung
> aufwendig bis unmöglich, ersteres wird nicht wesentlich aufwendiger.

Eine formale Verifizierung der Abwesenheit von Fehlerklassen (bis hin zur
Abwesenheit aller Laufzeitfehler) ist heute schon möglich und wird gemacht.
Jedoch kaum bei Open Source.

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de