Re: Ohne Kryptographie wirtsch. Zusammenbruch

[kris@koehntopp.de (Kristian Koehntopp)]

In schulung.lists.fitug-debate you write:
>Weglassen, reine Polemik gegen M$ und bei den freien Betriebssystemen kann
>man auch nicht garantieren, dass da nicht mal jemand Schrott
>zusammenschreibt.

Ich schreibe beruflich Intranet-Anwendungen einerseits mit PHP
und andererseits mit dem Netscape Application Server oder mit
Microsoft ASP oder auch mit Cold Fusion. Obwohl die
Entwicklungsumgebungen der kommerziellen Produkte mehr glitz
haben, verwende ich PHP, wenn der Kunde mir die Wahl laesst.

Sowohl PHP als auch die kommerziellen Produkte haben Fehler.
Schwere Fehler, die Projekte zum Scheitern zu bringen drohen und
massenhaft Fehler, die laestige Mehrarbeit verursachen; manchmal
auch Fehler, die ein echtes Sicherheitsrisiko bedeuten - extrem
laestig bei Anwendungen im Internet, da dort Sicherheitsprobleme
immer gleich Gesichtsverlust und abspringende Kunden bedeuten.

Ich verwende PHP, weil ich dort den Source habe. Das bedeutet,
dass ich selbst pruefen kann, ob ein Fehler oder eine Hintertuer
in der Anwendung vorliegen und dass ich selbst eingreifen und
verbessern kann, wenn dies der Fall ist. Der Unterschied liegt
also primaer nicht in der Geschwindigkeit, auch nicht im Preis
oder in der Verpackung. Der Unterschied liegt im Vertrauen. Bei
PHP kann ich mir sicher sein, was genau das Produkt macht und
was es nicht macht. Ich kann kontrollieren, wie es sich
verhalten wird. Und ich kann mir, wenn die Frage auftaucht,
sicher sein, dass es keine Hintertueren enthaelt. (*1)


Dasselbe gilt fuer alle Open Source Produkte in
sicherheitsrelevanten Anwendungen: Open Source schafft Vertrauen
und Vertrauen ist die Grundlage von allem (tm). Wir koennen
nicht die kommerzielle Infrastruktur des naechsten Jahrtausends
auf einer Grundlage konstruieren, von der wir _wissen_, dass sie
von derselben Nation kommt, die uns Echelon untergeschoben hat
und von der wir _wissen_, dass sie Druck auf die Hersteller der
Produkte ausuebt, die wir verwenden wollen und von der wir
_wissen_, dass sie diese Hersteller nur die zweitbeste Technik
exportieren laesst.

Wenn wir unseren Status als die fuehrende Industrienation
Europas halten wollen, muessen wir hier aggressiv abwehren und
eine Situation schaffen, die es nicht nur den Amerikanern,
sondern jeder Nation und jedem Konzern mit uebermaechtigen
Interessen unmoeglich macht, unsere technische Infrastruktur auf
diese Weise zu unterwandern und zu sabotieren. Das ist ein
strategisches Ziel von fundamentaler Bedeutung und noch dazu
eines, dem weder von dieser Regierung noch von der kommenden
ausreichend Bedeutung zugemessen wird und fuer das auch unsere
Wirtschaft nicht ausreichend sensibilisiert ist.


Das Vorgehen zur Schaffung einer besseren Situation ist einfach,
aber schmerzvoll und langwierig. Es gehoert dazu eine formale
Definition des Begriffes "Open Source" als geschuetzter und
einklagbarer Begriff, die einerseits juristisch hieb- und
stichfest und andererseits kompatibel mit Debian und GNU ist.
Und es gehoert dazu ein Belohnungssystem fuer kommerzielle
Anbieter, die Open Source Produkte herausgeben sowie ein
bestrafungssystem fuer solche, die es nicht machen. Dazu
gehoeren Bevorzugung in oeffentlichen Ausschreibungen,
Sondergenehmigungen bei der Einfuehrung von nichtoffenen
Produkten in oeffentlichen Verwaltungen. Dazu gehoert aber auch
ein Foerderprogramm fuer Initiativen und Projekte, die Open
Source Produkte herstellen, die von strategischer Bedeutung sind
und die das Fundament fuer eine Weiterentwicklung auf diesem
Gebiet sein koennen. Dabei sollte Wert darauf gelegt werden,
dass international zusammengearbeitet wird, auch wenn die
Foerdergelder nur deutschen und/oder europaeischen Teilnehmern
direkt zukommen koennen.

Kristian

(*1) Und ja, ich habe grosse Teile des PHP Quelltextes gelesen
     und verstanden, einige veraendert und eine ganze Serie von
Fehlern getoetet. Es ist nicht so schwer wie man denkt,
sich in groessere fremde Softwareprojekte einzulesen.