Kuttel Daddeldu schrieb:
Willkommen im Forum!
Die Gefahr besteht, ja. Allerdings beruht sie weniger auf dem offenen Quellcode – die mit dessen Hilfe erstellten schadhaften Programme müssten ja erst auf Deinem Computer installiert werden –
Diese Antwort geht nach meiner Ansicht in die richtige Richtung...
als auf Fremdquellen, denen Du fälschlicherweise vertraust. Deswegen wird hier auch immer vor Fremdquellen gewarnt. (Interessant in diesem Zusammenhang ist „Eine kleine Geschichte über fremde Paketquellen“.)
Das wird hier meiner Ansicht nach überstrapaziert. Nicht, dass das Installieren von Fremdquellen risikolos wäre, aber so richtig plausibel ist das hier mit der Fremdquellen-Warnung nicht immer.
Letztlich musst Du auf jedem Fall irgendjemand vertrauen, da irgendjemand eine Torwächterfunktion für die Software hat – im konkreten Fall Ubuntu ist das primär Canonical.
Da sind wir dann wieder bei dem eingangs schon richtig angesprochenen Ansatz:
Ganz egal, ob Du nun Closed Source oder Open Source verwendest, Du musst dem Entwickler der Software oder - dass trifft es im Fall von Ubuntu eigentlich mehr - dem der ein Softwarepaket aus verschiedenen Anwendungen schnürt trauen.
Ob Du nun jemanden vertraust oder nicht, bleibt letztlich Dir selbst überlassen. Eigentlich hast Du einzig und allein die Möglichkeit, die Suchmaschine Deine Wahl zu befragen, ob es irgend etwas negatives über den Entwickler oder Paket-Distributor zu berichten gibt. Ob die Infos, die Du dabei aufspürst verlässlich sind, ist dann noch mal eine ganz andere Frage.
ChemicalBrother schrieb:
Für gewöhnlich erfährt man recht schnell, ob es ein Sicherheitsproblem gibt (wie zum Beispiel letztens bei Fedora) und die Sicherheitsprobleme werden auch zügig aus dem Weg geräumt.
Android hat im Gegensatz zu Ubuntu ein viel größeres Problem mit dem Updaten. Sollte es so ein Problem bei Ubuntu geben, kannst du davon ausgehen, dass da spätestens nach 3 Tagen ein Bugfix/Update da ist.
Das sind nach meiner Ansicht beides Aussagen, die dazu geeignet sind, den Nutzer in falscher Sicherheit zu wiegen.
Eine Wahrheit ist nämlich z.B. auch, dass bei Linux-Distribution eben immer der Distributor zwischen Entwickler und Anwender sitzt. Das ist einerseits vorteilhaft, bringt aber nun mal auch das Problem mit sich, dass der Distributor ein Sicherheits-Patch vom Entwickler erst mal noch in die eigene Distribution einpflegen muss, was zu einer zeitlichen Verzögerung führt.
AFAIK, gab es auch im Open Source Bereich schon genügend Fälle, in denen ein Patch hat auf sich warten lassen, was auch ganz logisch ist, da das eben nicht nur vom guten Willen des Entwicklers abhängig ist, sonder auch davon, wie leicht sich eine Sicherheitslücke beseitigen lässt.
Ich will das gar nicht groß zu einem Problem aufbauschen, aber es geht mir um die Aufklärung des Anwenders. Und in deren Sinne halte ich eine Aussage wie "nach spätestens 3 Tagen" einfach für irreführend.
Genau wie der Quatsch mit den "vielen Augen" die über den Code wachen. Kritische Fragen nach der Anzahl dieser vielen Augen findest Du im Netz jedenfalls nicht beantwortet. Dagegen findest Du genügend Entwickler, die sich selbst über solche Aussagen aufregen, weil die nämlich nur zu Gut wissen, dass es an kompetenten Feedback eigentlich eher mangelt.
Das soll bitte nicht als Panik-Mache verstanden werden. Open Source hat immer noch den Vorteil gegenüber Closes Source, dass Dritte den Code überhaupt überprüfen können. Von einer geregelten Kontrolle des Codes von einer Vielzahl von unterschiedlichsten Menschen, sollte man nach meiner Erfahrung aber mal besser nicht so ohne weiteres ausgehen.
Kurz:
Kritisch bleiben lohnt sich immer - egal ob man Open Source oder Closed Source einsetzt.
Gruß,
Martin
