OpenSSL is broken - Heartbleed Bug - Forum - Page 8

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12071

23.04.2014 - 12:23

Klar ist: Mit HOB SSL waere das nicht passiert!

http://www.hob.de/news/2014/news0814.jsp

Da kann naemlich nicht jeder dahergelaufene 17-Jaehrige auf Hasch seinen Schmarrn reinrotzen, muss man wissen.

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

23.04.2014 - 12:30

Zitat von COLOSSUS
Klar ist: Mit HOB SSL waere das nicht passiert!

http://www.hob.de/news/2014/news0814.jsp

Da kann naemlich nicht jeder dahergelaufene 17-Jaehrige auf Hasch seinen Schmarrn reinrotzen, muss man wissen.

Ich weiß gar nicht was ich da rausquoten soll, das ist ja alles geistiger Abfall, ich probiers mal trotzdem.

Zitat
Common Criteria ist ein internationaler Standard (bzw. der Industrie-Nationen) an welchem auch die NSA mitarbeitet. Die NSA weiß schon was sicher ist. Die wollen selbst nicht gehackt oder ausspioniert werden.

Deswegen implementiert die NSA ja keine Backdoors !!!11einseinself

Cobase

Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17903

23.04.2014 - 12:34

Zitat von smashIt
die openBSD jungs greifen da jetzt mal hart durch

http://www.golem.de/news/openssl-op...404-105886.html

bin ja gespannt ob openssl das übernimmt oder obs zu nem fork kommt

http://www.computerbase.de/2014-04/...von-openssl-ab/

Zitat
OpenBSD spaltet sich mit LibreSSL von OpenSSL ab
...
„Unsere Arbeitsgruppe hat in einer Woche die Hälfte des Quellcodes entfernt, wobei es sich hauptsächlich um unbeachtete Überbleibsel handelte“, so de Raadt. Dabei geht es um über 90.000 Zeilen Code, die nach seinen Angaben zum Teil seit zwölf Jahren unbenutzt waren.

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

23.04.2014 - 12:36

Zitat von COLOSSUS
Klar ist: Mit HOB SSL waere das nicht passiert!

Ich kann die Qualität des Quellcodes von HOB-SSL leider nicht überprüfen, weil es nicht Open Source ist.

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4095

23.04.2014 - 13:00

Zitat
Aus OpenSSL wurde jetzt Heartbleed entfernt. Wer weiß, wieviele Probleme noch in OpenSSL schlummern? HOB Lösungen beruhen auf HOB-SSL, entwickelt von festangestellten Mitarbeitern der Firma HOB GmbH & Co. KG. Alle Mitarbeiter müssen erst schwierige Tests absolvieren bevor sie bei HOB angestellt werden. HOB-SSL wurde von hochqualifizierten Entwicklern entwickelt und getestet. Das hat viele Jahre gedauert.

ich glaube, in zukunft setze ich nur noch auf hob software! :eek:

das wirkt einfach viel professioneller und vertrauenswürdiger als software von 17 jährigen hobbyprogrammierern die keine teuren tools zum quellcode überprüfen haben!

Zitat
Bei HOB wird streng darauf geachtet, dass sicherheitskritische Produkte nicht in falsche Hände geraten. Das gilt für die fertigen Produkte. Erst recht der Sourcecode, den dürfen nur ausgewählte Personen einsehen.

Was hält der Leser davon, für sicherheitskritische Funktionen Open-Source zu verwenden, wo jeder der hacken will ganz bequem im Sourcecode suchen kann wie das Ganze funktioniert und ob er nicht eine Schwachstelle findet?

in zukunft nur noch closed source! Security through obscurity ist die lösung!

Bearbeitet von wergor am 23.04.2014, 13:03

AdRy

Auferstanden

Registered: Oct 2002
Location: Wien
Posts: 5239

23.04.2014 - 13:13

Zitat von luka
weil es nicht Open Source ist.

hat bei open ssl anscheinend nichts gebracht. closed source is insofern besser, weil nur die mitarbeiter reinpfuschen. bei open source kann jeder irgendwas obskures einschleusen, denn es kann nicht alles überprüft/kontrolliert werden, sonst wär der heartbleed bug (oder andere bugs) nie aufgetreten.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12071

23.04.2014 - 13:15

Interessant ist meines Erachtens, dass (laut diesem Text) Klaus Brandstaetter 60 Jahre alt ist, und manche (gar etwa die meisten?) Open Source Software-Programmierer 17 Jahre alt sind. Daraus folgend ist wohl das Alter des Entwicklerteams direkt proportional zur Qualitaet des geschriebenen Codes. HOB SSL ist demzufolge 60/17 Mal (~3,5294 Mal - aber Achtung, dieser Naeherungswert wurde mit potenziell fehlerbehafteter Open Source Software errechnet!) besser als OpenSSL. Ein (hypothetischer) Heartbleed-Fehler in HOB SSL haette ergo nicht bis zu 64KByte pro Request, sondern lediglich ~18,1333 KByte vertraulicher Daten zutage gefoerdert. Das muss man sich mal durch den Kopf gehen lassen!!

whitegrey

Wirtschaftsflüchtling

Registered: Dec 2000
Location: Wien 1110
Posts: 7355

23.04.2014 - 13:17

Was auch ne Möglichkeit ist (und wie es einige der "großen" Player machen); Hackathons, Bugcrowd & Co... Als kleiner Entwickler kann man sich das aber meistens nicht leisten weil es da doch gängig ist, dass bei dementsprechenden Funden einiges an Geld ausgezahlt wird.

Ist aber nicht uninteressant die Liste;
https://bugcrowd.com/list-of-bug-bounty-programs

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15858

23.04.2014 - 13:34

@colo: danke für den link, ich habs zwar ned geschafft den ganzen schmarrn komplett zu lesen aber die fetzen daraus sind spitze

issue

Rock and Stone, brother!

Registered: Feb 2003
Location: Linz
Posts: 3644

23.04.2014 - 15:49

Zitat von COLOSSUS
Klar ist: Mit HOB SSL waere das nicht passiert!

http://www.hob.de/news/2014/news0814.jsp

Da kann naemlich nicht jeder dahergelaufene 17-Jaehrige auf Hasch seinen Schmarrn reinrotzen, muss man wissen.

Ich mach mich nass, MMD

XeroXs

doh

Registered: Nov 2000
Location: Lieboch
Posts: 10334

23.04.2014 - 15:52

COLO macht mich fertig.. so ein Post und kein einziger Zwinkersmiley.. wie soll ich da die Ironie erkennen :confused:

Taltos

Here to stay

Registered: Jan 2004
Location: Wien
Posts: 1520

23.04.2014 - 16:52

Zitat von AdRy
closed source is insofern besser, weil nur die mitarbeiter reinpfuschen. bei open source kann jeder irgendwas obskures einschleusen, denn es kann nicht alles überprüft/kontrolliert werden, sonst wär der heartbleed bug (oder andere bugs) nie aufgetreten.

ja, weil bei closed-source software sicher "alles überprüft/kontrolliert" wird. :rolleyes:

Lukas

Here to stay

Registered: Feb 2004
Location: ~
Posts: 1883

23.04.2014 - 17:37

Zitat von IsSuE
Ich mach mich nass, MMD

In der Tat! HOB ftw!

Zitat von AdRy
hat bei open ssl anscheinend nichts gebracht. closed source is insofern besser, weil nur die mitarbeiter reinpfuschen. bei open source kann jeder irgendwas obskures einschleusen, denn es kann nicht alles überprüft/kontrolliert werden, sonst wär der heartbleed bug (oder andere bugs) nie aufgetreten.

*grabbing-popcorn*

Luka

Administrator
...

Registered: Nov 2006
Location: Mödling
Posts: 206

23.04.2014 - 17:51

Zitat von AdRy
hat bei open ssl anscheinend nichts gebracht. closed source is insofern besser, weil nur die mitarbeiter reinpfuschen. bei open source kann jeder irgendwas obskures einschleusen, denn es kann nicht alles überprüft/kontrolliert werden, sonst wär der heartbleed bug (oder andere bugs) nie aufgetreten.

Ich wollte damit nicht sagen, freie Software sei generell sicher oder proprietäre Software schlechter - solche Aussagen sind unseriös.

Die Sicherheit einer Software ist unmöglich zu beweisen. Es gilt solange etwas als sicher, bis jemand das Gegenteil beweisen kann. HOP-SSL behauptet, ihre Software sei besser, aber ich kann es nicht überprüfen.

Zitat
bei open source kann jeder irgendwas obskures einschleusen

Was ins offizielle Projekt aufgenommen wird, entscheidet der Projektleiter. Es ist manchmal ein langer Prozess bis Code akzeptiert wird, wenn es nicht gerade ein trivialer Patch ist.

Es wird natürlich auch oft genug Code abgelehnt. Mit großen Änderung hat man es normalerweise sehr schwer und muss sie erst in leichter verdauliche Patches teilen. Wie das genau gehandhabt wird, bleibt dem jeweiligen Projekt überlassen.

Mit freier Software oder Open-Source-Software hat man die Freiheit, die Software zu kopieren, zu verbreiten, zu untersuchen, zu ändern und zu verbessern.

Nirgends steht, dass man ein Entwicklungsprojekt betreiben muss, wo sich Dritte beteiligen können. Aber das entwickelt sich oft ganz von selbst.

AdRy

Auferstanden

Registered: Oct 2002
Location: Wien
Posts: 5239

23.04.2014 - 18:59

Zitat von Taltos
ja, weil bei closed-source software sicher "alles überprüft/kontrolliert" wird.

hab ich nicht behauptet. aber dort hat man ein unternehmen dahinter das support gibt und notfalls zur verantwortung gezogen werden kann.

COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12071	23.04.2014 - 12:23 Klar ist: Mit HOB SSL waere das nicht passiert! http://www.hob.de/news/2014/news0814.jsp Da kann naemlich nicht jeder dahergelaufene 17-Jaehrige auf Hasch seinen Schmarrn reinrotzen, muss man wissen.
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	23.04.2014 - 12:30 Zitat von COLOSSUS Klar ist: Mit HOB SSL waere das nicht passiert! http://www.hob.de/news/2014/news0814.jsp Da kann naemlich nicht jeder dahergelaufene 17-Jaehrige auf Hasch seinen Schmarrn reinrotzen, muss man wissen. Ich weiß gar nicht was ich da rausquoten soll, das ist ja alles geistiger Abfall, ich probiers mal trotzdem. Zitat Common Criteria ist ein internationaler Standard (bzw. der Industrie-Nationen) an welchem auch die NSA mitarbeitet. Die NSA weiß schon was sicher ist. Die wollen selbst nicht gehackt oder ausspioniert werden. Deswegen implementiert die NSA ja keine Backdoors !!!11einseinself
Cobase Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17903	23.04.2014 - 12:34 Zitat von smashIt die openBSD jungs greifen da jetzt mal hart durch http://www.golem.de/news/openssl-op...404-105886.html bin ja gespannt ob openssl das übernimmt oder obs zu nem fork kommt http://www.computerbase.de/2014-04/...von-openssl-ab/ Zitat OpenBSD spaltet sich mit LibreSSL von OpenSSL ab ... „Unsere Arbeitsgruppe hat in einer Woche die Hälfte des Quellcodes entfernt, wobei es sich hauptsächlich um unbeachtete Überbleibsel handelte“, so de Raadt. Dabei geht es um über 90.000 Zeilen Code, die nach seinen Angaben zum Teil seit zwölf Jahren unbenutzt waren.
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	23.04.2014 - 12:36 Zitat von COLOSSUS Klar ist: Mit HOB SSL waere das nicht passiert! Ich kann die Qualität des Quellcodes von HOB-SSL leider nicht überprüfen, weil es nicht Open Source ist.
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4095	23.04.2014 - 13:00 Zitat Aus OpenSSL wurde jetzt Heartbleed entfernt. Wer weiß, wieviele Probleme noch in OpenSSL schlummern? HOB Lösungen beruhen auf HOB-SSL, entwickelt von festangestellten Mitarbeitern der Firma HOB GmbH & Co. KG. Alle Mitarbeiter müssen erst schwierige Tests absolvieren bevor sie bei HOB angestellt werden. HOB-SSL wurde von hochqualifizierten Entwicklern entwickelt und getestet. Das hat viele Jahre gedauert. ich glaube, in zukunft setze ich nur noch auf hob software! das wirkt einfach viel professioneller und vertrauenswürdiger als software von 17 jährigen hobbyprogrammierern die keine teuren tools zum quellcode überprüfen haben! Zitat Bei HOB wird streng darauf geachtet, dass sicherheitskritische Produkte nicht in falsche Hände geraten. Das gilt für die fertigen Produkte. Erst recht der Sourcecode, den dürfen nur ausgewählte Personen einsehen. Was hält der Leser davon, für sicherheitskritische Funktionen Open-Source zu verwenden, wo jeder der hacken will ganz bequem im Sourcecode suchen kann wie das Ganze funktioniert und ob er nicht eine Schwachstelle findet? in zukunft nur noch closed source! Security through obscurity ist die lösung! Bearbeitet von wergor am 23.04.2014, 13:03
AdRy Auferstanden Registered: Oct 2002 Location: Wien Posts: 5239	23.04.2014 - 13:13 Zitat von luka weil es nicht Open Source ist. hat bei open ssl anscheinend nichts gebracht. closed source is insofern besser, weil nur die mitarbeiter reinpfuschen. bei open source kann jeder irgendwas obskures einschleusen, denn es kann nicht alles überprüft/kontrolliert werden, sonst wär der heartbleed bug (oder andere bugs) nie aufgetreten.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12071	23.04.2014 - 13:15 Interessant ist meines Erachtens, dass (laut diesem Text) Klaus Brandstaetter 60 Jahre alt ist, und manche (gar etwa die meisten?) Open Source Software-Programmierer 17 Jahre alt sind. Daraus folgend ist wohl das Alter des Entwicklerteams direkt proportional zur Qualitaet des geschriebenen Codes. HOB SSL ist demzufolge 60/17 Mal (~3,5294 Mal - aber Achtung, dieser Naeherungswert wurde mit potenziell fehlerbehafteter Open Source Software errechnet!) besser als OpenSSL. Ein (hypothetischer) Heartbleed-Fehler in HOB SSL haette ergo nicht bis zu 64KByte pro Request, sondern lediglich ~18,1333 KByte vertraulicher Daten zutage gefoerdert. Das muss man sich mal durch den Kopf gehen lassen!!
whitegrey Wirtschaftsflüchtling Registered: Dec 2000 Location: Wien 1110 Posts: 7355	23.04.2014 - 13:17 Was auch ne Möglichkeit ist (und wie es einige der "großen" Player machen); Hackathons, Bugcrowd & Co... Als kleiner Entwickler kann man sich das aber meistens nicht leisten weil es da doch gängig ist, dass bei dementsprechenden Funden einiges an Geld ausgezahlt wird. Ist aber nicht uninteressant die Liste; https://bugcrowd.com/list-of-bug-bounty-programs
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15858	23.04.2014 - 13:34 @colo: danke für den link, ich habs zwar ned geschafft den ganzen schmarrn komplett zu lesen aber die fetzen daraus sind spitze
issue Rock and Stone, brother! Registered: Feb 2003 Location: Linz Posts: 3644	23.04.2014 - 15:49 Zitat von COLOSSUS Klar ist: Mit HOB SSL waere das nicht passiert! http://www.hob.de/news/2014/news0814.jsp Da kann naemlich nicht jeder dahergelaufene 17-Jaehrige auf Hasch seinen Schmarrn reinrotzen, muss man wissen. Ich mach mich nass, MMD
XeroXs doh Registered: Nov 2000 Location: Lieboch Posts: 10334	23.04.2014 - 15:52 COLO macht mich fertig.. so ein Post und kein einziger Zwinkersmiley.. wie soll ich da die Ironie erkennen
Taltos Here to stay Registered: Jan 2004 Location: Wien Posts: 1520	23.04.2014 - 16:52 Zitat von AdRy closed source is insofern besser, weil nur die mitarbeiter reinpfuschen. bei open source kann jeder irgendwas obskures einschleusen, denn es kann nicht alles überprüft/kontrolliert werden, sonst wär der heartbleed bug (oder andere bugs) nie aufgetreten. ja, weil bei closed-source software sicher "alles überprüft/kontrolliert" wird.
Lukas Here to stay Registered: Feb 2004 Location: ~ Posts: 1883	23.04.2014 - 17:37 Zitat von IsSuE Ich mach mich nass, MMD In der Tat! HOB ftw! Zitat von AdRy hat bei open ssl anscheinend nichts gebracht. closed source is insofern besser, weil nur die mitarbeiter reinpfuschen. bei open source kann jeder irgendwas obskures einschleusen, denn es kann nicht alles überprüft/kontrolliert werden, sonst wär der heartbleed bug (oder andere bugs) nie aufgetreten. grabbing-popcorn
Luka Administrator ... Registered: Nov 2006 Location: Mödling Posts: 206	23.04.2014 - 17:51 Zitat von AdRy hat bei open ssl anscheinend nichts gebracht. closed source is insofern besser, weil nur die mitarbeiter reinpfuschen. bei open source kann jeder irgendwas obskures einschleusen, denn es kann nicht alles überprüft/kontrolliert werden, sonst wär der heartbleed bug (oder andere bugs) nie aufgetreten. Ich wollte damit nicht sagen, freie Software sei generell sicher oder proprietäre Software schlechter - solche Aussagen sind unseriös. Die Sicherheit einer Software ist unmöglich zu beweisen. Es gilt solange etwas als sicher, bis jemand das Gegenteil beweisen kann. HOP-SSL behauptet, ihre Software sei besser, aber ich kann es nicht überprüfen. Zitat bei open source kann jeder irgendwas obskures einschleusen Was ins offizielle Projekt aufgenommen wird, entscheidet der Projektleiter. Es ist manchmal ein langer Prozess bis Code akzeptiert wird, wenn es nicht gerade ein trivialer Patch ist. Es wird natürlich auch oft genug Code abgelehnt. Mit großen Änderung hat man es normalerweise sehr schwer und muss sie erst in leichter verdauliche Patches teilen. Wie das genau gehandhabt wird, bleibt dem jeweiligen Projekt überlassen. Mit freier Software oder Open-Source-Software hat man die Freiheit, die Software zu kopieren, zu verbreiten, zu untersuchen, zu ändern und zu verbessern. Nirgends steht, dass man ein Entwicklungsprojekt betreiben muss, wo sich Dritte beteiligen können. Aber das entwickelt sich oft ganz von selbst.
AdRy Auferstanden Registered: Oct 2002 Location: Wien Posts: 5239	23.04.2014 - 18:59 Zitat von Taltos ja, weil bei closed-source software sicher "alles überprüft/kontrolliert" wird. hab ich nicht behauptet. aber dort hat man ein unternehmen dahinter das support gibt und notfalls zur verantwortung gezogen werden kann.

OpenSSL is broken - Heartbleed Bug

Forum Index > Digital Life > Internet & Provider

COLOSSUS

Hansmaulwurf

Cobase

Luka

wergor

AdRy

COLOSSUS

whitegrey

userohnenamen

issue

XeroXs

Taltos

Lukas

Luka

AdRy