HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 113.964
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
So eine News würde Recherche beanspruchen und das gibt es hier nicht.Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Es ist eine Logging library. Die läuft also zum allergrössten Teil auf Servern. Endnutzeranwendungen sind nicht direkt in Gefahr, aber eventuell Kundendaten auf Servern.Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Keine Ahnung, ob das gut recherchiert ist, aber der Spiegel spricht von "Amazons Server-Dienst AWS, Apples iCloud oder die Gaming-Plattform Steam."Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
Open Source + externer Audit = Sicherheit"OpenSource==Sicherheit" my ass...
Zumindest nicht ohne mehrjährige umstellungszeit.Frage ist halt ob es auch ohne Java überhaupt geht?
Weil die Existenz dieser Lücke jetzt einer breiten Öffentlichkeit bekannt ist.wenn die Lücke seit 8 Jahren klafft warum hat man es jetzt so eilig ?
Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?Open Source + externer Audit = Sicherheit
Niemand behauptet, dass Open Source allein Sicherheit garantiert.
Diese aktive "Community" dieser äußerst zentralen Komponente besteht zum größten Teil aus genau einer Privatperson.Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?
Ein "richtiger" Audit sollte damit eigentlich unnötig werden.
Der Gedanke von Open Source ist die freie Verfügbarkeit des Quelltextes sowie dessen Nutzbarkeit (nicht zwingend kostenlose Nutzbarkeit!) durch Dritte.Ist der (oder ein) Gedanke von Open Source nicht, dass eine aktive Community die Software pflegt?
Ja wohl wahr. Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...Diese aktive "Community" dieser äußerst zentralen Komponente besteht zum größten Teil aus genau einer Privatperson.
Und nur weil die Community aktiv ist, heißt das auch nicht dass sie alle Securityexperten sind. Deswegen engagiert man für sowas Spezialisten, die das WIssen und auch die Mittel haben solche ausgedehnten Tests durchzuführen.
Es lässt sich auch nicht alles einfach mal eben Testen. Das sind sehr komplexe Zusammenhänge die man durchsteigen muss.
Kurzum: Man kann durchaus wesentlich mehr für die Sicherheit tun. Aber nicht mit einer Privatperson.
Generell wird dir auffallen, dass Produkte von großen Firmen, die etwas hauptberuflich machen, besser sind als handgestrickte 1-Mann-Projekte.Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...
kann es gar nicht geben. da gibts millionen kleiner spezialanwendungen, die mit java laufen und offenbar nutzen die allermeisten davon diese bibliothek.Tja, und was bedeutet das nun für uns Endanwender? Gibts irgendwo eine Liste betroffener Programme und Apps?
hahaha ja klar. Wenn man extrem naiv ist, dann kann man sowas glauben. 😂Ja wohl wahr. Darum ist die wahrscheinlichkeit einen Audit vorzufinden, bei einer Software die ein Unternehmem für Geld verkauft, höher als bei Community Projekten...
Das sage ich dir sogar aus Berufserfahrung...hahaha ja klar. Wenn man extrem naiv ist, dann kann man sowas glauben. 😂
Genau das ist leider das Hauptproblem. Es wird immer gerne FOSS genutzt, aber etwas selbst dazu beitragen, zu donaten oder mal über den Code schauen zu lassen, dafür will man natürlich kein Geld/Ressourcen in die Hand nehmen.Fakt ist aber das OpenSource gerne weitflächig verwendung findet, aber die wenigsten Unternehmen dann doch selbst mal drüber schaun bevor genutzt wird...
Security Experten sind nochmal eine Stufe teurer als Programmierer. Dann kann man gleich in-house entwickeln und hat etwas Security durch Obscurity :/Genau das ist leider das Hauptproblem. Es wird immer gerne FOSS genutzt, aber etwas selbst dazu beitragen, zu donaten oder mal über den Code schauen zu lassen, dafür will man natürlich kein Geld/Ressourcen in die Hand nehmen.
Das hat damit ja nix zu tun, außerdem können Senior Software Developer oder Architekten genauso teuer sein.Security Experten sind nochmal eine Stufe teurer als Programmierer. Dann kann man gleich in-house entwickeln und hat etwas Security durch Obscurity :/