Werbeanzeige in der Zeit bez. openSSL

[MrGerardCruiz]

Hallo,

ich weiß nicht wer hier die ZEIT am Donnerstag auf den Frühstückstisch bekommt, aber ich wollte mal auf etwas aufmerksam machen.
Im Politikteil ist eine ganzseitige Werbeanzeige (ich könnte sie als Anhang hochladen, weiß aber nicht ob das legal ist)
In dieser Anzeige finden sich u.a. Sätze wie:

"Der betreffende Entwickler hat diesen (einfachen) Grundsatz nicht beachtet. Also ist der betreffende Entwickler nicht übermäßig intelligent und hat auch nicht die notwendigen Grundkenntnisse."

und

"Solche Open-Source-Entwickler sind oft erst 17 Jahre alt"

Danach beginnen Tiraden gegen Qualität und Sicherheit von Open Source um am Schluss auf eine kommerzielle Alternative zu openSSL zu verweisen.

Viele hier im Forum haben sicherlich durch den openSSL-Bug eine Menge zusätzlicher Arbeit gehabt aber so eine Anzeige kann eine große deutsche Wochenzeitung doch nicht aufnehmen. Das ist meiner Meinung hart an der Grenze zur Beleidigung. Was meint ihr dazu?

[zardoz]

Siehe auch http://blog.patricksauer.net/security/a ... lgemeinen/

[Teddybear]

Kann es sein, das du diesen Text meinst?
http://www.hob.de/news/2014/news0814.jsp

[rendegast]

"Die Zeit" arbeitet ( noch? ("31. Dezember 1899 01:00 Uhr"?) ) mit open-source
http://www.zeit.de/2002/49/ZEIT-Online

[stollenreiter]

Na ja, was soll man dazu sagen.

Vielleicht schreibt Herr Ganten (Open Source Business Alliance OSBA) was dazu.

Zumindest ist es schon eine Frechheit erster Kajüte, was sich der Herr Brandstätter da erlaubt hat.

[MrGerardCruiz]

Kann es sein, das du diesen Text meinst?
http://www.hob.de/news/2014/news0814.jsp

Ja genau.

Als Abonnent der ZEIT werde ich heute mal eine kleine Mail schreiben. Sowas muss man als zahlender Leser (der nicht nur online konsumiert) echt nicht hinnehmen.

[feltel]

Außer fällt mir eigentlich nichts dazu ein. Beim lesen mancher Sätze zweifle ich ob das wirklich ernst gemeint ist....

[Cae]

Ich empfinde diese Anzeige der Firma HOB als eine Frechheit. Es mag sein, dass der Autor des Heartbeat-Codes zu diesem Zeitpunkt nicht ausreichend Programmiererfahrung hatte, aber die Bezeichnung "ist [...] nicht uebermaessig intelligent" ist definitiv fehl am Platz. Zumal der komplette Satz im Praesens ist, die Aussage entspricht also "er ist [immer noch] dumm" anstatt "er hatte etwas Dummes getan".

Das ist meiner Meinung hart an der Grenze zur Beleidigung.

Das sehe ich auch so. Wenn ich die betroffene Person waere, wuerde ich die Firma HOB bzw. den Verantwortlichen wegen uebler Nachrede anzeigen. Im Zweifelsfall allein des Medienechos wegen.

Weiter unten wird der Eindruck erweckt, Open Source sei nachteilhaft, weil jedermann den Quellcode lesen kann. Fuer mich ist offener Code die einzige Garantie, dass der Hersteller keine Backdoors eingebaut hat. Nur so kann er unabhaengig von jedermann geprueft werden. Die Firma HOB verweigert diese Moeglichkeit ganz grundsaetzlich:

Erst recht der Sourcecode, den dürfen nur ausgewählte Personen einsehen.

Ein paar Zeilen drueber wird auf eine Zertifizierung bestimmter HOB-Produkte (welcher?) verwiesen, an der welcher [3] die NSA mitbeteiligt sei. Zur Erinnerung: Die NSA hatte unter anderem einen Zufallsgenerator mit wahrscheinlicher Backdoor [2] entwickelt und ihn mittels des NIST' als Standard erklaeren lassen. Das soll Vertrauen in HOB-Produkte schaffen? Wer sagt, dass die NSA nicht wissentlich kaputte Zertifizierungen ausstellt und fuer ihre eigene Hard- und Software die Backdoors halt wieder rauspatcht?

Gruss Cae

[1] http://www.hob.de/news/2014/news0814.jsp drittletzter Absatz
[2] https://www.schneier.com/essay-198.html
[3] Edit: Gemeint ist die Zertifizierung selbst (im Sinne von "Norm"), nicht die konkrete Pruefung (siehe auch weiter unten)

[MrGerardCruiz]

Mich regt ehrlich gesagt weniger die Anzeige an sich auf. Dass ist eine Firma die Geld verdienen will und eine Gelegenheit wittert die gute und kostenlose Open Source Konkurrenz zu diskreditieren. Dazu wird mit Halb- und Unwahrheiten gearbeitet, die sich möglw. nur einem fachlich interessierten Publikum erschließen.

Ich frage mich nur allen Ernstes wie es eine solche Anzeige - v.a. die persönlich angreifenden Passagen gegen einen Entwickler - in zwei namenhafte deutsche Zeitungen bringen konnten.

Ich für meinen Teil habe jedenfalls eine längere Mail an die ZEIT geschrieben. Als zahlender Kunde dieses Mediums ist das wohl das Mindeste was man machen kann um bei den Veranwortlichen ein Gefühl dafür zu wecken, dass nicht jede Werbeinannahme die Mittel rechtfertigt - auch wenn das zweifelsohne einfach so verhallt / im mit Open-Source Mitteln erstellten Kritik-Filter hängen bleibt.

Wo kommen wir denn da hin, wenn Werbung zum diffamieren konkurrierender Produkte UND Personen benutzt wird.

[feltel]

Bitte halt uns auf dem laufenden, ob und was die Zeit geantwortet hat.

[MrGerardCruiz]

Bitte halt uns auf dem laufenden, ob und was die Zeit geantwortet hat.

Ich erwarte zwar nur eine vor Phrasen strotzende Antwort wie "Wir nehmen ihre Hinweise sehr ernst" bla blubb blubb aber ich werde hier berichten.

[uname]

Vielleicht sollte die internationale Homepage aus Sicherheitsgründen mal aktualisiert werden. Die Serverinformationen mögen absichtlich gefälscht sein und somit nicht stimmen. Die Apache2- und openSSL-Versionen scheinen doch ziemlich alt zu sein. So lange wird doch kaum ein Betriebssystem supportet, oder? Vor allem sollte die Firma nicht auf OpenSource setzen, da es ja so unsicher ist. Vielleicht läuft aber auch dort im Hintergrund ein selbstprogrammierter Webserver und eine eigene SSL-Implementierung. Kann das jemand verlässlich prüfen?

https://www.ssllabs.com/ssltest/analyze ... obsoft.com

Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7k mod_jk/1.2.6 PHP/5.2.0

[dufty2]

Ein paar Zeilen drueber wird auf eine Zertifizierung bestimmter HOB-Produkte (welcher?) verwiesen, an der die NSA mitbeteiligt sei.

Bitte genau lesen, die NSA war nicht beteiligt an der Zertifizierung der HOB-Produkte (das war nämlich die BSI (denn die ist in Dtl. dafür zuständig), sondern die NSA war (lt. HOB) an der Entwicklung von CC selbst beteiligt.

Nur wenige Sicherheits-Komponenten schaffen die Zertifizierung nach Common Criteria EAL 4+.

Ja genau, wie Windows 2003 z. B.
Das sind dann so Server (!), die ohne jegliche Vernetzung (!) zertifiziert werden.
=> Alter Hut, alles Käse.

NIchtsdestotrotz wird hier jemanden viel zu viel Beachtung geschenkt.
IMHO ...

[Meillo]

Wieso wird denn so auf diesem Entwickler rumgehackt? Klar ist es doof, wenn es einen Fehler im Code hat, aber warum hackt man da auf dem Entwickler rum? Das ist doch Freie Software. Der Entwickler hat seinen Code, so wie er ist, der Menschheit geschenkt, und will dafuer nicht auch noch haften. Das ist doch gerade ein Kernpunkt all dieser Lizenzen: Keine Haftung.

Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.

[wanne]

Zum nutzereingaben validieren: http://www.hob.de/cgi-bin/htsearch?rest ... =700000000

[dufty2]

Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects

Microsoft die tun was! Und nicht diese HOBser

[Cae]

Klar ist es doof, wenn es einen Fehler im Code hat, aber warum hackt man da auf dem Entwickler rum?

Ein Punkt ist wohl "Schuster, bleib' bei deinen Leisten". Bei so sicherheitskritschem Zeug sollte man die Finger von lassen, sofern man nicht genau weiss, was man da tut. Ich hab' beispielsweise mal fuer cryptsetup einen Doku(!)-Bug aufgemacht, und davor trotzdem mehrere Tage ueberlegt, ob das nicht 'ne Nummer zu gross ist.

Ein weiterer Punkt ist, dass man nicht ausschliessen kann, dass der Heartbleed-Code eine Backdoor darstellt. Das laesst sich wohl weder beweisen noch entkraeften, bleibt aber eine bedeutende Anschuldigung, die es Kritikern wohl leichter macht, auf der Person herumzuhacken. Moeglicherweise zu Unrecht.

Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.

Das kann ich nur unterschreiben.

Gruss Cae

[storm]

Wieso wird denn so auf diesem Entwickler rumgehackt? Klar ist es doof, wenn es einen Fehler im Code hat, aber warum hackt man da auf dem Entwickler rum?

Er ist ursächlich dafür verantwortlich. Punkt. In seinem Code fehlen Zeichen grundsätzlicher Überlegungen zur sicheren Ausführung von Programmen, etwa die Prüfung der Parameter, die von außen kommen. Und: IMO hat ihn niemand gebeten oder gezwungen Code bei OpenSSL einzureichen.

Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.

Das ist richtig, die Prüfung durch Dritte ist quantitativ nie der Wichtigkeit der Software gerecht geworden. Aber armer Entwickler? Sicher nicht.

[ChoMar]

Er ist ursächlich dafür verantwortlich. Punkt. In seinem Code fehlen Zeichen grundsätzlicher Überlegungen zur sicheren Ausführung von Programmen, etwa die Prüfung der Parameter, die von außen kommen. Und: IMO hat ihn niemand gebeten oder gezwungen Code bei OpenSSL einzureichen.

Wenn ich Code schreibe, den ich irgend wie für nützlich halte, und ihn unentgeltlich veröffentliche, bin ich dann dafür verantwortlich wenn er benutzt wird und fehler enthält?
Ich würde mal sagen, eher nein. Ich veröffentliche den Code (und nicht ein fertiges Programm) ja, damit er weiterentwickelt, verbessert und korrigiert werden kann.

Und "Code einreichen" muss ja nicht unbedingt bedeuten, das der Code übernommen wird. Das Kernelteam hat da ziemlich hohe Ansprüche z.B., und trotzdem gibt es Bugs.

Heartbleed ist auch das erste mal, das ich so massiv höre, das der Entwickler für den Fehler verantwortlich ist.

Nehmen wir mal an, beim Kernelteam wäre Code eingereicht worden, der so "müllig" ist.
Nehmen wir an, dieser wäre im nächsten Kernelrelease.
Wäre der Codeschreiber schuld oder das Kernelteam?
Ganz ehrlich, ich würde eher sagen, das Kernelteam
Wenn ich jetzt ein paar zeilen Code schreibe, die mit 60% wahrscheinlichkeit Schreibzugriffe bei Festplatten beschleunigen, und mit 40% alle Daten auf der Festplatte löschen, und das ungeprüft im nächsten Kernelupdate landen würde, würde im Kernelteam wohl SO VIEL schieflaufen, das Linux nicht mehr existenzfähig wäre. Oder wäre das dann allen ernstes meine schuld, das ich nicht gut coden kann und es dennoch wage, meinen Code einzureichen?

So sehe ich das bei OpenSSL. SO VIELE große Projekte haben den offenbar zugemüllten, schlechten OpenSSL Code übernommen, ohne etwas zu merken? Und jetzt ist das OpenSSL team schuld? Bzw. ein Entwickler, der schlechten Code beim OpenSSL Team eingereicht hat? Erschließt sich mir nicht ganz.

Ich finde den Ansatz von BSD nicht schlecht, OpenSSL zu Forken und ein neues, schlankes, besseres und kompatibles SSL zu schaffen.

[storm]

Wenn ich Code schreibe, den ich irgend wie für nützlich halte, und ihn unentgeltlich veröffentliche, bin ich dann dafür verantwortlich wenn er benutzt wird und fehler enthält?
Ich würde mal sagen, eher nein. Ich veröffentliche den Code (und nicht ein fertiges Programm) ja, damit er weiterentwickelt, verbessert und korrigiert werden kann.

A) Verantwortlich für die Nutzung durch Andere? Sicher nicht.
B) Verantwortlichkeit für die Fehler im eigenen Code anerkennen? Na klar doch. [das hat der OpenSSL-Entwickler ja auch getan]

Natürlich ist es teilweise befremdlich und man schämt sich für die Tonart, mit der der/die Entwickler teilweise angegangen wurde. Aber mich verblüfft auch, welches geringe Niveau an Selbstanspruch (Anspruch an den eigenen Code) manche an den Tag legen. Zur Verdeutlichung: der Reviewer des Patches, der das heartbeat-Feature in OpenSSL eingebracht hat, schaute sich den Code IIRC in der Neujahrsnacht 1:00 Uhr morgens an. Wo soll denn da die Weiterentwicklung oder Verbesserung des ursprünglichen Codes herkommen?

[AndreK]

Hallo Kritiker!

Ist hier irgend jemand auf dem Niveau so was wie OpenSSL programmieren zu können?

Würd mich mal interessieren - bei der Kritik!

So wie es aussieht haben Millionen den Code übernommen von denen sicherlich einige mehr als $500 die Stunde verdienen.

Was die ZEIT betrifft, die leben doch ganz gut von und mit OpenSource. Das kann niemand von BILD behaupten.

[Meillo]

Ist hier irgend jemand auf dem Niveau so was wie OpenSSL programmieren zu können?

Ohne Fehler?

Niemand kann Code ohne Fehler schreiben! -- Auf dieser Erkenntnis basiert die Open Source-Bewegung. (Vgl. Linus' Law: http://en.wikipedia.org/wiki/Linus%27_Law) Insofern ist OpenSSL fuer mich eine Realisierung der best-moeglichen Welt.

[inne]

Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.

Das ist richtig, die Prüfung durch Dritte ist quantitativ nie der Wichtigkeit der Software gerecht geworden. Aber armer Entwickler? Sicher nicht.

Kannst du das weiter Ausführen? Ich verstehe den Gedanken nicht.
Um OpenSSL scheint sich ja keine Firma (kommerziell) wirklich gekümmert zu haben, und die Community hat ihr Ding gemacht. Wurde gebraucht, schien zu funktioneiren – Gut. In diesen Zeiten hat ein solcher Fehler nachtürlich auch ein bitteren Beigeschmack.
Oder ist das falsch verstanden von mir? So wie ich gelesen habe ist der Kern bei OpenSSL Community-Arbeit.

Er ist ursächlich dafür verantwortlich. Punkt. In seinem Code fehlen Zeichen grundsätzlicher Überlegungen zur sicheren Ausführung von Programmen, etwa die Prüfung der Parameter, die von außen kommen. Und: IMO hat ihn niemand gebeten oder gezwungen Code bei OpenSSL einzureichen.

Wenn ich Code schreibe, den ich irgend wie für nützlich halte, und ihn unentgeltlich veröffentliche, bin ich dann dafür verantwortlich wenn er benutzt wird und fehler enthält?
Ich würde mal sagen, eher nein. Ich veröffentliche den Code (und nicht ein fertiges Programm) ja, damit er weiterentwickelt, verbessert und korrigiert werden kann.

Dito. Das bissen Code was ich auf Github habe und das andere bissen was ich noch veröffentlichen könnte. Das ist eher so zu verstehen als wenn jemand seine selbst gezogenen, grössten Peperoni der Welt ins Fenster stellt. Was nicht heissen soll das man sich nicht darum kümmert.

So wie es aussieht haben Millionen den Code übernommen von denen sicherlich einige mehr als $500 die Stunde verdienen.

Anscheinend aber nicht für das Review von OpenSSL. Dort fehlt es wohl an Vollzeit-Programmierern.

Was Open Source Wert ist, kann man ja nun beziffern.

[DeletedUserReAsG]

Niemand kann Code ohne Fehler schreiben!

Ja. „Hello world“ in Perfektion.


scnr

[guennid]

@storm

+1

Es gibt noch Hoffnung auf vernunftgeleitete Argumentation!

Entwickeln kann jeder, was er will (sofern er kann ). Wenn ich mein Produkt veröffentliche, bin ich (mit)verantwortlich, für das, was damit passiert. Niemand zwingt mich, es zu veröffentlichen. Ich empfehle die Lektüre von Dürrenmatts "Physikern".

Grüße, Günther