Werbeanzeige in der Zeit bez. openSSL
- MrGerardCruiz
- Beiträge: 905
- Registriert: 21.08.2013 12:19:35
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Werbeanzeige in der Zeit bez. openSSL
Hallo,
ich weiß nicht wer hier die ZEIT am Donnerstag auf den Frühstückstisch bekommt, aber ich wollte mal auf etwas aufmerksam machen.
Im Politikteil ist eine ganzseitige Werbeanzeige (ich könnte sie als Anhang hochladen, weiß aber nicht ob das legal ist)
In dieser Anzeige finden sich u.a. Sätze wie:
"Der betreffende Entwickler hat diesen (einfachen) Grundsatz nicht beachtet. Also ist der betreffende Entwickler nicht übermäßig intelligent und hat auch nicht die notwendigen Grundkenntnisse."
und
"Solche Open-Source-Entwickler sind oft erst 17 Jahre alt"
Danach beginnen Tiraden gegen Qualität und Sicherheit von Open Source um am Schluss auf eine kommerzielle Alternative zu openSSL zu verweisen.
Viele hier im Forum haben sicherlich durch den openSSL-Bug eine Menge zusätzlicher Arbeit gehabt aber so eine Anzeige kann eine große deutsche Wochenzeitung doch nicht aufnehmen. Das ist meiner Meinung hart an der Grenze zur Beleidigung. Was meint ihr dazu?
ich weiß nicht wer hier die ZEIT am Donnerstag auf den Frühstückstisch bekommt, aber ich wollte mal auf etwas aufmerksam machen.
Im Politikteil ist eine ganzseitige Werbeanzeige (ich könnte sie als Anhang hochladen, weiß aber nicht ob das legal ist)
In dieser Anzeige finden sich u.a. Sätze wie:
"Der betreffende Entwickler hat diesen (einfachen) Grundsatz nicht beachtet. Also ist der betreffende Entwickler nicht übermäßig intelligent und hat auch nicht die notwendigen Grundkenntnisse."
und
"Solche Open-Source-Entwickler sind oft erst 17 Jahre alt"
Danach beginnen Tiraden gegen Qualität und Sicherheit von Open Source um am Schluss auf eine kommerzielle Alternative zu openSSL zu verweisen.
Viele hier im Forum haben sicherlich durch den openSSL-Bug eine Menge zusätzlicher Arbeit gehabt aber so eine Anzeige kann eine große deutsche Wochenzeitung doch nicht aufnehmen. Das ist meiner Meinung hart an der Grenze zur Beleidigung. Was meint ihr dazu?
http://www.curius.de - Ein paar pragmatische Gedanken zu Linux, KDE und Datenschutz
- Teddybear
- Beiträge: 3163
- Registriert: 07.05.2005 13:52:55
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Altomünster
-
Kontaktdaten:
Re: Werbeanzeige in der Zeit bez. openSSL
Kann es sein, das du diesen Text meinst?
http://www.hob.de/news/2014/news0814.jsp
http://www.hob.de/news/2014/news0814.jsp
Versuchungen sollte man nachgeben. Wer weiß, ob sie wiederkommen!
Oscar Wilde
Mod-Voice / My Voice
Oscar Wilde
Mod-Voice / My Voice
Re: Werbeanzeige in der Zeit bez. openSSL
"Die Zeit" arbeitet ( noch? ("31. Dezember 1899 01:00 Uhr"?) ) mit open-source
http://www.zeit.de/2002/49/ZEIT-Online
http://www.zeit.de/2002/49/ZEIT-Online
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
- stollenreiter
- Beiträge: 402
- Registriert: 10.08.2004 16:30:47
- Wohnort: Bremen
Re: Werbeanzeige in der Zeit bez. openSSL
Na ja, was soll man dazu sagen.
Vielleicht schreibt Herr Ganten (Open Source Business Alliance OSBA) was dazu.
Zumindest ist es schon eine Frechheit erster Kajüte, was sich der Herr Brandstätter da erlaubt hat.
Vielleicht schreibt Herr Ganten (Open Source Business Alliance OSBA) was dazu.
Zumindest ist es schon eine Frechheit erster Kajüte, was sich der Herr Brandstätter da erlaubt hat.
- MrGerardCruiz
- Beiträge: 905
- Registriert: 21.08.2013 12:19:35
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Re: Werbeanzeige in der Zeit bez. openSSL
Ja genau.Teddybear hat geschrieben:Kann es sein, das du diesen Text meinst?
http://www.hob.de/news/2014/news0814.jsp
Als Abonnent der ZEIT werde ich heute mal eine kleine Mail schreiben. Sowas muss man als zahlender Leser (der nicht nur online konsumiert) echt nicht hinnehmen.
http://www.curius.de - Ein paar pragmatische Gedanken zu Linux, KDE und Datenschutz
- feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Werbeanzeige in der Zeit bez. openSSL
Außer fällt mir eigentlich nichts dazu ein. Beim lesen mancher Sätze zweifle ich ob das wirklich ernst gemeint ist....
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: Werbeanzeige in der Zeit bez. openSSL
Ich empfinde diese Anzeige der Firma HOB als eine Frechheit. Es mag sein, dass der Autor des Heartbeat-Codes zu diesem Zeitpunkt nicht ausreichend Programmiererfahrung hatte, aber die Bezeichnung "ist [...] nicht uebermaessig intelligent" ist definitiv fehl am Platz. Zumal der komplette Satz im Praesens ist, die Aussage entspricht also "er ist [immer noch] dumm" anstatt "er hatte etwas Dummes getan".
Weiter unten wird der Eindruck erweckt, Open Source sei nachteilhaft, weil jedermann den Quellcode lesen kann. Fuer mich ist offener Code die einzige Garantie, dass der Hersteller keine Backdoors eingebaut hat. Nur so kann er unabhaengig von jedermann geprueft werden. Die Firma HOB verweigert diese Moeglichkeit ganz grundsaetzlich:
Gruss Cae
[1] http://www.hob.de/news/2014/news0814.jsp drittletzter Absatz
[2] https://www.schneier.com/essay-198.html
[3] Edit: Gemeint ist die Zertifizierung selbst (im Sinne von "Norm"), nicht die konkrete Pruefung (siehe auch weiter unten)
Das sehe ich auch so. Wenn ich die betroffene Person waere, wuerde ich die Firma HOB bzw. den Verantwortlichen wegen uebler Nachrede anzeigen. Im Zweifelsfall allein des Medienechos wegen.MrGerardCruiz hat geschrieben:Das ist meiner Meinung hart an der Grenze zur Beleidigung.
Weiter unten wird der Eindruck erweckt, Open Source sei nachteilhaft, weil jedermann den Quellcode lesen kann. Fuer mich ist offener Code die einzige Garantie, dass der Hersteller keine Backdoors eingebaut hat. Nur so kann er unabhaengig von jedermann geprueft werden. Die Firma HOB verweigert diese Moeglichkeit ganz grundsaetzlich:
Ein paar Zeilen drueber wird auf eine Zertifizierung bestimmter HOB-Produkte (welcher?) verwiesen, an der welcher [3] die NSA mitbeteiligt sei. Zur Erinnerung: Die NSA hatte unter anderem einen Zufallsgenerator mit wahrscheinlicher Backdoor [2] entwickelt und ihn mittels des NIST' als Standard erklaeren lassen. Das soll Vertrauen in HOB-Produkte schaffen? Wer sagt, dass die NSA nicht wissentlich kaputte Zertifizierungen ausstellt und fuer ihre eigene Hard- und Software die Backdoors halt wieder rauspatcht?[1] hat geschrieben:Erst recht der Sourcecode, den dürfen nur ausgewählte Personen einsehen.
Gruss Cae
[1] http://www.hob.de/news/2014/news0814.jsp drittletzter Absatz
[2] https://www.schneier.com/essay-198.html
[3] Edit: Gemeint ist die Zertifizierung selbst (im Sinne von "Norm"), nicht die konkrete Pruefung (siehe auch weiter unten)
Zuletzt geändert von Cae am 24.04.2014 19:56:12, insgesamt 1-mal geändert.
Grund: .
Grund: .
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
- MrGerardCruiz
- Beiträge: 905
- Registriert: 21.08.2013 12:19:35
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Re: Werbeanzeige in der Zeit bez. openSSL
Mich regt ehrlich gesagt weniger die Anzeige an sich auf. Dass ist eine Firma die Geld verdienen will und eine Gelegenheit wittert die gute und kostenlose Open Source Konkurrenz zu diskreditieren. Dazu wird mit Halb- und Unwahrheiten gearbeitet, die sich möglw. nur einem fachlich interessierten Publikum erschließen.
Ich frage mich nur allen Ernstes wie es eine solche Anzeige - v.a. die persönlich angreifenden Passagen gegen einen Entwickler - in zwei namenhafte deutsche Zeitungen bringen konnten.
Ich für meinen Teil habe jedenfalls eine längere Mail an die ZEIT geschrieben. Als zahlender Kunde dieses Mediums ist das wohl das Mindeste was man machen kann um bei den Veranwortlichen ein Gefühl dafür zu wecken, dass nicht jede Werbeinannahme die Mittel rechtfertigt - auch wenn das zweifelsohne einfach so verhallt / im mit Open-Source Mitteln erstellten Kritik-Filter hängen bleibt.
Wo kommen wir denn da hin, wenn Werbung zum diffamieren konkurrierender Produkte UND Personen benutzt wird.
Ich frage mich nur allen Ernstes wie es eine solche Anzeige - v.a. die persönlich angreifenden Passagen gegen einen Entwickler - in zwei namenhafte deutsche Zeitungen bringen konnten.
Ich für meinen Teil habe jedenfalls eine längere Mail an die ZEIT geschrieben. Als zahlender Kunde dieses Mediums ist das wohl das Mindeste was man machen kann um bei den Veranwortlichen ein Gefühl dafür zu wecken, dass nicht jede Werbeinannahme die Mittel rechtfertigt - auch wenn das zweifelsohne einfach so verhallt / im mit Open-Source Mitteln erstellten Kritik-Filter hängen bleibt.
Wo kommen wir denn da hin, wenn Werbung zum diffamieren konkurrierender Produkte UND Personen benutzt wird.
http://www.curius.de - Ein paar pragmatische Gedanken zu Linux, KDE und Datenschutz
- feltel
- Webmaster
- Beiträge: 10368
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Werbeanzeige in der Zeit bez. openSSL
Bitte halt uns auf dem laufenden, ob und was die Zeit geantwortet hat.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- MrGerardCruiz
- Beiträge: 905
- Registriert: 21.08.2013 12:19:35
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Re: Werbeanzeige in der Zeit bez. openSSL
Ich erwarte zwar nur eine vor Phrasen strotzende Antwort wie "Wir nehmen ihre Hinweise sehr ernst" bla blubb blubb aber ich werde hier berichten.feltel hat geschrieben:Bitte halt uns auf dem laufenden, ob und was die Zeit geantwortet hat.
http://www.curius.de - Ein paar pragmatische Gedanken zu Linux, KDE und Datenschutz
Re: Werbeanzeige in der Zeit bez. openSSL
Vielleicht sollte die internationale Homepage aus Sicherheitsgründen mal aktualisiert werden. Die Serverinformationen mögen absichtlich gefälscht sein und somit nicht stimmen. Die Apache2- und openSSL-Versionen scheinen doch ziemlich alt zu sein. So lange wird doch kaum ein Betriebssystem supportet, oder? Vor allem sollte die Firma nicht auf OpenSource setzen, da es ja so unsicher ist. Vielleicht läuft aber auch dort im Hintergrund ein selbstprogrammierter Webserver und eine eigene SSL-Implementierung. Kann das jemand verlässlich prüfen?
https://www.ssllabs.com/ssltest/analyze ... obsoft.com
Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7k mod_jk/1.2.6 PHP/5.2.0
https://www.ssllabs.com/ssltest/analyze ... obsoft.com
Apache/2.0.52 (Unix) mod_ssl/2.0.52 OpenSSL/0.9.7k mod_jk/1.2.6 PHP/5.2.0
Re: Werbeanzeige in der Zeit bez. openSSL
Bitte genau lesen, die NSA war nicht beteiligt an der Zertifizierung der HOB-Produkte (das war nämlich die BSI (denn die ist in Dtl. dafür zuständig), sondern die NSA war (lt. HOB) an der Entwicklung von CC selbst beteiligt.Cae hat geschrieben: Ein paar Zeilen drueber wird auf eine Zertifizierung bestimmter HOB-Produkte (welcher?) verwiesen, an der die NSA mitbeteiligt sei.
Ja genau, wie Windows 2003 z. B.HOB hat geschrieben: Nur wenige Sicherheits-Komponenten schaffen die Zertifizierung nach Common Criteria EAL 4+.
Das sind dann so Server (!), die ohne jegliche Vernetzung (!) zertifiziert werden.
=> Alter Hut, alles Käse.
NIchtsdestotrotz wird hier jemanden viel zu viel Beachtung geschenkt.
IMHO ...
Re: Werbeanzeige in der Zeit bez. openSSL
Wieso wird denn so auf diesem Entwickler rumgehackt? Klar ist es doof, wenn es einen Fehler im Code hat, aber warum hackt man da auf dem Entwickler rum? Das ist doch Freie Software. Der Entwickler hat seinen Code, so wie er ist, der Menschheit geschenkt, und will dafuer nicht auch noch haften. Das ist doch gerade ein Kernpunkt all dieser Lizenzen: Keine Haftung.
Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.
Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.
Use ed once in a while!
Re: Werbeanzeige in der Zeit bez. openSSL
Zum nutzereingaben validieren: http://www.hob.de/cgi-bin/htsearch?rest ... =700000000
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Werbeanzeige in der Zeit bez. openSSL
Microsoft die tun was! Und nicht diese HOBserhttp://www.linuxfoundation.org hat geschrieben: Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware and The Linux Foundation Form New Initiative to Support Critical Open Source Projects
Re: Werbeanzeige in der Zeit bez. openSSL
Ein Punkt ist wohl "Schuster, bleib' bei deinen Leisten". Bei so sicherheitskritschem Zeug sollte man die Finger von lassen, sofern man nicht genau weiss, was man da tut. Ich hab' beispielsweise mal fuer cryptsetup einen Doku(!)-Bug aufgemacht, und davor trotzdem mehrere Tage ueberlegt, ob das nicht 'ne Nummer zu gross ist.Meillo hat geschrieben:Klar ist es doof, wenn es einen Fehler im Code hat, aber warum hackt man da auf dem Entwickler rum?
Ein weiterer Punkt ist, dass man nicht ausschliessen kann, dass der Heartbleed-Code eine Backdoor darstellt. Das laesst sich wohl weder beweisen noch entkraeften, bleibt aber eine bedeutende Anschuldigung, die es Kritikern wohl leichter macht, auf der Person herumzuhacken. Moeglicherweise zu Unrecht.
Das kann ich nur unterschreiben.Meillo hat geschrieben:Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
-
- Beiträge: 1581
- Registriert: 01.05.2004 13:21:26
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DE
Re: Werbeanzeige in der Zeit bez. openSSL
Er ist ursächlich dafür verantwortlich. Punkt. In seinem Code fehlen Zeichen grundsätzlicher Überlegungen zur sicheren Ausführung von Programmen, etwa die Prüfung der Parameter, die von außen kommen. Und: IMO hat ihn niemand gebeten oder gezwungen Code bei OpenSSL einzureichen.Meillo hat geschrieben:Wieso wird denn so auf diesem Entwickler rumgehackt? Klar ist es doof, wenn es einen Fehler im Code hat, aber warum hackt man da auf dem Entwickler rum?
Das ist richtig, die Prüfung durch Dritte ist quantitativ nie der Wichtigkeit der Software gerecht geworden. Aber armer Entwickler? Sicher nicht.Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.
drivers/ata/libata-core.c: /* devices which puke on READ_NATIVE_MAX */
Re: Werbeanzeige in der Zeit bez. openSSL
Wenn ich Code schreibe, den ich irgend wie für nützlich halte, und ihn unentgeltlich veröffentliche, bin ich dann dafür verantwortlich wenn er benutzt wird und fehler enthält?Er ist ursächlich dafür verantwortlich. Punkt. In seinem Code fehlen Zeichen grundsätzlicher Überlegungen zur sicheren Ausführung von Programmen, etwa die Prüfung der Parameter, die von außen kommen. Und: IMO hat ihn niemand gebeten oder gezwungen Code bei OpenSSL einzureichen.
Ich würde mal sagen, eher nein. Ich veröffentliche den Code (und nicht ein fertiges Programm) ja, damit er weiterentwickelt, verbessert und korrigiert werden kann.
Und "Code einreichen" muss ja nicht unbedingt bedeuten, das der Code übernommen wird. Das Kernelteam hat da ziemlich hohe Ansprüche z.B., und trotzdem gibt es Bugs.
Heartbleed ist auch das erste mal, das ich so massiv höre, das der Entwickler für den Fehler verantwortlich ist.
Nehmen wir mal an, beim Kernelteam wäre Code eingereicht worden, der so "müllig" ist.
Nehmen wir an, dieser wäre im nächsten Kernelrelease.
Wäre der Codeschreiber schuld oder das Kernelteam?
Ganz ehrlich, ich würde eher sagen, das Kernelteam
Wenn ich jetzt ein paar zeilen Code schreibe, die mit 60% wahrscheinlichkeit Schreibzugriffe bei Festplatten beschleunigen, und mit 40% alle Daten auf der Festplatte löschen, und das ungeprüft im nächsten Kernelupdate landen würde, würde im Kernelteam wohl SO VIEL schieflaufen, das Linux nicht mehr existenzfähig wäre. Oder wäre das dann allen ernstes meine schuld, das ich nicht gut coden kann und es dennoch wage, meinen Code einzureichen?
So sehe ich das bei OpenSSL. SO VIELE große Projekte haben den offenbar zugemüllten, schlechten OpenSSL Code übernommen, ohne etwas zu merken? Und jetzt ist das OpenSSL team schuld? Bzw. ein Entwickler, der schlechten Code beim OpenSSL Team eingereicht hat? Erschließt sich mir nicht ganz.
Ich finde den Ansatz von BSD nicht schlecht, OpenSSL zu Forken und ein neues, schlankes, besseres und kompatibles SSL zu schaffen.
Linux und Windows laufen bei mir zusammen. Ich zocke halt gerne.
-
- Beiträge: 1581
- Registriert: 01.05.2004 13:21:26
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: DE
Re: Werbeanzeige in der Zeit bez. openSSL
A) Verantwortlich für die Nutzung durch Andere? Sicher nicht.ChoMar hat geschrieben:Wenn ich Code schreibe, den ich irgend wie für nützlich halte, und ihn unentgeltlich veröffentliche, bin ich dann dafür verantwortlich wenn er benutzt wird und fehler enthält?
Ich würde mal sagen, eher nein. Ich veröffentliche den Code (und nicht ein fertiges Programm) ja, damit er weiterentwickelt, verbessert und korrigiert werden kann.
B) Verantwortlichkeit für die Fehler im eigenen Code anerkennen? Na klar doch. [das hat der OpenSSL-Entwickler ja auch getan]
Natürlich ist es teilweise befremdlich und man schämt sich für die Tonart, mit der der/die Entwickler teilweise angegangen wurde. Aber mich verblüfft auch, welches geringe Niveau an Selbstanspruch (Anspruch an den eigenen Code) manche an den Tag legen. Zur Verdeutlichung: der Reviewer des Patches, der das heartbeat-Feature in OpenSSL eingebracht hat, schaute sich den Code IIRC in der Neujahrsnacht 1:00 Uhr morgens an. Wo soll denn da die Weiterentwicklung oder Verbesserung des ursprünglichen Codes herkommen?
drivers/ata/libata-core.c: /* devices which puke on READ_NATIVE_MAX */
Re: Werbeanzeige in der Zeit bez. openSSL
Hallo Kritiker!
Ist hier irgend jemand auf dem Niveau so was wie OpenSSL programmieren zu können?
Würd mich mal interessieren - bei der Kritik!
So wie es aussieht haben Millionen den Code übernommen von denen sicherlich einige mehr als $500 die Stunde verdienen.
Was die ZEIT betrifft, die leben doch ganz gut von und mit OpenSource. Das kann niemand von BILD behaupten.
Ist hier irgend jemand auf dem Niveau so was wie OpenSSL programmieren zu können?
Würd mich mal interessieren - bei der Kritik!
So wie es aussieht haben Millionen den Code übernommen von denen sicherlich einige mehr als $500 die Stunde verdienen.
Was die ZEIT betrifft, die leben doch ganz gut von und mit OpenSource. Das kann niemand von BILD behaupten.
Re: Werbeanzeige in der Zeit bez. openSSL
Ohne Fehler?AndreK hat geschrieben: Ist hier irgend jemand auf dem Niveau so was wie OpenSSL programmieren zu können?
Niemand kann Code ohne Fehler schreiben! -- Auf dieser Erkenntnis basiert die Open Source-Bewegung. (Vgl. Linus' Law: http://en.wikipedia.org/wiki/Linus%27_Law) Insofern ist OpenSSL fuer mich eine Realisierung der best-moeglichen Welt.
Use ed once in a while!
-
- Beiträge: 3281
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: Werbeanzeige in der Zeit bez. openSSL
Kannst du das weiter Ausführen? Ich verstehe den Gedanken nicht.storm hat geschrieben:Das ist richtig, die Prüfung durch Dritte ist quantitativ nie der Wichtigkeit der Software gerecht geworden. Aber armer Entwickler? Sicher nicht.Und ueberhaupt, warum hackt man denn nicht auf all den anderen Entwicklern rum, die den Code nicht geprueft haben? Oder auf all den Nutzern die blind vertraut haben und sich jetzt unberechtigt beklagen? Da sollte man ansetzen, nicht aber bei dem armen Entwickler der sicher schon genug leidet.
Um OpenSSL scheint sich ja keine Firma (kommerziell) wirklich gekümmert zu haben, und die Community hat ihr Ding gemacht. Wurde gebraucht, schien zu funktioneiren – Gut. In diesen Zeiten hat ein solcher Fehler nachtürlich auch ein bitteren Beigeschmack.
Oder ist das falsch verstanden von mir? So wie ich gelesen habe ist der Kern bei OpenSSL Community-Arbeit.
Dito. Das bissen Code was ich auf Github habe und das andere bissen was ich noch veröffentlichen könnte. Das ist eher so zu verstehen als wenn jemand seine selbst gezogenen, grössten Peperoni der Welt ins Fenster stellt. Was nicht heissen soll das man sich nicht darum kümmert.ChoMar hat geschrieben:Wenn ich Code schreibe, den ich irgend wie für nützlich halte, und ihn unentgeltlich veröffentliche, bin ich dann dafür verantwortlich wenn er benutzt wird und fehler enthält?Er ist ursächlich dafür verantwortlich. Punkt. In seinem Code fehlen Zeichen grundsätzlicher Überlegungen zur sicheren Ausführung von Programmen, etwa die Prüfung der Parameter, die von außen kommen. Und: IMO hat ihn niemand gebeten oder gezwungen Code bei OpenSSL einzureichen.
Ich würde mal sagen, eher nein. Ich veröffentliche den Code (und nicht ein fertiges Programm) ja, damit er weiterentwickelt, verbessert und korrigiert werden kann.
Anscheinend aber nicht für das Review von OpenSSL. Dort fehlt es wohl an Vollzeit-Programmierern.AndreK hat geschrieben: So wie es aussieht haben Millionen den Code übernommen von denen sicherlich einige mehr als $500 die Stunde verdienen.
Was Open Source Wert ist, kann man ja nun beziffern.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: Werbeanzeige in der Zeit bez. openSSL
Ja. „Hello world“ in Perfektion.Niemand kann Code ohne Fehler schreiben!
scnr
Re: Werbeanzeige in der Zeit bez. openSSL
@storm
+1
Es gibt noch Hoffnung auf vernunftgeleitete Argumentation!
Entwickeln kann jeder, was er will (sofern er kann ). Wenn ich mein Produkt veröffentliche, bin ich (mit)verantwortlich, für das, was damit passiert. Niemand zwingt mich, es zu veröffentlichen. Ich empfehle die Lektüre von Dürrenmatts "Physikern".
Grüße, Günther
+1
Es gibt noch Hoffnung auf vernunftgeleitete Argumentation!
Entwickeln kann jeder, was er will (sofern er kann ). Wenn ich mein Produkt veröffentliche, bin ich (mit)verantwortlich, für das, was damit passiert. Niemand zwingt mich, es zu veröffentlichen. Ich empfehle die Lektüre von Dürrenmatts "Physikern".
Grüße, Günther