[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [InetBib] Inetbib Nachrichtensammlung, Band 1364, Eintrag 1
- Date: Mon, 2 Nov 2009 19:53:53 +0100
- From: Stephan Rosenke <stephan@xxxxxxxxxxxxxxx>
- Subject: Re: [InetBib] Inetbib Nachrichtensammlung, Band 1364, Eintrag 1
On Monday 02 Nov 2009, Ruth von dem Bussche wrote:
die Generalkritik an Open Source sollte so nicht stehen bleiben. Das
Problem ist nicht nur eines der eingesetzten Version der Software.
Typo3 und besonders PHP sind generell sehr viel stärker gefährdet als
andere Open Source Content Management Systeme:
Nun ja: Sicherheit ist ein Prozess und kein einmalig erreichbarer Zustand -
nur weil keine Schwachstellen bekannt sind, ist Software nicht frei von
solchen. Deswegen auch die Frage nach den Versionen: diese ermöglichen
zumindest zu sehen, ob nicht sowieso schon Sicherheitslücken bekannt waren,
die Software also erwiesen unsicher war.
http://rheinland.worldploneday.de/2009/vortraege/WorldPloneDay2009.pdf
siehe daszu die Folien 20 und 21
Aus weniger CVE-Meldungen mehr Sicherheit zu folgern, ist verwegen: zu viele
Unwägbarkeiten können einen Äpfel mit Birnen vergleichen lassen. Angefangen
bei der Größe der Community, die sich mit Sicherheitsfragen bei der konkreten
Software befasst, bis hin zum community-internen Umgang mit Bugs.
Aussagekräftigere Vergleiche bietet die Zeitdauer bis zur Behebung kritischer
Schwachstellen nach Bekanntwerden.
Und ganz grundlegend: es handelt sich um einen Beitrag bei einem World Plone
Day von einem Menschen, der der Plone-Community nahe steht. Es wäre sehr
verwunderlich, wenn da nicht Zahlen und Statistiken zur Verwendung kämen, die
Plone "besser" - was das auch immer heißen mag - als die Konkurrenz da stehen
ließen.
Die Schwachstellen von PHP holen Sie sich aber natürlich auch mit
jeder kommerziellen PHP-Software ins Haus. Das hat also nichts mit
Open Source zu tun.
Sicherheit und Qualität von Software lässt sich nicht an der verwendeten
Sprache festmachen (konkret PHP vs. Python): Der Vorteil bei Free/Open Source
Software ist aber ja gerade, den Quellcode einsehen, diesen qualitativ
einordnen und u.U. verbessern bzw. dies einem Dienstleister übertragen zu
können.
--
Beste Grüße
Stephan Rosenke
--
http://www.inetbib.de
Listeninformationen unter http://www.inetbib.de.