*zucht* het is weer flame-day bij Microsoft..
Ik heb het artikel even door gelezen, en het gaat weer eens nergens over..
Er wordt volgens Microsoft nauwelijks gekeken naar veiligheidsproblemen in deze software. "Het controleren van miljoenen regels code is oersaai, neemt veel tijd in beslag en is moeilijk", zegt Steve Lipner, manager van het Microsoft Security Response Center. Als vrijwilligers de controle doen, is er geen garantie dat het product veilig is.
Voor hun is het misschien oersaai maar echte hackers (en dan bedoel ik niet inbrekers, maar hetgeen dat het woord echt betekent) hebben er hun hobby van gemaakt te zoeken naar beveiligingsfouten. Dat gaat het beste via de source-code dus in de source-code pluizen is dan ook een veelgebruikte methode om fouten aan het licht te brengen.
Dat het veel tijd in beslag neemt maakt niet veel uit, want mensen steken veel tijd in hun hobby en idealisme, bovendien zijn er duizenden mensen mee bezig en vele handen maken licht werk.
Dat het moeilijk is, maakt ook niets uit, want juist bij hobby-isten ligt de kennis.
Bovendien zijn er ook "professionele" bedrijven die zich met open source bezig houden, dus om meteen alles te gaan beschouwen als "vrijwilliger" slaat helemaal nergens op.
Lipner deed zijn uitspraak op de RSA Conference in San Francisco. "Zomaar ergens de broncode van een programma publiceren met de mededeling 'hier is het en ga maar controleren', levert absoluut niet de garantie op dat de controle goed gebeurt en dat belangrijke veiligheidsproblemen uit de software gehaald worden", zegt Lipner tegen SecurityFocus.
Ze doen het ook niet met de mededeling "hier ga maar controleren", maar om hele andere redenen. UIt deze uitmerking wordt het al duidelijk dat Microsoft er echt niks van snapt.
Zeer veel open source programma's worden uitgegeven onder de GNU licentie. Op
http://www.gnu.org staat te lezen wat het precies inhoudt.
Kort gezegd zijn er 4 basisrechten voor GNU-software:
1. Je mag het onbeperkt gebruiken voor ieder doel
2. Je mag het doorgeven
3. Je mag het bestuderen
4. Je mag het wijzigen naar eigen behoefte en evt. zelfs opnieuw uitgeven
Voor de fundamentele punten 3 en 4 is het hebben van de sourcecode een absolute vereiste. Toch hebben deze punten niets te maken met "hier ga meer controleren".
De garantie dat de belangrijke veiligheidsproblemen er uit gehaald worden is er niet, maar dit geldt net zo goed voor Micorosft. Ook hun personeel kan fouten over het hoofd zien, omdat dat nou eenmaal menselijk is
In zijn ogen heeft juist de producent van closed source-software aandacht voor het programma en steekt daar genoeg tijd, geld en manschappen in om belangrijke problemen boven water te halen en op te lossen.
Manschappen...hmm dan is Bill Gates zeker de maarschalk.
Aan open source werken duizenden mensen, dus soldaten genoeg.
Geld is dan minder nodig, want de meeste mensen zijn "vrijwilligers", hobbyisten
Tijd: Zoals ik eerder al zei vele handen maken licht werk en die "vrijwilligers" zijn wel bereid daar tijd in te steken.
Patches
Volgens hem zijn netwerkbeheerders beter af wanneer ze hun kostbare tijd besteden aan het controleren van logbestanden en het installeren van patches dan aan het doorlopen van de broncode op zoek naar veiligheidsproblemen.
Dat is ook helemaal waar!
Wie zegt trouwens dat netwerkbeheerders de broncode doorlopen?
Netwerkbeheerders van open source software die installeren over het algemeen ook gewoon patches en nieuwe versies van software.
Microsoft denkt zeker dat we nog in de tijd leven dat je open source software met de hand moest herschrijven om het te laten draaien op je systeem... open source is anno 2001 toch wel wat verder gerijpt.
Voor een normale netwerkbeheerder hoeft het verschil tussen open source software en gesloten software niet merkbaar te zijn. Of je nou "setup" draait of "./configure, make, make install" doet, het komt beide op hetzelfde neer.
Lipner gaf op de conferentie toe dat Microsoft-software ook de nodige problemen met zich meebrengt. Maar volgens hem moet niet vergeten worden dat open source-software ook zijn problemen kent. Hij sprak zijn 'bezorgdheid' uit over de recente veiligheidsproblemen die opgedoken zijn in Unix-software als BIND en WU-FTP.
Tja het blijft mensen werk en zelfs in de beste software zitten fouten.
Het is wel zo dat voor open source software razendsnel na bekend wording van zo'n probleem razend snel een patch verschijnt, over het algemeen sneller als bij Microsoft software.
Als Microsoft begint over BIND en WU-FTP dan moeten ze ook beginnen over bv. Exchange server of MS Information server (balken en splinters, potten en ketels)
"Mensen vragen zich wel eens af waarom het zo lang duurt voordat Microsoft een patch voor een probleem op de markt brengt. Dat heeft alles te maken met het feit dat wij de software door en door testen."
Heel nobel van hun..maar ditzelfde geldt voor Unix.
Alleen daar gaat het testen wat sneller, omdat dit meteen door duizenden (miljoenen misschien wel) gebruikers wordt gedaan. De gebruikers worden erbij betrokken en dat schept ook het nodige vertrouwen. En dan hoeft dit niet eens te betekenen dat Jan met de Pet er meteen mee wordt geconfronteert: Het is in de open source wereld vaak zo dat je een stable-release hebt voor beginners en produktie-machines, en een unstable-release voor experts, ontwikkelaars en mensen die graag het nieuwste willen uitproberen.
Misbruik
Bovendien zitten er volgens hem nog andere gevaren aan het openbaar maken van de broncode. "Aangezien iedereen de broncode kan inkijken, kunnen 'aanvallers' cruciale veiligheidsgaten vinden die anderen gemist hebben. Daar kan misbruik van gemaakt worden."
Klopt
Maar daar weegt tegenover dat veel meer mensen fouten zoeken in de broncode met goede bedoelingen (de échte hackers, die geen inbrekers zijn, maar verbeteraars)
Het is niet de eerste keer dat Microsoft de aanval opent op de open source-beweging. Eeder dit jaar sprak Steve Ballmer, topman van Microsoft, zich al negatief uit over open source. Met name Linux vormt volgens hem een grote bedreiging voor Microsoft. Gratis software is nog niet volwassen en heeft volgens Ballmer geen toekomst.
Hier zijn al uitgebreid discussies over geweest, oud nieuws ga ik niet op in, maar het is wel duidelijk dat Microsoft machteloos is hier tegen (open source heeft en behoeft geen kapitaal, is niet te bestrijden met advocaten en gaat gewoon z'n eigen gang) staat. Open source is niet te bestrijden met de traditionele middelen van Microsoft waarmee het anderen (Netscape, WP, Novell, etc..) heeft bestreden, dus gaat het maar gewoon een end weg flamen.
Toch blijkt het niet echt moeilijk te zijn om tegenargumenten te bedenken tegen die flames, dus echt gefundeerd zijn ze niet.
NB. Een lange post waar ik een tijdje mee bezig ben geweest, dus mijn excuses voor eventuele dubbelposts
/u/1983/whiteButton.png?f=community){kind=small}
/u/1830/acm.png?f=community){kind=small}
:strip_exif()/u/4438/6.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/3163/smallcat.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/22964/amd.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/3146/tweakers2.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/10274/crop67712295188a6_cropped.jpg?f=community){kind=small}
:strip_exif()/u/17021/logo.gif?f=community){kind=logo}
:strip_exif()/u/3377/spitzer.gif?f=community){kind=small}
:strip_exif()/u/17201/ren.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/961/crop677c3145dcfb5_cropped.jpg?f=community){kind=small}