Als je wilt bewijzen dat iets veilig is, moet je zoeken naar
dingen die het tegendeel bevestigen. Hoe minder je daarvan
vindt, hoe veiliger het is. In aantallen 'vulnerabilities'
doen closed en open source software weinig voor elkaar onder
volgens mij. Commerciële software heeft m.i. wel meer last
van tijdsdruk (geplande release-dates). Als je ziet dat veel
WIndows-vulnerabilities in veel verschillende
Windows-versies terugkomen dan snap je dat veel code
hergebruikt wordt. Dat is logisch maar in feite zou die code
ook opnieuw geevalueerd moeten worden naar de eisen die voor
het nieuwe product gelden. Ik denk dat dat te weinig gebeurt
en dat de oorzaak daarvan vooral in de commerciële druk
ligt. Hoe groot die druk is op commerciële linux-versies
weet ik niet. Je ziet wel dat patches voor Fedora vaak
eerder uitzijn dan voor Red Hat Server-versies. Voor de
server-versies worden ze vermoedelijk grondiger getest op
stabiliteit enz.
Ik denk dat Jason Miller gelijk heeft in zijn conclusie dat
er geen goed antwoord is. De termen open source en closed
source omvatten zoveel verschillende projecten met
verschillende kwaliteit dat je niet eenvoudig kunt zeggen
dat het een veiliger is dan het ander.

ik denk dat closed source beter is
omdat ...
open source toegankelijk is voor iedereen en iedereen kan dus iets
doen met de software o.a. een programmaatje schrijven met een
achterdeur
closed source is denk ik beter omdat je eerst maar eens aan de source
moet komen oftewel de broncode
en daarna kan je pas inhaken op de source
nadeel van closed source is dat als het er eenmaal is dat het dan door
heel veel volk word gebruikt en dus veel wordt getest door minder
goedwillende
bij open source weet je van de minder goedwillende niets af
open source staat toe dat je 1 a 2 jaar wordt gehackt of wat dan ook
voordat er iemand er iets aan doet
maar goed dat is open source en je keuze om dat te gebruiken
nou ben ik ervan overtuigd dat closed source ook deze eigenschappen
heeft maar dan kijkt alleen de gates crew naar je computer

maar hee, dit is alleen hoe ik erover denk
bedie beda bedee, that's all folks

Als je open source software installeert moet je wel even de
md5sum natuurlijk even verifieren, dat lijkt me nogal wiedus.

Overigens weet bij closed source software ook niet of iemand
minder goedwillend is download daarom software altijd bij een
bekende bron.

Kortom gewoon beetje logisch verstand gebruiken, dat scheelt al
een stuk.

De vraag wat veiliger is, is alleen relevant wanneer men
bepaalde functionaliteit wil die door closed en open source
software geboden wordt. En dan komen zaken als
compatibiliteit, beheersbaarheid enz. nog voor veiligheid
denk ik.

Helaas wel!

Ik denk dat dit een onzinnige en oneindige discussie is die
meer bestaat om elkaar in de haren te vliegen dan dat er een
echt antwoord op de vraag gegeven kan worden. Het is al
jaren bewezen dat er geen software bestaat die in de
praktijk echt veiliger is omdat er gebruik wordt gemaakt van
een open of closed source ontwikkeling. Veilig zijn hangt
van meer factoren af dan alleen de ontwikkeling.

Many eyeball's solve many problems. Mijn stem gaat naar
open-source. Happy flaming everyone :)

Voor een goeie reverse engineer is er weinig vershil tussen
closed source en open source. Ook het argument dat "many
eyeball's solve many problems. " gaat ook niet altijd op.
Als al deze ogen niet security-aware zijn, zullen er ook
geen vulnerabilities worden gevonden (door deze personen)
lijkt me.

Zowel in de open- als closed source wereld heb je goed en
slechte producten. De kunst is om hier de juiste uit te
halen. Dit valt nog niet mee aangezien er zoveel bagger te
verkrijgen is...

Mijn stem gaat naar open-source code.
Er kunnen meer mensen de code auditten en daarnaast gaat het
vaker om mensen met liefde voor het vak die dit doen uit
interesse en en uit vrije wil, niet omdat ze de boterham
ermee moeten verdienen.

Precies, en dan komt er een groot bedrijf die er zijn vruchten van plukt (IBM,
RedHat etc). En zo worden die lieve mensen toch nog uitgebuit. Eigenlijk zijn
het gratis krachten. Als je het zo bekijkt is commerciele software eerlijker,
daar wordt de programmeur ervoor betaald.

En daar is niets mis mee. De vrijwillige bijdrage van
programeurs over de hele wereld is gebonden aan de gpl
licentie (o.i.d) De software is voor _iedereen_ gratis te
downloaden en te gebruiken. Wil je helemaal niets te maken
hebben met de grotere distro's. kijk dan maar eens naar
linux-from-scratch.
Niemand wordt hier uitgebuit, ze (programmeurs) doen dit
geheel vrijwillig. Er wordt niemand gedwongen onder
"gun-point" code op te hoesten.
De distro's zoals RedHat en SuSE zijn rijk geworden aan
support contracten en opleidingen. Wat is daar mis mee ? MS
heeft een compleet vet (financieeel) hart overgehouden aan
alleen hun verkoop aan licenties en hun MCSE opleidingen.
(enneh, geen flame bedoeld hiermee)

Groeten iedereen
Leon

ff dit ?!

kan het zo zijn dat firewall makers ook achterdeurtjes hebben of b.v.
viruskil schrijvers ?!
en dat je door de programmas van hen letterlijk word bekeken in je
doen en laten ?!
zo van bij ons ben je veilig maar wat je niet weet is dat onze software
ons vertelt wat jij uitvreet ?!

enne no hard feelings, het is maar een gedachte

nog klein vraagje, hoe werkt dat java script in b.v. chatboxen
je krijgt een melding van java toepassing gestart
zet je daarmee je computer helemaal open voor de beheerder van zo'n
chatbox ?
ze weten je ip adress en soms vertellen ze dat ze je muis langzamer
maken b.v. ( bij knippen en plakken van zinnen)
vraag is eigenlijk , kunnen ze via java in je computer kijken ?

ik ben er reuze benieuwd naar
oet morn

full-disclosure maakt de wereld kapot!

Open Source kan in dit opzicht geen geheimen bevatten. Maar
ook al heb je de source erbij, niemand controleert ff op
zondagmiddag ff alle regels source van z'n nieuw
geïnstalleerde linux-distro.
Een ander voordeel van oss is dat je de source zelf kunt
downloaden en compileren. Dat duurt langer maar vrijwaart je
i.p. van mogelijke 'troep'; de code heeft een MD5 checksum
die je kunt controleren.

Zelfs als je over de code beschikt is het nog steeds
mogelijk dat hier achterdeurtjes in zitten. Zie bijvoorbeeld
het volgende SecurityFocus bericht:
http://www.securityfocus.com/news/7388

Als je een bepaald product niet vertrouwd, dan is het
verstandig om deze te monitoren. Zo kan je bijvoorbeeld
kijken welke sockets er worden geopend, wat voor data er
wordt verstuurd etc. Dit is over het algemeen veel
effectiever dan alle code bekijken.

Open source software wordt veel beter getest, door meerdere mensen met
meerdere uitgangspunten. Dit betekent dat je de source in de gaten moeten
houden om evt. wildgroei te ontlopen.

Closed source, is de neiging om evt. gaten voorlopig stil te houden, terwijl
dit in een open source structuur moeilijker is. Tevens zal men met open
source veel sneller fouten kunnen vinden en ontwijken omdat men direct in
de code kan zien wat er fout gaat.

Closed source geeft wel een betere beheersbaarheid ten aanzien van je
product. Met closed source kun je veel beter sturen op de opvolging kwa
functionaliteit.

Beter ? Slechter ? Beide vormen hebben duidelijke voordelen en nadelen.
Doe er je voordeel mee !

Als oss beter getest wordt door meer mensen, waarom moet je
dan de source in de gaten houden om wildgroei tegen te gaan?
Geef eens voorbeelden van wildgroei in open source projecten?

Closed source is voor de leverancier ervan niet closed. Dus
die kan i.p. ook direct een legertje programmeurs laten
zoeken naar fouten en oplossingen. Het snel kunnen vinden
van fouten hangt meer af van de kwaliteit van de source, de
documentatie, van de programmeurs zelf en van de mate waarin
de programmeurs bekend zijn met de source. Ik denk niet dat
het wat dat betreft veel uitmaakt of een product nu open of
closed source is.

Waarom geeft closed source betere beheersbaarheid van je
product ? Zijn open source projecten onbeheersbaar, een
soort ongeleide projectielen?

Wat voor problemen geeft open
source dan op dit punt? Hebben nieuwere oss-producten geen
nieuwere en/of verbeterde functies aanboord?

Een groot misverstand is dat OSS ook meteen betekend dat
iedereen zomaar even wat kan gaan toevoegen of wijzigen
zonder dat er vooraf of achteraf goede controle op is. Maar
in de meeste gevallen staat de ontwikkeling van de originele
OSS onder strak beheer om die schoon te houden, maar kan
iedereen voor eigen ontwikkeling code downloaden.

open source verhoudt zich tot closed source als open
societies tot closed societies. closed source leidt dus net
zo als bij closed societies tot nepotisme, plutocratisch
elitisme, fascisme communisme totalitarisme militarisme
imperialisme, zionisme en apartheid, en uiteindelijk tot
onderdrukking, verderf. en de dood.

OSS betekend -wel- degelijk dat iemand functionaliteit kan
toevoegen/wijzigen en via een eigen website kan aanbieden.

----- Quote:
OSS onder strak beheer om die schoon te houden, maar kan
iedereen voor eigen ontwikkeling code downloaden
-----

Je geeft het zelf al aan.

---- Quote:
Closed source is voor de leverancier ervan niet closed. Dus
die kan i.p. ook direct een legertje programmeurs laten
zoeken naar fouten en oplossingen.
-----

Meer mensen die het testen betekent automatisch dat het onder meer
verscheidene installaties getest wordt. Bij Closed source zijn die paar
testers alleen bezig met een beperkt aantal installaties.

Closed software wordt eerder voor een bepaalde doelgroep geschreven,
waarbij men zich specialiseert. Men kan dus makkelijker sturen welke
functies men in de toekomst erbij wilt hebben. Omdat men bij OSS
meerdere voorstellen krijgt uit meerdere hoeken zul je zien dat er meer
voorstellen worden gehonoreerd dan bij Closed source.

Etc.etc.etc.etc.

Gesnoven ofzo?

Weer een discussie op hoog niveau.... Wat is er veiliger?
Dit ligt natuurlijk helemaal niet aan het feit of iets open-
of closed source is. Als ik een programma schrijf zonder
beveiligingsfouten oid, maakt het geen ene moer uit of je
de source vrijgeeft of niet. Het blijft gewoon veilig.
Onzinnige discussie dus weer...

Niet noodzakelijk .. ik vermoed dat 30% van de mensen die Open Source
software schrijft dat doet in opdracht van een bedrijf, en dat +/- 60% van de
code die genereerd wordt genereerd wordt in opdracht door deze betaalde
Open Source programmeurs.

Ook argumenten van tijddruk hoefen niet juist te zijn. Open Source
programmeurs in loondienst staan net zo goed onder druk om bepaalde
functionaliteit te implementeren omdat dit mogelijk nodig is voor een grote
opdracht. Het grootste verschil is IMHO dat Open Source een transparante
code-ontwikkeling heeft die door buitenstaanders te volgen is.

Dat is niet zo moeilijk.. met decompilers en dergelijke..
voor een ervaren iemand is dit dus echt niet zo'n probleem.

Ik denk dat de twee tegen elkaar op balanceren.. als je
ernaar kijkt.. het enige verschil tussen de twee is dat je
bij de een de source code hebt, wat het iets makkelijker
maakt om bugs op te sporen.. daar zitten weer twee kanten
aan. Bij closed source kun je zeggen dat je meer kans hebt
dat er nog (meer) onontdekte fouten in zitten (meestal wat
trivialere fouten), bij een open source product is het
eenvoudiger de code te lezen en dus fouten op te sporen, wat
tot gevolg heeft dat er minder onontdekte fouten op te
sporen zijn.. dat is heel simpel.. maar de twee wegen tegen
elkaar op. Een open source pakket dat veel audit heeft
ondergaan heeft vast nog wel ergens een bug, maar die is
dan vaak erg lastig te spotten.. bij closed source zou dit
nog lastiger zijn om te spotten, maar daar zijn triviale
fouten ook net iets moeilijker te vinden dan in open source
producten.

Ik denk objectief gezien dat twee vergelijkbare producten
(open source en closed source), dat daarbij onomstotelijk
vast kunt stellen dat er minder bugs in de open source code
zit, natuurlijk ligt dit een beetje aan de hoeveelheid
audits het pakket gehad heeft (als verder niemand de code
heeft bekeken, dan heeft het geen invloed). In het begin
stadium heeft een closed-source pakket een betere security
in de *praktijk* omdat het eenvoudiger is voor aanvallers om
de bugs te vinden in een open source pakket. Maar naarmate
er meer 'exposure' is dan kruisen de twee lijnen zich en dan
zal het opensource project voorop lopen.. je kunt namelijk
praktisch zeggen dat alle triviale bugs eruit gehaald zijn
en dan zal er misschien nog ergens een bug in zitten die
zeer lastig te spotten is.

Ik denk overigens ook dat een auditer gemakkelijker *begint*
aan het auditen van een open source product dan het klooien
met IDA enzo in windows.. hoewel ik daar natuurlijk geen
bewijs voor heb.

Maar er zijn veel meer factoren wat het hele verhaal van
open source vs closed source een beetje in de schaduw zet.
Inderdaad het design.. je zou kunnen zeggen dat er meer druk
is in de open source wereld om betere code te schrijven,
omdat de code op zich ook een visitekaartje is... alweer
niet te bewijzen.. maar als ik werk aan een opensource
project dan probeer ik dat zeer netjes te doen, netjes
commentaar erbij. Verder valt hier ook onder dat met open
source probeer je vaak een duidelijke architectuur te hebben
zodat contributors gemakkelijk aan de slag kunnen, dus
goed-gedefinieerde interfaces en dergelijke, wil je een
succesvol project hebben dan is dat ook een must. Daar zit
ook alweer een keerzijde aan.. doe je dit niet goed en heb
je een beetje lak aan documentatie en dergelijke, dan kan
het zijn dat andere ontwikkelaars verkeerde ideeen hebben
over hoe te interfacen met je project, en daar kunnen
security-bugs uit ontstaan.. maargoed.. zo kun je nog veel
meer opnoemen.
Verder kun je nog noemen dat op een open source
*besturingssysteem* het mogelijk wordt om je systeem
significant dicht te gooien met bijv. RBAC (Role-Based
Access Control).. dus open source systemen zijn vaak
eenvoudiger te controlleren.. zitten ook wel weer keerzijden
aan.

Eigenlijk is het hele debat van closed source vs. open
source dus onzin.. je schiet er niks mee op.. beide
ontwikkel insteken kunnen een redelijk niveau van security
bereiken..