"EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
"Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete Freie Software eigenen Sicherheitsaudits unterzogen werden können. Jetzt startet die EU dazu eine öffentliche Konsultation, in der darüber abgestimmt werden darf, welches der vielen möglichen Freien-Software-Programme eigentlich zuerst auditiert werden soll."
https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll...
Hier geht es direkt zur Umfrage: https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice
Mitmachen und Teilen unbedingt erwünscht! ;)
Außerdem bin ich am überlegen, bei welcher Software ich es mir am ehesten wünschte, dass man sie einem Audit unterzöge.
Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei nicht sehr weit oben auf dieser Wunschliste stehen. ;)
Viele Grüße
-- Erik
Am 26.06.2016 um 21:50 schrieb Erik Grun:
Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei nicht sehr weit oben auf dieser Wunschliste stehen. ;)
Beide Programme sind weit verbreitet. Sie sind hervorragende Beispiele, um Leuten, die mit dem Begriff "Freie Software" wenig anfangen können, zu erklären, dass sie tatsächlich schon Freie Software nutzen.
Und es wäre dann nett, die Vorzüge Freier Software an der Überprüfbarkeit und konkret der Überprüftheit eines dieser Programme erläutern zu können.
Man mag beide Programme als nicht sehr sicherheitsrelevant einstufen, aber das - denke ich - ist eine andere Sache.
Gruß Michael
Hallo Michael, hallo Liste,
Am 27.06.2016 um 09:47 schrieb RA Stehmann:
Man mag beide Programme als nicht sehr sicherheitsrelevant einstufen, aber das - denke ich - ist eine andere Sache.
das war das einzige Kriterium, nach dem ich die Bewerbung vorgenommen habe.
Wenn man allerdings dein anderes Kriterium ("Vorzüge Freier Software an […] konkret der Überprüftheit eines dieser Programme erläutern […]") miteinbezieht, dann ist Notepad++ oder 7zip vielleicht doch keine allzu schlechte Wahl. ;)
Grüße
-- Erik
Moin,
ich bin überrascht, das Firefox nicht dabei ist. Immernoch der verbreitetste FLOSS-Browser, oder? Als Browser sehr exponiert und wohl häufiger zu finden als Chromium oder Midori.
Zu 7zip: Womöglich ist es effektiver, ein bösartiges Zipfile als Anhang zu verschicken, als eine im Mailclient, weil das auch Webmailbenutzer erwischen kann.
Trotzdem eine "interessante" Auswahl. Frage mich, wie die zustande kam.
Gruß, Florian
Am 26. Juni 2016 21:50:57 MESZ, schrieb Erik Grun egnun@fsfe.org:
"EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
"Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete Freie Software eigenen Sicherheitsaudits unterzogen werden können. Jetzt startet die EU dazu eine öffentliche Konsultation, in der darüber abgestimmt werden darf, welches der vielen möglichen Freien-Software-Programme eigentlich zuerst auditiert werden soll."
https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll...
Hier geht es direkt zur Umfrage: https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice
Mitmachen und Teilen unbedingt erwünscht! ;)
Außerdem bin ich am überlegen, bei welcher Software ich es mir am ehesten wünschte, dass man sie einem Audit unterzöge.
Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei nicht sehr weit oben auf dieser Wunschliste stehen. ;)
Viele Grüße
-- Erik
Hallo zusammen,
Am 27.06.16 schrieb Florian Ermisch florian.ermisch@alumni.tu-berlin.de:
Zu 7zip: Womöglich ist es effektiver, ein bösartiges Zipfile als Anhang zu verschicken, als eine im Mailclient, weil das auch Webmailbenutzer erwischen kann.
Gab es bei 7-Zip nicht gerade erst Schlagzeilen über Sicherheitslücken in einer älteren Version (weswegen in den Heise-Foren natürlich gleich wieder jemand die Sicherheit von freier Software in Frage stellte)? Vielleicht wäre ein Audit der aktuellen 7-Zip-Version als "Flucht nach vorn" in diesem Fall gar nicht so schlecht.
Viele Grüße
Stef
On Mon, Jun 27, 2016 at 11:07:34AM +0200, Florian Ermisch wrote:
Am 26. Juni 2016 21:50:57 MESZ, schrieb Erik Grun egnun@fsfe.org:
Hier geht es direkt zur Umfrage: https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice
ich bin überrascht, das Firefox nicht dabei ist. Immernoch der verbreitetste FLOSS-Browser, oder?
Mal abgesehen davon, dass ich auf der Seite nix sehe, bevor ich JavaScript einschalte:
| The list has been prepared based on inventory of open source software | used in the European Commission in 2014 as well as the catalogue of | products available for use within the European Commission as of June | 2016.
Setzt die EU überhaupt Firefox ein? Ich befürchte ja, dass ein Sicherheitsaudit das Budget der EU überfordert. Memoryleaks mit DoS-Effekt zähle ich auch als sicherheitskritisch, und das dann zu auditieren dürfte sehr interessant werden. Phänomenologisch sehe ich hier großen Bedarf, weil das wie Windows95 wirkt, mit der Ansage: regelmäßig neu starten.
Hallo,
Das Budget wird leider eh für Overhead drauf gehen, ohne das am Ende wirklich etwas heraus kommt. Fehler die dort gefunden werden, müssen immer noch bewerten und auch gefixt werden. Gerade bei den letzten beiden Punkten fehlt es bei fast allen Projekten an Resourcen. Dennoch wenigstens passiert was und bekannte Fehler können wenigstens gefixt werden.
Am 2016-06-26 21:50, schrieb Erik Grun:
Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei nicht sehr weit oben auf dieser Wunschliste stehen. ;)
Ist halt schwer zu sagen. Notepad++ basiert auf Scintilla. Scintilla kommt auch an der ein oder anderen Stelle zum Einsatz:
http://www.scintilla.org/ScintillaRelated.html
Freie Software eben ;)
So far, Frank
On Sun, Jun 26, 2016 at 09:50:57PM +0200, Erik Grun wrote:
"EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
[...]
Außerdem bin ich am überlegen, bei welcher Software ich es mir am ehesten wünschte, dass man sie einem Audit unterzöge.
Da gucke ich doch mal in meine Prozessliste, meine APT-Dependencies, etc. und schaue nach der Software, die wohl irgendwie Installiert sein muss und die ganze Zeit läuft, obwohl ich sie *nicht* benutze, jedenfalls nicht direkt und willentlich.
Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit systemd haben wir uns einige dieser Dienste auch auf Serversystemen eingetreten.
Macht mal alle ein `htop -u root`. Wer sieht den polkitd laufen? (das ist quasi sudo als unix-daemon) Wer weiß auf Anhieb, wo der Konfiguriert wird, und welche rules der per Default mitbringt?
Liegt das an mir, oder habt ihr auch das Gefühl, dass diese Dinge neben *zig Apache- und MySQL-Audits immerwieder unter dem Radar durch fliegen? Wenn _die_ Audits raus kommen, will ich Popcorn im Haus haben.
Ich habe jedenfalls DBUS und Polkit mal reingeworfen, jetzt habe ich keine lust mehr auf das ReCaptcha.
-- Paul
Am Dienstag, 28. Juni 2016 16:48:30 schrieb Paul Hänsch:
Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit systemd haben wir uns einige dieser Dienste auch auf Serversystemen eingetreten.
Ein Audit ist keine notwendige Bedingung für sicher entwickelte Software, mehr eine Art Hinterherprüfen. Und dann ist immer die Frage: Was wird, mit welchem Ziel audiert.
Es ist gut möglich, dass jeder der von Dir genannten Komponenten besser überprüft wurde als die von der EU genannten.
On Wed, Jun 29, 2016 at 01:47:27PM +0200, Bernhard Reiter wrote:
Am Dienstag, 28. Juni 2016 16:48:30 schrieb Paul Hänsch:
Hat mal einer den DBUS geaudited? gconf, gvfs, Akonadi anyone? Und wo wir dabei sind: Consolekit, UDisk, UPower, avahi, Polkit. Spätestens mit systemd haben wir uns einige dieser Dienste auch auf Serversystemen eingetreten.
Ein Audit ist keine notwendige Bedingung für sicher entwickelte Software, mehr eine Art Hinterherprüfen. Und dann ist immer die Frage: Was wird, mit welchem Ziel audiert.
Naja, da stimme ich nicht so ganz zu. Ein Faktor ist, das ist richtig, dass die Software z.B. überhaupt unter Beachtung bestimmter Sicherheitsanforderungen geschrieben wird. Wird sie das nicht, kann auch ein Audit eine schlechtere Software hinterlassen, als wenn das Programm von vorneherein mit Blick auf bestimmte Sicherheiten ausgelegt ist. Insofern ist der Audit keine _hinreichende_ Bedingung.
Zu den Regeln sicherheitskritischer Entwicklung gehört aber auch, dass ein Entwicklerteam oder gar ein einzelner Entwickler nicht in seiner Betriebsblindheit allein gelassen wird. Hier kommt der Audit, von Seiten einer weiteren Partei ins Spiel. Dieser ist dann tatsächlich eine _notwendige_ Bediungung, bevor wir annehmen, dass ein Programm sich für den Einsatz unter entsprechend gesetzten Sicherheitsanforderungen eignet.
_Was_ dabei auditiert wird, hängt unter anderem von diesen Anforderungen ab, aber es gibt auch etliche allgemeingültige Regeln.
Es ist gut möglich, dass jeder der von Dir genannten Komponenten besser überprüft wurde als die von der EU genannten.
Abgesehen von Wortklauberein darüber, was möglich, und was wahrscheinlich ist: nope ;-).
Hierzu muss man auch sagen, dass einige dieser Programm, irgendwann mal für Desktopsessions geschrieben wurden, und erst nach und nach in einen Bereich überschwappen, in denen sie regelmäßig mit privilegierten Systemservices kooperieren. Das bringt veränderte Anforderungen mit, und diese rechtfertigen eine Überprüfung unter veränderten Kriterien.
Am 26.06.2016 21:50, schrieb Erik Grun:
"EU-Umfrage: Welches Freie-Software-Programm soll einem Sicherheitsaudit unterzogen werden?"
"Aus Sicherheitsgründen hat die Europäische Union in 2015 das Projekt EU-FOSSA ins Leben gerufen. Damit soll die im eigenen Hause verwendete Freie Software eigenen Sicherheitsaudits unterzogen werden können. Jetzt startet die EU dazu eine öffentliche Konsultation, in der darüber abgestimmt werden darf, welches der vielen möglichen Freien-Software-Programme eigentlich zuerst auditiert werden soll."
https://netzpolitik.org/2016/eu-umfrage-welches-freie-software-programm-soll...
Hier geht es direkt zur Umfrage: https://ec.europa.eu/eusurvey/runner/EU-FOSSA-software-choice
Mitmachen und Teilen unbedingt erwünscht! ;)
Außerdem bin ich am überlegen, bei welcher Software ich es mir am ehesten wünschte, dass man sie einem Audit unterzöge.
Wobei wir uns, denke ich, alle einig sind, dass Notepad++ und 7zip dabei nicht sehr weit oben auf dieser Wunschliste stehen. ;)
Viele Grüße
-- Erik
Die Idee ist ja toll, da gibt es seit Jahren Codeanalyse Programme die sich an Open Source versuchen und nun gibt es auch Geld von der EU ?
Was mich immer wieder verwundert ist die Tatsache das offensichtlich keiner mehr eine Webseite ohne google bauen kann. die machen eine Security audit koennen aber nicht mal eine Webseite produzieren ? oder warum soll ich einen Zugang zu google.com oeffnen ?
re, wh
On 06/28/2016 05:16 PM, walter harms wrote:
Was mich immer wieder verwundert ist die Tatsache das offensichtlich keiner mehr eine Webseite ohne google bauen kann. die machen eine Security audit koennen aber nicht mal eine Webseite produzieren ? oder warum soll ich einen Zugang zu google.com oeffnen ?
Ja, das habe ich mich auch gefragt... Mir war auch erst nicht so ganz klar, wieso bei mir die Meldung kam das mein Rechner kein Internet hat und ich doch bitte einen anderen Rechner benutzen soll um das Formular abzuschicken. Ein simples CAPTCHA sollte man auch ohne das Verlinken von google noch auf seiner Seite unterbringen können, wenn es denn unbedingt sein muss.
Meine Bemerkung war auch eine eindeutige Kritik gegen goolge CAPTCHA.
Viele Grüße Thomas