© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Marc Santhoff wrote:
> Am Mittwoch, den 26.09.2012, 15:35 +0200 schrieb Oliver Fromme:
> > Im Fall von GELI kommt noch hinzu, dass es sich um Open-Source
> > handelt, der schon von zahlreichen Augen angesehen und über den
> > schon einige Arbeiten geschrieben wurden. Das erschwert es zum
> > einen, Master-Keys oder andere Arten von Backdoors einzubauen,
> > zum anderen haben es auch unbeabsichtigte Bugs schwerer, die
> > die Sicherheit beeinträchtigen können.
>
> Wenn man es genau wissen will, muß man trotzdem über "code auditing"
> nachdenken. Bei Interbase, das als "Firebird" zu OSS wurce, ist eine
> Hintertür im Code auch erst nach etwa einem Jahr entdeckt worden [1]
> (Entdeckung in 2001, OSS 2000, angeblich in allen Versionen seit 1994
> enthalten ...).
Es war etwa ein halbes Jahr (Juli 2000 --> Januar 2001),
und zu dem Zeitpunkt gab es noch gar keine offizielle
Release von Firebird; die war erst 2002 fertig.
(Nur zum Vergleich, GELI ist seit 2005 (6.0-Release) im
Source-Tree, also seit sieben Jahren.)
Ich glaube auch nicht, dass es von der Komplexität her
vergleichbar ist. GELI besteht aus etwa 4000 Zeilen
(davon 3000 Zeilen Code; der Rest sind Kommentare u.ä.)
und ist damit recht übersichtlich. Jemand, der sich mit
GEOM auskennt, kann den Code in ein, zwei Stunden durch-
gehen. Firebird dagegen ist ein ausgewachsenes DBMS und
um einige Größenordnungen komplexer. In einer Stunde hat
man da vielleicht einen Überblick darüber gewonnen, wie
der Verzeichnisbaum der Source-Dateien strukturiert ist,
hat aber noch nicht nennenswert etwas vom Source selbst
gelesen.
> Richtige Paranoia hört niemals auf.
Das stimmt. Gegen richtige Paranoia gibt es natürlich
keine wirksamen Argumente.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M. Handelsregister: Registergericht Muenchen, HRA 74606, Geschäftsfuehrung: secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün- chen, HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart FreeBSD-Dienstleistungen, -Produkte und mehr: http://www.secnetix.de/bsd Perl is worse than Python because people wanted it worse. -- Larry Wall To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 26 Sep 2012 - 17:34:22 CEST