Passwörter
- Ersteller Kaltregen
- Erstellt am
-
- Schlagworte
- passwörter passwort
Keepass finde ich auch einen guten Tipp, wird oft erwähnt, dass der recht gut sein soll. Eine interessante Alternative ist auch noch pwsafe. Wurde vom Sicherheits-Papst Bruce Schneier mal initiiert und gibts bestimmt schon seit 15 Jahren. Seit ein paar Jahren auch als Android-App.
Beide sind übrigens OpenSource-Projekte, ganz wichtig, wenn es um Sicherheit geht. Closed Source kann man nicht vertrauen und da ist die Chance viel größer, dass großer Bockmist gebaut wurde und keine Community da ist, die das mitbekommt.
Beide sind übrigens OpenSource-Projekte, ganz wichtig, wenn es um Sicherheit geht. Closed Source kann man nicht vertrauen und da ist die Chance viel größer, dass großer Bockmist gebaut wurde und keine Community da ist, die das mitbekommt.
Vergleichen wir mal Open-Source Android mit Apple-OS.... Nur so ansatzweise
Ich habe sichere Passwörter bei wichtigen Sachen (Finanzen, Händlerplattformen/Shops, Kundendaten, Website Login), auch - um der DSGVO zu genügen - an den Firmen-PCs.
Social-Media Passwörter hab ich genau so viele wie Accounts - nämlich keine.
Schon fast witzig finde ich die 'Sicherheit' beim Geld machen in Sachen Zertifikate, schönes Beispiel die ITSG. Dort kann man sich ein Zertifikat für seine Branchensoftware erstellen lassen, damit man von dort online seine Krankenkassenmeldungen versenden kann.
Dazu wird von der Branchenlösung ein Schlüssel generiert, der dann vom Zertifikatscenter eingelesen wird. Die Ansprechpartner müssen via Ausweiskopie identifiziert werden. Zuteilungs- bzw. Vergabebescheide für Betriebsnummern müssen eingereicht werden. Natürlich alles auf dem Postweg, online zu unsicher. Dann steht das Zertifikat irgendwann zum Download bereit und gilt 3 Jahre.
Nun könnte man meinen, dass ist auch richtig so bei der Behandlung von Daten Angestellter.
Das gleiche Unternehmen bietet aber statt des Zertifikates eine kostenlose Software an, bei der ich mich ausschließlich mit meiner Betriebsnummer ohne jegliche weitere Identifikation einfach registrieren kann, bekomme ein Passwort per Mail ein paar Sekunden später, und kann frei Krankenkassenabrechnungen oder Meldungen erstellen und versenden.
Das geht sogar mit fiktiven Betriebsnummern.
Zuletzt bearbeitet:
@uli2003 Meinst du die heimlichen Backdoors, die in Apple-OS stecken und die wir noch gar nicht kennen?
https://www.gnu.org/proprietary/malware-apple.html
https://www.gnu.org/proprietary/malware-apple.html
Fidgety Feet
Gäste
@uli2003 Meinst du die heimlichen Backdoors, die in Apple-OS stecken und die wir noch gar nicht kennen?
https://www.gnu.org/proprietary/malware-apple.html
Gibt's was ähnliches von der Foundation über Microsoft Windows?
Propietär waren sie bisher alle, seit die PCs ihren Einzug gehalten haben. Einige gibts schon gar nicht mehr. Und in Bills ursprünglichen Visionen reichte ein Arbeitsspeicher von 640 kByte, der auch noch so unglücklich lag, dass sich mancher User noch eine Strecke mit Hi-Mem herumquälen musste. Mitte der 90 hatte dann der gute Bill erkannt, dass man um gute GUIs nicht mehr herum kam. Die Jungs aus Cupertino hatten schon ein fortschrittliches Dateisystem, da musste man sich auf dem unterlagerten DOS noch mit 8 kryptischen Zeichen zufrieden geben. Oh je... und jetzt haben die Jungs aus Cupertino wieder ein neues Dateisystem erfunden. Ich glaube nicht, dass die aus Cupertino alleine böse sind. Die anderen sind's auch und nicht weniger böse.
Meine Güte, da hast du aber eine Website ausgegraben...
Ich habe kein Problem damit, das Stiftungen wie die FSF GNU-Projekte fördert und unterstützt. Aber im Gegenzug (sinnloses) Bashing den Closed-Source Entwicklern anzugedeihen, ist schon sehr billig.
Um beim Beispiel Android zu bleiben, glaubst du, dass irgendjemand noch den gesamten Quellcode im Blick hat? Wo eigentliche jeder, mehr oder weniger begabte Programmierer etwas dran verändern darf? Das soll sicherer sein?
Ja, auch Apple bringt Updates heraus. Viele dienen der Sicherheit.
In einem Punkt dieser Bashing Seite wird Apple angekreidet, absichtlich die Installation von älteren Versionen zu verhindern. Warum sollte man unsicherere Versionen noch installieren können?
Ich komme mit iOS, aber auch mit Windows mit ausreichender Sicherheit zurecht. Bei Linux und Konsorten fühle ich mich wesentlich unwohler.
Viele Köche... ach was solls.
@uli2003 Die Sache ist sehr komplex und vielschichtig. Insofern sehe ich es auch so, dass solche Bashing-Seiten doch sehr einseitig schauen. Das ist überhaupt das Problem, dass alle sich in ihrem bevorzugten Lager verschanzen und auf die anderen schießen, eigene Probleme aber nicht sehen.
Ich sehe es so: Opensource ist kein Schlaraffenland, wo alles stimmt. Ganz im Gegenteil, was haben mich Bugs im Linuxumfeld schon Zeit und Nerven gekostet. Und da hab ich mir ein geschlossenes System gewünscht, was nur auf einer Hardware läuft und das stabil und wie aus einem Guss. Doch ob du nach Microsoft oder Apple schaust, überall gibts vieles Für und Wider.
Ganz konkret bei einer recht kleinen überschaubaren Software wie einem Passwortsafe halte ich es aber für unabdingbar, dass sowas Opensource ist. Da ist die Chance groß, dass viele Leute auf den Code schauen und Probleme erkennen. Auch gibt es mitunter professionelle (bezahlte) Audits, wo nach Schwachstellen gesucht wird. Closed Source hat in diesem Bereich doch recht häufig eklatante Sicherheitsmängel. Es gibt nur sehr wenige Firmen, die in dem Bereich wirklich gut sind. Und dann auch die große Gefahr, dass Firmen wieder irgendwie staatlich gezwungen werden, Backdoors einzubauen. Oder stell dir vor, du hast einen Programmierer im Unternehmen, der von den Chinesen gekauft ist und Backdoors einbaut. Hat es alles schon gegeben. Letztens wurde bei einem großen Routerhersteller ein Masterpassword gefunden, wo man Root-Zugriffe auf jeden Router bekam. Gruselig und sowas hab ich bei größeren Opensource-Projekten noch nicht erlebt.
Bruce Schneier, der große Sicherheitsexperte, sieht auch nur in Opensource die einzige Chance für Sicherheitssoftware.
Hier mal ein Einstieg:
http://www.linux-magazin.de/news/crypto-legende-schneier-open-source-ist-sicherer/
Ich sehe es so: Opensource ist kein Schlaraffenland, wo alles stimmt. Ganz im Gegenteil, was haben mich Bugs im Linuxumfeld schon Zeit und Nerven gekostet. Und da hab ich mir ein geschlossenes System gewünscht, was nur auf einer Hardware läuft und das stabil und wie aus einem Guss. Doch ob du nach Microsoft oder Apple schaust, überall gibts vieles Für und Wider.
Ganz konkret bei einer recht kleinen überschaubaren Software wie einem Passwortsafe halte ich es aber für unabdingbar, dass sowas Opensource ist. Da ist die Chance groß, dass viele Leute auf den Code schauen und Probleme erkennen. Auch gibt es mitunter professionelle (bezahlte) Audits, wo nach Schwachstellen gesucht wird. Closed Source hat in diesem Bereich doch recht häufig eklatante Sicherheitsmängel. Es gibt nur sehr wenige Firmen, die in dem Bereich wirklich gut sind. Und dann auch die große Gefahr, dass Firmen wieder irgendwie staatlich gezwungen werden, Backdoors einzubauen. Oder stell dir vor, du hast einen Programmierer im Unternehmen, der von den Chinesen gekauft ist und Backdoors einbaut. Hat es alles schon gegeben. Letztens wurde bei einem großen Routerhersteller ein Masterpassword gefunden, wo man Root-Zugriffe auf jeden Router bekam. Gruselig und sowas hab ich bei größeren Opensource-Projekten noch nicht erlebt.
Bruce Schneier, der große Sicherheitsexperte, sieht auch nur in Opensource die einzige Chance für Sicherheitssoftware.
Hier mal ein Einstieg:
http://www.linux-magazin.de/news/crypto-legende-schneier-open-source-ist-sicherer/
Zuletzt bearbeitet:
ChristophW
ww-robinie
ChristophW
ww-robinie
Das eine schließt das andere nicht aus, bloß weil es ein System gibt muss dieses nicht unsicher sein, wenn es aber nur (scheinbar) sicher ist weil das System geheim ist, taugt das System schlicht nicht.
Ich habe gerade mal gescheut, der Durchschnittliche Wortschatz beträgt ~12.000 Wörter, angenommen ich habe eine Liste all dieser mir bekannten Wörter.
Nun lasse ich durch einen Zufallsgenerator zwei Wörter auswählen, diese sind mein Passwort, was ich mir sehr gut merken kann, weil ich mir (im Anschluss!) z.B. ein Bild vorstelle, sagen wir die Beiden Wörter sind Apfel und weit und ich merke mir als Passworthilfe "Der Apfel fällt nicht weit vom Stamm", d.h. bei Wissen des Systems UND Wissen das ich zwei Wörter gewählt habe gibt es trotzdem 12.000² = 144.000.000 Kombinationen die ein Angreifer im Worst-Case probieren muss.
Stellen wir nun dagegen ein System was die Buschstaben a-z, 0-9, Groß/Klein und die Sonderzeichen !"§$%&/()=? erlaubt. Wir haben als nur 73 Symbole, du müsstest dir also etwa 4,5 wie oben zufällig gewählte Zeichen nutzen um da hin zu kommen und dir merken.
Also auch wenn beide Systeme gleich sind, ist das erste für den Menschen(!) einfacher zu merken, und erzeugt zudem noch längere Passwörter (=besser gegen Brute-Force Attacken)
Fidgety Feet
Gäste
Es gibt keine sicheren Systeme. Einzig sicher wäre ein System vielleicht dann, wenn dieses 700 m tief in die Erde vergraben würde, aus einer Batterie als eigene Stromversorgung betrieben würde, über keinerlei Kabelanschluss verfügen würde und über keinerlei drahtlose Kommunikationshardware verfügt. Aber ehrlich, zu was wäre ein solches System dann noch nützlich?
Jedes System ist angreifbar. Da kommt es noch nicht einmal auf die herstellerseitigen Hintertüren an, bei denen habe ich noch größeres Vertrauen als auf die undurchsichtigen Features, die man sich als Zusatz auf den Rechner laden kann. Dazu kommt noch, dass das größte Risiko meist vor dem Rechner sitzt
Ich finde die Diskussion um die Sicherheit von Software sehr akademisch. Den Softwerkern verschafft sie Arbeit und das gelegentliche Bekanntwerden von Sicherheitslücken reicht dann schon wieder als neuerliche Arbeitsbeschaffungsmaßnahme.
Das Internet ist eine in großen Teilen durch Werbung betriebene Maschine. Ich erinnere mich noch an Zeiten, da galt der heilige Grundsatz, eine gute Webseite kommt ohne Cookies aus. Es gibt sie nur noch ganz selten, die Webseiten ohne Cookies. Opera hatte mal eine guten Ansatz, dort konnte man durch eine Ausnahmeliste festlegen, wer Cookies speichern darf. Es ist dann aber keinerlei Vergnügen im Internet unterwegs zu sein. Safari umgeht die Ausschlussliste, die man in der etc/hosts gespeichert hat - auch nicht komfortabel.
Bleibt zur Zeit wieder nur Firefox in der neuesten Version, mit der man die ungebetenen Gäste etwas eindämmen kann - Goggle habe ich bis auf wenige Adressen erfolgreich aussperren können. Täglich die Cookie-Liste bereinigen und sich hinter einem Proxy verstecken, bringt schon was.
Ergebnis: Mein Spam-Ordner ist leer, meine "offiziele" Mail-Adresse benutze ich ausschließlich für den "privaten" Zweck. Für alle anderen Zwecke gibt es eine zweite, dritte... Mailadresse.
Jedes System ist angreifbar. Da kommt es noch nicht einmal auf die herstellerseitigen Hintertüren an, bei denen habe ich noch größeres Vertrauen als auf die undurchsichtigen Features, die man sich als Zusatz auf den Rechner laden kann. Dazu kommt noch, dass das größte Risiko meist vor dem Rechner sitzt
Ich finde die Diskussion um die Sicherheit von Software sehr akademisch. Den Softwerkern verschafft sie Arbeit und das gelegentliche Bekanntwerden von Sicherheitslücken reicht dann schon wieder als neuerliche Arbeitsbeschaffungsmaßnahme.
Das Internet ist eine in großen Teilen durch Werbung betriebene Maschine. Ich erinnere mich noch an Zeiten, da galt der heilige Grundsatz, eine gute Webseite kommt ohne Cookies aus. Es gibt sie nur noch ganz selten, die Webseiten ohne Cookies. Opera hatte mal eine guten Ansatz, dort konnte man durch eine Ausnahmeliste festlegen, wer Cookies speichern darf. Es ist dann aber keinerlei Vergnügen im Internet unterwegs zu sein. Safari umgeht die Ausschlussliste, die man in der etc/hosts gespeichert hat - auch nicht komfortabel.
Bleibt zur Zeit wieder nur Firefox in der neuesten Version, mit der man die ungebetenen Gäste etwas eindämmen kann - Goggle habe ich bis auf wenige Adressen erfolgreich aussperren können. Täglich die Cookie-Liste bereinigen und sich hinter einem Proxy verstecken, bringt schon was.
Ergebnis: Mein Spam-Ordner ist leer, meine "offiziele" Mail-Adresse benutze ich ausschließlich für den "privaten" Zweck. Für alle anderen Zwecke gibt es eine zweite, dritte... Mailadresse.
Ja, sobald es in irgendeiner Form von außen zugänglich ist.
In der Regel verfolgt der Angreifer aber ein Interesse, damit seine dafür aufgewendete Zeit nicht sinnlos ist. Bei den meisten Privatrechnern dürfte das wirklich sinnlos sein
Ich wüsste gar nicht, was ich darauf wie Fort Knox sichern müsste. Da gibt es schlicht nix zu holen, es wäre sicher schlimmer wenn ich meine Geldbörse verliere.
Und da ist nicht mal ein Schloss dran.Ich nutze den IE, mir sind Cookies relativ egal, nutze keinen Proxy, mein Spam-Ordner ist dennoch leer. Ganz selten verirrt sich mal eine Spam-Mail.
Seit Jahren schon versuchen die Chinesen die Website eines Vereins bei mir zu knacken (über den Admin Login) - frage mich immer noch warum? Ist ihnen noch nicht gelungen, und wird es auch nicht. Kann ich nicht mal aussperren, ständig wechselnde IPs auch über Proxys aus Deutschland.
Ja, das ist bei vielem so, auch bei zusätzlichen Features in CMS-Systemen. Da sitzen dann oft Semi-Profis am Werk, schwupps wird beispielsweise vergessen eine Variable zu initialisieren, und schon ist die Tür auf
Heartbleed ist ein Bug und kein Backdoor oder Masterpassword. Darauf bezog ich meine Aussage, siehe hier nochmal:
Open-Source Entwickler machen erstmal genauso viele Fehler, wie auch bezahlte Entwickler. Es geht eher darum, ob Opensource besser in der Lage ist, Fehler zu erkennen und frühzeitig zu fixen. Und wenn man dafür sorgt, dass viele Leute auf den Source-Code schauen können, schafft man eine sehr gute Basis, was Fehlerbereinigung angeht.
Das ist aber nur ein Vorzug und noch lange keine Garantie für guten Code. Es gibt genügend Opensource-Projekte, wo nie jemand drüberschaut, außer die Entwickler selber. Da verbessert dann offener Sourcecode gar nichts.
Da müsste man genauer definieren und differenzieren, was hier mit System gemeint ist. Wenn du ein System hast, über das man von einem Passwort andere ableiten kann, sobald du das System kennst, dann schaffst du einen Unsicherheitsfaktor. Dann hängt die Sicherheit davon ab, dass das System unter allen Umständen geheim bleiben muss. Und da weiß man einfach, dass das in aller Regel keine gute Idee ist, weil Systeme sich nur schwer verstecken lassen. Stichwort "Security by obscurity"
https://de.wikipedia.org/wiki/Security_through_obscurity
Trotzdem würde ich nicht soweit gehen, wie du es geschrieben hast, dass sowas grundsätzlich abzulehnen ist. Mal ein Beispiel: Es gibt viele alte Möbel mit einem Geheimfach. Da kommt jeder ran, der das System kennt. Hier wurde aber das System geheim gehalten und das klappte oft genug auch hinreichend gut.
Im Falle von Passwort-Systemen kann das durchaus auch gelingen. Dann sollte es aber ein System sein, was du nicht aus den Passwörtern selber erkennen und ableiten kannst.
Das hab ich mal recherchiert, da es mir unbekannt war. Das Einzige, auf das man trifft, ist mal wieder die Free Software Foundation…
Und dann noch einen mehrere Jahre altes Papier mit viel BlaBla.
Ist ja schön das die alles wissen, ich hab zum CCC aber ein größeres Vertrauen
ChristophW
ww-robinie
Das ist Ansichtssache, es kann als Backdoor genutzt werden, ob nun absichtlich oder nicht, ich wollte nur sagen das OpenSource natürlich eine Chance ist (jeder kann drauf gucken) aber auch ein Risiko (jeder kann draufgucken), es werden ja auch in "ClosedSource" genügend Bugs gefunden ohne das der Source verfügbar ist, zu hoffen das OpenSOurce weniger Bugs hat weil da ja (vermeintlich!) viele draufschauen ist meiner Meinung nach ein Illusion.
Gerade im Cryptobereich ist es nämlich so, das man schon sehr viel Erfahrung und Wissen haben muss um überhaupt zu sagen ob etwas sicher oder unsicher ist und selbst da streiten manchmal die Experten.
ChristophW
ww-robinie
Das Problem ist: Wenn das System unsicher ist, dann ist es auch wenn es Geheim ist unsicher! Um bei deinem Möbel zu bleiben: Wenn ich vermute das es ein Geheimfach gibt und unbedingt da ran will, dann zerlege ich das Möbel ('unbekanntes System') halt mit der Axt, bei einem Tresor ('bekanntes System') komm ich mit der Axt wohl nicht ans Ziel...
Fidgety Feet
Gäste
Die Axt ist vielleicht kein so ein gutes Mittel. Wer aber mit alten Möbel handelt, weiß mit welchen Methoden man zum Erfolg kommt. Datensysteme wecken immer Begierlichkeiten und wer ein potenzielles Interesse hat, wird auch Mittel und Wege finden.
Da würde ich auch wieder differenzieren. Es gibt Systeme, die erst zu Unsicherheit führen, wenn man sie kennt. Beispiel: Ich nehme einen Satz aus einem Buch als Passwort. So lange davon niemand weiß, ist das sicher (wenn es kein Trivialsatz ist). Wenn jemand aber schon weiß, dass ich Sätze aus einem bestimmten Buch verwende, wirds schnell unsicher.
Daneben gibts eben wirklich unsichere Systeme, z.B. weil sie schon recht bekannt und verbreitet sind. Den Satz aus einem Song der TopTen wäre riskant.
In dem Bereich sind sich die Experten recht einig, dass closed Source da kaum Schutz bietet. Wer nach Schwachstellen sucht, findet sie. Bei Closed Source hast du vielleicht den 10fachen Aufwand, aber das ist ja nunmal gar nichts, um sich zu schützen. Man muss dran denken, dass der Antrieb, Schwachstellen zu finden und auszunutzen, mitunter extrem groß ist. Entweder weil man damit Geld machen kann oder weil Regierungen dann an Informationen kommen.
Bei einem Passwortsafe, der halbwegs gut verbreitet ist, kannst du stark davon ausgehen, dass zahlreiche finanziell sehr gut ausgestattete "Einheiten" daran arbeiten werden, das Ding in jede Richtung zu durchleuchten.
Problem ist auch: Wenn es erstmal jemand geschafft hat und Tools veröffentlicht, kann jeder Laie dich angreifen. So schon oft passiert, z.B. unsichere Kameras, wo sich jeder nach Lust und Laune einklinken kann.
Umgedreht gibts auch sehr viel gutes Potenzial, wo Leute sich das anschauen, wenn Sourcecode verfügbar ist. Gerade in Forschung und Lehre.
@uli2003 Hier mal ein Link zu einem haaresträubenden Routerbug der letzten Jahre: https://www.heise.de/security/meldu...it-simplem-URL-Trick-uebernehmen-3964050.html
Zuletzt bearbeitet:
Das wird es immer wieder geben. Wer ohne Fehler ist, der...
Kommen neue Funktionen, kommen neue Bugs. Neben dem Bug muss man ja auch erst einmal die Routeradresse für den Zugang von außen kennen.
Ganz so easy, wie es geschrieben steht, ist es denn doch nicht.
Da lässt du einen Scanner laufen, der dir problemlos tausende Netgear Router pro Stunde findet, die im Internet hängen. Und die kannst du dann alle übernehmen.
Nee, sowas darf einem Routerhersteller nicht passieren. Da zeigt sich ein völliges Versagen der Qualitätssicherung. In der Automobilbranche bei sicherheitsrelevanten Baugruppen undenkbar, so schlampig zu arbeiten.
Sagt das auch die FSF?
Aber sicher. Ich gebe dir in der Form Recht, dass grobe Bugs nicht sein müssen und dürfen.
Wenn ich aber sehe, was manche als Tischlerarbeit abliefern, wird’s das analog dazu auch im Softwarebereich immer geben.
Es ist aber definitiv nicht so, dass man ‚mal eben‘ in den App-Store geht, den Netgear-Routerscanner runterlädt und installiert, und die Ergebnisse durch bloßes abändern der URL zur Browserkonfiguration des Routers führen.
Wer das macht, muss schon sehr viel mehr Kenntnis der Materie besitzen.
Ganz so trivial ist das dann doch nicht.
Sicherheit ist schön und wichtig, Bugs sollten schnell entdeckt und behoben werden, Angst habe ich davor genau so wenig, wie ich mich unsicher fühle.
Man muss auch beachten was überhaupt zu schützen ist.
Ich habe kein PZ-Schloss in der Klotür, da reicht noch BB
Wenn ich aber sehe, was manche als Tischlerarbeit abliefern, wird’s das analog dazu auch im Softwarebereich immer geben.
Es ist aber definitiv nicht so, dass man ‚mal eben‘ in den App-Store geht, den Netgear-Routerscanner runterlädt und installiert, und die Ergebnisse durch bloßes abändern der URL zur Browserkonfiguration des Routers führen.
Wer das macht, muss schon sehr viel mehr Kenntnis der Materie besitzen.
Ganz so trivial ist das dann doch nicht.
Sicherheit ist schön und wichtig, Bugs sollten schnell entdeckt und behoben werden, Angst habe ich davor genau so wenig, wie ich mich unsicher fühle.
Man muss auch beachten was überhaupt zu schützen ist.
Ich habe kein PZ-Schloss in der Klotür, da reicht noch BB
Viele Router, NAS-Laufwerke und IP-Kameras sind heute direkt übers Internet erreichbar. Da ist es dann wirklich mitunter total einfach: Ein Scan-Tool, was dir in der Stunde hunderte offener Systeme findet, auf die du dann direkt zugreifen kannst. Dazu braucht ein durchschnittlich begabter Laie keine Stunde, um solche Tools nutzen zu können.
Aufgrund der DSGVO wirds auch echt übel, wenn Kundendaten betroffen sind. Dann hast du zahlreiche Pflichten, die ordentlich ins Geld gehen können, auch mit Strafen ist zu rechnen, wenn dein System als nicht mehr "Stand der Technik" eingestuft wird. Gerade unsichere Passwortsysteme würden dann sofort als grob-fahrlässig durchfallen.
Holz-Fritze
ww-robinie
Dazu muss ich Dir leider sagen, dass dies nicht stimmt. Ich habe mich die letzten Monaten mit einer Open Source Library rumgeschlagen. Die Fehler die da gemacht wurden waren reine Anfängerfehler die kein professioneller Entwickler machen würde. Ein Großteil meiner Arbeit war es die Fehler zu korrigieren.
(Ein Beispiel für Leute die es interessiert: Man nutzt in C Arrays um Zeichenketten abzuspeichern. Diese müssen für verschiedene Funktionen mit Null abgeschlossen werden, dass bedeutet das letzte Byte muss eine Null sein und folglich darf der String nur ein Byte kleiner sein als die Länge des Arrays, Bei dieser Library aber wurde teilweise das Array genau so groß wie der größte zu erwartende String definiert mit der Folge, dass wenn dieser String ins Array geschrieben wurde der Null Abschluss überschrieben wurde und damit eine Stringcopy Funktion z.B. gnadenlos den Speicher ab dieser Stelle mit kopiert hat bis eben irgendwann eine Null kommt. So etwas ist auch ein Sicherheitsrisiko, weil ich so z.B. an Speicherbereiche komme, wo ich vielleicht nicht dran soll)
Das widerspricht nicht dem, was ich schrieb. Opensource schafft lediglich günstige Bedingungen, aber hinreichend für guten Code ist das noch lange nicht. Da gehört noch viel mehr dazu.
Das wäre auch zu schön, um wahr zu sein: Leg deinen Code offen ins Internet und von ganz alleine reift der zu einer bugfreien Software heran.
Opensource Code darf jeder Laie ungeprüft ins Netz stellen. Und wenn es nicht genügend Leute interessiert, wird so Code auch nie verbessert. Große Opensource-Projekte sind aber in der Regel auch von Experten überprüft und werden von denen gemanagt, z.B. der Linux Kernel, Firefox, Thunderbird, Openoffice, Android... An solchen Projekten arbeiten ja in der Regel auch zahlreiche bezahlte Enwickler.
Was man bei Opensource auch oft erlebt: Der Kern ist gut, aber das Drumherum - was Entwickler nicht so interessiert - ist murksig. Bei einem Passwortsafe sind dann z.B. die Algorithmen wirklich sicher, aber die Benutzeroberfläche grottig, die Übersetzung fehlerhaft und ein Handbuch sucht man vergebens. Gekaufte Software ist oft umgedreht optimiert: Ordentliches Handbuch, ordentliche Oberfläche aber die Algorithmen auf der Ebene, wo keiner direkt hinschauen kann, sind haaresträubend und unsicher. Das sind aber alles nur grobe Verallgemeinerungen, es gibt genügend Projekte, die das Gegenteil zeigen.
