certifiedit.net
Goto Top

EFail Lücke war seit November bekannt - Veröffentlichung war unüberlegt

Guten Morgen,

da in den Diskussionen zu OpenSource und OpenSource naher Entwicklung gerne das Argument genannt wird, dass die Sicherheit überprüfbar ist und "Security through obscurity" der Closed Source kein Mittel sein kann und darf, verwundert mich die Haltung des openPGP Entwicklers Brunschwig nun.

Fakt ist, offensichtlich war die Lücke seit mindestens November 2017 - also ein gutes halbes Jahr bekannt. Fakt ist demnach auch, dass bei der Nutzung von PGP im letzten halben Jahr die Möglichkeit der Kompromittierungswahrscheinlichkeit durch Unwissenheit der Nutzer ins unerträgliche gesteigert wurde.

Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.

https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Intervi ...

Viele Grüße,

Christian

PS: Wir setzen intern Closed und Open Source ein, allerdings nach Planung und Gegenüberstellung unter Betrachtung des Einsatzzwecks.

Content-ID: 374026

Url: https://administrator.de/contentid/374026

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 16.05.2018 um 09:18:25 Uhr
Goto Top
Zitat von @certifiedit.net:


Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.

Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.

Bei enigmail wurde die Lücke schon länger gefixt, aber niht bekanntgegeben auf Wunsch des efail-Autors.

Egal closed oder open source, solange der hersteller sich nciht die Mühe macht, den Bug zu fixen, ist man der gelackmeierte. Aber bei Open Source hat man die Möglichkeit, selbst Hand anzulegen und nicht auf irgendeinen warten zu müssen, der sich bequemt das für einen zu erledigen. Und man kann verifizieren, was der Author eingebaut hat.

lks

PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.
Deepsys
Deepsys 16.05.2018 um 09:32:43 Uhr
Goto Top
Moin,

ich stimme LKS voll zu.
Steht ja auch drin, das es eigentlich schon gefixt ist, aber noch nicht ausgerollt ist.

Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.
Es sieht für mich fast schon so aus als sollte die Verschlüsselung selber schlechtgeredet werden ....

VG,
Deepsys
Lochkartenstanzer
Lochkartenstanzer 16.05.2018 um 09:45:04 Uhr
Goto Top
Zitat von @Deepsys:

Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.

Das lag ander "unkritischen" Berichterstattung. Alle haben nur die dpa-meldung weitergegeben, daß PGP udn S/MIME kaputt wäre, dabe ist es nur das kaputte Konzept der "html-Mails", daß das Problem verursacht. man muß sich mal vorstellen, was los wäre, wenn man einen (Papier-)Brief erhält und der beimöffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.

lks
rzlbrnft
rzlbrnft 16.05.2018 aktualisiert um 10:12:00 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.

Sorry aber wenn ich eine SECURITY Software nutze, dann gehe ich nicht davon aus, das ich sie selbst erst reparieren muss.
Auch bei Open Source gibt es durchaus Hersteller die damit Geld verdienen möchten.

Zudem sind die wenigsten User in der Lage sich durch 3 Millionen Zeilen Spaghetticode zu wühlen.

Ich nutze selbst ebenfalls Open und Closed Source Produkte, und bin oft angepisst von dem was z.B. Microsoft so fabriziert, trotzdem gibt es Argumente die für mich sinnlos sind, wie z.B. die Überprüfbarkeit, wenn sich eh keiner die Mühe macht.
certifiedit.net
certifiedit.net 16.05.2018 um 10:10:40 Uhr
Goto Top
Moin LKS,

richtig.

PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das
für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.

Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.

Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?

Dann kann das allerdings nicht mehr als absoluter Vorteil für Open Source gewertet werden. Denn sonst wäre wohl mit geballter "OS Power" wohl bereits im November die Lücke gefixt und ausgerollt worden.

wenn man einen (Papier-)Brief erhält und der beim öffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.

Sicher richtig, versprach allerdings PGP nicht genau die Sicherheit ohne große Komforteinbußen?

So, das Ergebnis des ersten Treffers bei der großen Suchmaschine:

PGP gestattet den Austausch von Nachrichten ohne Verzicht auf Privatsphäre, Authentifikation und Komfort.

HTML gehört für die meisten Endanwender eben zum Komfort.

VG
certifiedit.net
certifiedit.net 16.05.2018 um 10:12:15 Uhr
Goto Top
Eben und genau aus diesem Grund ist hiermit für mich wiedermal eine Stütze der dogmatischen OS Verfechter weggefallen.
Lochkartenstanzer
Lochkartenstanzer 16.05.2018 aktualisiert um 14:09:58 Uhr
Goto Top
Zitat von @certifiedit.net:

Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?

Das betrifft im Prinzip alle MUA, die HTML erlauben, unabhängug davon ib open- oder closed-source-Module verwendet werden


HTML gehört für die meisten Endanwender eben zum Komfort.


Man kann HTML ja ohne weiteres verwenden. Nur muß der MUA drauf achten, daß nur Elemente aus der Mail selbst dargestellt werden und nicht noch irgendwelche Kommunikation mit externen Systemen und Programmen erfolgt. Das Problem esultiert ja daraus, das die MUAs ungefragt mit dem Angreifer reden statt zu sagen "ist nicht!".

lks
Deepsys
Deepsys 16.05.2018 um 14:56:16 Uhr
Goto Top
Sieh mal einer an, bei Heise ist dieser Kommentar der gleichen Meinung:

https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...

"PGP ist nicht kaputt. Wenn man allerdings große Teile der Berichterstattung über die Efail-Lücken verfolgt hat, könnte man zu diesem Schluss gelangen. ...."