EFail Lücke war seit November bekannt - Veröffentlichung war unüberlegt
Guten Morgen,
da in den Diskussionen zu OpenSource und OpenSource naher Entwicklung gerne das Argument genannt wird, dass die Sicherheit überprüfbar ist und "Security through obscurity" der Closed Source kein Mittel sein kann und darf, verwundert mich die Haltung des openPGP Entwicklers Brunschwig nun.
Fakt ist, offensichtlich war die Lücke seit mindestens November 2017 - also ein gutes halbes Jahr bekannt. Fakt ist demnach auch, dass bei der Nutzung von PGP im letzten halben Jahr die Möglichkeit der Kompromittierungswahrscheinlichkeit durch Unwissenheit der Nutzer ins unerträgliche gesteigert wurde.
Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.
https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Intervi ...
Viele Grüße,
Christian
PS: Wir setzen intern Closed und Open Source ein, allerdings nach Planung und Gegenüberstellung unter Betrachtung des Einsatzzwecks.
da in den Diskussionen zu OpenSource und OpenSource naher Entwicklung gerne das Argument genannt wird, dass die Sicherheit überprüfbar ist und "Security through obscurity" der Closed Source kein Mittel sein kann und darf, verwundert mich die Haltung des openPGP Entwicklers Brunschwig nun.
Fakt ist, offensichtlich war die Lücke seit mindestens November 2017 - also ein gutes halbes Jahr bekannt. Fakt ist demnach auch, dass bei der Nutzung von PGP im letzten halben Jahr die Möglichkeit der Kompromittierungswahrscheinlichkeit durch Unwissenheit der Nutzer ins unerträgliche gesteigert wurde.
Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.
https://www.heise.de/security/meldung/Enigmail-Chefentwickler-im-Intervi ...
Viele Grüße,
Christian
PS: Wir setzen intern Closed und Open Source ein, allerdings nach Planung und Gegenüberstellung unter Betrachtung des Einsatzzwecks.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 374026
Url: https://administrator.de/knowledge/efail-luecke-war-seit-november-bekannt-veroeffentlichung-war-unueberlegt-374026.html
Ausgedruckt am: 23.12.2024 um 14:12 Uhr
8 Kommentare
Neuester Kommentar
Damit geht ein weiteres Totschlagargument der OpenSource Entwicklung und damit des dogmatischen Einsatzes von Open Source Software den Bach hinunter.
Das ist Blödsinn. die Lücke betrifft sowohl open- als auch Closed-Source.
Bei enigmail wurde die Lücke schon länger gefixt, aber niht bekanntgegeben auf Wunsch des efail-Autors.
Egal closed oder open source, solange der hersteller sich nciht die Mühe macht, den Bug zu fixen, ist man der gelackmeierte. Aber bei Open Source hat man die Möglichkeit, selbst Hand anzulegen und nicht auf irgendeinen warten zu müssen, der sich bequemt das für einen zu erledigen. Und man kann verifizieren, was der Author eingebaut hat.
lks
PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.
Moin,
ich stimme LKS voll zu.
Steht ja auch drin, das es eigentlich schon gefixt ist, aber noch nicht ausgerollt ist.
Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.
Es sieht für mich fast schon so aus als sollte die Verschlüsselung selber schlechtgeredet werden ....
VG,
Deepsys
ich stimme LKS voll zu.
Steht ja auch drin, das es eigentlich schon gefixt ist, aber noch nicht ausgerollt ist.
Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.
Es sieht für mich fast schon so aus als sollte die Verschlüsselung selber schlechtgeredet werden ....
VG,
Deepsys
Zitat von @Deepsys:
Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.
Selbst bei uns in der IT waren die Kollegen der Meinung das die Verschlüsselung selber kaputt, das stimmt aber auch nicht.
Das lag ander "unkritischen" Berichterstattung. Alle haben nur die dpa-meldung weitergegeben, daß PGP udn S/MIME kaputt wäre, dabe ist es nur das kaputte Konzept der "html-Mails", daß das Problem verursacht. man muß sich mal vorstellen, was los wäre, wenn man einen (Papier-)Brief erhält und der beimöffnen erstmal alle möglichen Leute anruft/informiert und sagt, man müsse sich von Hinz und Kunz noch Bilder holen udn in den brief einkleben, damit man ihn sieht.
lks
Zitat von @Lochkartenstanzer:
PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.
PS: Allerdings machen sich wirklich nur die wenigsten die Mühe da mal reinzuschauen und vertrauen darauf, daß da irgendein Experte ist, der das für sie tut. Es ist also die faulheit, die solche fehler hervorbringt und nicht open/closed-Source.
Sorry aber wenn ich eine SECURITY Software nutze, dann gehe ich nicht davon aus, das ich sie selbst erst reparieren muss.
Auch bei Open Source gibt es durchaus Hersteller die damit Geld verdienen möchten.
Zudem sind die wenigsten User in der Lage sich durch 3 Millionen Zeilen Spaghetticode zu wühlen.
Ich nutze selbst ebenfalls Open und Closed Source Produkte, und bin oft angepisst von dem was z.B. Microsoft so fabriziert, trotzdem gibt es Argumente die für mich sinnlos sind, wie z.B. die Überprüfbarkeit, wenn sich eh keiner die Mühe macht.
Zitat von @certifiedit.net:
Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?
Closed Source aber in Rückgriff auf OpenSource Plugins/Libs. Oder irr ich mich?
Das betrifft im Prinzip alle MUA, die HTML erlauben, unabhängug davon ib open- oder closed-source-Module verwendet werden
HTML gehört für die meisten Endanwender eben zum Komfort.
Man kann HTML ja ohne weiteres verwenden. Nur muß der MUA drauf achten, daß nur Elemente aus der Mail selbst dargestellt werden und nicht noch irgendwelche Kommunikation mit externen Systemen und Programmen erfolgt. Das Problem esultiert ja daraus, das die MUAs ungefragt mit dem Angreifer reden statt zu sagen "ist nicht!".
lks
Sieh mal einer an, bei Heise ist dieser Kommentar der gleichen Meinung:
https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...
"PGP ist nicht kaputt. Wenn man allerdings große Teile der Berichterstattung über die Efail-Lücken verfolgt hat, könnte man zu diesem Schluss gelangen. ...."
https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...
"PGP ist nicht kaputt. Wenn man allerdings große Teile der Berichterstattung über die Efail-Lücken verfolgt hat, könnte man zu diesem Schluss gelangen. ...."