“Kritische Lücke in Joomla! wird aktiv ausgenutzt” (heise.de)
“Kritische Sicherheitslücke in Joomla” (golem.de)

An solchen Problemen wie aktuell in der 1.5er Serie von Joomla sieht man das Open Source funktioniert. In proprietärer Software (i.d.R. Closed Source) gibt es natürlich auch immer wieder Fehler, die dann aber nicht so schnell erkannt werden und wo der Hersteller evtl. auch versucht Informationen darüber zu unterdrücken. (“Maulkorb für MIT-Studenten” heise.de)

Wenn man selber betroffen ist könnte man der Meinung verfallen das Fehler bitte nicht veröffentlicht werden, um keine Hacker anzulocken. Nur leider wiegt man sich dann in einer trügerischen Sicherheit, denn es gibt einen Markt für sogenannte Exploits. “Ein Exploit ist eine Software oder eine Sequenz von Befehlen, welche spezifische Schwächen beziehungsweise Fehlfunktionen eines anderen Computerprogramms zur Erlangung von Privilegien oder in Absicht einer DoS-Attacke ausnutzt”. (Quelle: Wikipedia)

Die Geheimniskrämerei von Unternehmen bezüglich Fehlern in eigenen Produkten ist für den Exploit-Markt natürlich sehr förderlich. Der Käufer kann davon ausgehen das der erworbene Exploit noch funktioniert, da der Fehler nicht öffentlich geworden ist. Sobald ein Fehler öffentlich geworden ist, wird niemand auch nur einen Euro für einen Exploit ausgeben. Einerseits natürlich weil er öffentlich, also kostenlos, verfügbar ist, aber andererseits auch weil davon auszugehen ist das der Fehler durch Softwareupdates bereinigt wurde.

Open Source bedeutet nicht kostenlos, sondern nur das der Sourcecode (der Quellcode, die Programmierung oder wie auch immer ein Laie es bezeichnen möchte) frei einsehbar für jeden ist. Da es viele Korinthenkacker (wie mich <g>) gibt, die in den Code reinschauen, um Fehler zu finden oder um neue Funktionen oder Verbesserungen vorzuschlagen bzw. selber umzusetzen, hat Open Source einen Vorteil gegenüber Closed Source. In diesem Fall verderben die vielen Köche den Brei nicht!

Der %-Bug von dem ich letztens berichtet habe, wurde seit der Installation vor über einem Jahr, nicht gefixt. Und warum? Weil es proprietäre Software ist! Der/die Entwickler haben Fehler gemacht, da aber außer ihnen niemand Zugang zum Source Code hat, wurden diese Fehler nicht entdeckt bzw. die Entdeckung wurde nicht öffentlich. Es kann ja durchaus sein das die Fehler schon gefunden wurden und das da jemand die persönlichen Daten aller User einsieht und auch schon aktiv die Passworte auf anderen WebSites benutzt hat, auf denen die User mit dem gleichen Passwort angemeldet sind.

Ich glaube fest daran – Open Source hat eine gute Zukunft.