Ich begrüße die Freundinnen und Freunde der Diskussionsrunde !!

Mit seinem Threat »Passwortmanager gesucht (Alternative zu 1Password)« hat penumbra eine ganz andere Frage gestartet. System 6.0.1 stellte jedoch folgende Frage aufgegriffen – siehe unten. Ich dachte mir, damit das nicht OffTopic bleibt und zumal auch mich das wirklich interessiert, ich mach das anders und schreibe nicht darein. Damit da nicht alles durcheinander gewürfelt wird und es inhaltlich bei »Passwortmanager Alternativen« belibt.

Also. Ist OpenSource sicherer – oder bedankt sich die »Dunkle Macht« , dass ihr der SourceCode gleich komplett Freihaus geliefert wird?? Und wie läuft das ab, mit den ( angeblichen ) Revisionen?? Wer macht das? Kann nicht auch gerade durch »Revisionen« etwa Schadcode hinzugefügt werden??

Ich wünsche viel Spaß bei der Diskussion – und ein sonniges Wochenende, C.

Genau so ist es.
Das gilt ja für sehr viele sehr relevante Entscheidungen / Unterscheidungen:
Fliegen ist meistens sicherer als Autofahren...
Urlaub in Westeuropa ist meistens sicherer als in Ostafrika...
Deutsche Banken sind meistens stabiler als griechische...

Also: Wenn Du in den Urlaub fährts, entscheidest Du Dich ganz individuell für ein Ziel und ein Verkehrsmittel, informierst Dich vorher und schätzt Dein persönliches Risiko ein.

Genauso bei Software: Wenn Du eine bestimmte Software benötigst, vergleichst Du verschiedene Angebote und gehst dabei eine Kriterien-Matrix durch.
Eine ClosedSource-Software, die sich deit vielen Jahren einen guten Ruf erarbeitet hat, könnte Dir besser passen als eine OpenSource-Software im Stadium 0.3a.
Kommt natürlich auch darauf an, um was für eine Software es geht. Ein Snapshot-Tool ist was anderes als ein Online-Banking-Programm.
Das Thema OpenSource/ClosedSource ist also nur ein Kriterium von vielen.
OpenSource ist ein Konzept , kein automatisches Qualitätsmerkmal.

Die Anwendung jeder Software kann ein Sicherheitsproblem werden. Über eine spezifische Software lässt sich niemals sagen, dass sie kein Sicherheitsproblem werden könnte, weil niemand ausschließen kann, dass es unentdeckte Sicherheitslücken gibt. Man kann nur statistische Aussagen über verschiedene Gattungen von Software treffen, wie wahrscheinlich Sicherheitsprobleme sind. Und bei Open Source Software sind sie eben weniger wahrscheinlich aus den in diesem Thread ausgeführten Gründen.
Keiner der Deine Frage Beantwortenden scheitert hier an irgendwas; wenn, dann scheiterst Du daran, die Antworten zu verstehen.
Das ist weder unangenehm noch trägt es irgendwas zu Deiner Frage bei. Ob Antworten richtig oder falsch sind, hängt ja nicht am Adressaten für die Antwort; der Adressat kann höchstens bei mangelnden Voraussetzungen eine didaktische Aufbereitung der Antwort erfordern oder sie eben schlicht nicht verstehen.
Deine tatsächlichen Probleme scheinen ganz andere zu sein als die, auf die Du hier eine Antwort möchtest. Du dürftest der Einzige sein, der in diesem Thread subtile Erniedrigung wittert. Manche Antworten mag man nicht hören, weil man es gerne anders hätte. Sie bleiben aber dennoch die korrekten Antworten; die Welt ist kein Wunschkonzert.
Alles Erleuchtende auf Deine Frage ist hier längst gesagt worden (es gibt auf Deine Frage nur eine statistische Antwort). Du willst es nur nicht hören. Dass Du stattdessen immer wieder erneut die längst beantwortete Frage stellst, ist es, was Dir den Troll-Verdacht eingebracht hat (den ich nicht teile).

Die Aussage, dass sich bestimmte Dinge nur statistisch erfassen lassen, stellt keine Vereinfachung dar. Das ist ein häufiges Missverständnis, weil ein naives Wahrheitsverständnis suggeriert, es müsse doch auf alles eine definitive Antwort geben. Aber dem ist nicht so. Die Welt ist selbst in dem, was sie in ihrem Innersten zusammenhält, nur statistisch beschreibbar (Stichwort Quantentheorie).
Doch, das muss aus soziologischer Sicht so sein (muss in dem Sinne, dass es gute, empirisch erforschte Gründe dafür gibt (Stichwort Schwarmintelligenz) – mehr Gewissheit gibt es erkenntnistheoretisch nicht).

Doch, eine Frage kann natürlich falsch sein, wenn sie an ein falsches Verständnis des Vorangegangenen anknüpft.

Für die vorgetragene Überlegung, dass es, gegeben, dass menschliches Leben wertvoll und zu erhalten ist, vernünftig ist, den Tod weniger statt den Tod vieler Menschen in Kauf zu nehmen, spielt die Frage, um welche Zahlen es sich dabei absolut handelt, überhaupt keine Rolle, es geht ausschließlich um die Relation. Deshalb ist es sinnlos, auf diese Überlegung mit dieser Frage zu reagieren.
Aber die vorgetragene Überlegung ist moralischer Natur, was denn sonst? Die These ist, es ist moralisch geboten, den Tod von x Menschen in Kauf zu nehmen, wenn damit das Leben von y Menschen gerettet werden kann und x < y.

Zu Deiner Ehrenrettung: Das ist natürlich nicht die einzige denkbare moralische Position. Es gibt eine ehrbare Tradition, die auf niemand Geringeren als Immanuel Kant aufbaut, der zufolge moralische Gebote stets absolut gelten und nicht relativiert werden dürfen, egal, was die Konsequenzen sind. Kants Beispiel: Wenn eine Person vor einer anderen flieht, die sie ermorden will, und sich bei dir versteckt, und der Mörder kommt zu dir und fragt, ob sich die Person bei dir versteckt hat, dann musst du mit Ja antworten, weil es unmoralisch ist zu lügen, auch wenn das zur Folge hat, dass die sich versteckende Person dann ermordet wird, was natürlich ebenfalls unmoralisch ist – aber du darfst das Gebot, nicht zu lügen, nicht an einem anderen Gebot relativieren (in der Politik wird das bisweilen und nicht ganz korrekt Gesinnungsethik genannt im Gegensatz zur Verantwortungsethik, die aufgrund der Folgen die Lüge hier für moralisch geboten hielte).

Auch wenn das kantische Verständnis von Moral in dieser zugespitzten Form problematisch erscheint, habe ich den Eindruck, das Nicht-Relativeren-Wollen liegt auch Deinem Begriff von Moral zugrunde. Und wie gesagt, das ist eine ehrbare Tradition und auch keinesfalls eine weltfremde, sondern sogar eine höchst aktuelle: Kant leitet aus diesem moralischen Rigorismus den von ihm eingeführten Begriff der (eben nicht relativierbaren) Menschenwürde ab, die in unserem Grundgesetz dann als unantastbare = nicht relativierbare verankert ist. Und darauf aufbauend hat das Bundesverfassungsgericht im Zuge der nach 9/11 stattfindenden Diskussion im kantischen Sinne dann geurteilt, ein Flugzeug mit 200 Passagieren, das wie geschehen dabei ist, in ein Hochhaus mit 3000 Menschen zu fliegen, dürfe dennoch nicht abgeschossen werden, um das zu verhindern.

Du befindest Dich also mit Deiner Intuition in guter Gesellschaft. Es gibt angesichts der heftigen Konsequenzen dieses moralischen Rigorismus nur eben auch die ebenfalls moralische Gegenposition, es sei geboten, anhand der Konsequenzen einer Handlung zu relativieren. Die habe ich hier für Tesla als eine mögliche stark gemacht.
Das ist völlig unbestritten. Es gibt sicherlich Menschen, die so handeln, aber es gibt glaube ich niemanden, der das als moralisch geboten bezeichnen würde.
Das ist in meiner fiktiven Verteidigung von Musk aber gar nicht der Punkt (und ich glaube auch tatsächlich nicht, dass Geld für Musk noch irgendeinen Handlungsanreiz darstellt). Es geht darum, dass der öffentliche Ruf Teslas nicht befleckt werden darf, indem problematische Aspekte ans Licht kommen, weil das die aus Musks Sicht moralisch gebotene Vorbildfunktion Teslas beschädigen würde, im schlimmsten Fall so weit, dass die Menschheit sich von der Klimapolitik abwenden würde und daran später dann zugrunde ginge. Die – woher auch immer rührende – Menschheits-Untergangs-Angst Musks (Klimakatastrophe → Tesla, Asteroideinschlag auf der Erde → Space X/Marsbesiedelung, Aussterben → Bekämpfung des Geburtenrückgangs durch Bekämpfung nichtreproduktiven Sexualverhaltens und damit Nähe zum christlichen Konservativismus) dürfte eine um Größenordnungen wichtigere Triebkraft für ihn sein als Reichtum – davon hätte er längst genug.
Das ist nicht zugunsten des eigenen Profits, da bin ich mir ziemlich sicher. Profitstreben mag ein großer Motivator sein, aber nicht in den Dimensionen von Musk. Das ist irgendeine Art von existenzieller Panik.
Aber aus Sicht der entsprechenden moralischen Position eben genau deswegen nicht so relevant wie zwei, und 1000 nicht so relevant wie 2000 – die Position ist doch klar, ob man sie nun teilt oder nicht.
Da hast Du völlig recht. Beide Positionen haben mit schwer verdaulichen Grenzfällen zu kämpfen, deswegen gibt es ja beide.
Naja, die Rubrik Moral gibt es ja im MacTechNews-Forum nicht, also wohin auslagern? Vielleicht sollten wir es dabei belassen, ich habe augenblicklich auch sehr wenig Zeit (Du kannst aber natürlich gerne nochmal reagieren).

Ich fasse mal zusammen:

Ist Open Source sicherer, weil es Open Source ist? Nein.


———
PS: Danke auch, für dieses extrem spannende Milieu-Bild.

Doch (im statistischen Mittel). Die Argumente dafür sind alle klar und verständlich genannt worden; Du hast auch keines davon bestritten, sondern sie schlicht ignoriert (oder tatsächlich nicht verstanden).

Das ist offenkundig keine Zusammenfassung dieser Diskussion, sondern einfach Deine Unterstellung, die Du von Anfang an hattest – was Deine Frage, die Du so hartnäckig wiederholt hast, als von Anfang an rhetorische entpuppt.
Was soll diese so besserwisserische wie kryptische Bemerkung von oben herab? Wenn Du keine Frage beantwortet haben wolltest, sondern unsere Hilfsbereitschaft für eine „Milieustudie“ missbrauchen, die nur Deine Vorurteile bestätigt und uns vorführt, dann musst Du dich über den Trollvorwurf wahrlich nicht wundern.

Wie kann man nur aus zwei einfachen Sätzen so massiv einseitige Schlüsse ziehen? Das haut mich immer wieder um. Aber egal.

Wenn jemand sagt, ich bevorzuge aus Sicherheitsgründen Lösung X vor Lösung Y, weil X Open Source ist, dann bedeutet das nicht, das Y schlechter oder X besser ist, sondern das die Wahrscheinlichkeit (auf einem unbekannten Niveau) eher für X als für Y spricht.

Die Wahrscheinlichkeit ist vollkommen Unbekannt. Es kann sogar sein, das in Sicherheitsfragen die Wahrscheinlichkeit in der angesprochenen Gruppe von Anwendungen gegen Open Source spricht. Ich wäre ja total bescheuert, wenn ich meine Entscheidung auf eine unbekannte Wahrscheinlichkeit hin treffen würde. Oder?

Zudem haben wir im Bereich Open Source eine unfassbare Spannweite an Anwendungen, von kleinen Helferlein, über Spielereien, zu Tools bis zu ernstzunehmende Betriebssystemen und deren Erweiterungen.

Mein Beispiel war der Passwortmanager. Gibt es irgendeine relevante Basis zu behaupten, Passwortmanager X ist sicherer als Passwortmanager Y, weil X Open Source ist? Nein. Alle hier vorgebrachte Wortklauberei, alle gezielten und ungewollten Missverständnisse, Meinungen oder plumpen Behauptungen, haben diese Frage nicht klar beantwortet. Und selbst eine Behauptung, Open Source genieße aufgrund des Zugangs zum Quellcode eine höhere Sicherheit, ist bestenfalls eine Annahme. Wahrscheinlich sogar nur eine Behauptung, denn sie basiert (nach meiner Beobachtung) auf einem tiefliegendem Misstrauen gegenüber Closed-Source-Projekten. Ich kenne das sehr gut. Ich habe ein ähnliches, tiefes Misstrauen gegenüber Canon-Kameras und -Objektive, und gegen BMW. Aber: Who cares?

Und bei aller Liebe zur Genauigkeit (oder besser: Kümmelschälerei), die Antwort, etwas sei sicherer weil es Open-Source ist, lässt sich nur äusserst vage mit einer statistischen Betrachtung der Open-Source-Szene im Allgemeinen beantworten. Und um mal persönlich zu werden: Auch ein Weia würde niemals die Statistik in dieser Frage heranziehen. Hier zählen nur Fakten.

Also, wovon redest Du eigentlich, wenn Du sagst: Doch (im statistischen Mittel)? Das ist weltfremde, akademische Spitzfindigkeit ohne Realitätsbezug. Du hast natürlich Recht, aber auf eine absolut sinnfreie Weise.

Ich weiß, das ist Dein Spezialgebiet (und nicht nur Deines, es gibt hier Themenbedingt sehr viele davon). Da bist Du gut drin. Und ich bin dankbar, das es Menschen gibt, die wie Du auf solch einem Niveau denken können. Wir haben eine Menge wirklich wichtiger Grundlagenforschung Menschen zu verdanken, die auf diese Weise die Welt sehen. Unser Grundgesetz beispielsweise. Nicht perfekt, aber so nahe dran, dass die meisten nicht klar ausdrücken können, warum es nicht perfekt ist. Aber egal.

Meine Eingangsfrage war praktischer Natur. Und da stößt Deine Denkweise unweigerlich an ihre Grenzen. Das mag Dir zuwider sein, oder unverständlich. Kein Problem. Aber wenn Du einen Rat von einem Denker auf eher unterem Niveau annehmen willst: Gewöhne Dich daran. Es gibt statistisch gesehen nicht viele wie Dich. Hier sind viele Denker von Deiner Sorte auf unterschiedlichem Niveau versammelt. Und genau darum bin ich ja auch hier. Ich will hier lernen, strukturierter zu denken. Mir fehlt das. Ich hatte am Anfang des Jahrtausends eine lehrreiche Zeit unter Programmierern in einem Unternehmen, die haben mir das gezeigt. Und ich habe ihnen die „andere Seite“ gezeigt.

Mir ist klar, das meine Denkweise stark gefärbt von meinem Naturell ist. Um diesen Umstand auszugleichen bewege ich mich in Kreisen, die das anders machen. Aber keiner von uns beiden kann sagen, dass seine Weise zu denken die einzig Richtige ist. Mir ist das bewusst. Jetzt bist Du dran.

Peace 🕊️

Was ein Glück.

Nein, ist sie nicht, aus den in diesem Thread genannten Gründen.
Doch, insofern es – wenn keinerlei weitere Informationen bekannt sind oder die bekannten Informationen auf X und Y gleichermaßen zutreffen – wahrscheinlicher ist, dass X sicherer ist.
Wenn Du statistische Argumente für Wortklauberei hältst, dann verstehst Du sie nicht. Manchen Menschen widerstrebt es, in Wahrscheinlichkeiten zu denken, sie wollen eine imaginäre Sicherheit, die es aber eben nicht gibt. Alle Erkenntnis der empirischen Welt ist letztlich nur wahrscheinlich.
Nein, es ist eine sowohl soziologisch als auch statistisch gut begründete Aussage.
Das ist nicht vage. Es ist die einzige Form von Erkenntnis, die wir haben.
Aber selbstverständlich würde ich das. Weil ich gar keine andere Möglichkeit hätte. Das gilt für so gut wie alle Entscheidungen im Leben. penumbra hat das doch wunderbar auf den Punkt gebracht:Fakten, wie Du die sie dir vorstellst, gibt es schlicht nicht. Es gibt (außerhalb der Mathematik und Logik) keine Gewissheiten, sondern immer nur Wahrscheinlichkeiten.
Ganz im Gegenteil: Das ist der Kern der „Realität“ und das Einzige, was wir zur Entscheidungsfindung haben. Dass Du dich dagegen so sträubst und das als sinnfrei und praxisfremd ansiehst, ist Grund unseres Disputs.
Ganz im Gegenteil: Da entfaltet sie ihre volle Wirkmächtigkeit. Nochmal: Nichts auf der Welt ist sicher. Wenn wir auf Gewissheit warten würden, bevor wir eine Entscheidung treffen, wären wir gelähmt und handlungsunfähig. Das ist so praxisrelevant, wie etwas nur sein kann. Wir alle entscheiden ständig aufgrund von Wahrscheinlichkeiten.
Das trifft wohl eher auf Dich zu.
Zumindest einer von uns kann aber zumindest sagen, welche mit Sicherheit falsch ist. Falsifizieren kann man nämlich, im Gegensatz zu verifizieren.
Ich habe nun  – zum letzten Mal – gesagt, was ich zu sagen habe zu dieser Frage.

Das hätte eine Diskussion über sicherheitsrelevante Aspekte von Open Source vs. Closed Source werden können.
Stattdessen gab es Binsenweisheiten über Wahrscheinlichkeiten.

Das ist zwar die falsche (bzw. unvollständige, aber offensichtlich absichtlich weitere-Aspekte-auslassende) Zusammenfassung dieser Diskussion, aber isoliert betrachtet könnte man dem erstmal zustimmen (sollte aber um weitere Ausführungen ergänzt werden; s.u.).
Warum? Keiner hat behauptet, dass es alleine wegen dem FOSS Ansatz es auch deshalb automatisch sicherer wäre (und dieses Automatische bzw. immer diese absoluten Darstellungen sind eben falsch).

Deinem Satz müsste man vielmehr folgendes auch noch hinzufügen:
Ganz im Gegenteil: im Zweifelsfall ermöglicht Open Source einem breiteren Publikum beispielsweise eine Fehlerbehebung praktisch autark vorzunehmen ohne dass das Software-Produkt bzw. dessen weiteres Bestehen abhängig ist von jeglichen (geschäftsbasierten) Entscheidungen einer Firma.

End-Benutzer einer Software haben zwar auch keine 100% Garantie, dass eine FOSS Software zeitnah oder überhaupt gefixt wird, jedoch besteht erstmal prinzipiell die Möglichkeit. Diese gibt es mit proprietärer Software prinzip-bedingt gar nicht, wenn die Firma überhaupt Probleme öffentlich bekannt macht (wovon im allgemeinen eher nicht davon auszugehen ist), diese zu gibt oder aber z.B. bei Versionen, die nicht mehr vertrieben werden, aber die womöglich noch eine Installationsbasis haben, gar nicht mehr gewartet werden.
Wenn dir das jemand so lapidar sagt, ist das natürlich erstmal Unsinn. Noch einmal: hier hat das doch gar keiner behauptet.
Der Versuch eine der wohl bekanntesten und vor allem durch Fachexpertise renommierte Organisation in offensichtlicher Weise despektierlich miteinzubringen, aber selber im Grunde genommen wenig Ahnung (vorgeblich) von der Materie vorzuweisen bzw. keinen ernsthaften Diskurs-Willen zeigt, trägt dazu bei wie du wahrgenommen wirst oder aber evtl. auch wahrgenommen werden möchtest (Thema Raige Bait).

Bleiben wir bei der "Sicherheit" - unklar immer noch welche du meinst und implizite Annahmen hier zu treffen ist bei diesem Thema schwierig.

Ein Beispiel: Telemetrie - was man auch darunter einordnen kann, da Benutzer sich auch um ihre Privatsphäre (zunehmend) sorgen. Ist man also vor Telemetrie sicher in einem Softwareprodukt?
Das ist schwierig bis gar nicht festzustellen bei proprietärer Software / Closed Source.
Bei FOSS besteht aber überhaupt erst die Möglichkeit sich einer Analyse annehmen zu können.
Ja, wenn man das selber nicht kann, muss man sich auf die Expertise anderer verlassen - und bei prominenten FOSS Projekten dürfte die Chance gross sein, dass das auch (eher) getan wird als beim 5-millionsten (hoch-)anonymen Github-Projekt mit keinen Stars, Forks und auch sonst keine mediale Erwähnung geniessen durfte bisher. Dann fängt man an sich zu informieren. Im Zweifelsfalle lässt man halt die Finger davon.
Bei Closed Source aber: 0% Chance. Es ist einfach im Ansatz schon nicht möglich.

Thema Vertrauen: Autobau, Hausbau - da müssen die Kunden ja auch vertrauen letztendlich. Und die wenigsten können wohl diese Dinge wohl "ingenieursfachgerecht" beurteilen. Lebensmittel im Supermarkt, Essen im Restaurant - überall musst du vertrauen. Oder nicht? Ok, der Vergleich ist solala, aber auf dem Niveau ungefähr basiert deine fundamentale Grundeinstellung und Herleitungen zu FOSS.
So sind wir leider "im Westen" aufgewachsen.
Aber Edward Snowden ist dir schon auch ein Begriff oder?
Und erneut: das hat hier so überhaupt keiner ausgesagt. Selbstverständlich haut man sich auch nicht einfach ungesehen irgendeine FOSS Software auf die Platte.
Z.B. KeepassXC (Links auf die Schnelle im Internet gefunden, gäbe sicherlich mehr/bessere - aber einfach als Beispiel): hat sich einen Ruf aufgebaut (bzw. Keepass als "Original")), wird vielfach eingesetzt, wurde/wird getestet , analysiert, Schwachstellen werden entdeckt und entsprechend agiert dann, es gibt Audit , usw. Aufgrund seiner Verbreitung und generell guten Rufes ist diese Software oft auf Empfehlungslisten verschiedenster Publikationen usw. anzutreffen. Wenn man also selber nicht "der Crack" ist um die Code Basis dahingehend zu durchleuchten (und ja, das sind die wenigsten), dann ja vertraut man der "Schwarm-Intelligenz", gespickt mit (mutmasslich) vertrauenswürdigen Quellen. Ob man dem CCC, dem BSI, der heise Redaktion, dem "IT Supporter in der Famlie", der lokalen Linux User Gruppe, usw. vertraut - muss jeder mit sich selber ausmachen. Mir reicht es aus, so dass ich KeepassXC grundsätzlich bedenkenlos einsetze und wenn es Bugs mal gibt (nichts ist fehlerfrei), freue ich mich, dass der gefunden und gefixt wird. Fertig. Ist dir was aufgefallen: dabei habe ich mit keinem einzigen Wort erwähnt, dass ich deshalb 1Password unsicher finde.
Und zum x-ten Mal erneut: keiner hat hier behauptet Apples Password-Manager sei unsicher. Du kommst mit so einem Unfug an und bringst dich deshalb in die Ausgangslage aus der heraus du dann eben kritisierst wirst.
Und einfach noch einmal. Du haust einfach weiter in die Kerbe, die du dir selber geschaffen hast - aufgrund der Quantität muss man daher schon von ausgehen, dass du trollst.

In diversen Diskussionen hier auf MTN - und das Thema Passwortmanager scheint ein immer wiederkehrendes zu sein - stehen oftmals im Mittelpunkt: Funktionalitäten und Kosten (insbesondere wenn es Richtung Abonnements geht). Dazu kommen dann und wann mal - vor allem wenn es mal wieder einen Sicherheitsvorfall gab (und das sind nur die, die bekannt wurden) - Erwähnungen aus der Presse und/oder Reviews (z.B. durch die ETH). Jedes Mal eigentlich immer mit konkreten Vorfällen. Keiner hier, der normal denken kann, würde uneingeschränkt die Parole raushauen "alle Open Source Passwort Manager sind sicher". Diesen Standpunkt versuchst du uns aber ständig unterzujubeln.
Zum Teil vielleicht schon. Aber der ganze Gesprächsverlauf zeigt auch auf, dass eine gewisse Polemik nicht abzustreiten ist und eine engstirnige Voreingenommenheit sich durchzieht.

Zurück zum Titel "Ist Open Source wirklich besser / sicherer ???" - der aber von Another MacUser stammt und der "besser" Teil sich gar nicht so in deinem Originaltext findet ().
Somit könnte man das abkürzen hier, da das nicht "auf deinem Mist" gewachsen ist, sondern die Formulierung erweitert wurde. Denn "besser" ist noch umfassender und vor allem relativ. Um dem aber auch eine (kurze) Antwort aus meiner Sicht zu geben:

Prinzip-bedingt definiert FOSS 4 Freiheiten (). Und da Closed Source diese 4 überhaupt nicht hat, kann man in der Tat sagen, dass FOSS besser ist - aus Prinzip- / Konzept-/ gesellschaftlicher (und was weiss ich noch) Sicht.
Nun: im konkreten: wenn ich natürlich ein Problem habe und es dazu keine adäquate FOSS Lösung gibt, aber eine gute proprietäre, ja dann wäre meine Einstellung - es gibt andere denen das zuwider wäre - "ja klar, dann kaufe ich die und akzeptiere die AGBs / Bedingungen, die damit einhergehen. Denn ich will mein Problem gelöst haben. Wenn an einem zukünftigen Zeitpunkt eine FOSS Alternative, die meine Anforderungen erfüllt, auftaucht, dann steht auf der Traktandenliste, ob ein Austausch der einen durch die andere Software zur Diskussion steht.
Hier werden dann verschiedene Aspekte evaluiert, wie Mehrwert, Kosten und sonstige Punkte, die man für relevant hält (z.B. Ursprung der Firma, Firmenskandale, ist es europäisch (wenn man auch den Punkt der aufkommenden Diskussion um digitale Souveränität ebenfalls miteinbringen möchte)).

Kurz noch: Kosten.
FOSS Entwickler leben nicht von Luft & Liebe. Nur weil etwas FOSS ist sollte die Selbstverständlichkeit nicht vorherrschen, dass man sein ganzes Leben lang freeloaden kann. Diejenigen, die es sich erlauben können - Firmen, die FOSS Bestandteile nutzen, (so gut wie jeder) Entwickler, deren Karriere / Wissen immer einen Teil von FOSS auf irgendeine Art und Weise profitieren, täten gut daran die entsprechenden Möglichkeiten der z.B. Spenden / Beiträge zu nutzen. Es gibt ja auch FOSS-Geschäftsmodelle, wenn das auch in sich ein super schwieriges Thema ist.

Und das ist ein weiterer "besser"-Punkt (der in den 4 Freiheiten abgedeckt ist): FOSS ermöglicht Personen / Organisatonen, die wenig bis gar nichts haben, dennoch die Möglichkeit haben zu lernen, etwas zu nutzen, usw. - z.B. abgekürzt "IT Unterversorgung in afrikanischen Ländern" (aber man muss auch nicht soweit weg gehen um Beispiele zu finden) - Linux, diverse Open Source Anwendungen usw - ermöglicht benachteiligten Personen auch "teilzuhaben". Oder denkst du Microsoft und Adobe schenken ihre Software her?

Ferner kann man mit Linux ältere PC-Hardware neues Leben einhauchen, wesentlich länger betreiben. Das ist ein sehr grosses "besser"-Plusplunkt bzgl. Nachhaltigkeit als mit proprietären Betriebssyteme und Hardware.

Es geht mir nicht ums Ärgern, aber diese These ist zwar extrem verbreitet und beruft sich auf die Autorität von Popper, aber sie ist so gesagt kategorial falsch.
Man kann genauso wenig falsifizieren wie beweisen. Für beides gibt es keine absolut gültigen Kriterien. Allgemein akzeptierte oder zwingend logische schon gar nicht.
M.E. liegt das daran, dass als Hintergrund für die Behauptung, dass man (nur) falsifizieren könne, der unplausible, extrem überzogene und praxisfremde Ansicht, Dass für eine These ein einziges Gegenbeispiel benötig würde, um sie zu widerlegen.
Das aber ist eine absurde Idealisierung. Das Gegenbeispiel kann:
• An den Haaren herbeigezogen sein.
• Nicht logisch sicher zur These passen.
• Gefakte sein.
• Nicht belegbar sein.
• Ein Irrtum sein,
etc. und pp.

Mit anderen Worten: Es kann keine Sicherheit geben. Nur Menschen können GLAUBEN, dass etwas sicher sei. Das aber ist schlicht eine Annahme, eine Hypothese.

Zur Orientierung dienen also viel weichere Kriterien ausreichend (da wir keine anderen haben):
• Plausibilität.
• Übereinstimmung mit verbundenen und akzeptierten Vortstellungen.
• Mehrheiten der scientific community.
• Noch keine groben, bekannten Fehler.
• Dass aus Thesen Abgeleitetes in der Praxis funktioniert (Viabilität)
Und andere mehr.

Ein Beispiel: Wenn Homöopathie funktionieren würde, dann könnte kein Computer funktionieren und kein Auto fahren, da die angenommenen Wirkprinzipien den wissenschaftlichen Theorien über Physik und Chemie komplett und radikal widersprechen.
Ergo tendiere ich dazu, Homöopathie für reine Esoterik zu halten und unterstelle mit Gründen denen, die das nicht so sehen, mangelnde wissenschaftliche Kenntnisse und eine fehlende Bereitschaft, soviel sich anzueignen, um diesen Mangel zu beseitigen.
Aber zu 100% sagen, dass Hömöopathie Schindluderei ist, das geht formal nicht. Davobn ausgehen tue ich aufgrund meiner Argumente doch. Ich tue so als ob die 100% nahezu erreicht sind.

Ergo kann auch niemand sagen, dass irgendeine Art zu denken ABSOLUT falsch oder richtig sei. Man kann Annahmen treffen, sie mit Argumenten erläutern. Mehr nicht.
Und man trägt die Verantwortung für das, was man so glaubt.
Überhaupt ist die Aussage gegenüber einer konkreten Position, dass sie weder absolut richtig noch absolut falsch sei, eine nichtssagende Bedeutung, denn sie bedeutet gegenüber der konkreten Position nicht. Sie macht sie weder sicherer noch angreifbarer. Es ist eine leere Rhetorik, System 6.0.1. Sie wird ähnlich oft von Esoterikern verwendet wenn sie sagen, dass Wissenschaft nicht alles erklären kann. Was eine Binse ist. Und absolut nichts sagt. Schon gar nicht für Esoterik. Sie diskreditiert lediglich den, der so eine undurchdachte Argumentation benutzt.

Langer Rede kurzer Sinn. Laut dem von System 6.0.1 Geschriebenen komme ich zum (nicht absolut sicheren) Schluss, dass es ihm tatsächlich um vorgefasste, verkürzte und unsolide Vorannahmen geht, weil er auf Gegenargumente schlicht nicht eingeht. Und sein Versuch, eine absolute Position zu fordern, sonst hätte er recht, die ist im Kerne unwissenschaftlich, denn sie kollidiert mit wissenschaftlichen Traditionen der Logik und der logischen Argumentation.

Irgendwie wird's hier im Forum immer anstrengender, ein interessantes Thema verliert sich mal wieder in Grundsatzdiskussionen.

Ich gebe zu, das war grob vereinfacht. Gummipunkt an Dich.

Ich versuche es jetzt mal mit einem völlig banalen Vergleich: Du sitzt beim Kartenspiel. Einer lässt dich nicht in seine Karten schauen, du weisst also nicht, ob er blufft oder wirklich gute Karten hat. Der andere zeigt dir deine Karten. Da siehst du, ob die gut sind oder ob er/sie blufft. Wem würdest du mehr vertrauen?

Doch…
Du hast den entscheidenden Teil ( bewusst ) weggelassen: Das kann so sein, muss es aber nicht. Umgekehrt gilt das gleiche für ClosedSource – kann, muss aber nicht.

Die Aussage halte ich für nicht wahrscheinlich.

Aber nochmals: Dann stelle die Frage doch bitte einmal so, wie Du der Meinung bist, das sie richtig ist. Danke.

Happy Start in die Woche, C.

ZuDa fällt mir eine überzeugende Aussage von Moshé Feldenkrais ein (aus einem völlig anderen Kontext):
Es gibt keine Sicherheit, nur die Angst sie zu verlieren.

Im Gegensatz zu Closed-Source gibt es einen wirklich großen Unterschied.
Open Source - Entwickler mag den Bug nicht fixen:
Option 1 - Branch erstellen, Problem beheben (lassen), PullRequest und um Merge bitten
Option 2 - Fork erstellen, Problem beheben (lassen), selbst veröffentlichen.

Close Source - Entwickler mag den Bug nicht fixen:
Du hast keine Optionen - nichts geht mehr => auf ein anderes Produkt migrieren und ab in die Tonne.

Das bedeutet eben - wie ich zuvor schon geschrieben habe - OpenSource ist nicht per se besser als ClosedSource. Das hängt in beiden Fällen von der Aktivität am Projekt/Produkt ab. Bei ClosedSource beschränkt sich deine Mitwirkungsmöglichkeit darauf, deinen Obulus zu entrichten und (mehr oder weniger) höflich zu bitten, dass ein Problem beseitigt wird. Bei OpenSource kannst du direkt dazu beitragen, was unter Umständen bedeuten kann, dass du einem Dritten dafür etwas zahlen musst, damit er das Problem für dich (und alle anderen) löst.

Natürlich ist etwas, was sich nur statistisch erfassen lässt, keine Vereinfachung. Wenn ich schreibe, dass »von »im Mittel sinnvoll«, was ja eben eine Vereinfachung beinhaltet« meint es eine Reduktion auf eine geringere Anzahl an Möglichkeiten. Damit ist es »einfacher« daraus zu wählen, weil Du eine kleinere Anzahl an Möglichkeiten hast. Das reduziert die Komplexität der einzelnen Antwort nicht ( nicht unbedingt bis gar nicht ) ( es sind wenige eindeutige Antworten, aber »Heiraten oder nicht« zu beantworten kann durchaus nicht trivial sein ). Ich dachte, der Gedankengang wäre klar. Und weil Du das so anmerkst => Stichworte u.a. klassische Marktformen VWL, Komplexität des Marktüberblicks und Oligopol. Unter anderem und beipspielhaft… Man, hier muss man ja jeden Punkt erklären… Ihr seid aber auch penibel

Ich glaube, es kam nicht so an, wie ich es meinte. Also:
Die Aussage »OpenSource wird kontrolliert und ist damit sicherer« sehe ich so nicht. Ich sehe es wie ssb, dass – in meinen Worten – es perse nicht so sein muss, aber die ( jetzt kommt Deine und Marcels ) Wahrscheinlichkeit höher ist das es geschieht, weil »alle« es nachvollziehen ( im Sinne von einsehen ) und bei Lust und Laune es auch ( mit ) beheben können, bzw. könnten. Es besteht eben die Möglichkeit dazu, die bei Closed Source so wie bei OpenSource nicht gegeben ist. Und je größer, umfangreicher ein Projekt wird ( Stichwort Linux ), desto höher ist auch die Wahrscheinlichkeit, dass Fehler wohl auch behoben werden ( Stichwort »kritische Masse«, hatte ich oben irgendwo schon mal ähnlich formuliert ).

Und wie wir alle wissen ist keine Software fehlerfrei. Die Frage ist, ob die Fehler auftreten und falls ja, wie sie abgefangen werden.

Noch zu ssb: Ggf. wird ja auch eine Software(Firma) aufgekauft und ich »vertraue« den neuen Eigentümer nicht, so daß ich die Software deshalb nicht mehr nutzen kann/ will. Oder – bei kleineren Anbietern – er hat kein Lust mehr und setzt sich zur Ruhe. Dann hat OpenSource – unabhängig des Themas Sicherheit – den Vorteil von – ich nenne es mal – »lebt weiter«.

Greetings, C.

Vielleicht könnten wir uns mal rückbesinnen auf die eigentliche Fragestellung. Oder besser gesagt Fragestellungen (Plural), denn es sind ja mehrere Fragen gestellt worden:

1. ist OpenSource sicherer?
2. wie läuft das ab mit dem Review?
3. könnte auch Schadcode eingeschleust werden?

Die erste Frage wurde nun ausgiebig diskutiert, inkl. der bekannten und erwartbaren Verwerfungen zwischen den Foristen...

Zur 2. Frage:
Normalerweise werden OS-Projekt bei Projekt-Hostern eingestellt, in der jede Entwicklungsstufe (Release) nachvollziehbar ist, inkl. Änderungshistorie. Die bekannteste Plattforum ist wohl Github.
Dabei gibt es sog. Maintainer, die für die Organisation des Codes und seiner Änderungen zuständig sind und entscheiden, ob eine Änderung angenommen wird und wann mal wieder ein Release veröffentlicht wird.
Prinzipiell kann jede(r) Änderungsvorschläge einreichen, praktisch werden Commits von bisher unbekannten Entwicklern aber erst mal eher kritisch beäugt, man muss sich in der Projekt-Community einen Namen machen.
Vorschläge zu Verbesserungen (Bug reports oder Feature requests) kann man auch als Nicht-Entwickler einreichen.Je besser diese strukturiert sind, je eher werden sie berücksichtig. Einfach nur "Programm stürzt immer ab" ist eine sehr nervige Rückmeldung - also immer die genaue Systemumgebung beschreiben, dann die genauen Schritte, die zum reproduzierbaren Fehler führen, am besten noch passende Log-Auszüge mitliefern.
Man kann in den Projektseiten nachvollziehen, wer wann was eingebracht hat. Ein Projekt mit vielen "frischen" Commits spricht für eine lebendige Entwicklung - und wo viele Entwickler arbeiten, wird hoffentlich auch auf Code-Qualität geachtet.

zur 3. Frage:
Ja, das kann durchaus passieren. Vor einigen Monaten hat ein "bösartiger" Entwickler eine Backdoor bei einer weit verbreiteten Softwarebibliothek eingeschleust - er hatte sich vorher einige Zeit mit harmlosen/konstruktiven Commits einen passablen Ruf erarbeitet und dann bei einem Commit halt ein paar Zeilen "zuviel" eingereicht. Das ist leider erst zu spät aufgefallen.
Leider finde ich gerade auf die Schnelle keine Quelle dazu...

Das war die XZ-Tools Bibliothek / Projekt

Ein ebenfalls hochkritisches Problem gab es mal mit Log4j, einer Bibliothek, die in sehr vielen Unternehmen mit Java-basierten Applikationen zum Einsatz kommt:

Zeigt Beispiele auf, dass (natürlich) Open Source nicht automatisch sicher oder sicherer ist.
Die Chance gefunden und gefixt zu werden, kann aber womöglich ungleich grösser sein.
Bei Closed Source ist die Menge an Augenpaaren naturgemäss viel geringer, wenn denn überhaupt Schwachstellen überhaupt erkannt werden. Dazu gibt es aber höchstwahrscheinlich keine Datengrundlagen, da Unternehmen bzw. Softwarehersteller diese nicht freiwillig herausgeben bzw. Einsicht gewähren - wenn sie diese überhaupt selber haben, weil sie im Worstcase selber im Blindflug sind.

Und das ist "nur" die Sichtweise von "echten" Bugs und/oder absichtlich herbeigeführten Sicherheitsproblem.

Nun kann es aber auch absichtliche - bereits vom Hersteller selber eingebaute Backdoors (wie auch immer man das benennen möchte) - geben und da hat der Endkunde keine Chance - im Gegensatz zu FOSS.