Das war schon bei Dan Geers Keynote von der BlackHat das Problem:
Fehler suchen und beheben nützt etwas, wenn man "endlich" viele
Fehler hat, und diese Fehler schneller behebt als andere neue
einbauen.
Bei Programmen der Größenordnung von Firefox & Co. ist das aber nicht
der Fall. Es gibt da nicht einige wenige Bugs, sondern irgendwo im
vier- bis fünfstelligen Bereich. Die findet man nur einen kleinen
Bruchteil.
Mein Bild vom aktuellen Internet ist irgendwie so wie das mit den
ganzen Schläuchen bei "Brazil" in der Wohnung des Protagonisten. Es
ist einfach dermaßen viel kaputter Schrott, dass das Flicken an
einzelnen Stellen eine Sisyphos-Arbeit ist. Du dichtest ein Ding ab,
und das nächste fliegt dir um die Ohren.
Auf der anderen Seite sind die Angreifer (allen voran die NSA), die
an wirklich *allen* Stellen angreifen. Die sagen nicht "naja, wir
bekommen die Daten ja, wenn du sie auf Facebook postest, also lassen
wir den Rest in Ruhe", nein, die machen auch den vollen Rundumschlag.
So ein Riesenmonster wie den Firefox kriegt man nicht dicht. Auch den
Chromium kriegt man nicht dicht. Da wird es halt schwieriger, weil
man erst aus der Sandbox ausbrechen muss; grundsätzlich ist das schon
der richtige Ansatz, die Angriffsfläche zu reduzieren.
Fehler suchen und beheben nützt etwas, wenn man "endlich" viele
Fehler hat, und diese Fehler schneller behebt als andere neue
einbauen.
Bei Programmen der Größenordnung von Firefox & Co. ist das aber nicht
der Fall. Es gibt da nicht einige wenige Bugs, sondern irgendwo im
vier- bis fünfstelligen Bereich. Die findet man nur einen kleinen
Bruchteil.
Mein Bild vom aktuellen Internet ist irgendwie so wie das mit den
ganzen Schläuchen bei "Brazil" in der Wohnung des Protagonisten. Es
ist einfach dermaßen viel kaputter Schrott, dass das Flicken an
einzelnen Stellen eine Sisyphos-Arbeit ist. Du dichtest ein Ding ab,
und das nächste fliegt dir um die Ohren.
Auf der anderen Seite sind die Angreifer (allen voran die NSA), die
an wirklich *allen* Stellen angreifen. Die sagen nicht "naja, wir
bekommen die Daten ja, wenn du sie auf Facebook postest, also lassen
wir den Rest in Ruhe", nein, die machen auch den vollen Rundumschlag.
So ein Riesenmonster wie den Firefox kriegt man nicht dicht. Auch den
Chromium kriegt man nicht dicht. Da wird es halt schwieriger, weil
man erst aus der Sandbox ausbrechen muss; grundsätzlich ist das schon
der richtige Ansatz, die Angriffsfläche zu reduzieren.