[wilhelmtux-discussion] Paper fuer EDSB

S.Aeschbacher s.aeschbacher at bturtle.ch
Mit Aug 28 12:22:26 CEST 2002


Hi,

On Wed, Aug 28, 2002 at 01:56:57AM +0200, Manfred Morgner wrote:
> Hallo,
> 
> vielen Dank für Deine Kommentare. Das Problem ist halt oft, dass einige 
> Ausdrücke zwar korrekt sind, aber misverständlich wenn man sie schreibt und 
> nicht spricht, sprich - anders gelesen als geschrieben werden. Drum möchte 
> ich einige wenige Kommentare meinerseits kommentieren weil ich eben tw. auch 
> unklar oder zu kurz formuliert habe.
> 
> [snip]
> > > darf er anfangen Fehler zu korrigieren. Es sollte wohl offensichtlich
> > > sein, (Kommentar: Heikle Behauptung! Selbst wenn sie wahr ist, ist das
> > > kritisch.)
> >
> > Warum?
> > 1. Hab ich nicht erwaehnt wer das so macht (sprich falls sie nicht stimmen
> >    wuerde, was ja sein kann, stoert sich niemand konkretes daran)
> > 2. Wenn wir betrachten was grosse Firmen fuer Geschuetz gegen OS auffahren
> >    finde ich duerfen wir auch unangenehme Warheiten benutzen
> 
> Ich meine, dass die Behauptung beim "Publikum" schlecht ankommt, nicht dass 
> es juristisch bedenklich ist. Ausserdem meine ich, dass es besser ist, nicht 
> "Aug um Aug" vorzugehen. Es sind auch ethische Werte, die freie Software von 
> der "dunklen Seite"  unterscheiden. Oft muss ich mir auch auf die Lippen 
> beissen, aber es kommt immer gut, letztlich freundlich zu sein. Darum habe 
> ich Dir auch den Link zu der Rede über "Freie Software in der New Economy" 
> genannt. Dort findet man auch gewisse Informationen über ähnlich 
> Zusammenhänge, die aber nicht so aggresiv klingen.

In punkto ethik und gegen Aug um Aug gehe ich mit dir einig. Fuer mich waer
aber Aug um Aug in diesem Fall genauso wie teile der kommerziellen 
SW-Industrie mit Unwahrheiten um sich zu schmeissen.
Da du nicht der einzige bist der der Meinung ist, die Aussage komme schlecht an 
werd ich sie wohl streichen... (ausser ich krieg nen publikumswuerdigen ersatz, mir
kommt grad nichts bessers in den sinn)

> 
> Meine Meinung ist (ich habe Jahre gebraucht um das zu verinnerlichen), dass 
> es bei öffentlichen Auftritten immer besser ist, FUER etwas zu sein als GEGEN 
> etwas.  GEGEN etwas ist jede Stammtischpolitiker. FUER etwas sind Leute, die 
> eine Botschaft haben.
Ich geb mir eigentlich muehe eher fuer was zu werben als gegen was... zwischen
durch brauch ich halt einfach einen kleinen kick um wieder in die fuer Schiene
zu rutschen ;)

> 
> > Remote root compromise in OpenSSH (hat nicht nur OpenBSD betroffen)
> > siehe: http://www.openssh.org/txt/preauth.adv
> 
> Aha - den Bug kenne ich, war mir aber nicht sicher, ob er OpenBSD auch 
> betroffen hat. Es scheint mir wichtig, bei "ein Problem" das "ein" als Zahl 
> zu unterstreichen, darum die Erweiterung "ein einziges..", oder auch 
> "gerademal ein ..". Laien könnten sonst Schwierigkeiten haben, den Satz 
> sofort zu verstehen.

habs korrigiert, sollte eindeutiger sein.

> > > OpenSource ist in keiner Form eine Garantie für Sicherheit und
> > > Datenschutz. Es gibt aber viele Punkte die diese Aspekte fördern.
> > >
> > > Freie Software ist keine Garantie für Sicherheit und Datenschutz. Es gibt
> > > aber Faktoren, durch die freie Software sicherer und stabiler wird als
> > > Closed-Source-Software.
> >
> > Nein, sie KANN sicherer sein, sie kann aber genausogut unsicherer und
> > unstabiler als viele kommerzielle Produkte sein (z.B. BIND)
> 
> Für mich als "Abgesandter" des grossen Nordkantons klingt die erste 
> Formulierung inhaltlich etwa so:
> 
> "OpenSource-Software ist ziemlich sicher unsicher. Aber wenn man unbedingt 
> will, kann man etwas dagegen unternehmen"
so aus dem zusammenhan gerissen: ja, du hast recht
(und das "breite" Publikum führt sich glaub gern aus dem zusammenhang
gerissene infos zu gemüte)

Darum: habs in deinem Gedanken modifiziert.

[snip]
> 
> > Sorry aber Mr. Gibson erzählt sehr viel wenn der Tag lang ist und vieles
> > davon ist falsch. Ich glaube nicht das der Link angebracht ist (auch wenn
> > die einzelne Story interessant waere).
> 
> Ich kann das nicht nachvollziehen, Ich habe lediglich die Beiträge über die 
> Angriffe, die Zusammenhänge und die Kommunikation mit MS gelesen. Hier wird 
> (ohne zu fachlich zu werden) klar, dass MS keinen Hauch einer Vorstellung von 
> Sicherheit hat. Dies auf eine fundierte, nachvollziehbare und juristisch 
> einwandfreie Art. Ich liebe diese Artikel, weil sie in Worte fasst, was ich 
> (als Windows-System-Entwickler) vorher nur fühlen konnte. Meiner Meinung nach 
> wäre ein direkter Link auf die "Strong tale.."-Story auch für Laien nützlich.
> 
> Ob Herr Gibson in seinen theoretischen Betrachtungen oder im technischen 
> Detail immer 100% RFC-konform ist, ist dabei nicht so wichtig. Am 
> geschilderte Sachbestand ändert sich dadurch nichts. Zumindest ist es solide 
> genug um nicht aus dem Netz geklagt zu werden.
Ich habe einfach muehe mit so groben (falschen) verallgemeinerungen die er 
erzaehlt. z.B. sein ShieldsUp gelaber ist fuer das von ihm angesprochene
Zielpublikum weitgehend irelevant. Es stimmt schon, das offene ports ein
risiko darstellen, normale Windoof kisten werden aber durch Outlook, IE & Co
gecrackt und kaum durch irgendwelche services die darauf laufen (OK, ein offenes
file sharing ist ne supereinfache angrifsstelle, outlook aber auch).
Ich wuerde viel lieber auf eine Site verweisen die genau den technischen
background hat den du in den naechsten (gesnipten) abschnitten beschrieben
hast.

> 
[snip ACK]

> 
> Darum ist es 
> 
> (1) Richtig, dass Du den Text hier revidieren lässt
> (2) Wichtig, dass _alle_ hier ihre Meinung dazu sagen
jajajajajajaja ;P

> 
> denn ich bin nur ein alter Mann, der versucht, aus seinen Erlebnissen die 
> richtigen Schlüsse zu ziehen und Ratschläge zu geben. Und ich bin, wie früher 
Ratschlaege die sehr willkommen sind..

[snip]
> 
> Darum aus ganzem Herzen meinen Dank für die viele Arbeit, die Du in dieses 
> Dokument steckst.
Danke zurueck fuer den kommentaraufwand den du betreibst, genau dies hilft
ein gutes paper zu machen und aspekte zu verbessern an die ich nicht gedacht
habe (oder nicht daran denken wollte)

mfg

Ste