Ja

Het label open source zegt iets over de beschikbaarheid van de software broncode. Doordat andere programmeurs de broncode kunnen inzien, kunnen (vroegtijdig) security holes worden ontdekt.

Maar ook, de goede programmeurs houden zich vooral bezig met systemen die vanaf het begin een goed security model hebben gehanteerd. Deze groep van programmeurs houden zich dus minder bezig met de huis-tuin-en-keuken software pakketten.

Wanneer je voor een secure systeem wilt gaan, ga onderzoeken welke OS-en de specialisten gebruiken. Mijns inziens kom je dan uit op een BDS variant.

Bij open source heeft iedereen die het programma gebruikt ook recht om de broncode te ontvangen, om die zelf te wijzigen, en om de wijzigingen weer aan anderen door te geven.

Dus ja, iedereen "kan die codes aanpassen", zoals jij het uitdrukt. Maar dat wil niet zeggen dat al die aanpassingen zomaar in de officiële versie opduiken, de aanpassingen die een of andere wildvreemde maakt zitten in de kopie die die een of andere wildvreemde van de software op zijn eigen systeem heeft staan, en niet in het origineel. Die wijzigingen kunnen wél aangeleverd worden aan de makers van de originele versie, maar die nemen die wijzigingen echt niet klakkeloos over, die nemen over wat ze vinden deugen en een verbetering vinden, of soms nemen ze alleen een goed idee over en coderen ze dat op een manier die ze beter in het programma vinden passen. Het is niet zoiets als Wikipedia, waar iedereen aanpassingen in kan doen die meteen aan iedereen worden voorgeschoteld. Hier moet dat nog langs het team dat de software-repository beheert.

Als jij dus zorgt dat jij bijvoorbeeld Thunderbird van https://www.thunderbird.net/ downloadt, of als je Linux gebruikt de versie installeert uit de Linux-distro die je gebruikt, en niet zomaar elke versie die je misschien ergens anders op het internet aantreft als gelijkwaardig daaraan beschouwt, dan hoef je niet bang te zijn dat er allerlei ongecontroleerde wijzigingen in zitten die het onveilig maken.

Geen enkele softwaremaker is feilloos, dus ook een open source-project niet, dus er kunnen altijd bugs en beveiligingslekken opduiken. Software als Thunderbird is niet een marginaal projectje is waar maar een of twee mensen in hun vrije tijd aan meedoen, dat is heel wat beter georganiseerd. Daar kan je verwachten dat dergelijke problemen goed aangepakt worden. Zorg dus, net als bij commerciële software, dat je bij blijft met updates. Dan is er geen enkele reden om dit soort programma's niet te gebruiken.

Ja


Nee (in tegendeel zelfs). Fouten zullen altijd gemaakt worden in software maar hoe en hoe snel iets wordt opgelost, dat is het essentiële verschil. Met versiebeheer erbij kan je ook nog zien wanneer en hoe iets is opgelost en kan je gemakkelijk terug naar oudere versies, vergelijken met andere versies, etc.

Neem het recente log4j probleem. Hoewel ernstig is de schade tot nu toe niet te vergelijken met bv. NotPetya (closed source Windows platform). Bij closed source weet niemand wat er nu eigenlijk écht aan de hand is onder de motorkap en blijft het maar dooretteren.

Zeer betrekkelijk. FoxIT gebruikt geen BSD als werkplek. Hackers zelf gebruiken bij voorkeur het superieure Linux, anders zouden ze snel zelf gehackt worden.

Die community zie ik vaak juist als voordeel :-), mensen die dezelfde software gebruiken en ervaringen kunnen uitwisselen.

Inzage in de code is er altijd, bedenk wel dat voordat je zelfstandig wijzigingen kan maken aan iemands code en die wijzigingen gepubliceerd worden je een eind verder bent. Meestal begint het met patches insturen waarbij de projecteigenaar bepaalt of je patch erin komt, en als dat een tijdje goed gaat kan je als ontwikkelaar aangemerkt worden en kan je zelfstandig wijzigingen maken. Ook dan nog kan iedereen zien (en terugkijken) anderen wat je doet, dus zomaar een backdoor of andere narigheid erin fietsen is niet zo simpel.

Okee bedankt voor de uitleg. Ik heb net een nieuwe computer en ben nu dus bezig met programma's updaten en alle programma's er af aan het gooien die ik niet meer gebruik of niet meer werken op mijn nieuwe systeem. En daardoor kwam dus ook meteen de vraag van welke programma's hebben wellicht een beter en veiliger alternatief.

Het is niet zo dat ik nu allemaal speciale programma's wil gebruiken of een telefoon zonder macos of android. Dat vind ik niet nodig als huis, tuin en keuken gebruiker die amper nog iets download.

Je bedoelt hackers - die jij kent - gebruiken het superieure Linux!

Laat me raden: Arch Linux met MetaSploit pre-installed?

Thunderbird deelt data van jou wel met Google. Waarschijnlijk om te checken of bijlages veilig zijn. Discutabel en bovenal teleurstellend.

Waarom niet met een schone installatie starten?

Het grootste gedeelte van het Internet draait op open source software.

Je kletst ala karma4. Thunderbird heeft helemaal niets met Big Tech van doen. https://www.thunderbird.net/nl/

Valt redelijk tegen. De internet exchanges draaien veelal niet op open source. De meest gebruikte switches zijn niet open source. Zakelijke routers en spul zijn veelal niet open source. De backbones van providers draait lang niet altijd open source.

Linux is er een grootaandeelhouder, maar ook veel software dat weer boven op Linux draait, is zelf dan weer niet open source. De hardware zelf is over het algemeen ook niet open source.

Is dat een voordeel? Want als diegene het niet meldt maar misbruikt is dat juist een groot nadeel.

Het grootste gedeelte van het internet is ook zo lek als een klontje.

Heb me (andere anoniem) net even 3 seconden hierin verdiept en die statement dat Thunderbird Google Safebrowsing gebruikt klopt gewoon.
Mijn bron: https://github.com/mozilla/releases-comm-central/search?q=safebrowsing

Dat het daarmee data ophaalt bij Google klopt dus lijkt mij, maar verifieer het gerust even. Al deelt het geen data van de gebruiker (slechts IP adres en dat de software gebruikt wordt).

Programmeurs keuren elkaars werk niet. Dat is wel gebleken, anders hadden we al die problemen niet. Die aanname kan dus in de prullenbak. Ik durf zelf te stellen dat open-source code MINDER gereviewd door dan closed-source code. Iedereen die vindt dat dat niet zo is, heeft nooit code van een ander gereviewd. Dat is niet zo makkelijk als het lijkt als je het goed wil doen, zo van 50...100 regels per uur. Er staat nl nergens een commentaar bij a la "Classic Bufferoverflow Here" (als er al commentaar bijstaat dat begrijpbaar is). Begrijpen hoe code ECHT werkt, ipv alleen maar proberen compiler te spelen of aan te geven hoe iets anders kan (meestal volgens een persoonlijke voorkeur), dt is weinigen gegeven.

Je mist het punt. Verdiep je er eerst maar eens in waar Richard Stallman dagelijks tegen aan liep (hint het ging over een printer) wat nu geleidt heeft tot open source dominatie, wat zelfs is doorgedrongen in de Azure switches.

Dat komt niet door open source maar door gesloten software gezien de ransomware incidenten (95% windows based)

JIJ kletst uit je nek want een bufferoverflow is geen bug maar het resultaat van een bug! Of iets gereviewd wordt hangt erg af van de cultuur. Domme niet verifieerbare stelling verder. Mensen zijn niet om open source gaan vragen om er vervolgens niets mee te doen!

Bedankt. Het probleem hiermee, is mijn inziens, dat Google aan de hand van jouw IP-adres weet wie jij bent, waar jij bent en wanneer je online bent (al kan mij niet indenken dat Google geen data terugkrijgt over welke bijlages jij bekijkt). Allemaal data dat Google niets aangaat en dat vanuit software dat pretendeert pro privacy te zijn, dat rijmt niet. En vragen aan Mozilla waarom, dat gaat dan weer niet.
Daarnaast krijg ik bij het in gebruik nemen van Thunderbird geen explicite vermelding dat jouw data gedeeld wordt met Google. Het is dat ik het per toeval zag in m'n firewall...


Je doet mij oprecht pijn door mij met hem/haar te vergelijken. Zie hierboven dat het dus geen onzin is.

Kijk maar eens welke code-probleempjes je moet oplossen by waf-bypass.com.
Vroeger begonnen met weak cgi lijsten en weak php. Intellitamper eigen woordenboeklijst aangemaakt.
Hoe omga je een CloudFlare IP blokkering, een dDos-protectie blokkering en nog meer,
als je achter een VPN of op tor zit? Intelx.io blokkeert alles dat vanachter een Tor adres komt.
Big Brother gaat thans voor volledig transparant eindgebruikers en neemt met minder al geen genoegen meer.
Vluchten voor de anonieme n3rd gaat niet meer of is uiterst moeilijk gemaakt. Clamps are down.

De juiste reguliere expressies weten in te kloppen.
JavaScript kwetsbaarheden en verlaten of verouderde libraries.
D.i. een oneindige bron van vermaak voor de een en zware hoofdpijn voor de ander.

Veel lezen, Control+Shift+I indrukken en gaan met dat inline scriptje.
Veel veiligheid niet geimplementeerd, doe maar eens een CSP scannetje.
Maar 'dat mag de buik niet rimpelen', als het goed gedaan wordt.

luntrus

Dat is het juist. Ze gebruiken de code, maar kijken er niet in. Waarom ook? Dat is gewoon teveel werk, en al zou je wel een code-review doen, waarbij je alle onderliggende technieken uitgebreid beheerst, zodat je weet op welke patronen je moet letten, dan ben je tijden zoet. Dus, open-source code, wie kijkt erin, niemand, dat is mijn stelling. Zie bv bj Log4J, maar ook OpenSSL en NTP etc. hoeveel kwetsbaarheden zitten daar wel in. Linux is ook niet veel beter, maar daar wordt niets over gepubliceerd, dus ook niets om over te reaguren.

En als Jantje Programmeur in zijn eentje iets op Github plaatst, dan heeft er helemaal niemand iets gereviewd.

Kortom, het ontbreekt aan een goed scoringssysteem voor open-source code.

De licentie heeft geen enkele relatie met de veiligheid van een stuk software.

Er wordt een stuk software geschreven, iemand kiest voor een bepaalde licentie en afhankelijk van deze keuze wordt de code gepubliceerd of niet en moet je er voor betalen of niet. Microsoft is een zeer bekende leverancier van closed source software en daar blijken regelmatig lekken in te zitten. Linux is een open source operating system, en daar blijken ook regelmatig lekken in te zitten! Maar is de ene licentie dan veiliger dan de andere? Nee. Of worden gaten sneller gedicht? Nee. Kun je de leverancier aansprakelijk stellen? Nee.

Kortom, het maakt geen ruk uit.

Jullie gaan echt voorbij aan de eerste vraag die je moet stellen en dat is niet of google je gegevens ziet maar wie eigenaar is van het product.

Dat is Mozilla en laten die nou net een mooie Privacy Statement hebben.
https://www.mozilla.org/en-US/privacy/thunderbird/

Kort gezegd je hebt geen privacy als het de bedrijven uitkomt en wettelijk mee wegkomen.

De les in dit is lees *alles ToS en privacy verklaringen van *alle* affiliated partners tunnelvisie gaat je niet helpen.

Kijk onder de Thunderbird instellingen naar 'Search Engine' en verander die van Google naar DuckDuckGo en dan ben je er waarschijnlijk vanaf (van dat verkeer naar Google domeinen dat je ziet)

Vroeg mij af waarom dat niet standaard DDG is. Verder is dit allemaal een storm in een glas water. Dan moet je de browser ook niet gebruiken met Google als zoekmachine.

En hoe vaak wordt de broncode gecontroleerd?
Ik denk dat er hier heel weinig mensen zitten die de broncode van de door hen gebruikte software echt bekijken.

Het idee is leuk maar in de praktijk kijken alleen voornamelijk mensen met kwade bedoelingen.

De enigszins professionele hacker gaat niet in broncode lopen speuren maar gebruikt gewoon fuzzing tools.

OpenBSD gaat er al sinds jaar en dag prat op een extreem laag aantal beveiligingslekken in het basissysteem te hebben door simpelweg systematisch code reviews te blijven doen door een team van 6-12 mensen waarin verschillende achtergronden vertegenwoordigd zijn. Dat team let niet specifiek op beveiligingslekken maar op bugs in het algemeen, want beveiligingslekken komen altijd neer op het exploiteren van een combinatie van bugs. Kennelijk weten ze met deze benadering een hoog niveau vol te houden.

Ik heb niets tegen fuzzing tools, en de benaderingen sluiten elkaar absoluut niet uit, maar wat OpenBSD doet is op mij altijd overgekomen als een zeer professionele manier om het te benaderen: de aandacht die code nodig heeft organiseren ze bewust.

Beperk het woord "professioneel" niet tot er "gewoon" een tool tegenaan gooien, hoe goed en nuttig die tool ook is.

https://www.openbsd.org/security.html

Leuk? Essentieel zal je bedoelen. Als je je er in verdiept weet je waarom. De gewone consument zal het niet boeien en jij ook niet blijkbaar. Microsoft boeit het inmiddels wel. Zie haar bijdragen op github en overname van github.

Ik doe veel met docker en ben van BSD overgestapt naar Linux. Dat is de plek waar wordt geïnnoveerd. BSD support ook niet alle hardware hier. Linux is ook alleen maar een kernel. Die wordt uitstekend onderhouden en bestudeerd door velen.
Het probleem zit net als bij BSD meer in de bibliotheken om een OS te kunnen vormen. Soms gebruiken ze dezelfde en soms net iets anders of helemaal anders (Android) . OpenSSL was een mooi voorbeeld (zie heartbleed 9 jaar geleden) Omdat iedereen er gebruik van maakt (incl Microsoft) is het een foundation geworden met een budget van one million USD per year and relies primarily on donations. Development of TLS 1.3 is sponsored by Akamai.
Die belangrijke bibliotheken en ook applicaties (browser is al zo) zouden onderhouden moeten worden door nonprofit organisaties.

Mooi voorbeeld van een vulnerability waarbij "The researcher notes that the issue has been hiding in plain sight since the first version of pkexec in May 2009.". Niemand ooit gereviewd? Misschien wel, maar de onderliggende techniek moet je dan natuurlijk wel precies weten (zie de uitleg van Qualys).

Waarom heeft fuzzing die niet gevonden? Niemand heeft blijkbaar ooit gedacht om een executable op te starten op deze manier. Ook fuzzing heeft zijn nadelen, als je niet precies weet wat getest wordt, dat je er dus maar geen 100% vertrouwen in hebt dus.

https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt

Je kan jezelf ook de vraag stellen:


Bij beide gaat het om vertrouwen. Bij open source code inspecteren werkt alleen als je zelf de code helemaal naloopt (inclusief de scripts!) en het aantal regels code beperkt is.

Dus het is helemaal aan jezelf.

Beide stellingen zijn wat vreemd natuurlijk. "Het internet". Waar doel je dan op? De switches/routers, het OS op de servers? De software op het OS? De plugins in de software?

Een Cisco switch met daaraan een server op een up-to-date Linux met daarop de laatste Apache/Nginx als server, met daarop de nieuwste Worpress als software en daarin een plugin van een of andere vage Chinese/Russische "developer" die al 6 jaar lang niet onderhouden is. Tja: "Zo lek als een mandje".

Of dus vertrouwen dat anderen dat doen. Bij closed source heb je in de regel alleen de makers en de "professionele bughuters" die dat doen. Bij open source heb je hen + ieder bedrijf/gebruiker die een stake heeft in gebruik van die software en de resources (tijd/geld/mankracht/kennis) om een bug die zij tegenkomen te onderzoeken. Daarbij is het bij opensource makkelijker om dat laatste te doen omdat iedereen de broncode kan bekijke. Dus zal het aantal mensen dat actief met bugs die een kwetsbaarheid aan het licht brengen groter zijn.

Dat klopt, maar als je een programma zoals OpenSSL gaat bekijken (en dan bedoel ik de "oude versies" van OpenSSL), dan zie je dat er zoveel gehacked is dat iedereen daar meteen van gaat wegkijken. Kijk je daarentegen naar LibreSSL, dan zie je direct dat de code veel beter georganiseerd is. Dus ja, je hebt gelijk, maar de cultuur van de makers is heel belangrijk.