News Apple: Daten in der iCloud sollen noch sicherer werden

[Minutourus]

Die NSA und Co/KG wird schon Wege finden um solche Geräte auszulesen ob mit Apple oder nicht, glaubt wirklich einer das die so doof dazu sind oder das Apple auch nach dem Sicherheits Update plus eigene Lobeshymnen keinen Zentral Schlüssel mehr hat?....

 

[ed25519]

Clientseitig sicher nicht, das ist ja gerade der Sinn einer solchen Verschlüsselung. Es bleibt halt closed-source, so wird man es nie mit Sicherheit sagen können.

@ascer: Ich spielte damit zb auf Heartbleed an. https://en.wikipedia.org/wiki/Heartbleed . Da sahen sicher auch viele Leute drauf und es wurde trotzdem übersehen, bis es dann halt wirklich einen Review gab. Klar, bei closed ginge das gleich gar nicht, ich wollte nur anmerken das open halt nicht automatisch "sicherer" heißen muss.

 

[TheGreatMM]

Die Behebung dieses bisherigen sträflichen Versäumnises jetzt als Erfolg/Leistung zu feiern ist auch wieder so...typisch Apple

Sicher nicht.... (Bin kein Apple Fanboy!) aber Apple ist einer der wenigen Handvoll Firmen die überhaupt Datenschutz zukünftig durchsetzen können.

 

[Mr.Church]

Naja, Apple ist so groß und sichert sehr viele Arbeitsplätze. Diese Größe kann auch seitens der Regierung nicht ignoriert werden. Man wird Apple sicher nicht lahmlegen, "abschalten" oder sonstwie an die Kandarre nehmen können, weil nun keine Daten frei Haus an die Behörden geliefert werden (können/sollen), bzw. weil die Behörden dann halt mal wieder klassisch ermitteln müssen.
Wie sagt man? Too big to fail?

 

[new Account()]

1. beschäftigen sich dort i.d.R. mehr Entwickler mit einer Sache (und bei mehr Augen, die auf den gleichen Code blicken, ist die Wahrscheinlichkeit schlicht höher, direkt Fehler zu finden)
und
2. gibt es dort dann sehr wohl Menschen, die sich gerne und ausgiebig mit Sicherheitsaspekten beschäftigen und das auch können - auch ohne Deadline (was im Vergleich zu Unternehmen sehr, sehr selten ist)

Zwei Behauptungen, die zu belegen wären

 

[ascer]

@new Account() das ist relativ einfach, wenn man sich mit der Materie beschäftigt.

Es kann, wie @ed25519 schon erwähnt, natürlich immer auch mal so sein, dass eine closed source Alternative sicherer ist, aber die Wahrscheinlichkeit spricht selten dafür.

Z.B. sieht man in einer Studie von Guido Schryen, dass etwa bei Browsern über einen Zeitraum von mehreren Jahren mehr als doppelt so viele Sicherheitslücken beim FireFox 2 im Vergleich zum IE7 gefunden wurden. Das wird aber nicht nur darauf zurückgeführt, dass der FF2 unsicherer sei, sondern vor allem auch darauf, dass auf dessen Code mehr Leute gucken (man spricht ja gefundenen Lücken; alles andere ist statistisch höchstens schätzbar und ungenau).
D.h. dort wurden Lücken viel öfter gefunden und zeitgleich wurden die Lücken dort im Durchschnitt auch zeitiger geschlossen. Das lässt sich bei vielen Open Source Projekten beobachten. Bei Linux vs. Windows z.B. zeichnet sich das gleiche Bild.

Punkt 2 kann man z.B. an der Zahl der Contributors, etwa beim Linux Kernel (bis 2017 über 15.000 verschiedene Entwickler mit mehreren Commits / mehr als nur ein paar Hundert lines of code) vs Windows Kernel ersehen (keine offiziellen Zahlen, aber in Windows Groups kursierten private Antworten, dass nur ein paar Tausend Entwickler bis dato am Windows Kernel gearbeitet haben).

Dann kommt noch dazu, dass Open Source Projekte häufig mehr fähige Entwickler haben. Jeder Dev wird das kennen: nur mit viel Austausch wird man wirklich gut. Deshalb gibt es SO, deshalb macht man so viel Teamwork, deshalb gibt es so viele Kooperationen an Unis. Closed Source schränkt den Kreis potentieller Entwickler ein. Das muss nicht schädlich für das Projekt, aber die Wahrscheinlichkeit, dass es das ist, ist relativ hoch -> es gehen jegliche Externe flöten, die das Projekt eventuell unterstützt hätten, wäre es Open Source.

Es ist auch so, dass gute Entwickler dazu neigen, Open Source Projekte vorzuziehen. Z.B. bei der PHPLive und auch nicht selten bei den PyCons, auch schon an meiner Uni, gibt es immer wieder Mal Umfragen, was die Entwickler bevorzugen: Open oder Closed Source und ich habe noch kein Ergebnis gesehen, bei dem Open Source nicht die absolute Mehrheit der Stimmen bekam.

Ich selbst habe auch schon mal für ein Startup AI Zeug entwickelt während meines Masters. Business, Deutschland, ... -> also natürlich closed source. Obgleich das Produkt hinterher allen Anforderungen entsprach und die Erwartungen übertraf, kann ich ohne zögern sagen:
Hätte es Externe gegeben, die auf den Code gucken, hätte ich die Arbeit in meinen üblichen wissenschaftlichen Kreisen diskutieren können, hätte ich die Arbeit auf einer conference kritisieren lassen können usw usf...
...das Ergebnis wäre definitiv noch besser gewesen.
So steckt in dem Endergebnis "nur" das beste einer kleinen Gruppe. Inklusive dem ein oder anderen Bug. Ganz sicher auch inklusive Bugs, die die vorhandene, beschränkte Manpower im Projekt nicht selbst finden konnten.

 

[senf.dazu]

Erzählen können sie viel, überprüfen kann es keiner. Und nun? Vertrauenswürdig ist das alles nicht.

Apple "wirbt" aber in seinen Systembeschreibungen mit diesem Feature und der Unzugänglichkeit für Dritte. Damit sollten sie eigentlich schadenersatzpflichtig werden wenn bekannt wird das sie irgendwem doch geholfen haben. Bräuchte also vielleicht nur noch ne Apple intern gepflegte Whistleblower Kultur ..