Release Source Code of Platform Security Processor (PSP) to Libreboot / Coreboot

(viele hier nicht bezogen auf die algemeinheit denn fast niemand den ich kenne tut es tatsächlich, sondern im vergleich zu der zahl derer die closed source überprüfen, denn vermutlich überprüfen den Linux Kernel mehr Menschen als Microsoft dafür abstellt)
Das bezweifle ich mal, da nur eine Handvoll Weltweit wirklich noch versteht, was da abgeht.
Was ich nicht bezweifle, dass diese paar wirklich kompetent sind.
Letztendlich läuft es immer darauf hinaus, dass zunächst Funktionalität geprüft wird und, wenn derjeneige noch Zeit und Ahnung hat, auf bekannte Sicherheitslücken. Und ändert sich mal eine Lib muß erneut geprüft werden. Alles.
Testen ist eine zeitaufwändige Arbeit die nicht honoriert wird. Es ist nicht produktiv.
Selbst wenn du Monatelang nach bestem Gewissen getestet hast und dann im Feld doch noch eine Konstellation auftritt die zu einem Problem wird, fragt sich dein Chef, was du die Monate überhaupt getan hast.
Nicht umsonst wird in der Luftfahrt Industrie mit uralten Compilern und Libs gearbeitet, da man deren Fehler kennt.
Eine Codezeile in bestehendem Code ändern, wochenlange Bürokratie.
Und jetzt erzähl mir, dass sich eine Menge erfahrene Entwickler monatelang aus Spaß hinsetzen und nach Fehlern suchen.
Die denken eher daran, wie sie bestehende Probleme beheben und das nächste Feature implementieren.
 
Letztendlich läuft es immer darauf hinaus, dass zunächst Funktionalität geprüft wird und, wenn derjeneige noch Zeit und Ahnung hat, auf bekannte Sicherheitslücken.

Bekannte Sicherheitslücken in neuen Code?

Nicht umsonst wird in der Luftfahrt Industrie mit uralten Compilern und Libs gearbeitet, da man deren Fehler kennt.

Schlag das doch mal so einem Dreckladen wie Adobe vor.
 
Zuletzt bearbeitet:
Bekannte Sicherheitslücken in neuen Code?
Versuch mal auf unbekannte zu testen.
Zu den Bekannten:
Achtest du nicht darauf, dass keine Nullpointer Exceptions kommen können oder ein Stackoverflow stattfinden kann?
Benutzt du noch strcpy statt strncpy?
Machst du keine statische Codeanalyse und testet auf Speicherleaks mit valgrind nach Fertigstellung des Programms?

Selbst dann bleiben noch eine Menge logischer Fehler.
Grad letzte Woche: Ein Kollege hatte die Kontext Menues angepasst, dass nicht mehr gelöscht werden konnte.
Dummerweise verarbeitet XAML auch Tastatureingaben. Mit Maus Objekt selektiert und Entf gedrückt, weg war es.
War wochenlang nicht aufgefallen, da das Programm fast nur mit Maus bedient wird.
 
Versuch mal auf unbekannte zu testen.
Zu den Bekannten:
Achtest du nicht darauf, dass keine Nullpointer Exceptions kommen können oder ein Stackoverflow stattfinden kann?
Benutzt du noch strcpy statt strncpy?
Machst du keine statische Codeanalyse und testet auf Speicherleaks mit valgrind nach Fertigstellung des Programms?

Komisch nur das sowas wie Rust dann nicht aus der kommerziellen Welt kommt.

Selbst dann bleiben noch eine Menge logischer Fehler.
Grad letzte Woche: Ein Kollege hatte die Kontext Menues angepasst, dass nicht mehr gelöscht werden konnte.
Dummerweise verarbeitet XAML auch Tastatureingaben. Mit Maus Objekt selektiert und Entf gedrückt, weg war es.
War wochenlang nicht aufgefallen, da das Programm fast nur mit Maus bedient wird.

Und daran macht der Kommerzkram was besser?
 
Komisch nur das sowas wie Rust dann nicht aus der kommerziellen Welt kommt.
Wieso komisch? Wie ich merke, bist du kein Geschäftsmann. Gibt viele tolle Programmiersprachen aber nur wenige werden kommerziell vertrieben. Da reicht es nicht nur einen Compiler und ein paar Libs zu verkaufen. Bin mal gespannt wie sich noch GO entwickelt, steckt schließlich Google dahinter.

--- Update ---

Man kann behaupten es sei viel bessererer *rofl*
Der äußerliche Schein ist besser. Man will ja was verkaufen und das geht besser, wenn es hübsch aussieht.
Zudem muß man etwas bieten fürs Geld, da reicht kein Komandozeilentool mit kriptischer -h Hilfe.
 
Und bei dem AMD code für den PSP um den es hier geht muss genau was hübsch aussehen?

Gibt es abgesehen von deinem "der hacker kennt den code nicht", was bei keinem Sicherheitsforscher als argument durchgeht, noch irgendetwas sicherheit relevantes das gegen das freigeben des PSP codes spricht? Oder gehts jetzt nur noch um hübsches aussehen?
 
Du hast wohl ein paar Beiträge übersprungen.
 
hmm
da war dein "Das bezweifle ich mal, da nur eine Handvoll Weltweit wirklich noch versteht, was da abgeht." <- und diese handvoll hat vermutlich fuer AMD an dem PSP code gearbeitet?

Dann der text um "Testen ist eine zeitaufwändige Arbeit die nicht honoriert wird. Es ist nicht produktiv." <- und das hat mit closed vs open source sicherheit was genau zu tun?

Dein naechster beitrag:
"Benutzt du noch strcpy statt strncpy?" <- das kannst du aber mit simpler suche bei open source sehr leicht ueberpruefen, bei closed source ueberhaupt nicht...

"Selbst dann bleiben noch eine Menge logischer Fehler." <- (die es sowohl in open als auch in closed source code geben kann) die in closed source aber niemand unabhaengig suchen und beseitigen kann, bei open source aber durchaus.

Dann: "Wie ich merke, bist du kein Geschäftsmann." <- und das hat mit closed vs open source sicherheit was genau zu tun?

"Der äußerliche Schein ist besser." <- und das hat mit closed vs open source sicherheit was genau zu tun?


Die haelfte deiner aussagen hat zu der sicherheit von closed vs open source software also nichts zu sagen.
Und bei den beiden anderen finde ich das open source besser weg kommt...

"Du hast wohl ein paar Beiträge übersprungen. " <- hab ich sonst noch irgendnen beitrag verpasst bei dem es um die sicherheit von closed vs open source geht?
 
Die haelfte deiner aussagen hat zu der sicherheit von closed vs open source software also nichts zu sagen.
Dachte es ging jetzt um dieses Thema:
Aber von closed source war durchaus die rede, es geht ja gerade um die vor und nachteile von open vs closed source!

--- Update ---

Ach so, darfst auch gerne Zitiren auf was ich geantwortet habe. Sollte dir aufgefallen sein, dass die mit dem Thema ebensowenig zu tun haben.
 
Zu ersterem:
Du hast recht, ich habe lediglich von vor und nachteilen von closed vs open source software geschrieben.
Das es hier, im ramen des threads um die sicherheitsaspekte geht habe ich impliziert aber bei naeherem betrachten kommt das aus meinem beitrag nicht rueber.
Das hab ich also unguenstig vormuliert.
Denn grundsaetlich sehe ich es auch so, dass open source nicht per se besser als closed source ist. Gut dotierte software entwickler bei firmen die closed source produzieren wissen durchaus was Sie tun und sind ihr Geld wert. Und das macht bei der qualitaet und "sicherheit" des codes nicht halt.
Wenn ich meine aussage aber korrigieren darf: Es geht mir, im speziellen im rahmen dieses threads, um die vor und nachteile von open vs. closed source einzig und allein in bezug auf die sicherheit einer anwendung bei der sicherheit das A und O sein SOLLTE, sofware also, wie den PSP code, bei der man aber nicht weiss was die prioritaeten des produzenten (AMD, nehmen die es bei PSP so genau mit der sicherheit, hat AMD diese handvoll experten fuer den PSP code angeheuert?) sind und wer sonst noch seine finger im spiel hat (Staatlich verordnete hintertuer fuer NSA?).

Zu zweitem:
Auch da hast du recht, auch andere beitraege beziehen sich nicht mehr primaer auf die von mir gerade genannten aspekte.

Vielleicht bin es aber ich, der das hier zu eng nimmt und ich mich mit meinem fokus einfach nicht (mehr?) in zentrum der Konversation befinde?
 
Man kann ja closed Source bevorzugen oder zumindest die MS Produkte aber das man dort inzwischen vieles als nicht kommerzielles Testsystem bekommt genauso wie die deutlich größere Transparenz was Bugs bei MS angeht im Vergleich vor 15 Jahren verdanken wir Linux.
Was vermisse ich die tolle Werbung mit den mutierten Pinguinen und ähnlichem.
Die NSA (oder andere Geheimdienste) werden theoretisch immer Möglichkeiten haben aber es gibt auch Aspekte wie Druckertreiber die Patronen prüfen und nach Hause telefonieren und ähnliches.
Wegen der Spiele nutze ich im Desktop auch Windows aber wo es für mich privat sinnvoll ist (also jedes andere System) probier ich Linux aus. Aber klar ist das man da auch Spaß am basteln haben muss und es auch da keine 100% Garantie gibt.
 
Zurück
Oben Unten