Author Topic: schwere Sicherheitslücke in SN?  (Read 3020 times)

0 Members and 2 Guests are viewing this topic.

Offline snsnsnsn

  • Advanced
  • ***
  • Posts: 273
  • Karma: +10/-13
    • View Profile
schwere Sicherheitslücke in SN?
« on: July 14, 2011, 08:21:38 AM »
Ich habe in der Shortbox einer Webseite gelesen daß SN eine von Betatestern gefundene Sicherheitslücke hat die laut Hauptentwicklern nicht mehr behoben werden soll.

Wie gefährlich ist diese Sicherheitslücke und weshalb wird sie hier verschwiegen? Es kann nicht sein daß ein Programm das Sicherheit verspricht und auf das sich die Nutzer verlassen diese durch Nichtveröffentlichung der Lücken gefährdet.

Dort wurde die Frage gestellt ob die Lücke im SN Protokoll 2.0 geschlossen wird. Auch die bei Schließung der Lücke genannte extreme Langsamkeit hätte ich gerne kommentiert. Das würde wohl bedeuten daß SN sich in einer Sackgasse befindet und daß jede Weiterentwicklung Zeitverschwendung wäre weil es unsicher oder unbenutzbar ist.

Offline Lars

  • Elite
  • *****
  • Posts: 2191
  • Karma: +33/-5
  • RShare/StealthNet Developer
    • View Profile
    • regensburger.name
Re: schwere Sicherheitslücke in SN?
« Reply #1 on: July 14, 2011, 09:28:35 AM »
Ich habe in der Shortbox einer Webseite gelesen daß SN eine von Betatestern gefundene Sicherheitslücke hat die laut Hauptentwicklern nicht mehr behoben werden soll.

Also hier wurde in den letzten Monaten (mehr als ein Jahr) nichts dergleichen geschrieben. Woher kommt das?

Offline snsnsnsn

  • Advanced
  • ***
  • Posts: 273
  • Karma: +10/-13
    • View Profile
Re: schwere Sicherheitslücke in SN?
« Reply #2 on: July 14, 2011, 03:33:48 PM »
Der Link der Quelle ist hier nicht erwünscht, es handelt sich um eine Seite mit SN Links.

Es gibt jetzt ein Bildschirmfoto. Du hast im März 2010 darauf geantwortet.

http://www.bilder-space.de/show_img.php?img=60ad8f-1310633700.png&size=original

Leider teilt der Poster nicht mit worum es geht und wie gefährlich der Fehler ist. Ihr solltet darauf näher eingehen.

Offline Lars

  • Elite
  • *****
  • Posts: 2191
  • Karma: +33/-5
  • RShare/StealthNet Developer
    • View Profile
    • regensburger.name
Re: schwere Sicherheitslücke in SN?
« Reply #3 on: July 14, 2011, 04:57:47 PM »
Und wo habe ich eine schwere Sicherheitslücke erwähnt?

Das, was ich damals schrieb, gilt heute immer noch. Die Anwender wollen eine Software die funktioniert, keine universitäre Forschungsarbeit.

Ob die Entwickler Mathematikprofessoren sind oder nicht, ist für den Anwender irrelevant. Oder wäre dir das lieber? Falls ja, GNUnet kann nach wie vor heruntergeladen werden. Ob es mittlerweile auch tatsächlich nutzbar geworden ist, weiß ich nicht. Damals konnte ich keine Dateien irgendwie vollständig erhalten.

Deine Kritik ist sicherlich in soweit berechtigt, wie ich damals auch schon bemerkt habe, nämlich dass nicht alles so implementiert wäre, wie es vielleicht eigentlich wünschenswert wäre.

Wie kommst du eigentlich gerade jetzt auf dieses Thema? Ich schaue hier zwar fast täglich rein, bekomme E-Mail-Benachrichtigungen, wenn jemand etwas neues schreibt, aber seit Monaten ist Funkstille.

Offline snsnsnsn

  • Advanced
  • ***
  • Posts: 273
  • Karma: +10/-13
    • View Profile
Re: schwere Sicherheitslücke in SN?
« Reply #4 on: July 16, 2011, 08:04:52 AM »
Wie gesagt ist das weder meine Meinung oder Kritik noch kenne ich den genannten Beitrag da ich in dem Betaforum nicht lesen kann. Es kommt alles aus der Shourtbox der dir bekannten Seite deren Link hier schon mehrmals gelöscht wurde. Schau es dir am besten mal selber an.

Heute steht dort zu lesen:
Quote
Es gab doch mal hier,im Forum oder bei Gulli.com eine einfache Anleitung wie man die IP der SN Uploader rausbekommen kann,bitte nochmal posten

Es kann ja sein daß jemand nur versucht SN schlecht zu reden. Er postet ja auch anonym. Aber ich wüßte schon gerne ob da etwas dran ist und viele Anwender dort werden sicherlich verunsichert und wechseln zu anderen Programmen.

Die GNUnet 0.9 gibt es nicht in komplierter Form. Die letzte 0.8 ist unbenutzbar. Es scheitert schon am Verbindungaaufbau.

Du hast völllig Recht daß in einer Tauschbörse die Benutzbarkeit vorgeht. Daß die Abmahner das Risiko eingehen SN Benutzer zu verfolgen glaube ich nicht. Der Aufwand ist zu groß und die Benutzer zu wenig.

Die perfekte Tauschbörse sieht meiner Meinung nach jedoch anders aus. Leider findet man niemand der es umsetzt oder es technisch nicht möglich. Es handelt sich um eine reine Klasse. Man gibt über ein beliebiges Tauschbörsenprogramm wie einen Emule-Mod, SN oder Retroshare ein Verzeichnis frei. Dies geschieht über die vorhandene SN Klasse. Wenn die Datei jemand anfordert wird diese in Echtzeit in OFF-Datenblöcke verwandelt. Das vorherige blocken entfällt also. Wenn jemand einen Dateiteil die MB 10-11 anfordert wird nur dieser Teil geblockt damit es schnell geht. Die OFF Blöcke werden mit Hilfe der Dateiprüfsumme erstellt, sind also immer die gleichen. Es ist egal auf welchem Rechner sie erstellt wurden. Die Blöcke werden dann über das einbindende Programm und dessen Protokoll verteilt, oder auf Wunsch langsamer über das SN Netzwerk. Da die Klasse das speichern der temporären Daten übernimmt kann ein Nutzer einen Teil im schnellen Edonkey laden oder bereitstellen und den Rest über SN.

Anders ausgedrückt: Man braucht nicht 10 anonyme Programme von denen keines massenfähig ist sondern eine Sicherheitsklasse die in alle verbreiteten Programme wie Emule oder Bittorent einbaubar ist und auf Wunsch mithilfe der besten Teile der vorhandenen benutzbaren Programme SN und OFF für Sicherheit sorgt.

Wenn so ein Projekt sinnvoll umsetzbar ist muß die Arbeit nicht umsonst sein. Ihr könntet ein Spendenprojekt gründen bei dem die Kalsse irgendjemand ab einer bestimmten Summe schreibt. Sobald sie dann fertig ist wird das Geld ausgezahlt. Ich denke daß es genügend abgemahnte Edonkey Nutzer gibt die ein paar Euro spenden würden.

Offline Lars

  • Elite
  • *****
  • Posts: 2191
  • Karma: +33/-5
  • RShare/StealthNet Developer
    • View Profile
    • regensburger.name
Re: schwere Sicherheitslücke in SN?
« Reply #5 on: July 16, 2011, 10:10:45 AM »
Wenn so ein Projekt sinnvoll umsetzbar ist muß die Arbeit nicht umsonst sein. Ihr könntet ein Spendenprojekt gründen bei dem die Kalsse irgendjemand ab einer bestimmten Summe schreibt. Sobald sie dann fertig ist wird das Geld ausgezahlt. Ich denke daß es genügend abgemahnte Edonkey Nutzer gibt die ein paar Euro spenden würden.

Wieso nehmen die dann die paar Euro nicht in die Hand kaufen die Daten anstelle sie unrechtmäßig zu verbreiten?

Ich habe nie SN aus dem Gedanken heraus entwickelt, eine illegale Tauschbörse entstehen zu lassen.

Das, was die Anwender mit dem Programm machen, habe ich nicht mehr in der Hand. Mir ging es eigentlich immer nur um die technische Umsetzung.

Offline snsnsnsn

  • Advanced
  • ***
  • Posts: 273
  • Karma: +10/-13
    • View Profile
Re: schwere Sicherheitslücke in SN?
« Reply #6 on: July 16, 2011, 02:47:36 PM »
Vermutlich weil sie sauer auf die Musik- und Filmindustrie sind und sich rächen wollen. Das ist ja egal. Es gibt vermute ich auch genügend andere die dafür spenden würden daß Emule und Bittorrent sicher werden.

Ließe sich die Codebasis von SN nutzen um soetwas einigermaßen schnell und günstig umzussetzen oder käme das einer kompletten Neuentwicklung gleich die mehrere Jahre dauert und dann doch eher zu teuer würde?

Offline Lars

  • Elite
  • *****
  • Posts: 2191
  • Karma: +33/-5
  • RShare/StealthNet Developer
    • View Profile
    • regensburger.name
Re: schwere Sicherheitslücke in SN?
« Reply #7 on: July 16, 2011, 05:31:59 PM »
Ließe sich die Codebasis von SN nutzen um soetwas einigermaßen schnell und günstig umzussetzen oder käme das einer kompletten Neuentwicklung gleich die mehrere Jahre dauert und dann doch eher zu teuer würde?

Du stellst Fragen, die man so pauschal nicht beantworten kann.

Schnell und günstig ist ein Widerspruch in sich, da "günstig" voraussetzt, das jemand das nur nebenbei erledigen kann, wodurch "schnell" passé ist. Umgekehrt kann man von der Entwicklung einer Peer-To-Peer-Tauschbörse kein Geld verdienen, wodurch man irgendetwas anderes hauptberuflich erledigen muss, wenn man nicht gerade Privatier ist.

Weiterhin kann das nicht irgendjemand erledigen, sondern nur jemand, der sich sehr gut bis ausgezeichnet mit vielen verschiedenen Dingen aus dem Bereich der PC-Software-Entwicklung auskennen muss.

Von GUI, über Netzwerkschnittstellen, Protokollebene, Kryptografie, Datenbank und Dateisystemzugriffen ist eigentlich alles dabei.