Posted: Sat Sep 20, 2008 20:50 Post subject: Sicherheit
Hallo,
wie ist es eigentlich um die Sicherheit der in dd-wrt zum Einsatz kommenden Software bestellt? Sind schon mal Sicherheitslücken bekannt geworden?
Gibt es eine Seite, wo Neuigkeiten zu sicherheitsrelevanten Meldungen gepostet werden? Oder eine Mailingsliste, die man abonnieren kann?
Ich frage, weil ich eine solche Seite bspw. auf der Website von fli4l gesehen habe (http://www.fli4l.de/home/sicherheit/archiv/) und mich interessieren würde, wie das dd-wrt-Projekt mit der Thematik umgeht.
"Sehr schöne Ankündigung" _________________ 1 x ASUS WL 500g Premium (DD-WRT V.24)
1 x Bullet M2 (HP)
1 x WRT54G Ver. 3.1 (Freifunk)
2 x La Fonera (DD-WRT V.24)
2 x FRITZ!Box 7390
1 x FRITZ!Box 7270
1 x FRITZ!Box Fon WLAN 7170
1 x FRITZ!Box Fon WLAN 7050
1 x FRITZ!Mini
Der Grund dafür, dass niemand auf Deine Frage anspringt ist der, dass Du im falschen Bereich fragst! Hier geht es um "Ankündigungen".
Ansonsten finde ich persönlich Deine Frage auch wenig sinnig. Natürlch gibt es auch in DD-WRT Fehler (Verabschiede Dich vom Mythos fehlerfreier Software - die gibt es nicht!). Ab wann ist eine Lücke Sicherheitskritisch? Und glaubst Du das Originalfirmware vonwelchem Hersteller auch immer fehlerfrei ist?
Der Grund dafür, dass niemand auf Deine Frage anspringt ist der, dass Du im falschen Bereich fragst! Hier geht es um "Ankündigungen".
Nun, das Problem ist, daß es m. E. für Fragen wie diese, die nicht eine bestimmte Hardware-Plattform betreffen, keinen Bereich im Forum gibt, für den man plausibel argumentieren kann, daß er entschieden besser geeignet sei. Ich lasse mich aber gerne eines Besseren belehren, allein kam bisher kein konstruktiver Vorschlag.
7of9 wrote:
Ansonsten finde ich persönlich Deine Frage auch wenig sinnig. Natürlch gibt es auch in DD-WRT Fehler (Verabschiede Dich vom Mythos fehlerfreier Software - die gibt es nicht!). Ab wann ist eine Lücke Sicherheitskritisch? Und glaubst Du das Originalfirmware vonwelchem Hersteller auch immer fehlerfrei ist?
Du, ich glaube noch nicht mal, daß ich frei von Fehlern bin ;-)
Darüber, ob Software Code enthält, der die Sicherheit eines Systems gefährdet, macht man sich m. E. an diversen Stellen ausreichend Gedanken und die Ergebnisse dieser Überlegungen sind uns dank Einrichtungen wie http://www.cert.org/ gut zugänglich.
Setzt man auf einem System Code ein, der Fehler, wie sie dort publiziert werden, enthält, kann man sagen, daß es auf dem System eine sicherheitskritische Lücke gibt.
Es gibt nun gute Gründe, solche Lücken zu schließen, sogar im privaten Nutzungsumfeld.
Natürlich kann man sich als Nutzer einer Software mit offenem Quellcode letztlich durch Sichtung der zum Einsatz kommenden Softwarepakete und bei Bedarf des Codes selbst erkundigen, ob Sicherheitslücken vorliegen und diese auch selbst fixen. Allein fehlt mir und sicher vielen anderen Leute die Zeit (und offen gestanden auch die Lust und manchmal sogar das Know-How ) dazu. Den Entwicklern der jeweiligen Software hingegen sollte sie nicht fehlen und es sollte für Nutzer eine einfache Möglichkeit geben, sich über sicherheitskritische Softwarelücken informieren und diese schließen zu können.
Bei anderen Projekten für Router-Software ist dies i. d. R. möglich, beim dd-wrt-Projekt finde ich zu der Thematik bislang keine vernünftigen Informationen. Das finde ich defizitär, daher meine Frage, auf die ich weiterhin gerne eine Antwort hätte, da ich das Projekt - vorbehaltlich der Klärung dieses Aspektes - an sich interessant und einsetzenswert halte.
