Universität Erlangen-Nürnberg erforscht Open-Source

Ein (junger) Veteran, wenn auch nicht unbedingt der Open Source Bewegung. Übersetzer der deutschen (nicht wirklich gelungen) Übertragung des 'Design Patterns' Buchs von Gamma et al.

Beispiel: Skype (ganz egal ob man das mag und was man davon hält) ist keine openSource Software, dessen P2P Lösung und dessen Methoden hinter fast jeglicher NAT / Firewall trotzdem erreichbar zu sein, schlagen bis heute so gut wie jede openSource VoIP Software.
Es ist manchmal schon so, daß wenn ein Programmiererteam in einem Unternehmen eisern an einem Projekt arbeitet, dass dabei mehr rauskommen kann als jede Subroutine in einen "open source Kontext" zu stellen ... ich finde im Allgemeinen das Thema openSource überbewertet.

Skype ist aber ein unglaublich schlechtes Programm und ich würde sehr gern eine FOSS Alternative haben, die auch von anderen Leuten verwendet wird. Ekiga ist soviel besser imho.

Wenn wenigstens Skype das Protokoll aufmachen würde, dass man andere Clients bauen kann um nicht diese miese Stück Software zu nehmen (Skype for Linux 2.1 (Beta) auf Debian Testing/Ubuntu Karmic/SLED 10; ueberall mist)

"ich finde im Allgemeinen das Thema openSource überbewertet."

solange noch leute rumlaufen, die glauben, open source hätte etwas mit "gratis" zu tun (und das ist der größere teil, man lese nur mal die kommentare in den einschlägigen foren!) ist das thema IMHO massiv *unter*bewertet.

wie heißt's so schön?
"'free' as in 'free speech', not 'free' as in 'free beer'!"
:o)

Obendrein bekommt man von "free beer" schnell mal Kopfweh, von "free speech" ist das eher seltener zu erwarten :-)

bei roland schweiger ist das mit dem kopfweh wahrscheinlich umgekehrt ;-)

Das ist überhaupt keine Frage von open oder closed source. Wie Skype hinter FWs erreichbar bleibt kann jeder nachlesen.

http://www.heise.de/security/... 70856.html

Ist keine Hexerei, eigentlich ein wenig mit der Arbeitsweise von Malware zu vergleichen. Können Sie schön beobachten wie lange etwa Skype hinter einer restriktiven FW braucht, um sich mit dem Skype-Server zu verbinden.

Das Internet war ursprünglich so angedacht, daß jeder Rechner von aussen erreichbar sein MUSS und dass jeder jedem jegliches Service zur Verfügung stellen kann! Was wir mit NAT und Firewalls anstellen, ist widersinnig, vor allem noch unter dem Deckmantel der Sicherheit! Ich freu mich ja endlich auf den Tag wo IPv4 endlich vollständig von IPv6 abgelöst wird und endlich wieder jeder Rechner eine echte IP hat. Es ist doch kein "schmutziger Trick" sondern absolut legitim wenn Programme wie Skype es schaffen, (scheinbare) Verbindungen zwischen 2 "Kisten" herzustellen. Allerdings finde ich dass Programme wie Mermaid das noch besser machen weil sie auf IPv6 (und zB dessen Multicast Funktionen) abzielen. Jedenfalls hat NAT nix mit Sicherheit zu tun

Lassen Sie uns in Zukunft ganz locker und offen miteinander umgehen. Bitte hinterlegen Sie hier noch eventuelle Netzwerkbereiche Ihrer Server. "Einschlägige Dienstleister" in Russland, Bulgarien und China werde Ihren Idealismus sicher zu schätzen wissen. Ich gratuliere bereits jetzt zum Gewinn von 15 Millionen Doller, abzuholen in Nigeria.

Andere Frage: Was rauchen Sie denn so wenn der Tag mal wieder lang ist?

... das war immer schon der Hammer am Würstelstand! Ich verweise lediglich nochmal darauf, dass selbst ein relativ einfacher und alltäglicher Dienst wie RDP (Remote Desktop Protocol) die Notwendigkeit der Erreichbarkeit von Aussen verlangt. Ich weiß auch nicht warum man so häufig die P2P Protokolle gleichsetzt mit einschlägigen Diensten in Ländern die bei uns als unseriös gelten (allerdings verweise ich auch hier darauf dass etwa das Programm WinRAR aus Russland kommt). Auch ist mir unklar warum NAT so oft mit "Sicherheit" gleichgesetzt wird. Nun gut aber ich werde hier nicht mehr posten denn Beschimpfungen und Unterstellungen (Einnahme von bewusstseinserweiternden Substanzen) muss ich nicht rechtfertigen. Ach ja, 2^32 > 2^128!

ROFL!!

Möchte mich an dieser Stelle entschuldigen, denn bewusstseinserweiternd können die Substanzen garantiert nicht gewesen sein.

Logische Adressierung != Physikalische Adressierung.
Die beiden verfolgen zwei unterschiedliche Ansätze!

also IP(v6) und die P2P Protokolle (zB PNRP für die DNS-lose Veröffentlichung eines Namens) sind alle auf der logischen und nicht auf der physikalischen Ebene.

Das Internet war ursprünglich so angedacht, daß jeder Rechner von aussen erreichbar sein MUSS und dass jeder jedem jegliches Service zur Verfügung stellen kann!
-+--------------------------------------
Und wie sich herausgestellt hat, ist dieser Ansatz in der Praxis nicht brauchbar.

nun ja, fast alle Varianten von P2P (und auch das Peer Name Resolution Protocol) beruhen aber darauf, daß jeder Rechner quasi "server" und "client" zu gleich sein kann. Ich bin doch nicht der einzige den es verwundert und ärgert dass wir in den letzten 10 Jahren zwar alle super schnelle (A)DSL Letungen gekriegt haben aber es immer schwerer geworden ist, Rechner von aussen zu erreichen, war früher normal und wird dank IPv6 vielleicht bald wieder normal sein. Die wichtigsten Protokolle die das Internet eigentlich zu dem machen was es ist, beruhen definitiv darauf dass man auch erreichbar sein muss, ich dachte das wäre weitestgehend bekannt.

Sie sehen das Ganze a bisserl einseitig. Als Firma zB will ich def. NICHT, dass jeder interne Client nach aussen offen ist und jeder Mitarbeiter einen Server betreiben kann.

... säßen wir noch mit der Fackel in der Höhle!

Das ist a bissi a schwache Replik.

... man hat in den 60ern auch schon darüber diskutiert wieviel man vom Büro aus privat telefonieren darf usw.
Um in einem Unternehmen den Internetzugang der einzelnen Mitarbeiter einzuschränken reicht ja zB eine Bandbreitenbegrenzung. Nochmal - das Sperren der Erreichbarkeit von Rechnern ist grundsätzlich gegen das Grundprinzip des Internets weil das Internet eine Alternative zum Server --> Client Konzept sein sollte und weil jede Kiste Server und Client zugleich sein sollte. Die Behauptung "es gäbe böse Angriffe aus dem Net" ist ja auch widersinnig - es muss ja erst einmal auf einem Rechner ein böses Programm installiert sein welches böse Pakete erwartet. Wenn kein Programm lauscht, sind böse Pakete auch völlig wurst.

Ihnen ist ja hoffentlich bekannt, dass so etwas wie Klassen und später Subnetze bei der Adressierung eingeführt worden sind. Diese haben den Sinn Netze zu unterteilen, und mehr Möglichkeiten bei der Netzgestaltung zu haben. So ist es etwa möglich, dass man Lokale Netze mit der IP-Adressierung betreibt, die in sich ein abgeschottetes System darstellen mit einer definierten und abgesicherten Schnittstelle nach außen.

Der NAT dient hier selbstverständlich nicht zur Sicherheit, sondern zur logischen Abtrennung des Subnetzes vom "Internet" (also Summe aller Subnetze).

Ohne logische Adressierung bräuchte man auch wesentlich mehr Rechenleistung beim Routing im Internet! (Man stelle sich die Routingtabellen vor, für sämtliche Adressen..)

... zum einen weil langfristig der NAT Aufwand sinkt (bei großen Datenmengen ist nämlich das NAT Manipulieren der IP Pakete und Neuberechnen deren Prüfsummen auch ganz schöner Rechenaufwand) zum anderen gibt es in IPv6 Paketen auch wehniger Fehlerkorrekturmechanismen - im Übrigen Ja, Subnetze wird es in irgendeiner Form weiter geben (macht ja auch dort Sinn wo Daten eben nur lokal hin und her gesendet werden) aber trotzdem bin ich dafür dass endlich wieder jede Kiste eine echte eindeutige IP hat und das geht nur mal mit IPv6 und ich sehne den Tag herbei wo endlich schlagartig umgestellt wird, dann hören auch diese Übergangsmechanismen auf (SixXS, Gateway6, Teredo, IsATAP und so.) und wir haben direktes IPv6-zu-IPv6 (schnelles) Routing

Tut mir leid das feststellen zu müssen, aber mir kommt vor, dass Sie die Welt durch eine rosarote Idealisierungsbrille betrachten! Die reale Welt ist aber nicht "perfekt".

Und von wegen "böse Programme" ... dazu reicht ein remote exploitable BUG bereits aus. (Wie zB sogar mal im ssh-server - und ssh wollens nun wirklich nicht als "böses Programm" bezeichnen).

Abgesehen davon ist das Argument mit der Bandbreitenbegranezung auch in keinster Weise durchdacht.

Das Verhalten von Skype ist selbst in einer Umgebung ohne NAT nicht akzeptabel.

Wenn ich als Admin alle eingehenden Verbindungen am Router/FW abwürge weil ich nicht will, dass die Leute im Netz Dateien umherschicken, und Skype kommt daher und reißt mir erst recht Löcher in das Setup, so ist das nicht die feine englische Art.

du hattest bereits löcher die skype einfach nützt!

Natürlich, hätte man eine "block all out" policy am Router, würde auch Skype nicht durchkommen. Allerdings auch nichts anderes.

Ausgehende Verbindungen sind nun mal fast immer erlaubt, und die meisten Firewalls sind bei TCP (und sogar UDP und ICMP) state-aware, d.h. zu einer ausgehenden Verbindung korrespondierende Pakete werden auch reingelassen. Das nutzt Skype aus und erlaubt so Verbindungen, die man, folgten sie der üblichen Logik von TCP/IP, erfolgreich ausgesperrt hätte.