Macht es nicht nachdenklich, wenn zwei Firmen wie Apple und MS, die ja Milliarden verdienen und zehntausende von Mitarbeitern beschäftigen trotzdem ganz oben in den Listen der Sicherheitsmängel auftauchen? Ich denke, die sehen Sicherheit nur als wichtig an, wenn es um den Ruf und damit auch um wegbrechende Einnahmen geht. Das gilt vermutlich auch für Google, ob wohl die immerhin ein großer Förderer von opensource sind.
Closed source hatte schon immer nur ein einziges Ziel: den Verbraucher an die Software/Firma zu ketten und damit Geld zu verdienen. Sicherheit ist da eher nebensächlich.
Wer den Film über Steve Jobs gesehen hat, kennt seinen Ausspruch (und Woz hat ihn ja im Kern bestätigt, als er darauf angesprochen wurde). Ebenso ist die Strategie von MS absolut deckungsgleich damit, wie alle Erfahrungen aus der Vergangenheit bestätigen. Die wollen alle nur unser Bestes, und das ist nicht notwendig unsere Sicherheit.
Übrigens kann (und ist auch schon) heart-bleed jederzeit auch bei closed source passieren. Es können dort nur weniger Leute die Ursache analysieren und einen Fix schreiben. Und die Fehler bleiben möglicherweise länger verborgen, damit der Hersteller keinen Rufschaden erleidet. Hört man immer wieder: "Fehler seit Monaten bekannt - wir wollten erst eine Lösung schreiben..."
Sowas wie Jack beschreibt (TLS 1.2) ist übrigens problematisch und funktioniert nur im "fenced garden". Warum? werden wir vielleicht in Kürze erleben, wenn SHA-1 signierte Certs abgelehnt werden, und tausende von Seiten mit den entsprechenden Browsern nicht mehr angesehen werden können. Dabei ist die Bedrohung, die von SHA-1 Kollisionen ausgeht eigentlich ein Witz.
Was die Sicherheit angeht, muß ich mich auf Veröffentlichungen in den einschlägigen Medien (arstechnica, Bruce Schneier, slashdot etc.) verlassen (Die Kommentare dort sind übrigens um Größenordnungen fachkundiger und weniger pubertär als z.B. bei Heise).
Und diese Artikel malen kein so rosiges Bild von Apple, was Sicherheit angeht. Apple hat auch schon 2014 die Liste der Sicherheitsmängel angeführt:
http://www.zdnet.de/88219772/sicherheitsluecken-2014-os-x-und-ios-haeufigsten-betroffen/ - two years in a row - stolze Leistung.
Am Rande:
Abstürze kenne ich auch schon ewig nicht mehr (nicht mal bei Windows 7). Liegt aber auch daran, was man damit macht. Für normalen Betrieb sind die Systeme heute stabil. Probleme gibt es immer nur durch Kernel-Treiber (z.B: closed source NVDIA display-Treiber). Allerdings stürzt dieses fucking "skype-for-business" häufig ab. Drecks- und Spionagesoftware von MS eben... Muß man mit leben, denn in der Firma gibt es außer Handy keine normalen Telefone mehr.