Security by Obscurity (Sicherheit durch Verschleierung) ist natürlich keine Methode um echte Sicherheit zu erreichen. Selbst wenn es sich nicht um offenen Source Code handelt, ist es nur eine Frage der Zeit bis die Verschleierungsmaßnahmen durschschaut und damit geknackt werden. Aber auch Fehler im Programm können zu Sicherheitsproblemen führen. Gerade bei Open Source Produkten, deren Quellcode im Prinzip jeder nach sicherheitsrelevanten Fehlern durchsuchen kann, werden solche Lücken schnell entdeckt und publik - und in der Regel auch schnell geschlossen.

So konnte ich neulich beobachten wie eine kleine, private Webseite mit rund 800 Angriffen über HTTP beschossen wurde. Offensichtlich handelte es sich um einen "Scanner" der bekannte Sicherheitslücken gleich haufenweise automatisch ausprobiert. Darunter waren Angriffe auf Typo 3, Joomla, Foren, Galerien und und und.

Auch meinen eigenen Webseiten (auch der angegriffenen) liegt ein Open Source Produkt zu Grunde (eigentlich mehrere): Wombat . Obwohl Wombat (natürlich) das beste Produkt des Universums ist :-), sind Fehler nicht ausgeschlossen. Normalerweise beklage ich, dass Wombat von niemandem verwendet wird, aber dadurch hat Wombat einen Security by Obscurity Vorsprung: Da kein Mensch weiss wie Wombat funktioniert, kennt auch niemand die Sicherheitslücken (wenn es welche gibt), ergo gibt es keine Angriffe auf das System.