Új hozzászólás Aktív témák
-
Kansas
addikt
A biztonsági szempontokat szépen összefoglaltad.
Szerintem emellett ott van az a nem mellékes kérdés is, hogy elvárható-e valakitől, hogy a nem kevés pénzért kifejlesztett megoldását nyílttá tegye, azért, mert csak...?
Ennek nincs szüksége terjesztésre az életképességhez mint anno a Mantle-nak, nincs érdemi előnye annak sem, ha nyílt standard lenne, szóval nem látom, mi motiválná őket a megnyitásra... nem jótékonysági egylet, hanem egy for-profit vállalkozás.
-
kovászos
tag
Nekem pont kellemes emlékeket juttatott az eszembe: a Brian életéből egy jelenetet , mikor az egyik mindig hozzáteszi a fogalmazáshoz, hogy "vagy nőket,... és nőket...stb..."
Úgy is lett volna szép a cikkben, ha a szerkesztő egészíti ki így pl.: "... - vagy nénik (a szerk.) -
) -
#26
hardzsi2
aktív tag
muszurkefal
#9
hardzsi2
aktív tag
válasz
muszurkefal
#9
üzenetére
Szerintem itt a fő kérdés, hogy ragaszkodunk-e a Security through obscurity-hoz hardveres biztonsági eszközöknél, vagy feladjuk azt?
Elsőre átgondolva három csoportra osztanám a titkosító eszközök forráskódja megnyitásának kockázatát:
1) szoftveres megoldás, amely már aktívan nem fejlesztett/támogatott: bár szerintem ilyet használni sem szabad(na) - ha menet közben megszűnt a támogatása, másik, aktívan támogatottat célszerű választani. Ebben az esetben a nyílttá tétel inkább hátrányos, mivel nagy eséllyel nem kerül peccselésre, ellenben a felfedezett sebezhetőségek kihasználhatók.
2) Szoftveres, aktívan támogatott megoldás: ezek megnyitását támogatom, hiszen jóval nagyobb esély van a tervezési/implementálási hibák felfedezésére és ezek záros időn belüli peccselése is megoldható. A problémát itt az okozza, hogy a bűnözői körök (és rendvédelmi szervek...) számára is könnyebb sebeshetőségek után kutatni és ha előbb találnak ilyet, akkor erre készített céleszközzel mindaddig (napok-évek) ki is tudják használni, amíg a open-source közösség fel nem fedezi és nem peccseli ugyanezt a hibát. A másik probléma, hogy a szoftver hiába kerül peccselésre, a javított verziók feltelepítése is idő és akarat kérdése (amelyből nem mindig akad...), úgyhogy a javított verzió publikálását követően is sok sebezhető rendszer marad (és hogy ez mit okozhat, ahhoz elég a WannaCry-ra utalnom, amely egy hónapokkal korábban kijavított sebezhetőség ellenére sikeresen söpört végig gyakorlatilag az egész világon).
3) Alapvetően hardveres implementáció, mint a cikkbeli PSP: ugyan ezekben is található egy -feltételezem, hogy többnyire frissíthető- szoftver réteg, amelyen keresztül a felfedezett biztonsági rések peccselhetők, azonban el tudom azt képzelni, hogy egyes felfedezett hibák esetében a szoftveres javítás, vagy annak az eszközre történő eljuttatása nem -vagy csak költségesen- oldható meg, emiatt egyes publikált rések javítatlanul -és kihasználható formában- maradhatnak. Emiatt a hardveres implementációk esetében nem feltétlen támogatnám azok megnyitását. Ráadásul a hardverek esetében a sérülékenységek felfedezését "csak addig" kell megakadályozni, amíg az adott hardvert a világon aktívan, nagy mennyiségben használják, ez pedig hardvertől függően mondjuk max. egy 20 éves időkeret. Ezt követően már hiába kerülnek nyilvánosságra a sebezhetőségek, annak nincs nagy jelentősége. Forrásuk megnyitása azonban növeli annak kockázatát, hogy az aktív használatuk alatt több kiaknázható sérülékenységet fedeznek fel.
Sajnos az IoT eszközök és koncepció felemelkedésével az utóbbi probléma hatványozottan előtérbe kerül, hiszen ha pl. egy háztartásban mondjuk csak 10+ eszközben (mosógép, hűtő, klíma, kazán, médiacenter, okosotthon rendszer stb.) fut netre kötött beágyazott hardver egy olyan biztonsági megoldással, amelyen sebezhetőséget fedeztek fel, akkor nehéz elképzelni, hogy mindezen eszközök peccselését minden háztartásban akkurátusan elvégzik (kezdve azzal, hogy a legtöbb felhasználó ezekről eleve semmit nem is tud és nem is elvárható, hogy Mari néni képben legyen és az összes, 10+ háztartási eszközét szoftveresen rendszeresen karbantartsa, biztonsági javítgatásokat telepítsen ezekre stb... . Itt egy újfajta fizetős szolgáltatást (megrendelésre egy család/háztartás összes netre kötött rendszerének tesztelését és peccselését, biztonságossá tételét hozzáértők egy menetben elvégzik) látom egy lehetséges jövőbeli megoldásnak.
-
#22
fornettisuti
veterán
fornettisuti
veterán
Ha nem, hát nem.
-
#20
kretenallat
senior tag
kretenallat
senior tag
Nem hiszem, hogy az AMD meg tudná változtatni az intel hozzáállását, azt meg nem tudom, kinek higgyek, biztonságosabb lenne-e a nyílt forráskód, vagy sem. meddig lehetne elvárható a frissítés az egyes gyártóktól a felmerült hibák kapcsán? 5év? vagy még ennyi se? esetleg több? :S Sokba kerülne 2 évente cserélni a gépparkokat, nem?
OFFtopik:
nem kettő van, aztán mindenki úgy hivatkozik magára, ahogy akar, szíve joga. (a londoni metrós cikk kapcsán)mint ahogy az is mindenkinek szíve joga, hogy tájékozódni jár ide, vagy fikázni, de néhányan azért már bántóan visszaélnek ezzel a szabadsággal.
belefutottam a bácsik-nénikbe, lehet, hogy nem a legprofesszionálisabb megfogalmazás, de sikerült túlélnem, ráadásul még csak a napomat sem tette tönkre (ahogy látom, szerencsés vagyok, többeknek fog álmatlan éjszakákat okozni...
-
jerry311
nagyúr
A nyílt forráskód nem garancia a biztonságra, csak akkor ha a megfelelő emberek keresik és javítják benne a hibát. Ha valami nem népszerű, akkor akár évekig, évtizedekig is szarul működik, sebezhető, stb.
Viszont ha valamit zárt dolgot egyszer csak megnyitnak, arra nagyon sok ember ráugrik, ez legalább abból a szempontból jó, hogy a nagyobb svindlik kiderülnek, ha nem javították őket a megnyitás előtt. (Lásd BKK online jegy, ahol még csak forráskód sem kellett annyira gáz a rendszer.) -
#14
Kansas
addikt
muszurkefal
#9
Kansas
addikt
válasz
muszurkefal
#9
üzenetére
+1
Mióta a Linuxokban is egy csomó évtizedek óta benne levő sérülékenységet találtak(pl. ezt), alaposan megrendült a hitem a nyílt forráskód biztonságosságában... -
#13
kriszpontaz
veterán
kriszpontaz
veterán
Az AMD csak azért számít ebből a szempontból fő célpontnak, mert az Intel egyszerűen nem meggyőzhető a nyílt forráskód előnyeiről, viszont a fő konkurensüktől egy váratlan lépés hatással lehetne rájuk is. Ez már csak azért is fontos, mert az Intel megoldásában pusztán a nagyobb piaci részesedés miatt sokkal vehemensebben keresik a biztonsági réseket a gonosz hacker bácsik – vagy nénik.
Ja, kb. mint amennyire az NV-re hatással voltak az AMD nyílt forráskódú cuccai.
-
#9
muszurkefal
aktív tag
bil
#4
muszurkefal
aktív tag
A nyílt forráskód biztonságosságáról rengeteget lehet vitatkozni.
Megvan az az előnye, hogy ha kellően nagy az érdeklődés és foglalkoznak vele etikus emberkék, akkor tudnak jelezni még ténylegesen fel nem fedezett sérülékenységet.
Ugyanakkor egy processzorhoz kapcsolódó forráskódot nem hiszem, hogy érdemes kitenni annak a kockázatnak, hogy az egész világ belelásson.
Ilyen deep területen nagyon bele lehet ám piszkálni a működésbe, amiből esetleg komoly anyagi kár is keletkezhet. -
-
rii
nagyúr
nézz meg rengeteg topik összefoglalóját .-)
(no'ez nem volt magyar ... de lehet én'se vagyok az)pld. a milyen ..... -t vegyek topikokban .... linux topik ... stb.
irdalamtlan tudástárat lehet köszönni a PH!-nak .... és midennek ára van ... ha bulvárkodik a ph akárholbárholmáshol, akkor az az ára.
cserébe csak benézel egy adott topik összefoglalójába, és máris nem veszel kakás cuccot ... vagy pld. nekem nagyon jót tett h rámerőszakoltak egy olyan alaplapot, amit nem akartam ... mert tudták -velem ellentétben - h az a legjobb nekem az adott körülmények közt, mert Ők értenek hozzá.
-
#3
muszurkefal
aktív tag
Youri
#1
muszurkefal
aktív tag
-
)
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- BESZÁMÍTÁS! Intel Core i5 4570 4 mag 4 szál processzor garanciával hibátlan működéssel
- Intel Core i5 4590S 4 mag 4 szál processzor garanciával hibátlan működéssel
- Intel Core i9-9900K - Garancia - Ingyen posta
- Intel Core i5 4440 4mag 4szál processzor garanciával hibátlan működéssel
- Intel I5 13600 k (1 év Garanciával )
- 16 GB RTX 4080 SUPER HP OMEN - garanciával
- Telefon felvásárlás!! Xiaomi Redmi Note 13, Xiaomi Redmi Note 13 Pro, Xiaomi Redmi Note 13 Pro+
- Samsung Galaxy A13 64GB, Kártyafüggetlen, 1 Év Garanciával
- ÁRGARANCIA!Épített KomPhone i5 13400F 16/32/64GB RAM RTX 3060 12GB GAMER PC termékbeszámítással
- Azonnali készpénzes GAMER / üzleti notebook felvásárlás személyesen / csomagküldéssel korrekt áron
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopműhely Bt.
Város: Budapest