2. Fórumok
  3. Szoftverfejlesztés
  4. Új fejezet a müncheni Linux-sztoriban
Keresés

Új hozzászólás Aktív témák

  • #332 Dr. Akula félisten hcl #331
    Új Válasz #332
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Dr. Akula

    félisten

    válasz hcl #331 üzenetére

    Zárt OS-nél is átnézik a kódokat, csak nem hobbisták, hanem hivatásosok. Te tudod hogy melyik linuxnál ki mondjuk az NSA beépített ügynöke, aki "minden rendben van, én már átnéztem" mesével altatja a többieket? A másik meg ha minden kiderülne azonnal, sose kellen semmit patchelni, javítani, hisz már a program megírásakor kiderült volna és eleve javítva jönne ki a szalagról. Az hogy valaki megbízható télapók és jézuskák átnézték, csak egy vakhit, ami addig nem is derül ki amíg szinte senki nem használja. Mint a "vírusmentes Linux" urban legendje. A számodra mindkét esetben (zárt, nyílt) csak egy jóskapista kisdobosbecsszava áll hogy ő leellenőrizett mindent. Vagy igen, vagy nem.

  • #333 Воланд titán hcl #331
    Új Válasz #333
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Воланд

    titán

    válasz hcl #331 üzenetére

    "Sok-sok ember túrja naponta a Linux forrást, és ha bármi hiba vagy disznóság van benne, az hamar kiderül."

    Hát persze.

    Linux community finally fixes 6-year-old, critical bug

    “Most serious” Linux privilege-escalation bug ever is under active exploit (updated) - Lurking in the kernel for nine years, flaw gives untrusted users unfettered root access.

    Security bug lifetime

    "In several of my recent presentations, I’ve discussed the lifetime of security flaws in the Linux kernel. Jon Corbet did an analysis in 2010, and found that security bugs appeared to have roughly a 5 year lifetime. As in, the flaw gets introduced in a Linux release, and then goes unnoticed by upstream developers until another release 5 years later, on average. I updated this research for 2011 through 2016, and used the Ubuntu Security Team’s CVE Tracker to assist in the process. The Ubuntu kernel team already does the hard work of trying to identify when flaws were introduced in the kernel, so I didn’t have to re-do this for the 557 kernel CVEs since 2011."

    [ Szerkesztve ]

    "Woland egy fura sátán, nem Isten ellenfele, hanem afféle küldötte, végrehajtója egy megromlott emberi világban, csak annyi rossz van benne, amennyi itt rátapadt."

  • #363 #82729984 törölt tag hcl #331
    Új Válasz #363
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    #82729984

    törölt tag

    válasz hcl #331 üzenetére

    Szerintem a nyilt forrás körül sok félreértés van.

    A nyilt forrás legnagyobb előnye (biztonsági szempontból), hogyha hiba van, akkor azt sokkal könnyebb kijavitani, illetve úgy is ki lehet javitani hogy a gyártó esetleg nem vagy nem időben javitja.
    Persze azért itt is véleményes, hogy mennyiben óhajtod az éles rendszered patchelni egy Gipsz.Jakab@gmail.com-os embertől jövő javitással, illetve hogy egyáltalán képes vagy-e leforgatni a kódot, de ettől még megteheted elméleti sikon.
    Zárt forrás esetén nem.

    Tehát ez egyértelmü előny a nyilt forrás mellett.

    "Sok-sok ember túrja naponta a Linux forrást, és ha bármi hiba vagy disznóság van benne, az hamar kiderül."
    "Nagyon paranoiásak leszedhetik a forrást, és lefordíthatják vagy átnézhetik."

    Ez viszont sok ponton cáfolható.
    - a linux forrást nem túrja sok ember naponta
    - aki túrja az is csak egy-egy részterületét
    - hibát ritkán lehet észrevenni szemmel veréssel (azaz ha nem egy specifikus hibát nyomozol, az életben nem fogod kiszurni a 20 millió kódsor között hogy nini az ott egy hiba)
    - úgy alapvetően hibát észrevenni csak olyan fog aki napi szinten fejleszt az adott kódban, mert a termék kódismerete nélkül másképp lehetetlen, következésképp az illető az adott termék fejlesztője és ilyenből kevés van

    És ezt támasztja alá a mindennapi élet is, a legtöbb hibát akár zárt akár nyilt forrásról beszélünk, tapasztalati úton fednek fel és nem a forráskódból szúrják ki.

    Egyébként (csak adalékként) nyilt forrás kapcsán a mai napig van egy elméleti diskurzus, miszerint nyilt forrású kódba a legkönnyebben backdoort/biztonsági hibát csempészni külső fejlesztőtől jövő "hibajavítással" lehet, azaz a legnagyobb fegyverét maga ellen lehet fordítani. Ez azon alapul hogy a legtöbb program kódja elég bonyolult ahhoz (tipikusan security related kódok, pl openssl), hogy csak néhány ember értse, igy ha átcsúszik a review-n akkor máris megvan a baj. És ha kiderül, az illető max felteszi a kezét hogy bocs nem vettem észre (és úgysem tudják hogy kicsoda).
    Openssl kapcsán több ilyen is volt, amikor konkrétan felmerült hogy az illető külső fejlesztő amúgy nem-e valamelyik 3 betüs amerikai hivatalnak dolgozik egyébként, akik a valós fejlesztés mellet "side-effectként" egy-két "apróságot" is behoznak (pl. lelimitálták a kulcskészletet...).

    "Ugyanígy a repókból lejövő adatokat is sokat átnézik, illetve ha egy repóból egy hozzáértőbb embernél feltelepülne valami gyanús, az pillanatok alatt elterjed, és az a repó percek múlva zárva."

    Na hát erre is volt már sok ellenpélda. Amúgy ez tök független a nyilt vagy zárt kódtól.

Új hozzászólás Aktív témák