Curiosità su affidabilità delle distro

El Tazar · 26-10-2021, 18:08

Ciao, sono in un momento di "transizione" e da qualche tempo ho ritrovato passione in linux..mi stavo chiedendo una cosa: le distro sono una infinità e chi le mantiene spazia da comunità enormi (tipo debian) ad aziende vere e proprie (canonical,suse,red hat) e a piccole comunità/singoli.
Ora la mia domanda è...quanto ci si può fidare delle piccole comunità/singoli rispetto a comunità più strutturate o aziende vere e proprie?

Mi spiego meglio, supponiamo che i mantainer di una distro "minore" (prendiamo manjaro come esempio) decidano arbitrariamente di inserire tra i pacchetti un keylogger. E' fattibile? la comunità si può accorgere o è difficile?

Mi viene da pensare che sotto questo aspetto sia più plausibile riporre fiducia in comunità grandi o aziende piuttosto che in poche persone...sbaglio punto di vista? Cosa ne pensate?

sacarde · 27-10-2021, 09:12

per cominciare

https://wiki.ubuntu-it.org/Sicurezza/Malware

El Tazar · 07-11-2021, 07:03

Grazie ma forse non mi sono spiegato bene io.
Faccio un esempio pratico:
Io sono uno dei 4 manutentori di una distro minore "pippo" basata su una distro maggiore "PLUTO".
Se io volessi infilare qualcosa di malevolo nel codice di qualche pacchetto specifico per "pippo", una customizzazione ad esempio, chi può accorgersi sono i miei 3 colleghi che mi aiutano a mantenere la distro, giusto?

Ora, so perfettamente che anche un utente con le capacità può spulciare il pacchetto in questione, ma la mia domanda è: il ragionamento fila? E' mai successo?

Ovvio che più la distro è grossa e rodata meno c'è questo rischio, io parlo di distro minori che sono meno usate

Nicodemo Timoteo Taddeo · 07-11-2021, 07:13

Ovviamente è possibile e potrebbe succedere, ma per fortuna hai la possibilità di scegliere cosa installare.

Se pensi che le grosse distribuzioni subiscono più controlli*, hanno la necessità di essere al di sopra di ogni sospetto proprio per la loro popolarità e sono in definitiva più affidabili, usa una di loro e stai ragionevolmente tranquillo.

* Sui controlli del codice c'è tanta mitologia, in realtà la storia ha dimostrato che anche nelle grosse distribuzioni sono stati trovati bug di sicurezza presenti per decenni quasi quasi, nessuno se ne era accorto prima.

26-10-2021, 18:08	#1
El Tazar Senior Member Iscritto dal: Dec 2006 Messaggi: 998	Curiosità su affidabilità delle distro Ciao, sono in un momento di "transizione" e da qualche tempo ho ritrovato passione in linux..mi stavo chiedendo una cosa: le distro sono una infinità e chi le mantiene spazia da comunità enormi (tipo debian) ad aziende vere e proprie (canonical,suse,red hat) e a piccole comunità/singoli. Ora la mia domanda è...quanto ci si può fidare delle piccole comunità/singoli rispetto a comunità più strutturate o aziende vere e proprie? Mi spiego meglio, supponiamo che i mantainer di una distro "minore" (prendiamo manjaro come esempio) decidano arbitrariamente di inserire tra i pacchetti un keylogger. E' fattibile? la comunità si può accorgere o è difficile? Mi viene da pensare che sotto questo aspetto sia più plausibile riporre fiducia in comunità grandi o aziende piuttosto che in poche persone...sbaglio punto di vista? Cosa ne pensate?

07-11-2021, 07:13	#4
Nicodemo Timoteo Taddeo Senior Member Iscritto dal: Mar 2008 Messaggi: 20740	Ovviamente è possibile e potrebbe succedere, ma per fortuna hai la possibilità di scegliere cosa installare. Se pensi che le grosse distribuzioni subiscono più controlli, hanno la necessità di essere al di sopra di ogni sospetto proprio per la loro popolarità e sono in definitiva più affidabili, usa una di loro e stai ragionevolmente tranquillo. Sui controlli del codice c'è tanta mitologia, in realtà la storia ha dimostrato che anche nelle grosse distribuzioni sono stati trovati bug di sicurezza presenti per decenni quasi quasi, nessuno se ne era accorto prima. Ultima modifica di Nicodemo Timoteo Taddeo : 07-11-2021 alle 07:18.

27-10-2021, 09:12	#2
sacarde Senior Member Iscritto dal: Apr 2004 Messaggi: 9516	per cominciare https://wiki.ubuntu-it.org/Sicurezza/Malware

07-11-2021, 07:03	#3
El Tazar Senior Member Iscritto dal: Dec 2006 Messaggi: 998	Grazie ma forse non mi sono spiegato bene io. Faccio un esempio pratico: Io sono uno dei 4 manutentori di una distro minore "pippo" basata su una distro maggiore "PLUTO". Se io volessi infilare qualcosa di malevolo nel codice di qualche pacchetto specifico per "pippo", una customizzazione ad esempio, chi può accorgersi sono i miei 3 colleghi che mi aiutano a mantenere la distro, giusto? Ora, so perfettamente che anche un utente con le capacità può spulciare il pacchetto in questione, ma la mia domanda è: il ragionamento fila? E' mai successo? Ovvio che più la distro è grossa e rodata meno c'è questo rischio, io parlo di distro minori che sono meno usate

Strumenti
Mostra una versione stampabile Invia questa pagina per email