|
|
|
|
Strumenti |
29-12-2005, 19:22 | #1 |
Member
Iscritto dal: Aug 2004
Messaggi: 55
|
Dubbio sicurezza opensource
E' da tempo che mi frulla in testa un dubbio.
Ma i programmi opensource non dovrebbero essere poco sicuri? Eppure perchè schiacciano così nettamente i prodotti a codice chiuso, in primis quelli di M3rdasoft? In linea teorica un browser come Firefox o un sistema come Linux, avendo gli hacker pieno accesso al sorgente, dovrebbero essere traforabili come il burro, eppure perchè non lo sono? |
29-12-2005, 19:35 | #2 | |
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Quote:
Non avendo i sorgenti, alcune falle di M$ si sono protratte per mesi e, fintanto che M$ non provvedeva, non poteva farlo nessuno. |
|
29-12-2005, 19:37 | #3 |
Senior Member
Iscritto dal: Sep 2001
Città: Roma
Messaggi: 1920
|
Non è che non lo sono, è che spesso sono testati molto di più proprio per questo motivo.
Difatti esistono tanti sistemi operativi che fanno della loro forza l'uso di SOLI programmi sicuri e testati,
__________________
"Oggi è una di quelle giornate in cui il sole sorge veramente per umiliarti" Chuck Palahniuk Io c'ero |
29-12-2005, 19:38 | #4 |
Member
Iscritto dal: Feb 2005
Città: bologna
Messaggi: 236
|
perchè l'opensource permette una sorta di intelligenza collettiva, e l'avere il codice libero significa doversi concentrare sulla creazione di un buon codice
trovare un bug in prodotti tipo firefox è difficile perchè ci sono molti sviluppatori che lavorano per correggerli in prodotti closed quest'attenzione è ovviamente minore perchè tanto non si può studiare il codice e si genere la falsa credenza che quei bug siano nascosti e difficili da trovare
__________________
Linux User: #381770 |
29-12-2005, 19:40 | #5 |
Senior Member
Iscritto dal: Aug 2003
Città: Barletta (BA)
Messaggi: 939
|
L'open source nasce con lo scopo di creare una tecnologia migliore e far sì che tutti ne possano partecipare.
Il rencere pubblici i sorgenti da la possibilità di trovare i problemi (di qualsiasi natura) da parte della comunità molto prima che lo faccia un malintenzionato; e da la possibilità di chiudere i problemi anche in poche ore. Cosa impossibile con il modello di sviluppo classico. E poi diciamolo, per la maggior parte delle volte, il software open è sempre software di ottima qualità.
__________________
In a world without fences, who needs Gates? Power by: Fedora 8 - Mac OS X 10.4.11 |
29-12-2005, 21:12 | #6 | |
Member
Iscritto dal: Aug 2004
Messaggi: 55
|
Quote:
Anche perchè non è detto che il bug che trovi la collettività e il malintenzionato sia lo stesso. Un malintenzionato non potrebbe forse trovare un bug che verrà corretto nella versione, che ne so, 1.7? |
|
29-12-2005, 21:40 | #7 | ||
Senior Member
Iscritto dal: Jun 2001
Città: Alessandria (provincia)
Messaggi: 4772
|
Quote:
Quote:
Ma dall'analisi dell'attacco si capisce dov'è il bug e si corre ai ripari. Subito! non è che si dice "Ok, correggo poi rilascio assieme alla versione prevista per il prossimo anno" Questo vuol dire che viene rilasciata una patch (per chi la sa applicare) e/o una sottoversione dell'applicativo per chi deve ancora installare. |
||
29-12-2005, 21:41 | #8 | |
Senior Member
Iscritto dal: Jan 2004
Città: /dev/sda1
Messaggi: 4060
|
Quote:
E' la scoperta di nuovi bug che genera il rilascio della maggiorparte delle release Non è che il rilascio di una nuova versione pianifica che vengano introdotte delle correzioni di bug noti Quest'ultimo è un metodo di sviluppo tipico dei programmi a codice chiuso
__________________
| Linux User #391140 | Sito Ufficiale del LOLUG - Gruppo Utenti Linux Lodi - www.lodi.linux.it |
|
30-12-2005, 07:35 | #9 | |
Senior Member
Iscritto dal: Apr 2003
Messaggi: 375
|
Quote:
Un po di tempo fa avevo letto il post di uno che diceva una cosa simile: avere il codice sorgente disponibile in un sistema operativo è come mettere l'allarme in casa e scrivere il codice per spegnerlo sulla porta. Sbagliato: avere il codice disponibile è come mettere l'allarme in casa e il suo schema di funzionamento: sai come funziona, ma l'allarme c'è lo stesso. Poi tu mi dici: si ma se lo schema di funzionamento mi fa capire che il filo rosso stacca l'allarme, siamo daccapo. E qui la risposta: il problema è che anche chiunque possa leggere quello schema può vedere che li c'è una debolezza e modificare un attimo l'impianto.
__________________
- UoVoBW - GNU/Linux registered User # 364578 Debian Sid - kernel 2.6.23.1 - FluxBox http://uovobw.homelinux.org/ |
|
30-12-2005, 12:35 | #10 |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 1868
|
Esatto, in più se sai di scrivere software aperto stai attento a cosa scrivi per paura di fare figuracce
Di buchi ce ne sono ovunque, è impossibile scrivere programmi senza buchi, per quanto uno ci sta attento qualcosa scappa e se non scappa a lui è scappato a quelli che hanno scritto le librerie che usa. In più molti programmatori non sanno come scrivere in modo da evitare buchi, a loro basta che funzioni, soprattutto quando hai il fiato di qualche scadenza sul collo ti lasci scappare qualche controllo. Il discorso è proprio quello di dare la possibilità di controllare cosa si ha in mano, che poi la maggior parte degli utenti non guardi il codice è un'altro discorso, l'importante è averne la possibilità. Correggere un buco senza avere i sorgenti a disposizione è un'impresa ed è pure illegale! E' lo stesso discorso del filo rosso, una cosa è vederlo un'altra è poter fare in modo che non basti quello a staccare l'allarme.
__________________
[ W.S. ] |
03-01-2006, 15:28 | #11 | |||
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26107
|
Quote:
Quote:
Quote:
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
|||
03-01-2006, 15:35 | #12 | |
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26107
|
Quote:
Se questo dato riguarda società di grosso calibro, che adottano metodologie consolidate dell'ingegneria del software, si può intuire che il bug fix condotto da persone che non rispecchiano gli stessi "standard qualitativi" dev'essere sicuramente peggiore. Il fatto di avere disponibile il fix dopo poche ore dall'individuazione del bug, fa pensare che la fase di testing sia stata ridotta al lumicino, con le conseguenze che ne possono derivare. E' di gran lunga preferibile un workaround a un bug noto, in attesa di un fix che passi una consistente fase di test, piuttosto che un fix rilasciato troppo fretta e che può portare facilmente ad altri bug sconosciuti (e quindi potenzialmente dannosi).
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
|
03-01-2006, 15:38 | #13 | ||
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26107
|
Quote:
Quote:
Quanto ai test, non bastano mai. Proprio per questo sono nate metodologie di sviluppo "test driven", ma non è che si risolve del tutto il problema: il bug è sempre dietro l'angolo, anche se la percentuale di falle per righe di codice (ad esempio) può risultare più ridotta. Quanti sistemi / applicazioni open source adottano metodologie come questa?
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
||
03-01-2006, 15:41 | #14 | |
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Quote:
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
03-01-2006, 15:49 | #15 | |||
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26107
|
Quote:
L'open source non c'entra proprio nulla. Quote:
Quanto al personale "esterno" che lavora nel campo della sicurezza, può effettuare delle prove sulle API, "giocando" opportunamente sui parametri. Tante falle di sicurezza vengono trovate così dalle agenzie specializzate in questo settore. Altre falle si trovano effettuando il tracing del codice o il disassemblaggio di porzioni di esso. Quote:
Comunque è indubbiamente più difficile trovare dei bug per del personale esterno, senza avere a disposizione dei sorgenti.
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
|||
03-01-2006, 15:51 | #16 | |
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26107
|
Quote:
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
|
03-01-2006, 15:57 | #17 | |||||
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26107
|
Quote:
Quote:
Quote:
Quote:
Per quanto riguarda le metodologie di sviluppo e relativo mantenimento / bug fix, è tutto da vedere. Quote:
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
|||||
03-01-2006, 16:03 | #18 | |||
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26107
|
Quote:
Quote:
Inoltre il fatto che negli ultimi tempi le segnalazioni di bug di FireFox sono aumentate, la dice lunga su quanto pesi il fattore diffusione di un prodotto. Quote:
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
|||
03-01-2006, 16:03 | #19 | |
Senior Member
Iscritto dal: Jan 2004
Città: /dev/sda1
Messaggi: 4060
|
Quote:
Io non capisco tutto quest'astio per un modello di sviluppo che si è generato quasi da solo, si è reso operativo in pochissimo tempo e che si è dimotrato vincente, permettendo grandissimi progressi in pochissimo tempo? GNU/Linux è un sistema che più persone lo usano più rapidamente si sviluppa, e ha rosicchiato fette enormi di mercato (nel campo server, ovviamente) in un tempo ridotto, dimostrando spesso e volentieri un prodotto più versatile, scalabile, adattabile ad ogni situazione, e molto più conveniente. Gran parte dei costi inferiori e della dimostrada qualità del prodotto è proprio da trovarsi nel modello di sviluppo che contesti tanto. ciao ciao!
__________________
| Linux User #391140 | Sito Ufficiale del LOLUG - Gruppo Utenti Linux Lodi - www.lodi.linux.it |
|
03-01-2006, 16:09 | #20 | |||
Senior Member
Iscritto dal: Jan 2002
Città: Germania
Messaggi: 26107
|
Quote:
Quote:
Quote:
__________________
Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys |
|||
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 08:24.