Dubbio sicurezza opensource

[Dark_Sephirot86]

E' da tempo che mi frulla in testa un dubbio.
Ma i programmi opensource non dovrebbero essere poco sicuri? Eppure perchè schiacciano così nettamente i prodotti a codice chiuso, in primis quelli di M3rdasoft?
In linea teorica un browser come Firefox o un sistema come Linux, avendo gli hacker pieno accesso al sorgente, dovrebbero essere traforabili come il burro, eppure perchè non lo sono?

[pinok]

Quote:

Originariamente inviato da Dark_Sephirot86

E' da tempo che mi frulla in testa un dubbio.
Ma i programmi opensource non dovrebbero essere poco sicuri? Eppure perchè schiacciano così nettamente i prodotti a codice chiuso, in primis quelli di M3rdasoft?
In linea teorica un browser come Firefox o un sistema come Linux, avendo gli hacker pieno accesso al sorgente, dovrebbero essere traforabili come il burro, eppure perchè non lo sono?

Perchè il fatto che tutti sappiano dov'è il buco unita alla disponibilità del sorgente,consente a chiunque di chiudere la falla.

Non avendo i sorgenti, alcune falle di M$ si sono protratte per mesi e, fintanto che M$ non provvedeva, non poteva farlo nessuno.

[Scoperchiatore]

Non è che non lo sono, è che spesso sono testati molto di più proprio per questo motivo.

Difatti esistono tanti sistemi operativi che fanno della loro forza l'uso di SOLI programmi sicuri e testati,

[pizeta]

perchè l'opensource permette una sorta di intelligenza collettiva, e l'avere il codice libero significa doversi concentrare sulla creazione di un buon codice
trovare un bug in prodotti tipo firefox è difficile perchè ci sono molti sviluppatori che lavorano per correggerli
in prodotti closed quest'attenzione è ovviamente minore perchè tanto non si può studiare il codice e si genere la falsa credenza che quei bug siano nascosti e difficili da trovare

[nico159]

L'open source nasce con lo scopo di creare una tecnologia migliore e far sì che tutti ne possano partecipare.
Il rencere pubblici i sorgenti da la possibilità di trovare i problemi (di qualsiasi natura) da parte della comunità molto prima che lo faccia un malintenzionato; e da la possibilità di chiudere i problemi anche in poche ore. Cosa impossibile con il modello di sviluppo classico.
E poi diciamolo, per la maggior parte delle volte, il software open è sempre software di ottima qualità.

[Dark_Sephirot86]

Quote:

Originariamente inviato da nico159

E poi diciamolo, per la maggior parte delle volte, il software open è sempre software di ottima qualità.

Questo è dimostrato dai fatti. Ma era appunto questo che faceva sorgere il mio dubbio. Il fatto che continuino ad uscire nuove versioni di FireFox dimostra che di bugs ce ne sono, anche perchè, avendo esperienza come programmatore (anche se sono pochi mesi che lo studio a scuola) so che fare un programma di quella complessità senza bugs non è difficile, è impossibile. Figuriamoci un OS!
Anche perchè non è detto che il bug che trovi la collettività e il malintenzionato sia lo stesso. Un malintenzionato non potrebbe forse trovare un bug che verrà corretto nella versione, che ne so, 1.7?

[pinok]

Quote:

Originariamente inviato da Dark_Sephirot86

Questo è dimostrato dai fatti. Ma era appunto questo che faceva sorgere il mio dubbio. Il fatto che continuino ad uscire nuove versioni di FireFox dimostra che di bugs ce ne sono,

Una nuova versione non significa necessariamente un bug da correggere, anzi, solitamente significa miglioria. I bug sono contemplati nelle sottoversioni e nelle patch

Quote:

Originariamente inviato da Dark_Sephirot86

Anche perchè non è detto che il bug che trovi la collettività e il malintenzionato sia lo stesso. Un malintenzionato non potrebbe forse trovare un bug che verrà corretto nella versione, che ne so, 1.7?

Nel caso un malintenzionato trovi un bug e se ne avvalga, ovvio che qualcuno ne subisce le conseguenze in mancanza di una patch.
Ma dall'analisi dell'attacco si capisce dov'è il bug e si corre ai ripari.
Subito! non è che si dice "Ok, correggo poi rilascio assieme alla versione prevista per il prossimo anno"
Questo vuol dire che viene rilasciata una patch (per chi la sa applicare) e/o una sottoversione dell'applicativo per chi deve ancora installare.

[Artemisyu]

Quote:

Originariamente inviato da Dark_Sephirot86

Un malintenzionato non potrebbe forse trovare un bug che verrà corretto nella versione, che ne so, 1.7?

Il procedimento logico è inverso.
E' la scoperta di nuovi bug che genera il rilascio della maggiorparte delle release
Non è che il rilascio di una nuova versione pianifica che vengano introdotte delle correzioni di bug noti
Quest'ultimo è un metodo di sviluppo tipico dei programmi a codice chiuso

[uovobw]

Quote:

Originariamente inviato da Dark_Sephirot86

E' da tempo che mi frulla in testa un dubbio.
Ma i programmi opensource non dovrebbero essere poco sicuri? Eppure perchè schiacciano così nettamente i prodotti a codice chiuso, in primis quelli di M3rdasoft?
In linea teorica un browser come Firefox o un sistema come Linux, avendo gli hacker pieno accesso al sorgente, dovrebbero essere traforabili come il burro, eppure perchè non lo sono?

che la security throug obscurity si sia dimostrata la tecnica perdente è ormai provato, basta vedere il ciclo di aggiornamenti di firefox e quello di ie.
Un po di tempo fa avevo letto il post di uno che diceva una cosa simile: avere il codice sorgente disponibile in un sistema operativo è come mettere l'allarme in casa e scrivere il codice per spegnerlo sulla porta.
Sbagliato:
avere il codice disponibile è come mettere l'allarme in casa e il suo schema di funzionamento: sai come funziona, ma l'allarme c'è lo stesso.
Poi tu mi dici: si ma se lo schema di funzionamento mi fa capire che il filo rosso stacca l'allarme, siamo daccapo.
E qui la risposta: il problema è che anche chiunque possa leggere quello schema può vedere che li c'è una debolezza e modificare un attimo l'impianto.

[W.S.]

Esatto, in più se sai di scrivere software aperto stai attento a cosa scrivi per paura di fare figuracce
Di buchi ce ne sono ovunque, è impossibile scrivere programmi senza buchi, per quanto uno ci sta attento qualcosa scappa e se non scappa a lui è scappato a quelli che hanno scritto le librerie che usa. In più molti programmatori non sanno come scrivere in modo da evitare buchi, a loro basta che funzioni, soprattutto quando hai il fiato di qualche scadenza sul collo ti lasci scappare qualche controllo.
Il discorso è proprio quello di dare la possibilità di controllare cosa si ha in mano, che poi la maggior parte degli utenti non guardi il codice è un'altro discorso, l'importante è averne la possibilità.
Correggere un buco senza avere i sorgenti a disposizione è un'impresa ed è pure illegale! E' lo stesso discorso del filo rosso, una cosa è vederlo un'altra è poter fare in modo che non basti quello a staccare l'allarme.

[cdimauro]

Quote:

Originariamente inviato da Dark_Sephirot86

Ma i programmi opensource non dovrebbero essere poco sicuri?

Non esiste una metrica oggettiva relativa alla "sicurezza" di un sistema: dovresti chiarire cosa intendi con ciò.

Quote:

Eppure perchè schiacciano così nettamente i prodotti a codice chiuso, in primis quelli di M3rdasoft?

In base a cosa "Schiaccerebbero" i prodotti MS?

Quote:

In linea teorica un browser come Firefox o un sistema come Linux, avendo gli hacker pieno accesso al sorgente, dovrebbero essere traforabili come il burro, eppure perchè non lo sono?

Anche in linea pratica è così. Tant'è che sono stati hackerati un sito della NASA, Debian, GNU e qualcun altro di cui adesso non ricordo il nome.

[cdimauro]

Quote:

Originariamente inviato da pinok

Perchè il fatto che tutti sappiano dov'è il buco unita alla disponibilità del sorgente,consente a chiunque di chiudere la falla.

Ma se ne possono aprire anche altre. Adesso non ricordo la fonte, ma da un'indagine relativa al bug fix di un prodotto, risultava che statisticamente il 15% dei bug fix aveva generato degli ulteriori bug.

Se questo dato riguarda società di grosso calibro, che adottano metodologie consolidate dell'ingegneria del software, si può intuire che il bug fix condotto da persone che non rispecchiano gli stessi "standard qualitativi" dev'essere sicuramente peggiore.

Il fatto di avere disponibile il fix dopo poche ore dall'individuazione del bug, fa pensare che la fase di testing sia stata ridotta al lumicino, con le conseguenze che ne possono derivare.

E' di gran lunga preferibile un workaround a un bug noto, in attesa di un fix che passi una consistente fase di test, piuttosto che un fix rilasciato troppo fretta e che può portare facilmente ad altri bug sconosciuti (e quindi potenzialmente dannosi).

[cdimauro]

Quote:

Originariamente inviato da Scoperchiatore

Non è che non lo sono, è che spesso sono testati molto di più proprio per questo motivo.

Vedi sopra: è tutto da vedere.

Quote:

Difatti esistono tanti sistemi operativi che fanno della loro forza l'uso di SOLI programmi sicuri e testati,

Non esiste una metrica che definisca oggettivamente la sicurezza di un sistema: in base a cosa puoi definire un'applicazione "sicura"?

Quanto ai test, non bastano mai. Proprio per questo sono nate metodologie di sviluppo "test driven", ma non è che si risolve del tutto il problema: il bug è sempre dietro l'angolo, anche se la percentuale di falle per righe di codice (ad esempio) può risultare più ridotta.

Quanti sistemi / applicazioni open source adottano metodologie come questa?

[ilsensine]

Quote:

Originariamente inviato da cdimauro

Tant'è che sono stati hackerati un sito della NASA, Debian, GNU e qualcun altro di cui adesso non ricordo il nome.

www.microsoft.com , www.microsoft.com/uk , www.cdimauro.net ..

[cdimauro]

Quote:

Originariamente inviato da pizeta

perchè l'opensource permette una sorta di intelligenza collettiva, e l'avere il codice libero significa doversi concentrare sulla creazione di un buon codice

Non scherziamo con le cose serie: "l'intelligenza collettiva" ce l'ha anche un gruppo che lavora a un'applicazione. Inoltre il codice di buona fattura lo si crea adottando rigorose metodologie di sviluppo, non mettendosi davanti alla tastiera.

L'open source non c'entra proprio nulla.

Quote:

trovare un bug in prodotti tipo firefox è difficile perchè ci sono molti sviluppatori che lavorano per correggerli
in prodotti closed quest'attenzione è ovviamente minore perchè tanto non si può studiare il codice e

Forse dimentichi che per un team di sviluppo il codice è per forza di cose a disposizione: altrimenti non potrebbe lavorarci nessuno.

Quanto al personale "esterno" che lavora nel campo della sicurezza, può effettuare delle prove sulle API, "giocando" opportunamente sui parametri. Tante falle di sicurezza vengono trovate così dalle agenzie specializzate in questo settore.

Altre falle si trovano effettuando il tracing del codice o il disassemblaggio di porzioni di esso.

Quote:

si genere la falsa credenza che quei bug siano nascosti e difficili da trovare

I bug, in quanto tali, rimangono nascosti finché non si trovano.

Comunque è indubbiamente più difficile trovare dei bug per del personale esterno, senza avere a disposizione dei sorgenti.

[cdimauro]

Quote:

Originariamente inviato da ilsensine

www.microsoft.com , www.microsoft.com/uk , www.cdimauro.net ..

Ma vuoi farmi morire?

[cdimauro]

Quote:

Originariamente inviato da nico159

L'open source nasce con lo scopo di creare una tecnologia migliore e far sì che tutti ne possano partecipare.

L'open source non è una "tecnologia": è soltanto una diversa forma di fruizione di un prodotto.

Quote:

Il rencere pubblici i sorgenti da la possibilità di trovare i problemi (di qualsiasi natura) da parte della comunità molto prima che lo faccia un malintenzionato;

Ampiamente opinabile: i cacciatori di bug "buoni" e quelli "cattivi", a parità di "capacità acquisite", hanno la stessa probabilità di beccare un bug leggendo un sorgente, ma questo non vuol implica assolutamente che i buoni troveranno i bug prima dei cattivi; sono due cose completamente diverse.

Quote:

e da la possibilità di chiudere i problemi anche in poche ore.

Vedi sopra: bisogna stare attenti, perché non è certo bello fixare un bug per poi ritrovarsene un altro. Anche perché questi sono i bug più "bastardi", in quanto il codice in oggetto viene ingenuamente considerato "sicuro" proprio grazie al bug fix che ha subito.

Quote:

Cosa impossibile con il modello di sviluppo classico.

Per quanto riguarda la quantità di manodopera, sicuramente.

Per quanto riguarda le metodologie di sviluppo e relativo mantenimento / bug fix, è tutto da vedere.

Quote:

E poi diciamolo, per la maggior parte delle volte, il software open è sempre software di ottima qualità.

Ti riferisci ai sorgenti prodotti, o al prodotti di per sé? In entrambi i casi, la tua affermazione è ampiamente opinabile.

[cdimauro]

Quote:

Originariamente inviato da Dark_Sephirot86

Questo è dimostrato dai fatti.

Di quali fatti parli?

Quote:

Ma era appunto questo che faceva sorgere il mio dubbio. Il fatto che continuino ad uscire nuove versioni di FireFox dimostra che di bugs ce ne sono, anche perchè, avendo esperienza come programmatore (anche se sono pochi mesi che lo studio a scuola) so che fare un programma di quella complessità senza bugs non è difficile, è impossibile. Figuriamoci un OS!

Esatto: è impossibile. In generale, dato un qualunque algoritmo, è dimostrabile che non è possibile sapere se sia privo di bug o meno.

Inoltre il fatto che negli ultimi tempi le segnalazioni di bug di FireFox sono aumentate, la dice lunga su quanto pesi il fattore diffusione di un prodotto.

Quote:

Anche perchè non è detto che il bug che trovi la collettività e il malintenzionato sia lo stesso. Un malintenzionato non potrebbe forse trovare un bug che verrà corretto nella versione, che ne so, 1.7?

Infatti. E potrebbe anche sfruttarlo prima che qualcun altro lo scopra, segnali e arrivi il fix.

[Artemisyu]

Quote:

Originariamente inviato da cdimauro

Ti riferisci ai sorgenti prodotti, o al prodotti di per sé? In entrambi i casi, la tua affermazione è ampiamente opinabile.

Egregio dottore, ma quand'è che l'open source ha cominciato a starti tanto sulle palle?

Io non capisco tutto quest'astio per un modello di sviluppo che si è generato quasi da solo, si è reso operativo in pochissimo tempo e che si è dimotrato vincente, permettendo grandissimi progressi in pochissimo tempo?

GNU/Linux è un sistema che più persone lo usano più rapidamente si sviluppa, e ha rosicchiato fette enormi di mercato (nel campo server, ovviamente) in un tempo ridotto, dimostrando spesso e volentieri un prodotto più versatile, scalabile, adattabile ad ogni situazione, e molto più conveniente.

Gran parte dei costi inferiori e della dimostrada qualità del prodotto è proprio da trovarsi nel modello di sviluppo che contesti tanto.

ciao ciao!

[cdimauro]

Quote:

Originariamente inviato da pinok

Una nuova versione non significa necessariamente un bug da correggere, anzi, solitamente significa miglioria. I bug sono contemplati nelle sottoversioni e nelle patch

I bug sono contemplati SEMPRE, sia che si effettui manutenzione / bugfix di un prodotto, sia (e a maggior ragione) se vengono introdotte altre modifiche / funzionalità.

Quote:

Nel caso un malintenzionato trovi un bug e se ne avvalga, ovvio che qualcuno ne subisce le conseguenze in mancanza di una patch.
Ma dall'analisi dell'attacco si capisce dov'è il bug e si corre ai ripari.

L'analisi non è affatto facile: dal solo "comportamento anomalo" può essere molto difficile scoprire la causa.

Quote:

Subito! non è che si dice "Ok, correggo poi rilascio assieme alla versione prevista per il prossimo anno"
Questo vuol dire che viene rilasciata una patch (per chi la sa applicare) e/o una sottoversione dell'applicativo per chi deve ancora installare.

Subito significa anche rilasciare un prodotto che ha un'elevata probabilità di aver generato altri bug.