nske Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Τι θα έπρεπε να να είναι αυτονόητο δηλαδή? Το Linux ? το αυτονόητο είναι κάθε web υπηρεσία να αγνοεί το λειτουργικό του χρήστη... ++ Και δεν αναφέρομαι μόνο σε Web υπηρεσίες, αλλά σε κάθε είδους προϊόντα. Από ISPs που οι οδηγίες ενεργοποίησης της υπηρεσίας τους βασίζονται υποχρεωτικά στην εκτέλεση μιας εφαρμογής Windows (το οποίο από μόνο του είναι ηλίθιο ακόμη και αν όντως όλοι χρησιμοποιούσαν Windows), μέχρι φυλλάδια για ανεξάρτητο hardware (π.χ. σκληροί δίσκοι) που χωρίς να κάνουν την παραμικρή αναφορά για το σε ποιο λειτουργικό αναφέρονται, γράφουν λες και δεν υπάρχει άλλο λειτουργικό. Π.χ. σύμφωνα με το φυλλάδιο κάποιου σκληρού δίσκου, για να τον χρησιμοποιήσεις πρέπει να δημιουργήσεις πάνω του partition και filesystem ακολουθώντας κάποιες windows-specific οδηγίες που δίνει. Αυτό φυσικά δεν ισχύει, κάποιος μπορεί να αξιοποιήσει τον σκληρό δίσκο χωρίς να φτιάξει πάνω του partition ή filesystem και, φυσικά, χωρίς να χρησιμοποιεί Windows. Δε θα είχα πρόβλημα αν λέγανε "Αν έχετε Windows μπορείτε να κάνετε το εξής, αλλιώς κόψτε το λαιμό σας", αλλά όχι να μην αναφέρουν καν ότι μιλάνε για ένα συγκεκριμένο λειτουργικό και για μια απλά τυπική περίπτωση χρήσης. @dark_banishingαυτό το λες λόγω της ενασχόλησής σου ή μελέτης του μηχανισμού ασφάλειας του linux; just asking... Που διαφωνείς; Ισχύει ακριβώς αυτό που είπε: Κάποια πράγματα ναι δεν γίνονται τόσο εύκολα όσο τα windows' date=' αλλά όχι ότι δεν μπορείς να την πάθεις.[/quote'] Το ότι τα άσχημα defaults και τεχνικές όπως τα BHO και η CreateRemoteThread των Windows διευκολύνουν τους malware developers δε σημαίνει ότι το Linux έχει κάποιον ιδιαίτερο μηχανισμό ασφάλειας. Έχει ιδιαίτερους μηχανισμούς ασφάλειας, ασύγκριτα πιο αναλυτικούς από τα Policies των Windows (π.χ. GRsecurity & SElinux), αλλά θέλουν μεγάλη παραμετροποίηση - ενασχόληση και ελάχιστοι χρήστες τους χρησιμοποιούν. Τα BHO του Internet Explorer δεν βλέπω γιατί είναι πιο επικίνδυνα από τα Extensions του Firefox. Η CreateRemoteThread απαιτεί ο λογαριασμός από τον οποίο εκτελείται να έχει debug privileges -αν δεν κάνω λάθος μόνο οι administrator accounts έχουν by default debug privileges-. Στο Linux δεν υπάρχει κάτι αντίστοιχο αλλά δεν είναι απαραίτητο να υπάρχει, ούτως ή άλλως κάποιος μπορεί να κάνει ό,τι θέλει από ένα kernel module. Το να πάρει ένα malware root access στο Linux δεν είναι πιο δύσκολο από το να πάρει administrator access στα Windows, λόγω του shell που χρησιμοποιούμε για το authentication, μάλλον είναι πιο εύκολο. Η διαφορά είναι απλά ότι στα Windows στις περισσότερες περιπτώσεις δε θα χρειαστεί να το κάνει, γιατί έχει επικρατήσει να χρησιμοποιούνται αποκλειστικά λογαριασμοί administrator. edit: διαβασε όλο το άρθρο που παραθέτω για να δεις μέχρι ποιο σημείο έφτασαν(προγραμματιστικά) για να αποκρύψουν το adware... *Για να το κάνουν δυσκολότερο να εντοπιστεί με βάση patterns, να τερματιστεί ή να αφαιρεθεί.
gdp77 Δημοσ. 1 Μαρτίου 2009 Μέλος Δημοσ. 1 Μαρτίου 2009 Για άλλη μια φορά λυπάμαι που μερικοί όπως ο pccharon δεν μπορούν ή δε θέλουν να κατανοήσουν ένα κείμενο (έστω και με χάλια ύφος). Το ύφος μου pccharon είναι αυτό που τους αξίζει. Με υποτιμούν ως πελάτη και έχω το ανάλογο ύφος. Δε θα μου πεις ΕΣΥ πώς θα συμπεριφερθώ ΕΓΩ στην τράπεζα που διαχειρίζεται τα χρήματά μου. Είμαι πελάτης τους και έχω κάθε δικαίωμα να τους κρίνω. Αυτό που ζητώ λοιπόν, όπως φαίνεται ξεκάθαρα στην τελευταία παράγραφο, είναι σαφές. Ξαναδιάβασε. Αν εξακολουθείς να μην καταλαβαίνεις, λυπάμαι. nske, μέχρι να αποδειχτούν όσα λες αυτό που ισχύει είναι ότι κανένα virus δεν μπόρεσε ποτέ να αναπαραχθεί (ούτε καν στο εργαστήριο) σε περιβάλλον linux και ότι εγώ (όσο noob και να είμαι) είμαι 100.000 φορές πιο ασφαλής από (έναν αντίστοιχα noob) χρήστη windows. Υ.Γ.: Όσο για τα σαθρά επιχειρήματα για το phising τι να πω... Σε λίγο θα ισχυριστείτε ότι άμα πάω εγώ και πω τους κωδικούς μου σε όλο τον κόσμο το λειτουργικό δεν μπορεί να με προστατέψει... Φυσικά και δεν μπορεί. Υ.Γ.2: Φίλε nske, εφόσον θεωρείς εξίσου διάτρητο το linux και γράφεις κώδικα και είσαι τόσο γνώστης, γιατί δε γράφεις ένα κομμάτι κώδικα για να αποδείξεις πόσο ανασφαλές είναι το linux; Διαφορετικά, κατ' εμέ, διαδίδεις FUD.
nske Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Υ.Γ.2: Φίλε nske, εφόσον θεωρείς εξίσου διάτρητο το linux και γράφεις κώδικα και είσαι τόσο γνώστης, γιατί δε γράφεις ένα κομμάτι κώδικα για να αποδείξεις πόσο ανασφαλές είναι το linux; Διαφορετικά, κατ' εμέ, διαδίδεις FUD. Δεν διαδίδω FUD, λέω τα πράγματα όπως είναι. Εσύ μάλλον παρανοείς τι λέω επειδή έχεις μια στρεβλή αντίληψη για το τι είναι ασφάλεια. Αντιλαμβάνεσαι τα προβλήματα ασφαλείας ως αποτέλεσμα ελαττωμάτων του λειτουργικού, όχι ως ένα λογικό πρόβλημα που προκύπτει από το γεγονός ότι δεν είναι δυνατόν το λειτουργικό να γνωρίζει τι είναι κακόβουλο και τι όχι, επειδή δεν είναι αυτόματα αναγνωρίσιμο με βάση κάποιες μοναδικές ιδιότητες. Προσπάθησε να σκεφθείς ποιες τεχνικές ιδιαιτερότητες έχει αποκλειστικά ένα malware ή ένας εισβολέας. Δηλαδή ποια είναι τα πράγματα τα οποία κάνει, που δε θα έκανε ποτέ οποιαδήποτε έγκυρη εφαρμογή ή οποιοσδήποτε έγκυρος χρήστης, υπό οποιεσδήποτε συνθήκες. Στη συνέχεια προσπάθησε να σκεφθείς ένα σύστημα το οποίο: α) Δεν θα ζητά από τον χρήστη να προσδιορίσει ο ίδιος τις χαμηλού επιπέδου λειτουργίες τις οποίες κάθε έγκυρη εφαρμογή που σκοπεύει να χρησιμοποιεί θα μπορεί να πραγματοποιεί. β) Θα δίνει τη δυνατότητα στον χρήστη να εκτελέσει όποια εφαρμογή θέλει, περιορίζοντας αυτά που θα μπορεί να κάνει μόνο με κάποια απλά, ανθρώπινα, κριτήρια Θα καταλήξεις σε κάτι παρόμοιο με το Discretionary Access Control system, το οποίο είναι το μοντέλο ελέγχου πρόσβασης που χρησιμοποιείται by default και στα Windows και σε σχεδόν όλες τις διανομές Linux και στο MacOS και στα BSDs. Πρακτικά το μόνο κριτήριο περιορισμού σε αυτό το μοντέλο είναι η ταυτότητα του χρήστη, η οποία διαπιστώνεται από μια διαδικασία authentication, συνήθως με token έναν κωδικό. Όμως υπάρχουν δύο προβλήματα με αυτό το σύστημα: 1) Το υποκείμενο είναι η ταυτότητα του χρήστη στο σύστημα. Άρα δε μπορεί να γίνει διάκριση ανάμεσα σε αντικείμενα (εφαρμογές, αρχεία, sockets, κλπ) που ανοίκουν στον ίδιο χρήστη με βάση κάποιες ιδιότητες ή λειτουργίες. 2) Ένας χρήστης-διαχειριστής που θα θέλει να αλλάξει ταυτότητα, ώστε να αποκτήσει κάποια δικαιώματα που κανονικά δεν έχει, πρέπει να το κάνει με κάποιον αεροστεγή τρόπο. Το να το κάνεις μέσα από ένα ανοικτό περιβάλλον όπως το shell, ή το desktop, και με ένα token όπως ο κωδικός, κάθε άλλο παρά αεροστεγής τρόπος είναι. Πολύ εύκολα κάποιος μπορεί να μεσολαβήσει και να οδηγήσει κρυφά τον χρήστη στο να εκτελέσει ένα δικό του πρόγραμμα, το οποίο θα υποκλέψει το token. *Τα προβλήματα ασφαλείας ουσιαστικά δεν προκύπτουν επειδή τα Windows ή το Linux είναι διάτρητα λειτουργικά, αλλά επειδή βασίζονται στο ίδιο ανεπαρκές μοντέλο*. Βασίζονται σε αυτό επειδή δεν έχει βρεθεί κάποιο πιο κατάλληλο που να ανταποκρίνεται στην πραγματικότητα ότι ο διαχειριστής πρέπει να μπορεί να μην έχει τεχνικές γνώσεις ή να μη χρειάζεται να αφιερώσει υπερβολικά πολύ χρόνο. Υπάρχουν εναλλακτικά συστήματα, και στα Windows και στο Linux και σε άλλα λειτουργικά, όμως είναι τόσο περίπλοκα ώστε το βάρος της παραμετροποίησης και της συντήρησης δικαιολογείται μόνο σε ευαίσθητα περιβάλλοντα με κεντρικό σχεδιασμό και συντήρηση (σημαντικές κυβερνητικές υπηρεσίες και εταιρίες). Βέβαια και εντός του DAC υπάρχουν περιθώρια να υπονομευθεί η ασφάλεια ακόμη περισσότερο, με το να υλοποιούνται επικίνδυνες τεχνολογίες ή να ενθαρρύνονται κακές πρακτικές χάριν της ευχρηστίας, κι εκεί είναι που τα Windows desktops διαφοροποιούνται προς το χειρότερο, ενθαρρύνοντας την αγνόηση οποιουδήποτε access control system και την αποκλειστική υιοθέτηση της πιο ασύμφορης και αναποτελεσματικής προσέγγισης αντιμετώπισης του προβλήματος (των εφαρμογών τύπου antivirus). Όμως άσχετα από το τι ενθαρρύνει και τι όχι το κάθε λειτουργικό, η ουσία είναι ότι δε μπορείς να περιμένεις οποιοδήποτε λειτουργικό βασίζεται σε ένα τέτοιο μοντέλο να ανταποκριθεί στην πρόκληση του κακόβουλου λογισμικού, δηλαδή στο ενδεχόμενο ο χρήστης να τρέξει με δική του πρωτοβουλία κώδικα που θα κάνει κάτι ανεπιθύμητο. Αν δε μπορείς να καταλάβεις τι λέω και εξακολουθείς να νομίζεις ότι είσαι ασφαλής επειδή το Linux κάνει κάποια Voodoo από πίσω, δες ένα απλό παράδειγμα: http://www.geekzone.co.nz/foobar/6229
gdp77 Δημοσ. 1 Μαρτίου 2009 Μέλος Δημοσ. 1 Μαρτίου 2009 Αναφέρεσαι στο λεγόμενο "user ignorance". Παρόλα αυτά, αποφεύγεις να απαντήσεις στην ερώτησή μου : Ο ίδιος "ignorant" χρήστης σε ποιο περιβάλλον εργασίας είναι πιο ασφαλής (και αναφέρομαι σε web banking); Σε περιβάλλον linux ή Win ; Και εφόσον αναφέρεσαι σε παραδείγματα: Ένας φίλος μου γέμισε ιούς κατεβάζοντας mp3 από limewire. Όταν του έβαλα ubuntu και έκανε την ίδια δουλειά, τα "ύποπτα" mp3 απλά δεν έπαιζαν και δεν προκλήθηκε κανένα πρόβλημα στο σύστημα. Ο χρήστης ήταν το ίδιο "ignorant" και στη μία περίπτωση και στην άλλη. Δεχόμαστε λοιπόν ότι μια διανομή linux είναι τουλάχιστον αυτή τη στιγμή περισσότερο idiot proof? (Το επιχείρημα ότι είναι γραμμένα για win είναι irrelevant, αν και μπορώ και αυτό να το αντικρούσω) Και κάτι άλλο: Από την επιχειρηματολογία σου φαίνεται ότι θεωρείς ότι το μόνο πρόβλημα των windows είναι οι "ignorant users". Πραγματικά το πιστεύεις αυτό;
Επισκέπτης Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Που διαφωνείς; Ισχύει ακριβώς αυτό που είπε: Η ερώτηση είχε περισσότερο βολιδοσκοπικό χαρακτήρα...ήθελα να ξέρω αν όντως γνωρίζει επι του θέματος η απλά επαναλαμβάνει τα όσα έχει ενδεχομένως διαβάσει επιφανειακά από άλλο σχετικό thread... Γράφεις πολλά, και κυρίως τεκμιριωμένα...και έχεις δίκιο στα περισσότερα... Απλώς, αγνοείς κάτι πολύ βασικό(κατά την άποψή μου πάντα)... Την κοινότητα πίσω από κάθε λειτουργικό...δλδ, ποιοι άνθρωποι γράφουν κώδικα(δλδ, ποιοι γράφουν προγράμματα για αυτό;;;είναι άνθρωποι που το κάνουν αφιλοκερδώς η πληρώνονται;;, ποιοι εξετάζουν τον κώδικα(αν όντος υφίσταται μηχανισμός ελέγχου), και σίγουρα τα κανάλια διανομής του λογισμικού... Όλα τα παραπάνω, επηρεάζουν στην πραγματική αξιολόγηση της ασφάλειας ενός λειτουργικού... Στο δια ταύτα τώρα... Το ότι τα άσχημα defaults και τεχνικές όπως τα BHO και η CreateRemoteThread των Windows διευκολύνουν τους malware developers δε σημαίνει ότι το Linux έχει κάποιον ιδιαίτερο μηχανισμό ασφάλειας. Μα αυτό ειναι πάντα το θέμα...τι σε διευκολύνει και τι όχι... Απόλυτη ασφάλεια δεν υφίσταται(και ειδικά από τη στιγμή που το ίδιο το unix δίνει δικαίωμα στο root να αφαιρεί όλα τα διακαιώματα από τον εαυτό του, και αμέσως μετά να μπορεί να τα επαναφέρει(χωρίς να έχει το δικαίωμά να το κάνει, βάσει του μηχανισμού έλεγχου πρόσβασης(και μιλάω ασχέτως υλοποίησης)))...Απο τα λίγα που γνωρίζω, για να έχουμε ένα συνεκτικό μηχανισμό ελέγχου πρόσβασης, δε πρέπει να συμβαίνει καν αυτό... Έχει ιδιαίτερους μηχανισμούς ασφάλειας, ασύγκριτα πιο αναλυτικούς από τα Policies των Windows (π.χ. GRsecurity & SElinux), αλλά θέλουν μεγάλη παραμετροποίηση - ενασχόληση και ελάχιστοι χρήστες τους χρησιμοποιούν δε διαφωνώ...υπάρχουν όμως, και αυτό δειχνει, αν θες, και τον "χαρακτήρα" του λειτουργικού...είναι ευθύνη του χρήστη να τα μάθει και να τα αξιοποιεί και να μην πάει με την πρώτη ευκαιρία να απενεργοποιήσει το SELinux Τέλος, επειδή πάντα εμπλέκεται ο ανθρώπινος παράγοντας, πολλά από τα παραπάνω πάνε περίπατο...απλώς, μέχρι τώρα τουλάχιστον (δεν ξέρω ποιο θα είναι το δημογραφικό σε 5-10 χρόνια από τώρα, αλλά φαντάζομαι πάλι όσοι πραγματικά ασχολούνται και γνωρίζουν ίσως 5 πράγματα παραπάνω απο τον απλό χρήστη του office) ο χρήστης του linux(που το έχει σαν πρωτεύον λειτουργικό) είναι λιγότερο πιθανό να πέσει θύμα malware...(ρεαλιστικά μιλώντας...υπάρχουν και εξαιρέσεις βέβαια...)
nske Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Αναφέρεσαι στο λεγόμενο "user ignorance". Παρόλα αυτά, αποφεύγεις να απαντήσεις στην ερώτησή μου : Ο ίδιος "ignorant" χρήστης σε ποιο περιβάλλον εργασίας είναι πιο ασφαλής (και αναφέρομαι σε web banking); Σε περιβάλλον linux ή Win ; Αν μιλάς για τις πιθανότητες που έχει αυτή τη στιγμή να αντιμετωπίσει κάποια παραβίαση της ασφάλειας, τότε σίγουρα σε Linux (και σε πολλά άλλα λειτουργικά) έχει πολύ λιγότερες. Όμως οι πιθανότητες αυτές βασίζονται κυρίως στο ότι απλά δεν έχει ενδιαφερθεί κάποιος να φτιάξει malware για αυτά τα λειτουργικά, όχι στο ότι στο Linux έχουν βρει κάποια αποτελεσματική συνταγή που διαφεύγει από τα Windows ή στο ότι τα Windows έχουν κατά καιρούς διάφορα πολύ τραγικά bugs (που έχουν). Και εφόσον αναφέρεσαι σε παραδείγματα: Ένας φίλος μου γέμισε ιούς κατεβάζοντας mp3 από limewire. Όταν του έβαλα ubuntu και έκανε την ίδια δουλειά' date=' τα "ύποπτα" mp3 απλά δεν έπαιζαν και δεν προκλήθηκε κανένα πρόβλημα στο σύστημα. Ο χρήστης ήταν το ίδιο "ignorant" και στη μία περίπτωση και στην άλλη. Δεχόμαστε λοιπόν ότι μια διανομή linux είναι τουλάχιστον αυτή τη στιγμή περισσότερο idiot proof? (Το επιχείρημα ότι είναι γραμμένα για win είναι irrelevant, αν και μπορώ και αυτό να το αντικρούσω[/quote'] Κανένα mp3 ή άλλο μη εκτελέσιμο αρχείο δε μπορεί να τρέξει κώδικα, αν η εφαρμογή που θα το ανοίξει δεν έχει κάποιο συγκεκριμένο πρόβλημα χειρισμού των δεδομένων στο οποίο να βασίζεται ο συγκεκριμένος κώδικας. Δεν είναι πρόβλημα του λειτουργικού, είναι πρόβλημα της εφαρμογής (ή κάποια βιβλιοθήκης). Φυσικά και τα δύο λειτουργικά θα δεχτούν να επιτρέψουν στις προβληματικές εφαρμογές να κάνουν πράγματα που δε θα έπρεπε να κάνουν κανονικά, κι εκεί είναι το πρόβλημα που αναφέρω. Το ότι ο φίλος σου είχε πρόβλημα μόνο στα Windows οφείλεται στο ότι χρησιμοποιούσε μια έκδοση εφαρμογής που είχε πρόβλημα στον τρόπο που χειριζόταν τα mp3, και για την οποία είχαν φτιαχτεί συγκεκριμένα τα crafted mp3 που κατέβασε. Αν παρακολουθείς τα security bugs των διάφορων opensource εφαρμογών και βιβλιοθηκών θα δεις ότι βρίσκονται και διορθώνονται συνέχεια τέτοιες αδυναμίες. Αυτές τις αδυναμίες κάποιος θα μπορούσε να τις εκμεταλλευτεί με τα ίδια ακριβώς αποτελέσματα. Απλά αυτή τη στιγμή ο developer του malware γνωρίζει ότι είναι πολύ πιο πιθανό να κατεβάσει ένα προσβεβλημένο mp3 ένας χρήστης Windows και να το τρέξει με μια αδύναμη έκδοση του Windows Media Player από ότι να το κατεβάσει ένας χρήστης Linux και να το τρέξει με μια αδύναμη έκδοση του XMMS, και γι αυτό στοχεύει στα Windows. Και κάτι άλλο: Από την επιχειρηματολογία σου φαίνεται ότι θεωρείς ότι το μόνο πρόβλημα των windows είναι οι "ignorant users". Πραγματικά το πιστεύεις αυτό; Το πρόβλημα είναι αυτό που περιέγραψα: ότι δε μπορεί κανένα λειτουργικό γενικής χρήσης να προστατεύσει τον χρήστη από κάτι που θα εκτελέσει ο ίδιος και δε μπορώ να φανταστώ ένα μοντέλο που θα το επέτρεπε αυτό χωρίς να ισοπεδώσει τις διαφορετικές ανάγκες διαφορετικών χρηστών και να ποδοπατήσει την ελευθερία τους (όπως τα σχέδια της Microsoft για το "Trusted Computing") ή να επιβαρύνει αβάσταχτα την ευκολία ανάπτυξης/χρήσης/συντήρησης (όπως τα διάφορα Mandatory Access Control systems). Αυτό το πρόβλημα συμβαίνει να επηρεάζει περισσότερο τους μη εξοικειωμένους χρήστες επειδή εκείνοι χρειάζονται περισσότερο προστασία, αλλά αφορά όλους. Σίγουρα δεν είναι αυτό το μόνο πρόβλημα, υπάρχουν σημεία που βοηθούν στην ασφάλεια στα οποία υπερτερούν λειτουργικά όπως το Linux. Π.χ. έχει μεγάλη σημασία ότι μπορούν να αναβαθμίζονται αυτόματα στις τελευταίες εκδόσεις τους, από μια πιστοποιημένη πηγή, όχι μόνο το βασικό σύστημα αλλά και όλες οι εφαρμογές. Ή το ότι δεν υπάρχει τόση ομοιογένεια ανάμεσα σε διαφορετικές εγκαταστάσεις τους όσο ανάμεσα σε διαφορετικές εγκαταστάσεις Windows, οπότε είναι πιο δύσκολο να φτιάξει κάποιος τόσο μαζικά malware. Όμως αυτά δεν αρκούν, είμαι σίγουρος ότι οποιοδήποτε λειτουργικό desktop γίνει στόχος λόγω της δημοτικότητάς του, θα οδηγήσει τους χρήστες που δεν είναι τεχνικά εξοικειωμένο σε ένα ρίσκο προβλημάτων ασφαλείας παρόμοιο με αυτό που βλέπουμε τώρα στα Windows. Απλώς' date=' αγνοείς κάτι πολύ βασικό(κατά την άποψή μου πάντα)...Την κοινότητα πίσω από κάθε λειτουργικό...δλδ, ποιοι άνθρωποι γράφουν κώδικα(δλδ, ποιοι γράφουν προγράμματα για αυτό;;;είναι άνθρωποι που το κάνουν αφιλοκερδώς η πληρώνονται;;, ποιοι εξετάζουν τον κώδικα(αν όντος υφίσταται μηχανισμός ελέγχου), και σίγουρα τα κανάλια διανομής του λογισμικού... Όλα τα παραπάνω, επηρεάζουν στην πραγματική αξιολόγηση της ασφάλειας ενός λειτουργικού...[/quote'] Κι εγώ έχω την αίσθηση ότι το Open Source μοντέλο ανάπτυξης συνήθως οδηγεί σε υψηλότερης ποιότητας κώδικα. Πάντως μια περσινή ανάλυση του Διομήδη Σπινέλλη έδειξε ότι, τουλάχιστον σε σημαντικά και μεγάλα projects, με βάση κάποια συνήθως ενδεικτικά μέτρα, η ποιότητα δεν διαφέρει σημαντικά. δε διαφωνώ...υπάρχουν όμως, και αυτό δειχνει, αν θες, και τον "χαρακτήρα" του λειτουργικού...είναι ευθύνη του χρήστη να τα μάθει και να τα αξιοποιεί Σίγουρα, όμως αυτό δεν είναι κάτι που έχει νόημα όταν οι χρήστες δεν ενδιαφέρονται να αξιοποιήσουν καν το παραδοσιακό σύστημα δικαιωμάτων. Για αυτούς τους χρήστες ασφάλεια είναι μόνο ό,τι βρουν έτοιμο να παίζει, δεν πιστεύω ότι γίνεται να υπάρξει ποτέ επαρκής ασφάλεια σε αυτό το πνεύμα. Anyway, επειδή επαναλαμβάνομαι, αυτό που είπα είναι ότι πιστεύω ότι αν το Linux είχε τους χρήστες των Windows (και σε αριθμό και σε επίπεδο εξοικείωσης), τότε όσοι αντιμετωπίζουν σήμερα προβλήματα ασφάλειας στα Windows θα αντιμετώπιζαν και στο Linux. Η μεγαλύτερη δυσκολία στη δημιουργία μαζικών malware δεν πιστεύω ότι θα ήταν αρκετή για να αποτρέψει μια τέτοια κατάσταση. Γι αυτό και μόνο το λόγο βρίσκω λάθος να διαφημίζει κάποιος το Linux σαν το Azax των προβλημάτων ασφάλειας. Ναι, μπορεί τη συγκεκριμένη στιγμή να συμβαίνει πρακτικά αυτό, όμως δεν υπάρχει κάποιος λόγος που να το διασφαλίζει -και αυτή είναι εντύπωση που δημιουργείται σε όσους το ακούσουν.
dark_banishing Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Την κοινότητα πίσω από κάθε λειτουργικό...δλδ, ποιοι άνθρωποι γράφουν κώδικα(δλδ, ποιοι γράφουν προγράμματα για αυτό;;; είναι άνθρωποι που το κάνουν αφιλοκερδώς η πληρώνονται;; Όποιος πληρώνεται δηλαδή δεν γράφει καλό κώδικα ; Δεν καταλαβαίνω τι θες να πεις.. ποιοι εξετάζουν τον κώδικα(αν όντος υφίσταται μηχανισμός ελέγχου) Πιστεύεις ότι στο closed source μοντέλο ανάπτυξης δεν υπάρχουν μηχανισμοί ελέγχου; Κι εγώ έχω την αίσθηση ότι το Open Source μοντέλο ανάπτυξης συνήθως οδηγεί σε υψηλότερης ποιότητας κώδικα. Γενικά διαφωνώ, αλλά νομίζω πιο κοντά στο θέμα μας είναι το κατά πόσο το open source λογισμικό είναι πιο ασφαλές από το closed source. Και στα δυο πάντως η δική μου απάντηση είναι ίδια, ότι δηλαδή η ποιότητα των προγραμματιστών, του σχεδιασμού και του ελέγχου παίζει πολύ σημαντικότερο ρόλο από το εάν τελικά ο κώδικας είναι ανοιχτός η όχι. Και η ποιότητα αυτή δεν μπορεί να συσχετιστεί με το αν το παραγόμενο λογισμικό είναι ανοιχτού ή κλειστού κώδικα. Ένα μεγάλο πλεονέκτημα που έχει το open source λογισμικό σε σχέση με την ασφάλεια είναι ότι μπορείς πραγματικά να το ελέγξεις και όχι να βασιστείς στο λόγο της microsoft π.χ που υποστηρίζει ότι είναι ασφαλές. Πόσοι όμως πραγματικά το κάνουν αυτό; Μην ξεχνάμε και την περίπτωση debian. Πέρα από αυτό σε δυο εξίσου ασφαλή συστήματα, το closed source έχει επιπλέον security through obscurity.
nske Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Γενικά διαφωνώ, αλλά νομίζω πιο κοντά στο θέμα μας είναι το κατά πόσο το open source λογισμικό είναι πιο ασφαλές από το closed source. Η ποιότητα του κώδικα είναι πολύ σημαντικός -και ίσως ο μόνος εκ των υστέρων μετρήσιμος- παράγοντας για την ασφάλεια μιας εφαρμογής. Και στα δυο πάντως η δική μου απάντηση είναι ίδια, ότι δηλαδή η ποιότητα των προγραμματιστών, του σχεδιασμού και του ελέγχου παίζει πολύ σημαντικότερο ρόλο από το εάν τελικά ο κώδικας είναι ανοιχτός η όχι. Και η ποιότητα αυτή δεν μπορεί να συσχετιστεί με το αν το παραγόμενο λογισμικό είναι ανοιχτού ή κλειστού κώδικα. Σίγουρα αυτοί είναι οι ουσιαστικοί παράγοντες, όμως με σταθερούς αυτούς αισθάνομαι ότι το Open Source, community-based, μοντέλο οδηγεί σε καλύτερο κώδικα επειδή δεν υπάρχει η πίεση των timeframes (it's ready when it's ready), επειδή δεν υπάρχουν μη τεχνικοί (μαρκετίστικοι) αντιπερισπασμοί στη λήψη τεχνικών αποφάσεων κι επειδή "given enough eyeballs, all bugs are shallow".
dark_banishing Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Σίγουρα αυτοί είναι οι ουσιαστικοί παράγοντες, όμως με σταθερούς αυτούς αισθάνομαι ότι το Open Source, community-based, μοντέλο οδηγεί σε καλύτερο κώδικα επειδή δεν υπάρχει η πίεση των timeframes (it's ready when it's ready), επειδή δεν υπάρχουν μη τεχνικοί (μαρκετίστικοι) αντιπερισπασμοί στη λήψη τεχνικών αποφάσεων κι επειδή "given enough eyeballs, all bugs are shallow". Επίσης από την άλλη πλευρά, έλλειψη formal design και έλλειψη software requirements specification (use cases, design constraints, performance requirements).. "given enough eyeballs, all bugs are shallow" Η ασφάλεια δεν μπορεί να στηρίζεται σε αυτό, φαντάζομαι το αναφέρεις ως κάτι επιπρόσθετο. Ένα μεγάλο μέρος όμως της κριτικής προς το open source development model είναι ακριβώς αυτό, η λάθος μορφή testing. Δηλαδή η έλειψη formal test plan και το μη επαρκές testing.. Επιπλέον δεν υπάρχουν αρκετά eyeballs σε όλα τα open source projects. Θα έλεγα ότι υπάρχουν μόνο στα δημοφιλή, και ότι στα περισσότερα από τα υπόλοιπα δεν υπάρχουν..
PCharon Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Επιπλέον δεν υπάρχουν αρκετά eyeballs σε όλα τα open source projects. Θα έλεγα ότι υπάρχουν μόνο στα δημοφιλή, και ότι στα περισσότερα από τα υπόλοιπα δεν υπάρχουν.. Αν και είμαι λάτρης των συγκεκριμένων λογισμικών, χαίρομαι που για πρώτη φορά βλέπω κάποιον να το λέει αυτό (νόμιζα πως μόνο εγώ το σκεφτόμουν). Δηλαδή το γεγονός πως κάποιο λογισμικό είναι open source δε σημαίνει ντε και καλά πως έχουν ασχοληθεί τόσοι μαζί του ώστε να εγγυάται ποιοτικό και ασφαλή κώδικα. Νομίζω πως στην ευρεία έννοια αυτό είναι μύθος.
nske Δημοσ. 1 Μαρτίου 2009 Δημοσ. 1 Μαρτίου 2009 Αυτό το είχε παρατηρήσει αν θυμάμαι καλά και ο Ingo Molnar, σημαντικός developer του Linux Kernel. Υπάρχουν πολλοί που συνεισφέρουν νέο κώδικα αλλά ελάχιστοι που μπορούν και είναι διατεθειμένοι να κάνουν audit και test. Δεν πρόκειται για εγγύηση αλλά για ένα δυνητικό πλεονέκτημα.
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.