Naproti tomu neplatí premisa, že systémy distribuované pod licencemi open-source obsahují méně bezpečnostních chyb než ostatní formy distribucí. Tento fakt nutně vyplývá z faktu, že oba tábory používají podobné metody vývoje systémů a oba podobně schopné analytiky a programátory.
K teto vete bych si dovolil podoknout to ze autor zapomnel do sve uvahy zahrnout fakt ze Open Source programy sice obsahuji bezpecnostni chyby, ovsem bezpecnostni chyby jsou diky dostupnosti zdrojaku vetsinou velice rychle odhaleny a patche jsou dostupne (narozdil od uzavreneho modelu vyvoje) v radu dni. Dusledkem toho je pak ze dobre spravovany OS produkt je mnohem bezpecnejsi nez produkt komercni
s tim musim nesouhlasit. to je opet FUD a neni pro nej zadny dukaz. ono to, ze neco ma otevreny kod neznamena, ze by to znamenalo vyssi bezpecnost v tom, ze nekdo tu chybu bude hledat a zverejni ji. naopak pokud se podivate na knizky od nekterych hackeru (mitnick apod) tak tam uvadeji, prave diky pruzkumu kodu mohli pronikat do jinych systemu, ktere na tom byly postaveny. je naivni si myslet, ze kazdy je poctivy a ze nekdo, kdo si vsimne te ktere chyby ji zverejni jeste predtim nez ji zneuzije.
a jinak chyby ve bezpecnosti jsou v komercnim software opravovany promptne. to se musim zastat ms ale i sunu se solarisem, ze kdykoliv se objevila nejaka zminka o nejake chybe, byla behem nekolika hodin k dispozici zaplata. takze to je FUD.
Tenhle příspěvek přímo vybízí k flamewar. Ale zkusím zůstat klidnej.
To, jestli je nějakej SW (nebo algoritmus) veřejně přístupný nebo ne, nemá vůbec žádnej vliv na to, jestli v něm někdo najde chybu. Když se zeptáte někoho, kdo trochu rozumí testování SW nebo kryptologii, tak se dozvíte, že ochrana utajením neexistuje...
Veřejně přístupné (open-source) algorimy (nebo SW) má tu výhodu (ale i nevýhodu), že hledat chybu v něm lze jednodušeji. Ale obrovská výhoda je, že zjištěnou chybu můžu ihned eliminovat a opravit. To u closed-source nelze.
Je také (skoro) zřejmé, že u open-source naleznou vývojáři chybu dříve než hackeři častěji, než u closed-source. Lidí, kteří testují open-source je více než u closed-source. Když budu uvažovat podobnou výkonost a podobný zájem hackerů, tak je výsledek skoro jasný...
to je tvrzeni proti tvrzeni. ja rikam, ze namate pravdu a vy opak. tak co? budeme se tu utloukat argumentama, kde je vic lidi a kdo nacte vic radku?
podle me to je kec a je to jedno, ja vam to nedokazu a vy me taky ne.
Totéž (ne každý, kdo chybu najde ji zveřejní) platí i pro closed source. IMHO není důvod se domnívat, že procento těch "hodných" je u open source významně odlišné od closed source. Open source model se liší hlavně tím, že urychluje celý proces, čímž se zmenší (zúží) okno ohrožení. Jako ukázkový příklad by bylo možné uvést pověstný backdoor v InterBase.
a jinak chyby ve bezpecnosti jsou v komercnim software opravovany promptne. to se musim zastat ms ale i sunu se solarisem, ze kdykoliv se objevila nejaka zminka o nejake chybe, byla behem nekolika hodin k dispozici zaplata. takze to je FUD.
Doporučuji nahlédnout do archivu bugtraqu. Každou chvíli tam čtu něco na způsob: "posílal jsem to firmě XY asi před půl rokem, ale nehodlají s tím nic dělat. Poté už je obvykle opravdu záplata venku během několika hodin až dnů. Ale to opět nesouvisí ani tak s otázkou closed/open source, ale spíš s politikou full disclosure. Výhoda open source je tu v tom, že nemusíte čekat, až se výrobce uráčí, ale můžete si najmout někoho, kdo to pro vás udělá (jste-li větší organizace a jste-li na produktu závislí).
Presne tak. Jednim z hlavnich duvodu vyssi bezpecnosti je take mnozstvi lidi majicich moznost do zdroju nahlednout. Pokud se nekomu neco nezda ma moznost si to overit, eventuelne rovnou opravit, ale u closed SW to nelze. Tam muze maximalne oznamit "divne" chovani.
Navic je zde moznost si zaplatit cloveka, ktery muze kod kontrolovat, ale u closed SW takova moznost neni. Je mozne pouze cekat, az se vyrobce uraci chybu opravit. Dokud nebude na SW zaruka (samozrejme na placeny SW), je OS daleko lepsi reseni. Vyrobce neni totiz nicim nucen tu opravu provest - nemusi, protoze za nic neruci.
BTW: Docela by me zajimalo, co by se delo v pripade zakaznika, ktery si koupi napr. databazovy SW za X Kc a po pul roce zjisti, ze se jista cast dat proste neuklada. Vyrobce sice treba vi, ze tam je chyba (treba presmerovani do null :-) ), ale opravit to nemusi. Nabidne ovsem zakaznikovi novou genialni verzi za dalsich X Kc, kde ta chyba urcite neni.
On by se totiž možná ten trh výrobců software s nástupem OS kapku pročistil. Uvedu vám příklad ze sféry, ve které se pohybuji, tedy ze základního a středního školství: Od nejmenované firmy, která vyrábí SW pro školy, si naše škola (podotýkám: bez mého vědomí) koupila jeden síťový výukový SW. Vzdor zachování pokynů pro instalaci se software nepodařilo rozchodit. Napsal jsem e-mail výrobci, ve kterém mi bylo sděleno, že díky chybné implementaci TCP/IP ve Windows NT na této platformě nepracuje námi zakoupená verze správně (o čemž však v dokumentaci nebyla zmínka). Dostal jsem na výběr 3 možnosti:
a) provést upgrade počítačů na w2k/xp
b) stáhnout si bezplatnou "opravu", která však pouze upozorní, že OS není vhodný pro instalaci uvedeného SW
c) koupit si "upgrade" s touto chybou ošetřenou.
Podotýkám, že jsem byl vedením mezitím několikrát "seřván", za to, že SW nejel "kvůli Linuxu", jenže on nejel ani na izolované NT mašině na IP adrese 127.0.0.1 (předpokládám, že víte, o čem je řeč). Na základě rozuzlení kauzy však ředitel pochopil principy OSS/FS, hlavně na tom, že mu to neopravím, i kdybych chtěl (nejsem cracker) :-)
Obávám se, že s podobnou filosofií přistupují k dělání IT byznysu i jiné firmy, a nejen v oblasti školství. Stačí jen předpokládat, že v příslušné oblasti je adekvátní procento "debilů na techniku" a dovolit si můžete prakticky cokoliv.
tak to muzu popsat naprosto presne, protoze ten pripad prave prozivam. naprosto klicove informace se ukladaji blbe. vyrobce to prohlasil za standard a nabidl nam moznost si zmenu standardu zaplatit. na prvni pohled docela vesele...
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).
