Új hozzászólás Aktív témák
-
lev258
veterán
Nem mondom, hogy az egész feltevés téves, de ez az:
"Zárt kód esetén a hibák egy jó része sosem derül ki, azok a sebezhetőségek amelyek pedig nem derülnek ki, azok senkinek nem fognak problémát okozni."
Valóban sosem derül ki a szoftver gyártójának. Viszont azok, akik eddig is visszafejtették a kódokat, azok majd megtalálják, kihasználják és igenis problémát fog okozni a felhasználóknak.[ Szerkesztve ]
Ubuntu MATE 20.04, hobbi cayenne termesztő
-
#82729984
törölt tag
Pontosan igy van.
Az open source esetén rengeteg a téveszme amit sajnos az open source huszárok is magukévá tesznek ebből fakadnak a félreértések.Az opensource egyetlen előnye biztonsági szempontból hogy gyorsan kaphatsz frissitést illetve akár te magad is csinálhatsz/alkalmazhatod a javítást. Az más kérdés hogy éles production környezetben azért még ez is necces.
Ezen felül minden más viszont önámítás, főleg az a része hogy a kódot sokan nézik és ezért a hibákat hamar felfedezik. Ennek rendkivül sok gyakorlati bizonyitéka van, ez, vagy az előző hb. de volt még más openssl-es is és szinte mindegyiknél az derült ki hogy a hibát okozó patch már évek óta a rendszerben van és kutya nem vette észre.
Azon egyszerü oknál fogva és ezt szerintem bármelyik programozó alátámaszthatja hogy egy kellően összetett és bonyolult kód esetén (értsd: több tizezer sor kód főleg ha legacy és mondjuk C-ben) csak az fog "szemmel verve" hibát észrevenni benne aki azt a kódot napi szinten túrja de még neki is minimális az esélye erre.
-
dabadab
titán
"A különbség ott is van, hogy zárt kód mellett nagyon szűk azoknak a köre, akik egyáltalán analizálhatják a forráskódot és rosszindulatúan nekiállnak hibákat keresni."
Igy van, teljesen biztosan vagyok abban, hogy tobben keresnek sebezhetoseget a bashben, mint a Windows kernelben.
Ja, nem.
Egyebkent meg az exploitokat egyebkent is eleg sokszor blackbox-modszerrel keresik, ott meg teljesen mindegy, hogy van-e forras.
"A kérdés itt az, hogy lehet-e a biztonságosságot arra építeni, hogy a jóhiszemű userek akiket tipikusan nem a sebezhetőségek feltárásáért fizetnek előbb találják meg a hibákat mint azok akik a nevezett hibákat önös érdekeik miatt akarják megtalálni és segítségével másoknak anyagi károkat okozni."
Ez egeszen pontosan mennyiben kulonbozik a zart forrasu szoftverek vilagatol? Mert szerintem semmiben.
DRM is theft
-