id: Гость   вход   регистрация
текущее время 18:40 28/03/2024
Автор темы: SATtva, тема открыта 27/10/2003 02:49 Печать
http://www.pgpru.com/Форум/ПолитикаПравоРеальныйМир/OpenSourceИлиНеOpenSource--ВотВЧёмВопрос
создать
просмотр
ссылки

Open source или не open source — вот в чём вопрос!


Много копий было сломано в этом давнем споре. Но поскольку я сам его поднял в этой дискуссии, интересно было бы узнать и ваше мнение.


Истоки философии open source (софта с открытыми исходниками) восходят к истории самых ранних хакерских групп на заре Интернета, а сама философия в первую очередь подразумевает свободное распространение программ, полный доступ к их исходному коду и свободу его редактирования. (Можете обратиться к статье Эрика Реймонда "Заселяя ноосферу", если хотите узнать больше, я же не стану углубляться в тему GPL.) Но с развитием ПО и с появлением комплексных систем безопасности open source приобрёл и иную цель: доказательство того, что автор программы не добавил в неё каких-либо недокументированных функций, в частности, "люков" в любой их форме. Каждый пользователь может при желании проверить исходные тексты программы на предмет чего бы то ни было постороннего и самостоятельно скомпилировать надёжную копию программы.


Насколько актуальным вы считаете использование софта open source (в первую очередь для защиты информации)? Ответ желательно аргументировать.


Могу изложить свою позицию. Я не стану касаться удобства / неудобства open source с точки зрения подстройки его под свои нужды. С позиции же безопасности здесь две стороны, как у любой медали.


Положительная сторона: открытые исходники действительно позволяют гарантировать отсутствие недокументированных функций, ведь их наличие (а обнаружатся они довольно быстро) мгновенно обрушат репутацию автора. Зачастую в разработке и доводке софта open source участвует большая часть пользовательского сообщества, что позволяет совместно отлавливать баги.


Отрицательная сторона: у злоумышленника развязаны руки в поиске брешей в системе безопасности программы. Найдя баг, ему незачем сообщать об этом авторам: он использует его для взлома программ пользователей. Также благодаря наличию исходного кода он может внести в него любые изменения и скомпилировать свою версию программы, которую затем может попытаться широко распространить или провести целенаправленную атаку на определённого пользователя, подменив его оригинальную копию своей модификацией.


Исходя из этого, в целом я отдаю предпочтение open source. Однако, исходя из тех же тезисов, использую и софт с закрытыми исходниками. Надёжность комплекса защиты в целом базируется на комбинировании различных решений, как open source, так и с закрытым кодом. Привести чёткие критерии оценки надёжности софта с закрытыми исходниками довольно сложно. Не последнее место в расчёте занимает и репутация авторов, их компетентность, политическая обстановка в стране-территории разработчиков, история компании и многое другое. Выбор конкретной программы для решения тех или иных задач всегда индивидуален.


 
Комментарии
— Ghola (01/11/2003 19:42)   профиль/связь   <#>
комментариев: 63   документов: 5   редакций: 0
Open Source – это в целом лучше на мой взгляд. Но насколько я знаю зачастую среди них просто нет подходящих – обладающих приемлемой надёжностью и функциональностью. Так что приходится в основном пользоваться ломаными программами с закрытыми исходниками. Это не сознательный выбор, а просто воля обстоятельств.

Open Source хороши в частности ещё и потому, что за них не надо платить. Это весьма немаловажно для практически всех пользователей Рунета. А попытки нашего уважаемого админа кичиться "зарегистрированными копиями" – вызывают в лучшем случае усмешку ("у богатых свои причуды").
А в худшем случае – в глазах некоторых людей – может расцениваться одновременно как состав совершённого преступления и мотив для предстоящего! :D

Хе-хе, ментальность у нас не та...
Или – "ещё та"! :D :D :D

Во-первых у подавляющего числа нормальных людей в России (а не в Москве) – нет кредитных карточек и совершенно нет ни желания ни возможности “закапывать” несколько сотен долларов на их приобретение. К тому же – любая оплата – хоть электронная, хоть почтовый перевод (за границу – тот ещё цирк, кстати) – оставляет следы – реквизиты покупателя. А это совершенно никому из покупателей не нужно.

В целом, мне кажется на этом сайте не повредил бы обзор программ Open Source, посвящённых безопасности.

Например, кто-нибудь знает Open Source – аналоги SocksChain и SocksCap? Mutliproxy? AntiAON? Разумеется, всё это для Win32-платформы. А приемлемые GUI-оболочки gnuPG? А комплексные программы для тестирования прокси различных типов на анонимность, производительность и поддержку туннелирования? Фаерволы наконец?
— SATtva (01/11/2003 21:42)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ghola, вообще-то "уважаемый админ" не из Москвы. Хотя, в целом, географическая принадлежность не имеет большого значения, но и особого кича как-то не проявлялось. Речь шла только о фактах.

Оспаривать каждый из пунктов высказывания не стану — каждый вправе иметь свою позицию, да и не анонимным способам покупки товаров топик посвящён.

В целом, мне кажется на этом сайте не повредил бы обзор программ Open Source, посвящённых безопасности.

Разумеется, было бы здорово. Я, конечно, гигант мысли и отец русской демократии, но физически не могу заниматься всем сразу. Так что, не раньше, чем закончу Руководство, Словарь и технический FAQ, если только помощники не найдутся...
— Ghola (02/11/2003 11:16)   профиль/связь   <#>
комментариев: 63   документов: 5   редакций: 0
SATtva:
... вообще-то "уважаемый админ" не из Москвы. Хотя, в целом, географическая принадлежность не имеет большого значения, но и особого кича как-то не проявлялось.

Ладно-ладно, замнём! ;) Эт я лажанулся...

SATtva:

Я, конечно, гигант мысли и отец русской демократии,...

Вот-вот. Молодец! Спасибо тебе за то, что ты делаешь.
— SATtva (02/11/2003 13:49)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ghola, кстати, касаемо "бесплатности" open source, или, вернее, т.н. free software. Понимание свободы использования, модификации и распространения "свободного софта" (а именно так переводится free software) как его бесплатности в корне неверно. Вот точное определение:
http://www.gnu.org/philosophy/free-sw.ru.html
— Leksey (03/11/2003 12:35)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
В данной теме http://www.pgpru.com/forum/viewtopic.php?t=29 Влад также указывал на более предпочтительное использование open-source софта для обеспечения приватности. Сначала хотел ответить там, но открылась новая тема.

Никто не спорит, что open-source в таком случае хорошо, но есть свои но и у этого варианта..
Я как пользователь не могу просмотреть километры кода и понять, где воткнули люк (об этом я писал ранее). Влад же оппонировал мне, утверждая, что это бы нашли другие люди..
Но может же возникнуть ситуация с подменой самих сорцов. :-(

Вот такая как описана здесь. http://www.mcafee.ru/articles/archive.html?id=18
Хотя, там даже в код не полезли, а только make-файл модифицировали.
Но случаются и случаи модификации кода.
Т.е. мало скачать сорцы и откомпилить их, но надо тогда каким-то образом убедиться, что вы скачали не "улучшенный вариант".

Я даже знаю, что скажет Влад.. :-) Надо пользоваться PGP для подписания архивов.. Но можно же переподписать файл специально созданным для этого ключом и отправить его на сервер..
Когда я скачал PGP8 я решил проверить подпись. Да, этот ключ существовал и был подписан кучей народа, но никого из них я не знаю и все их ключи я тоже качал с сервера.. Как я в таком случае проверить, что я скачал нормальную бинарку восьмой версии?
— SATtva (03/11/2003 15:45)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Я даже знаю, что скажет Влад..


Какая проницательность! Именно это я и скажу. ;-)) Интернет — великая вещь. Можно связаться с лауреатом Нобелевской премии и подискутировать на ту или иную тему. Возможно, утрирую, но в целом всё именно так. Поэтому достаточно обратиться к какому-либо известному криптографу (хоть к Шнайеру, могу даже адресом и ключом PGP поделиться) с вопросом, знает ли он кого-нибудь, кто лично анализировал код. Затем можно попросить того человека лично заверить проверенный им исходник и выслать sig-файл тебе. Короче говоря, достаточно провести любой протокол с посредником.

Касаемо остального. Паранойя безгранична и позволяет усомниться в любых мерах предосторожности. Поэтому важно знать, в какой момент оставить сомнения, а определяется этот момент ценностью информации и ценой атаки — уже не раз и не в одном месте это отмечал. Если опасения достаточно серьёзны, вероятно, стоит выехать в Лондон или в Сан-Франциско, чтобы получить копию программы прямо в офисе PGP Corporation. Если таких опасений нет, положись на чужую подпись под ключом PGP Corporation Software Release Key 8. X (0xE8F99DB2)... скажем, на мою подпись (старый ключ 0x7EA89FF1) или подпись Фила Циммермана (0xB2D7795E). На что тот же Фил выдумывал концепцию Сети доверия (Web of Trust)? Именно благодаря ей и можно отследить подлинность практически любого ключа PGP.
— Leksey (03/11/2003 16:12)   профиль/связь   <#>
комментариев: 32   документов: 8   редакций: 0
А что? Идея. Народ в Лондон ездит периодически. Может и попрошу кого-нибудь заскочить. Только вот как там воспримут такого ходока?
— SATtva (03/11/2003 16:23)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Leksey, если коммерческую брать — нормально воспримут. А если за freeware... не знаю. ;-) Впрочем, ситуацию объяснить, мол, дессидент я, у российских спецслужб под колпаком и т.д... Любят, ИМХО, в Лондоне обиженных российскими спецслужбами...
— Observer (03/11/2003 21:14)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Кстати, вам не кажется, что не помешало бы... после инсталляции PGP.... принудительная проверка подписи софта... если найден файл подписи для этого софта. Зачастую юзер имеет софт и удостоверяющую подпись к нему, но... херит это. А тут, шалишь – подпись не соответствует... Аларм, аларм... 8=[ o ]
— SATtva (28/11/2003 01:47)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Весьма полезная статья в контексте данного обсуждения. Криспин Кован, "Безопасность систем с открытым кодом". Предлагает конкретные подходы и решения для повышения безопасности open source-систем.
— Гость (07/10/2013 12:08)   <#>
Системам с закрытым исходным кодом можно доверять только в том случае, если у вас есть причины доверять их разработчикам, например – это ваша собственная разработка и вы при этом уверены в своей компетенции. Такое встречается не часто. Гораздо чаще встречаются случаи, когда о разработчиках неизвестно ничего, или даже ничего хорошего.
— Гость (07/10/2013 19:08)   <#>
Не уверен, но кажется это некрорекорд, достойный Книги некрорекордов Гиннеса.
Гость, не могли подождать до 28 ноября? Эх...
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3