Open source или не open source — вот в чём вопрос!
Много копий было сломано в этом давнем споре. Но поскольку я сам его поднял в этой дискуссии, интересно было бы узнать и ваше мнение.
Истоки философии open source (софта с открытыми исходниками) восходят к истории самых ранних хакерских групп на заре Интернета, а сама философия в первую очередь подразумевает свободное распространение программ, полный доступ к их исходному коду и свободу его редактирования. (Можете обратиться к статье Эрика Реймонда "Заселяя ноосферу", если хотите узнать больше, я же не стану углубляться в тему GPL.) Но с развитием ПО и с появлением комплексных систем безопасности open source приобрёл и иную цель: доказательство того, что автор программы не добавил в неё каких-либо недокументированных функций, в частности, "люков" в любой их форме. Каждый пользователь может при желании проверить исходные тексты программы на предмет чего бы то ни было постороннего и самостоятельно скомпилировать надёжную копию программы.
Насколько актуальным вы считаете использование софта open source (в первую очередь для защиты информации)? Ответ желательно аргументировать.
Могу изложить свою позицию. Я не стану касаться удобства / неудобства open source с точки зрения подстройки его под свои нужды. С позиции же безопасности здесь две стороны, как у любой медали.
Положительная сторона: открытые исходники действительно позволяют гарантировать отсутствие недокументированных функций, ведь их наличие (а обнаружатся они довольно быстро) мгновенно обрушат репутацию автора. Зачастую в разработке и доводке софта open source участвует большая часть пользовательского сообщества, что позволяет совместно отлавливать баги.
Отрицательная сторона: у злоумышленника развязаны руки в поиске брешей в системе безопасности программы. Найдя баг, ему незачем сообщать об этом авторам: он использует его для взлома программ пользователей. Также благодаря наличию исходного кода он может внести в него любые изменения и скомпилировать свою версию программы, которую затем может попытаться широко распространить или провести целенаправленную атаку на определённого пользователя, подменив его оригинальную копию своей модификацией.
Исходя из этого, в целом я отдаю предпочтение open source. Однако, исходя из тех же тезисов, использую и софт с закрытыми исходниками. Надёжность комплекса защиты в целом базируется на комбинировании различных решений, как open source, так и с закрытым кодом. Привести чёткие критерии оценки надёжности софта с закрытыми исходниками довольно сложно. Не последнее место в расчёте занимает и репутация авторов, их компетентность, политическая обстановка в стране-территории разработчиков, история компании и многое другое. Выбор конкретной программы для решения тех или иных задач всегда индивидуален.
комментариев: 63 документов: 5 редакций: 0
Open Source хороши в частности ещё и потому, что за них не надо платить. Это весьма немаловажно для практически всех пользователей Рунета. А попытки нашего уважаемого админа кичиться "зарегистрированными копиями" – вызывают в лучшем случае усмешку ("у богатых свои причуды").
А в худшем случае – в глазах некоторых людей – может расцениваться одновременно как состав совершённого преступления и мотив для предстоящего! :D
Хе-хе, ментальность у нас не та...
Или – "ещё та"! :D :D :D
Во-первых у подавляющего числа нормальных людей в России (а не в Москве) – нет кредитных карточек и совершенно нет ни желания ни возможности “закапывать” несколько сотен долларов на их приобретение. К тому же – любая оплата – хоть электронная, хоть почтовый перевод (за границу – тот ещё цирк, кстати) – оставляет следы – реквизиты покупателя. А это совершенно никому из покупателей не нужно.
В целом, мне кажется на этом сайте не повредил бы обзор программ Open Source, посвящённых безопасности.
Например, кто-нибудь знает Open Source – аналоги SocksChain и SocksCap? Mutliproxy? AntiAON? Разумеется, всё это для Win32-платформы. А приемлемые GUI-оболочки gnuPG? А комплексные программы для тестирования прокси различных типов на анонимность, производительность и поддержку туннелирования? Фаерволы наконец?
комментариев: 11558 документов: 1036 редакций: 4118
Оспаривать каждый из пунктов высказывания не стану — каждый вправе иметь свою позицию, да и не анонимным способам покупки товаров топик посвящён.
Разумеется, было бы здорово. Я, конечно, гигант мысли и отец русской демократии, но физически не могу заниматься всем сразу. Так что, не раньше, чем закончу Руководство, Словарь и технический FAQ, если только помощники не найдутся...
комментариев: 63 документов: 5 редакций: 0
Ладно-ладно, замнём! ;) Эт я лажанулся...
Вот-вот. Молодец! Спасибо тебе за то, что ты делаешь.
комментариев: 11558 документов: 1036 редакций: 4118
http://www.gnu.org/philosophy/free-sw.ru.html
комментариев: 32 документов: 8 редакций: 0
Никто не спорит, что open-source в таком случае хорошо, но есть свои но и у этого варианта..
Я как пользователь не могу просмотреть километры кода и понять, где воткнули люк (об этом я писал ранее). Влад же оппонировал мне, утверждая, что это бы нашли другие люди..
Но может же возникнуть ситуация с подменой самих сорцов. :-(
Вот такая как описана здесь. http://www.mcafee.ru/articles/archive.html?id=18
Хотя, там даже в код не полезли, а только make-файл модифицировали.
Но случаются и случаи модификации кода.
Т.е. мало скачать сорцы и откомпилить их, но надо тогда каким-то образом убедиться, что вы скачали не "улучшенный вариант".
Я даже знаю, что скажет Влад.. :-) Надо пользоваться PGP для подписания архивов.. Но можно же переподписать файл специально созданным для этого ключом и отправить его на сервер..
Когда я скачал PGP8 я решил проверить подпись. Да, этот ключ существовал и был подписан кучей народа, но никого из них я не знаю и все их ключи я тоже качал с сервера.. Как я в таком случае проверить, что я скачал нормальную бинарку восьмой версии?
комментариев: 11558 документов: 1036 редакций: 4118
Какая проницательность! Именно это я и скажу. ;-)) Интернет — великая вещь. Можно связаться с лауреатом Нобелевской премии и подискутировать на ту или иную тему. Возможно, утрирую, но в целом всё именно так. Поэтому достаточно обратиться к какому-либо известному криптографу (хоть к Шнайеру, могу даже адресом и ключом PGP поделиться) с вопросом, знает ли он кого-нибудь, кто лично анализировал код. Затем можно попросить того человека лично заверить проверенный им исходник и выслать sig-файл тебе. Короче говоря, достаточно провести любой протокол с посредником.
Касаемо остального. Паранойя безгранична и позволяет усомниться в любых мерах предосторожности. Поэтому важно знать, в какой момент оставить сомнения, а определяется этот момент ценностью информации и ценой атаки — уже не раз и не в одном месте это отмечал. Если опасения достаточно серьёзны, вероятно, стоит выехать в Лондон или в Сан-Франциско, чтобы получить копию программы прямо в офисе PGP Corporation. Если таких опасений нет, положись на чужую подпись под ключом PGP Corporation Software Release Key 8. X (0xE8F99DB2)... скажем, на мою подпись (старый ключ 0x7EA89FF1) или подпись Фила Циммермана (0xB2D7795E). На что тот же Фил выдумывал концепцию Сети доверия (Web of Trust)? Именно благодаря ей и можно отследить подлинность практически любого ключа PGP.
комментариев: 32 документов: 8 редакций: 0
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 111 документов: 9 редакций: 22
комментариев: 11558 документов: 1036 редакций: 4118
некрорекордов Гиннеса.Гость, не могли подождать до 28 ноября? Эх...