1. Ну предположим что огромный кусок кода не является "опасным". Некий злоумышленник изменяет маленький кусок кода и высылает мантайнеру патч. Мантайнер смотрит в патч и видит как на ладони тот самый маленький участок кода.
2. Допустим злоумышленник переписал полпрограммы и выслал здоровенный патч, в котором вредный код должен потеряться. Мантайнер в любом случае проверит ВЕСЬ код, и если он его устроит то внедрит в дерево исходников полностью либо частично. Вероятность появления вредного кода очень мала.
3. Предположим мантайнер облажался и включил вредный код. Но над этим участком кода наверняка работает далеко не один человек и когда эти люди обновят свои копии исходников и посмотрят что там наваяли, то вредный код будет тут же вычислен. Подобная ситуация может сложиться в состоянии интенсивной разработки программы, когда она в альфах гуляет и не предназначена для конечного пользователя. Чем ближе к релизу, тем менее весомыми становятся патчи и разобраться в них не составляет особого труда. Т.ч. к релизу код будет вычищен настолько, что никакая закладка там не выживет. Собственно подобные закладки нет смысла писать. Может и суток не пройти, а вредный код уже вычислят и он даже в дерево исходников не попадет.

Но если Вы доверяете только себе, то всегда можно ознакомиться с исходниками и изучить их с той степенью тщательности, которая Вас устроит. А потом из них уже собрать программу.

Хочу еще пояснить, быть может не все знают кто такие мантайнеры. Мантайнер — это хранитель кода. Они есть в каждом крупном открытом проекте. Поскольку код пишут все, то за этим надо как-то следить. Именно этим они и занимаются. Они изучают присланные куски кода перед внедрением их в основной репозитарий. Каждый кусок кода проходит аудит. Его проверяют на потенциальные глюки, закладки, несовместимости. И если таковые находятся, то код никогда не попадет в репозитарий, пока все огрехи не исправят.

Что касается паролей. Нет универсального средства их хранения. Единственный надежный способ — шифровать базу данных с паролями и вводить каждый раз главный пароль при попытке доступа к базе. Но такой подход утомителен для пользователя. Сохраняя пароли в фоксе или птице, вы очень сильно рискуете. Если ваш компьютер будет заражен трояном, то увести ваши пароли и расшифровать их не представляет большой сложности. Никогда не храните важные пароли в программах. Используйте либо специализированные программы (менеджеры паролей, на форуме есть специальная тема про них), либо вообще нигде не храните свои пароли.

Syzygy, мантайнеры не бывают плохими людьми. Это как… ну я даже не знаю. Как профессор в европейском универе. Может он быть проходимцем? Если майнтайнера поймают на таком (а его поймают, потому что код открыт и знают что именно он внес эти изменения. Все коммиты протоколируются), то это все… конец его репутации…

Отредактировано LattyF (06-06-2006 22:52:35)

Пожалуйста поподробней о сертификации и о специализирующихся на этом организациях. И о сертификации в подобных организациях Mozilla.

John Lynx, с таким подходом нельзя вообще ничего использовать. Даже то, что написал сам — кто гарантирует, что нет закладок в компиляторе? Это параноя уже.

Не вижу проблемы
Возми и прочитай что в коде написано
И только потом make install
Ты думаешь как переполнения буфера находят хакеры?
Правильно читают и всматриваются в каждый клочек кода
Уж закладку бы они заметили

John Lynx, имеется в виду, что если Вам очень важно убедиться в отсутствии закладок, то всегда можно это сделать. Это конечно не так просто, но возможность такая есть. Разве собственным глазам Вы доверяете меньше чем сертификатам? И не надо проецировать сказанное на каждого пользователя Linux. Эти люди в большинстве своем открытому коду доверяют. А некоторая их часть открытый код предпочитают по соображениям безопасности, даже не посмотрев ни одной строчки из него.

Azathoth, сделать это, к сожалению, возможно далеко не всегда!
Найти все закладки - все равно что найти все ошибки. Почему бы не найти все ошибки в программе?

Если программные комплексы настолько сложны, что даже на уровне архитектуры программы НЕВОЗМОЖНО найти все ошибки, то что же говорить о СПЕЦИАЛЬНО спрятанных программных закладках, которые приходится искать ТОЛЬКО по исходному коду, не имея на руках ни алгоритмов, ни схем?

Bananas,
по-моему лучше, чтобы в критических областях использования компьютеров (типа АЭС, спецслужбы и др) работали параноики, чем те, кто предпочитает наступать на грабли

Мда. Тяжелый случай.

Ты правда решил что тебе кто-то что-то должен, и ты кому то нужен, да еще и за бесплатно?

В KDE добавляли комментарии на русском с приветами друзьям - через два дня вырезали

Не думаю, что это так. Представьте, что вам нужно найти закладку со следующими свойствами:
1.код закладки разнесен по всему исходному коду проекта. В самом сложном случае никаких два оператора закладки не идут подряд (м.б. даже в одном модуле).
2.код закладки "зашит" в наиболее сложные для понимания модули (например, в модули, имеющие сложные алгоритмы обработки данных).
3.закладка НИКОГДА не проявится. Т.е. закладка предназначена для того, чтобы ЕДИНСТВЕННЫЙ раз активизироваться по команде извне и выполнить свои задачи. (Поэтому не подходит к рассмотрению предыдущий пример.)
Естественно, что в этом случае программную закладку выявить, как минимум, значительно сложнее, чем найти случайную ошибку. Другой вопрос, какая должна быть закладка, чтобы ее можно было найти

Вообще-то я изначально говорил не только (и не столько) об OpenSource-проектах. Но даже для них, сможет ли мантайнер найти программную закладку, разнесенную на 2 модуля? А на 20 модулей?

Да никто вам и не собирается посылать закладку в одном патче или менять сразу весь проект!
Если можно получить контроль над критически важными системами, то на это государству не жалко и 10 лет! И огромных средств! И никакие cvs, diff, path здесь не помогут!

А ЕДИНСТВЕННЫЙ раз, значит, что при совпадении некоторых условий закладка активизируется. Например, конкретная дата, например, особым образом сформированный сетевой пакет и многое-многое другое!