Полезная информация

Общайтесь со знакомыми и друзьями в нашем сообществе в Facebook.
  • Форумы
  •  » Флейм
  •  » Безопасность использования продуктов с открытым кодом.

№2614-06-2006 17:54:41

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Безопасность использования продуктов с открытым кодом.

John Lynx, все гораздо проще — зачем тратить 10 лет? Легче пойти и купить нужного тебе чиновника. Тут вообще ничто не поможет.

Ты уверен что так нельзя внедрить закладку в проприетарное ПО? А купленный кодер? А купленный архитектор?


Black holes were created when the God divided by zero.

Отсутствует

 

№2714-06-2006 20:54:55

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771

Re: Безопасность использования продуктов с открытым кодом.

==> Флейм


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№2814-06-2006 22:49:05

Sky
Участник
 
Группа: Extensions
Откуда: Рязань
Зарегистрирован: 06-11-2004
Сообщений: 1378

Re: Безопасность использования продуктов с открытым кодом.

John Lynx
На самом деле практически нереально внедрить закладку в опенсорсный проект. Найдется множество людей, которые

знают определенный участок кода досконально

И увидев там лишнее, естесственно поинтересуются, откуда в этом месте появилась эта строчка, зачем она нужна.
Далее, если закладка должна сработать по приходу сетевого пакета, так все, что связанно с сетью сосредоточено обычно в строго определенных местах, которые проверяются особенно тщательно, именно в связи с безопасностью. В остальной части кода попытки работать с сетью сразу бросятся в глаза.

Если можно получить контроль над критически важными системами, то на это государству не жалко и 10 лет!

Да, только за эти десять лет вероятность обнаружения закладки или ее частей просто огромная. К тому же, делать закладку таким образом - сизифов труд. За десять лет код настолько изменится, что скорее всего старые части закладки работать не будут.
Да еще, велика вероятность, что одну из частей закладки просто удалят при чистке кода.

Гораздо проще сделать закладку в ПО с закрытыми исходниками. Даже если исходные тексты предоставляются для аудита, у комиссии найти закладку будет гораздо меньше шансов, чем у тысяч разработчиков и миллионов пользователей открытого ПО.


Gentoo Linux 2007-03-23 by XOR
Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9b3pre) Gecko/2008010104
Нас мало, но мы в кедах! ;)

Отсутствует

 

№2914-06-2006 23:55:10

Punk_UnDead
Участник
 
Группа: Members
Откуда: Макеевка(Украина)
Зарегистрирован: 29-05-2006
Сообщений: 613
Веб-сайт

Re: Безопасность использования продуктов с открытым кодом.

:offtopic: ни одна система ни с открытым, ни с закрытым кодом не выдержит удара монтировкой :dumb:


это не просто аватара - это древний символ изгнания зла

Отсутствует

 

№3015-06-2006 00:39:43

Sky
Участник
 
Группа: Extensions
Откуда: Рязань
Зарегистрирован: 06-11-2004
Сообщений: 1378

Re: Безопасность использования продуктов с открытым кодом.

ни одна система ни с открытым, ни с закрытым кодом не выдержит удара монтировкой

Это смотря по чему бить. Если, как в фильмах, по монитору, то выдержит. Система конечно, а не монитор. :)


Gentoo Linux 2007-03-23 by XOR
Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9b3pre) Gecko/2008010104
Нас мало, но мы в кедах! ;)

Отсутствует

 

№3115-06-2006 09:25:17

John Lynx
Участник
 
Группа: Members
Зарегистрирован: 27-01-2006
Сообщений: 74

Re: Безопасность использования продуктов с открытым кодом.

С таким подходом - гарантии на безопасность ПО никто не даст

Ура! Смотрим мой топик от 07-06-2006 12:51:38.

Отсутствия закладок, работоспособности программы и даже того, что программа не насет вреда не гарантирует практически ни одна крупная фирма-разработчик, тем более это не гарантируется для продуктов OpenSource. Кроме того, даже сертификация программного обеспечения в специализированных организациях не дает полной гарантии отсутствия закладок.

Отсутствует

 

№3215-06-2006 11:22:22

nwtour
Участник
 
Группа: Members
Откуда: Санкт-Петербург
Зарегистрирован: 17-07-2005
Сообщений: 154

Re: Безопасность использования продуктов с открытым кодом.

John Lynx пишет

С таким подходом - гарантии на безопасность ПО никто не даст

Ура! Смотрим мой топик от 07-06-2006 12:51:38.

Отсутствия закладок, работоспособности программы и даже того, что программа не насет вреда не гарантирует практически ни одна крупная фирма-разработчик, тем более это не гарантируется для продуктов OpenSource. Кроме того, даже сертификация программного обеспечения в специализированных организациях не дает полной гарантии отсутствия закладок.

Проект apache httpd
За семь лет 4 критические
2 для версии Windows
1 при использовании необязательного модуля WebDAV
1 связана с переполнением буфера

И как здесь связанно "Тем более продуктами OpenSource" ? Ты посмотри сколько в коммерческих сетевых продуктах дырок

Отсутствует

 

№3315-06-2006 12:05:10

Punk_UnDead
Участник
 
Группа: Members
Откуда: Макеевка(Украина)
Зарегистрирован: 29-05-2006
Сообщений: 613
Веб-сайт

Re: Безопасность использования продуктов с открытым кодом.

nwtour
плюс ещё могу от себя добавить, в коммерческом проекте есть защита, и ж если она начнёт глючить ...
вот там дыр и закладок, хоть пруд пруди...  параноя господа


это не просто аватара - это древний символ изгнания зла

Отсутствует

 

№3416-06-2006 09:33:19

John Lynx
Участник
 
Группа: Members
Зарегистрирован: 27-01-2006
Сообщений: 74

Re: Безопасность использования продуктов с открытым кодом.

И как здесь связанно "Тем более продуктами OpenSource" ? Ты посмотри сколько в коммерческих сетевых продуктах дырок

Это связано абсолютно не с тем, что OpenSource - это плохо и дыряво (Обычно все как раз наборот).
Коммерческие фирмы не гарантируют работоспособности, т.к. одна-единственная ошибка в программе может сделать фирму банкротом. Тем более, фирма не получающая прибыли от продажи ПО не станет возмещать возможный ущерб от ошибки.
Это всегда явно указывается в лицензиях:

FreeVCS and all his related servers, applications, components, source code and documents are published as Freeware in the hope that they will be useful for somebody, but WITHOUT ANY WARRANTY AT ALL, either express or implied, including but not limited to any implied warranty of accuracy, fitness for any particular use, effects of use, or reliability

или 7-Zip:

This library is distributed in the hope that it will be useful,
      but WITHOUT ANY WARRANTY; without even the implied warranty of
      MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

или сама LGPL:

15. BECAUSE THE LIBRARY IS LICENSED FREE OF CHARGE, THERE IS NO WARRANTY FOR THE LIBRARY, TO THE EXTENT PERMITTED BY APPLICABLE LAW. EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT HOLDERS AND/OR OTHER PARTIES PROVIDE THE LIBRARY "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE LIBRARY IS WITH YOU. SHOULD THE LIBRARY PROVE DEFECTIVE, YOU ASSUME THE COST OF ALL NECESSARY SERVICING, REPAIR OR CORRECTION.

Отсутствует

 

№3516-06-2006 09:44:21

Azathoth
Участник
 
Группа: Extensions
Откуда: Хабаровск
Зарегистрирован: 02-02-2005
Сообщений: 2692

Re: Безопасность использования продуктов с открытым кодом.

John Lynx, все прекрасно знают, что организации, пишущие ПО, юридически не берут на себя ответственности за возможные неисправности.
Однако основная мысль топика почему-то Вами проигнорировалась. А она такова:

Мистик пишет

Где гарантия, что какой нибудь недобросовестный разработчик не встроит в огромный кусок кода, маленький вредоносный модуль, который например будет собирать пароли пользователя и отправлять их этому человеку по почте?

Отредактировано Azathoth (16-06-2006 09:44:42)


...она старалась, чтобы я больше времени проводил в разных пионерлагерях и группах продлённого дня - кстати сказать, удивительную красоту последнего словосочетания я вижу только сейчас. (c) Виктор Пелевин

Отсутствует

 

№3616-06-2006 11:22:02

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Безопасность использования продуктов с открытым кодом.

:offtopic:
John Lynx, Вы правильно сказали, нести ответственность за ошибки разработчики не могут. Тогда ответьте, почему, если у меня ломается утюг, я несу его в ремонт и мне бесплатно его чинят, пока он на гарантии. Что, процесс производства утюга менее трудоемок?

Но! Никто не будет мне возмещать стоимость, например, скатерти из хлопка, если, гладя её, я поставил терморегулятор на «Хлопок», а из-за ошибки в мех. части утюга, температура стала в 5 раз выше. Не будет возмещать у нас, в России и СНГ. В Америке я засужу компанию-производителю утюга, и они мне не только стоимость скатерти вернут. Потому что у них защищают потребителя. И прежде чем выпустить продукт на рынок, производитель раз 100 протестирует утюг.

Что касается ОС, то по сложности их можно сравнить, например, с домом. Вы когда последний раз видели, чтобы у дома отвалилась стена? Что будет потом с организацией, которая его строила? А что будет, если моя ОС испортит данные на несколько миллиончиков?

По поводу OpenSource. Все мы видели в инете руководства по сбору какой-нибудь фигни. В каждой из них написано, что автор ничего не гарантирует. И это правильно, денег у него на тестирование нет, в навыках пользователя он не уверен… Так что гарантий нет.

При использовании, например, токарного станка, человека несколько лет учат с ним работать, с софтом никто ничему не учит. Да, если у станка просто бессмысленно дергать за рычаги — он сдохнет. Даже если все делать правильно, но в какое-то время, вместо того, чтобы отвести резец, сделать наоборот — Вы запорите всю работу. Никакой защиты от этого нет, только знание того, что ты делаешь и принципов работы станка.

С ПО ситуация в корне иная. Автор пытается предусмотреть все варианты нажатия рычагов и кнопок. В то время как в станках блокируются только реально опасные комбинации, в программах должны отслеживаться все. Это просто бред. Потому мы и имеем кучу ошибок. Если бы программы использовались, например, как станки — по четкому алгоритму, только обученными пользователями, таких проблем бы не было.

Бытует мнение, что некорректно сравнивать ПО и реальные объекты. Я с этим не согласен. Это попытка, причем весьма корявая, уйти от ответственности за свои программы.


Black holes were created when the God divided by zero.

Отсутствует

 

№3716-06-2006 13:10:42

Sniper_gf
Участник
 
Группа: Members
Зарегистрирован: 17-03-2006
Сообщений: 188

Re: Безопасность использования продуктов с открытым кодом.

Компании выпускающие ПО с закрытым кодом на платной основе, не несут никакой ответственности, поскольку не могут гарантировать 100% совместимости со всему существующими конфигурациями компьютеров. Для этого программу дают опробовать в течении испытательного срока и если всё ОК, мы покупаем её. Как показала история, семейство ОС Windows  славится своей дырявостью и они тоже никогда не гарантировали полную безопасность, однако это никого не смущает, а тут бесплатный продукт достойного качества и вдруг сомнения по поводу безопасности. Открытый код тем и хорош, что он открытый и любой программист может его проверить, если захочет.

Отсутствует

 

№3819-06-2006 13:53:59

John Lynx
Участник
 
Группа: Members
Зарегистрирован: 27-01-2006
Сообщений: 74

Re: Безопасность использования продуктов с открытым кодом.

все прекрасно знают, что организации, пишущие ПО, юридически не берут на себя ответственности за возможные неисправности.
Однако основная мысль топика почему-то Вами проигнорировалась.

Azathoth, я как раз и не игнорировал этот вопрос, а сразу ответил, что Вами и было указано:

организации, пишущие ПО, юридически не берут на себя ответственности

правда не только за "неисправности", но и за все остальное. Рискуя в этом случае только имиджем. Поэтому гарантии нет никакой. Единственное, что я обобщил ответ не только на OpenSource-продукты, но также и на проприетарные.

John Lynx, Вы правильно сказали, нести ответственность за ошибки разработчики не могут. Тогда ответьте, почему, если у меня ломается утюг, я несу его в ремонт и мне бесплатно его чинят, пока он на гарантии.

LattyF, почему я должен на это отвечать? Если Вам нужны ответ - подумайте, проанализируйте и расскажите мне о ваших выводах по почте - помогу чем смогу. А то у меня подозрение, что ответ Вам не нужен.

P.S.:
Кстати, одну из причин уже указал Sniper_gf...

Отредактировано John Lynx (19-06-2006 13:56:59)

Отсутствует

 

№3919-06-2006 16:22:02

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Безопасность использования продуктов с открытым кодом.

John Lynx, да Вы и неудосужились прочитать даже. Что мне Вам писать-то? Какой ответ Вы мне дадите? Засудят? Ну так пишите так, чтобы не засудили. Форд почему-то не засуживают.

Удосужтесь прочитать сперва, прежде чем отвечать.


Black holes were created when the God divided by zero.

Отсутствует

 

№4019-06-2006 17:08:42

John Lynx
Участник
 
Группа: Members
Зарегистрирован: 27-01-2006
Сообщений: 74

Re: Безопасность использования продуктов с открытым кодом.

LattyF, прежде чем посылать всякие глупости на форум, соизвольте прочитать о чем речь! Иначе попадете в глупую ситуацию, когда спорите абсолютно не по теме беседы!

Отсутствует

 

№4119-06-2006 18:05:44

Azathoth
Участник
 
Группа: Extensions
Откуда: Хабаровск
Зарегистрирован: 02-02-2005
Сообщений: 2692

Re: Безопасность использования продуктов с открытым кодом.

John Lynx пишет

Azathoth, я как раз и не игнорировал этот вопрос, а сразу ответил, что Вами и было указано:

организации, пишущие ПО, юридически не берут на себя ответственности

правда не только за "неисправности", но и за все остальное. Рискуя в этом случае только имиджем. Поэтому гарантии нет никакой. Единственное, что я обобщил ответ не только на OpenSource-продукты, но также и на проприетарные.

Де юро ответственности никто на себя не берет. Де факто пропихнуть закладку в open source продукт почти не возможно. Гарантий на то что проприетарный продукт не имеет закладок гораздо меньше. Фактически гарантией выступает лишь честное слово разработчика. Не так ли?

Отредактировано Azathoth (19-06-2006 18:07:03)


...она старалась, чтобы я больше времени проводил в разных пионерлагерях и группах продлённого дня - кстати сказать, удивительную красоту последнего словосочетания я вижу только сейчас. (c) Виктор Пелевин

Отсутствует

 

№4219-06-2006 18:29:31

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Безопасность использования продуктов с открытым кодом.

John Lynx, умерьте пыл. Пришли бы сразу и писали бы не чушь. Сами развели флейм, еще теперь указывать пытаетесь.

Azathoth, конечно так. Могу даже сказать больше — до первого прокола. Потом обычно название фирмы меняют :)


Black holes were created when the God divided by zero.

Отсутствует

 

№4319-06-2006 19:49:13

Punk_UnDead
Участник
 
Группа: Members
Откуда: Макеевка(Украина)
Зарегистрирован: 29-05-2006
Сообщений: 613
Веб-сайт

Re: Безопасность использования продуктов с открытым кодом.

позволю себе вмешаться и напомнить о скандальном проекте клиппер(кажется) - образец продукта с закрытым кодом


это не просто аватара - это древний символ изгнания зла

Отсутствует

 

№4425-06-2006 13:18:51

steepz
Участник
 
Группа: Members
Откуда: Нерюнгри
Зарегистрирован: 06-04-2006
Сообщений: 255

Re: Безопасность использования продуктов с открытым кодом.

Надо было сабж подругому писать "использование проприетарных продуктов". Я например почему-то боюсь использовать закрытый (платный) ssh клиент, думаю понятно почему, поэтому юзаю проверенный putty.

Отсутствует

 

№4525-06-2006 13:38:48

LattyF
Участник
 
Группа: Members
Откуда: г. Самара
Зарегистрирован: 19-06-2005
Сообщений: 2924

Re: Безопасность использования продуктов с открытым кодом.

steepz, а кто использует не putty? Такие есть? :) Естественно, я имею в виду под винду.


Black holes were created when the God divided by zero.

Отсутствует

 

№4625-06-2006 15:30:58

steepz
Участник
 
Группа: Members
Откуда: Нерюнгри
Зарегистрирован: 06-04-2006
Сообщений: 255

Re: Безопасность использования продуктов с открытым кодом.

Есть такие конечно, ибо путти не блещет функциональностью. :)

Отсутствует

 
  • Форумы
  •  » Флейм
  •  » Безопасность использования продуктов с открытым кодом.

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]