С чего GNU ПО является безопасным и сохраняет конфиденциальность?

для толксов. открытое != безопасное, да, но есть одно большущее «но» - это можно доказать или опровергнуть. Закрытое - недоказуемо никак. Вот и все. С точки зрения рядового пользователя (не может в изучение кода) данный факт не имеет значения.

Не пользуйся бубунтой! Она почти так же огорожена, как мастдайка.

Если тебе не живется без поцтерошлака и деб-пакетов, лучше дебиан поставь.

А насчет безопасности, мне тоже такие вопросы частенько задают. И я отвечаю примерно как предыдущий собеседник: если там будет какая-то жопа, ты сможешь доказать ее наличие; в случае проприетастского ПО ты ничего доказать не сможешь.

но много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

Не переживай, те кто могут, напишут на лорчик, тут начнется массовый психоз, и всего через неделю весь мир уже будет знать.

много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

Любой, кто читать умеет. Исключением могут быть обфускации, но это не принято в опенсорсе - и то, само наличие обфускации привлечёт знающих людей и всех поймают.

Закрытое - недоказуемо никак

Не столь категорично, скажем так, сложнее - дизассемблеры никто не отменял

Исключением могут быть обфускации

обфускация, к слову, нарушает GPL

Есть не только технические, но и юридические сложности.

в России юридических сложностей нет - дизассемблируй сколь душе угодно

С того, что СПО контролирует пользователь, а не кто-то левый.

Та же ubuntu выгружала для amazon данные, в то время как вроде бы популярная свободная система.

то что ты об этом знаешь уже говорит о том, что работает все неплохо.

Да, по сути должны быть исходники на github, но много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

А много и не надо.

Над проектами под крылом GNU трудятся люди с убеждениями и особым складом ума, чтобы протолкнуть в один из них малварь, от АНБ, ЦРУ, ZOG, масонов и рептилоидов потребуется объединить усилия, что маловероятно.

много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

много. там ума много не надо, чтобы найти явный обфускат или вызов exec() - можно грепом даже.

Не пользуйся бубунтой! Она почти так же огорожена, как мастдайка.

Не пользуюсь, я использую Debian.

Не переживай, те кто могут, напишут на лорчик, тут начнется массовый психоз, и всего через неделю весь мир уже будет знать.

goingUp, отчасти за это мне и нравится ЛОР ))

А много и не надо.

dikiy, я говорю о тех, кто хочет знать, но не может полностью понять исходники.

много. там ума много не надо, чтобы найти явный обфускат или вызов exec() - можно грепом даже.

next_time, часом нет статейки по проверке кода на сливы и нечистость?

часом нет статейки по проверке кода на сливы и нечистость?

Какой статейки? Проверка в первом приближении делается элементарно - чтобы куда-то что-то послать/удалить файл/отформатировать диск и т.д. и т.п. нужно вызвать соответствующий код ВНЕЗАПНО. Код лежит в библиотеках/исполняемых файлах, а зависимости от них прописаны в инструкции по сборке (иначе ваш код даже не соберётся, а если и соберётся то хрен что сделает). Число подозрительных операций - конечное. Ну так погрепать имена классов, программ, вызовов системных функций, да и всё. Список этот зависит от языка, на котором написан код.

Какой статейки? Проверка в первом приближении делается элементарно - чтобы куда-то что-то послать/удалить файл/отформатировать диск и т.д. и т.п. нужно вызвать соответствующий код ВНЕЗАПНО. Код лежит в библиотеках/исполняемых файлах, а зависимости от них прописаны в инструкции по сборке (иначе ваш код даже не соберётся, а если и соберётся то хрен что сделает). Число подозрительных операций - конечное. Ну так погрепать имена классов, программ, вызовов системных функций, да и всё. Список этот зависит от языка, на котором написан код.

Ну вот того что ты расписал, многие не знают, или только догадываются.

GPL это не какой-то дефакто стандарт.

Такие вещи решаются не только анализом кода, но и общей культурой разработки. В сообществах разработки свободного программного обеспечения добавлять всякий шлак не принято, в отличие от разработчиков проприетарщины, чья цель максимизировать прибыль, а для гуглов и фейсбуков сами люди являются товаром. Проблемы бывают, когда разработка открытого по контролируется в основном одной for profit company, но и тут обычно находятся способы вырулить ситуацию. Это о конфиденциальности, безопасность это немного другое, однако второе без первого обычно не нужно. Потому как «мы воруем ваши только для себя, а не торговли» обычно заканчивается «ой, кто слил нашу базу, впрочем мы и так ей торговали, и ничего вы нам не сделаете».

Не столь категорично, скажем так, сложнее - дизассемблеры никто не отменял

Без комментариев и имён переменных это будет нечитаемый километр портянки. Т.е. теоретически можно, а практически - нет.

И как ты отличишь легитимное обращение к вебсайту (допустим, к репозиторию) от «слива информации»?

С точки зрения рядового пользователя (не может в изучение кода) данный факт не имеет значения.

Это ты мимо. Допустим я - рядовой пользователь не умеющий в изучение кода (лол, кого я обманываю, так и есть). Однако, если какая-нибудь условная убунту начнет сливать все налево и направо, я об этом узнаю, так как убунтой пользуются различного рода программисты и другие люди, которые в изучение кода могут.

Такие вещи решаются не только анализом кода, но и общей культурой разработки. В сообществах разработки свободного программного обеспечения добавлять всякий шлак не принято, в отличие от разработчиков проприетарщины, чья цель максимизировать прибыль, а для гуглов и фейсбуков сами люди являются товаром.

Ну вот допустим взять стандартные популярные дистрибутивы и программы:

• Debian
• ArchLinux
• Linux Mint

• Evolution - почта, контакты, календарь
• Libre Office
• CheryTree
• KeePassX
• Mozilla Thunderbird

На сколько эти ОС и программы сохраняют конфиденциальность? Часть стандартные, часть популярные. Но не до конца понятно, на сколько программы чисты. Хотя у всех на слуху, и думаю много кто их использует.

Проблемы бывают, когда разработка открытого по контролируется в основном одной for profit company, но и тут обычно находятся способы вырулить ситуацию. Это о конфиденциальности, безопасность это немного другое, однако второе без первого обычно не нужно. Потому как «мы воруем ваши только для себя, а не торговли» обычно заканчивается «ой, кто слил нашу базу, впрочем мы и так ей торговали, и ничего вы нам не сделаете».

Верно сказано. Последнее время попадается то в новостях, то на хабре, «ой, взломали, украли, а теперь продают в даркнете конфиденциальные данные пользователей»

Чтобы слить информацию её надо сначала собрать. Кроме того, если программа не является менеджером пакетов ей в репозиторий лезть не надо.

Это ты мимо. Допустим я - рядовой пользователь не умеющий в изучение кода (лол, кого я обманываю, так и есть). Однако, если какая-нибудь условная убунту начнет сливать все налево и направо, я об этом узнаю, так как убунтой пользуются различного рода программисты и другие люди, которые в изучение кода могут.

На сколько быстро ты узнаешь о сливе? Если из интернета - не факт что быстро. Разве что если рядом есть знакомый программист, который внимательно следит за этим. Но не у всех есть такой знакомый.

На сколько эти ОС и программы сохраняют конфиденциальность?

Так ведь все в netstat/wireshark видно. На свежеустановленном дистрибутиве направления сетевой активности можно по пальцам пересчитать. Даже домашние страницы в браузерах по умолчанию берутся из file:///usr/share (в федоре, например, есть правило «no calling home»)

Любая хрень подозрительная будет сразу видна.

Энивей, я считаю, что свободный софт с открытым кодом на подобные риски не пойдет, так как им дорогА репутация.

Так ведь все в netstat/wireshark видно. На свежеустановленном дистрибутиве направления сетевой активности можно по пальцам пересчитать. Даже домашние страницы в браузерах по умолчанию берутся из file:///usr/share (в федоре, например, есть правило «no calling home»)

Любая хрень подозрительная будет сразу видна.

Это действительно может быть так, что можно будет снять трафик. Но вот кто-то, читал и проверял ли действительно код, чтобы смело сказать «программы чисты»?

СПО можно сделать конфиденциальным, даже если есть проблемы, по крайней мере лицензия это позволяет. В отличие от винды десяточки, которую сейчас надо считать фактически кейлогером. И кстати, современная десятка в принципе может быть отключена от интернета или хотя бы раз в 35 или сколько дней обязана к нему подключаться для обновлений и слива конфиденциальной инфы?

являеться безопасным с точки зрения конфиденциальности работы с ним/на нем?

GNU это не про конфиденциалность, а про легальный доступ юзеров к потрохам софта. Что там в потрохах на самом деле лежит - это другой разговор.

Энивей, я считаю, что свободный софт с открытым кодом на подобные риски не пойдет, так как им дорогА репутация.

У меня такое впечатление, что в современные времена репутация уже не работает или плохо работает. Но по крайней мере, хотя в СПО могут быть и находили разные баги, некоторые очень серьезные, все же откровенная вредоносность не проходит.

GNU это не про конфиденциалность, а про легальный доступ юзеров к потрохам софта. Что там в потрохах на самом деле лежит - это другой разговор.

Я это понимаю, я читал лицензию GPL. По этой причине и поднял эту тему.

СПО можно сделать конфиденциальным, даже если есть проблемы, по крайней мере лицензия это позволяет. В отличие от винды десяточки, которую сейчас надо считать фактически кейлогером. И кстати, современная десятка в принципе может быть отключена от интернета или хотя бы раз в 35 или сколько дней обязана к нему подключаться для обновлений и слива конфиденциальной инфы?

praseodim, сейчас попал на новость (да, так поздно), о том что Microsoft купила github. Что-то мне кажется, что всё пойдет вовсе не в ту сторону, в плане приватности в дальнейшем, если они «помогают» сообществу свободного ПО.

Насколько мне известно, безопасностью и конфиденциальностью занимается пооьзователь. Это нормально сомневаться и проверять или не доверять устройству то что должно быть конфидициально.

Нет, не мимо, читай внимательно. Если _другие_ будут орать о сливе, тебе точно так же придется довериться не _своему_ знанию. С точки зрения рядового пользователя один фиг вопрос доверия чужому мнению.

если какая-нибудь условная убунту начнет сливать все налево и направо, я об этом узнаю

ты узнаешь о том, что ряд людей говорят, что убунту сливает, но будет и ряд людей, которые будут орать что нет. итого ты все равно вынужден довериться кому либо.

Я это понимаю, я читал лицензию GPL.

Ок, я просто ответил на тот вопрос.

Да, по сути должны быть исходники на github, но много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

Нет, не много, конечно. Я слышал, кажется, о какой-то инициативе, которая предполагала контроль добрых намерений, но не помню как называется. К тому же, это сложно формализовать (пока еще!). Copyleft был построен в соответствии с буквой закона, для игры по правилам. Формальных правил «добрых намерений» (или злых) я пока не встречал.

И кстати, современная _десятка_ в принципе может быть отключена от интернета или хотя бы раз в 35 или сколько дней обязана к нему подключаться для обновлений и слива конфиденциальной инфы?

Как я слышал - нет, что касается именно потребительской десятки. Вроде бы есть версии для корпораций и госорганов, она называется как-то по-другому, и позволяет лучше контроллировать контакты с третьими серверами.

Хорошо, допустим, ты прав. Тогда как правильно поступать в этой ситуации?

inb4: не пользоваться компьютерами и интернетами.

Полагаться на репутацию вендора. Принимать решения изходя из этого, тем самым глобально повышая значимость репутации для вендоров.

По мере возможности пользоваться открытым ПО, помня при этом, что это не панацея.

Но вот кто-то, читал и проверял ли действительно код, чтобы смело сказать «программы чисты»?

Репутация важнее. Можно пригласить экспертов, которые проверят и скажут, что код и, скажем, криптография работают как надо, этим занимают производители проприетарных «защищённых» мессенджеров. Но ничего не мешает им код поменять в следующей версии, а не обновляться, если программа работает с интернетом - идея глупая.

Без труда, вот как.

С чего GNU ПО является безопасным и сохраняет конфиденциальность?

Ни с чего, может не являться и не сохранять.

На жратве всегда пишут состав, это закон. Но никто же не жалуется, что понять его важность могут только биологи или пищевые технологи? Если нужно-этот состав будет проинспектирован и ответственных подвесят за яйки. Так же и в опенсурсе, лучше, когда есть возможность, чем когда её нет. А то, что этой возможностью не можешь воспользоваться лично ты-это уже твоя личная проблема.

На жратве всегда пишут состав, это закон. Но никто же не жалуется, что понять его важность могут только биологи или пищевые технологи? Если нужно-этот состав будет проинспектирован и ответственных подвесят за яйки. Так же и в опенсурсе, лучше, когда есть возможность, чем когда её нет. А то, что этой возможностью не можешь воспользоваться лично ты-это уже твоя личная проблема.

Логично. Но стоит же учесть то что хим. состав еды можно загуглить прям по элементам и узнать что это за хрень. А десятки страниц кода, как загуглишь? Только углубленно изучать программный код, и не факт что хватит терпения.

Для множества людей читать портянки о хим. элементах так же мучительно, как кому-то ковырять чужой код. Если безопасность действительно важна-вы раскошелитесь на аудит кода или проведёте его сами. Крупные софтверные конторы иногда делают это. Если вам не под силу ни первое ни второе, значит ваша безопасность не настолько важна, как вам кажется или хочется и лучшее решение в данном случае-просто перестать беспокоиться об этом.

А если является?

Это так, для примера. Много ли программ, про которые мы можем быть уверены, что они вообще никогда в сеть не полезут?

А собрать — во-1, речь шла именно о выгрузке, во-2, код, который скрытно по винчестеру ползает, вообще никак не отличается от нормального.

Так ведь все в netstat/wireshark видно.

Закрытые системы в этом отношении ничем не отличаются.

свободный софт с открытым кодом на подобные риски не пойдет, так как им дорогА репутация.

А грабить в подворотнях никто не будет, так как всем дорога свобода.

Мдя. Рядовой Иванов, не капайте мне на голову раскалённым оловом.

Для множества людей читать портянки о хим. элементах так же мучительно, как кому-то ковырять чужой код.

Тем не менее, химдобавки — задача с ограниченной сложностью (O(1)), в то время как разбор кода на предмет безопасности вообще алгоритмически неразрешим.

На сколько эти ОС и программы сохраняют конфиденциальность?

Эти программы и ОС - это не только код под GPL, это и сообщество над ним работающее.

Случайный открытый софт упакованный кем попало и выложенный на случайный докер-хаб/ppa безопасным не является. Это известная истина имеющая множество подтверждений.

Но проекты и дистрибутивы делаются не случайными людьми, эти люди не анонимы из darknet, а участники сообщества, организаторы различных Foundations, знакомые вживую, регулярно общающиеся и работающие сообща.

Поэтому кроме банального «я могу сам посмотреть», есть ещё и цепь доверия. Я не просто могу посмотреть код, я лично знаю человека который лично знает человека, который этот код пишет.

Репутация в Open Source разработке значит очень много, и это очень важная часть всего процесса.

Никто так и не думает. Абсолютно никто кроме авторов (и желающих получить выгоду с проекта) не читает исходники.

обфускация, к слову, нарушает GPL

Какой именно пункт?