LINUX.ORG.RU
ФорумTalks

С чего GNU ПО является безопасным и сохраняет конфиденциальность?

 


1

3

Добрый день. Недавно ходил по форуму, читал темы, и пришла мысль. А с чего свободное программное обеспечение, под лицензией GNU, являеться безопасным с точки зрения конфиденциальности работы с ним/на нем? Да, по сути должны быть исходники на github, но много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет? Та же ubuntu выгружала для amazon данные, в то время как вроде бы популярная свободная система. Вы можете сказать о снятии трафика и проверке, но мало-ли программа будет делать это раз в день/неделю/месяц, когда трафик не записывается. А многие и на 100% уверены что всё чисто, даже на той ubuntu, хотя это не так.

Интересно послушать ваше мнение и опыт в этом деле с разных сторон.

P.S. Возможно не в тот раздел, но курилку я не нашел.

для толксов. открытое != безопасное, да, но есть одно большущее «но» - это можно доказать или опровергнуть. Закрытое - недоказуемо никак. Вот и все. С точки зрения рядового пользователя (не может в изучение кода) данный факт не имеет значения.

Anoxemian ★★★★★
()

Не пользуйся бубунтой! Она почти так же огорожена, как мастдайка.

Если тебе не живется без поцтерошлака и деб-пакетов, лучше дебиан поставь.

А насчет безопасности, мне тоже такие вопросы частенько задают. И я отвечаю примерно как предыдущий собеседник: если там будет какая-то жопа, ты сможешь доказать ее наличие; в случае проприетастского ПО ты ничего доказать не сможешь.

anonymous
()

но много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

Не переживай, те кто могут, напишут на лорчик, тут начнется массовый психоз, и всего через неделю весь мир уже будет знать.

goingUp ★★★★★
()

много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

Любой, кто читать умеет. Исключением могут быть обфускации, но это не принято в опенсорсе - и то, само наличие обфускации привлечёт знающих людей и всех поймают.

Bfgeshka ★★★★★
()
Ответ на: комментарий от Deleted

в России юридических сложностей нет - дизассемблируй сколь душе угодно

next_time ★★★★★
()

С того, что СПО контролирует пользователь, а не кто-то левый.

Quasar ★★★★★
()

Та же ubuntu выгружала для amazon данные, в то время как вроде бы популярная свободная система.

то что ты об этом знаешь уже говорит о том, что работает все неплохо.

Да, по сути должны быть исходники на github, но много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

А много и не надо.

dikiy ★★☆☆☆
()

Над проектами под крылом GNU трудятся люди с убеждениями и особым складом ума, чтобы протолкнуть в один из них малварь, от АНБ, ЦРУ, ZOG, масонов и рептилоидов потребуется объединить усилия, что маловероятно.

WitcherGeralt ★★
()
Последнее исправление: WitcherGeralt (всего исправлений: 1)

много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

много. там ума много не надо, чтобы найти явный обфускат или вызов exec() - можно грепом даже.

next_time ★★★★★
()
Ответ на: комментарий от anonymous

Не пользуйся бубунтой! Она почти так же огорожена, как мастдайка.

Не пользуюсь, я использую Debian.

Не переживай, те кто могут, напишут на лорчик, тут начнется массовый психоз, и всего через неделю весь мир уже будет знать.

goingUp, отчасти за это мне и нравится ЛОР ))

А много и не надо.

dikiy, я говорю о тех, кто хочет знать, но не может полностью понять исходники.

много. там ума много не надо, чтобы найти явный обфускат или вызов exec() - можно грепом даже.

next_time, часом нет статейки по проверке кода на сливы и нечистость?

TheLinuxUser ★★
() автор топика
Ответ на: комментарий от TheLinuxUser

часом нет статейки по проверке кода на сливы и нечистость?

Какой статейки? Проверка в первом приближении делается элементарно - чтобы куда-то что-то послать/удалить файл/отформатировать диск и т.д. и т.п. нужно вызвать соответствующий код ВНЕЗАПНО. Код лежит в библиотеках/исполняемых файлах, а зависимости от них прописаны в инструкции по сборке (иначе ваш код даже не соберётся, а если и соберётся то хрен что сделает). Число подозрительных операций - конечное. Ну так погрепать имена классов, программ, вызовов системных функций, да и всё. Список этот зависит от языка, на котором написан код.

next_time ★★★★★
()
Ответ на: комментарий от next_time

Какой статейки? Проверка в первом приближении делается элементарно - чтобы куда-то что-то послать/удалить файл/отформатировать диск и т.д. и т.п. нужно вызвать соответствующий код ВНЕЗАПНО. Код лежит в библиотеках/исполняемых файлах, а зависимости от них прописаны в инструкции по сборке (иначе ваш код даже не соберётся, а если и соберётся то хрен что сделает). Число подозрительных операций - конечное. Ну так погрепать имена классов, программ, вызовов системных функций, да и всё. Список этот зависит от языка, на котором написан код.

Ну вот того что ты расписал, многие не знают, или только догадываются.

TheLinuxUser ★★
() автор топика

Такие вещи решаются не только анализом кода, но и общей культурой разработки. В сообществах разработки свободного программного обеспечения добавлять всякий шлак не принято, в отличие от разработчиков проприетарщины, чья цель максимизировать прибыль, а для гуглов и фейсбуков сами люди являются товаром. Проблемы бывают, когда разработка открытого по контролируется в основном одной for profit company, но и тут обычно находятся способы вырулить ситуацию. Это о конфиденциальности, безопасность это немного другое, однако второе без первого обычно не нужно. Потому как «мы воруем ваши только для себя, а не торговли» обычно заканчивается «ой, кто слил нашу базу, впрочем мы и так ей торговали, и ничего вы нам не сделаете».

FedyaPryanichkov ★★
()
Последнее исправление: FedyaPryanichkov (всего исправлений: 1)
Ответ на: комментарий от TheAnonymous

Не столь категорично, скажем так, сложнее - дизассемблеры никто не отменял

Без комментариев и имён переменных это будет нечитаемый километр портянки. Т.е. теоретически можно, а практически - нет.

tiinn ★★★★★
()
Ответ на: комментарий от Anoxemian

С точки зрения рядового пользователя (не может в изучение кода) данный факт не имеет значения.

Это ты мимо. Допустим я - рядовой пользователь не умеющий в изучение кода (лол, кого я обманываю, так и есть). Однако, если какая-нибудь условная убунту начнет сливать все налево и направо, я об этом узнаю, так как убунтой пользуются различного рода программисты и другие люди, которые в изучение кода могут.

Senjougahara
()
Ответ на: комментарий от FedyaPryanichkov

Такие вещи решаются не только анализом кода, но и общей культурой разработки. В сообществах разработки свободного программного обеспечения добавлять всякий шлак не принято, в отличие от разработчиков проприетарщины, чья цель максимизировать прибыль, а для гуглов и фейсбуков сами люди являются товаром.

Ну вот допустим взять стандартные популярные дистрибутивы и программы:

  • Debian
  • ArchLinux
  • Linux Mint
  • Evolution - почта, контакты, календарь
  • Libre Office
  • CheryTree
  • KeePassX
  • Mozilla Thunderbird

На сколько эти ОС и программы сохраняют конфиденциальность? Часть стандартные, часть популярные. Но не до конца понятно, на сколько программы чисты. Хотя у всех на слуху, и думаю много кто их использует.

Проблемы бывают, когда разработка открытого по контролируется в основном одной for profit company, но и тут обычно находятся способы вырулить ситуацию. Это о конфиденциальности, безопасность это немного другое, однако второе без первого обычно не нужно. Потому как «мы воруем ваши только для себя, а не торговли» обычно заканчивается «ой, кто слил нашу базу, впрочем мы и так ей торговали, и ничего вы нам не сделаете».

Верно сказано. Последнее время попадается то в новостях, то на хабре, «ой, взломали, украли, а теперь продают в даркнете конфиденциальные данные пользователей»

TheLinuxUser ★★
() автор топика
Ответ на: комментарий от Miguel

Чтобы слить информацию её надо сначала собрать. Кроме того, если программа не является менеджером пакетов ей в репозиторий лезть не надо.

legolegs ★★★★★
()
Ответ на: комментарий от Senjougahara

Это ты мимо. Допустим я - рядовой пользователь не умеющий в изучение кода (лол, кого я обманываю, так и есть). Однако, если какая-нибудь условная убунту начнет сливать все налево и направо, я об этом узнаю, так как убунтой пользуются различного рода программисты и другие люди, которые в изучение кода могут.

На сколько быстро ты узнаешь о сливе? Если из интернета - не факт что быстро. Разве что если рядом есть знакомый программист, который внимательно следит за этим. Но не у всех есть такой знакомый.

TheLinuxUser ★★
() автор топика
Ответ на: комментарий от TheLinuxUser

На сколько эти ОС и программы сохраняют конфиденциальность?

Так ведь все в netstat/wireshark видно. На свежеустановленном дистрибутиве направления сетевой активности можно по пальцам пересчитать. Даже домашние страницы в браузерах по умолчанию берутся из file:///usr/share (в федоре, например, есть правило «no calling home»)

Любая хрень подозрительная будет сразу видна.

legolegs ★★★★★
()
Последнее исправление: legolegs (всего исправлений: 1)
Ответ на: комментарий от legolegs

Так ведь все в netstat/wireshark видно. На свежеустановленном дистрибутиве направления сетевой активности можно по пальцам пересчитать. Даже домашние страницы в браузерах по умолчанию берутся из file:///usr/share (в федоре, например, есть правило «no calling home»)

Любая хрень подозрительная будет сразу видна.

Это действительно может быть так, что можно будет снять трафик. Но вот кто-то, читал и проверял ли действительно код, чтобы смело сказать «программы чисты»?

TheLinuxUser ★★
() автор топика

СПО можно сделать конфиденциальным, даже если есть проблемы, по крайней мере лицензия это позволяет. В отличие от винды десяточки, которую сейчас надо считать фактически кейлогером. И кстати, современная десятка в принципе может быть отключена от интернета или хотя бы раз в 35 или сколько дней обязана к нему подключаться для обновлений и слива конфиденциальной инфы?

praseodim ★★★★★
()

являеться безопасным с точки зрения конфиденциальности работы с ним/на нем?

GNU это не про конфиденциалность, а про легальный доступ юзеров к потрохам софта. Что там в потрохах на самом деле лежит - это другой разговор.

Deleted
()
Ответ на: комментарий от Senjougahara

Энивей, я считаю, что свободный софт с открытым кодом на подобные риски не пойдет, так как им дорогА репутация.

У меня такое впечатление, что в современные времена репутация уже не работает или плохо работает. Но по крайней мере, хотя в СПО могут быть и находили разные баги, некоторые очень серьезные, все же откровенная вредоносность не проходит.

praseodim ★★★★★
()
Ответ на: комментарий от Deleted

GNU это не про конфиденциалность, а про легальный доступ юзеров к потрохам софта. Что там в потрохах на самом деле лежит - это другой разговор.

Я это понимаю, я читал лицензию GPL. По этой причине и поднял эту тему.

СПО можно сделать конфиденциальным, даже если есть проблемы, по крайней мере лицензия это позволяет. В отличие от винды десяточки, которую сейчас надо считать фактически кейлогером. И кстати, современная десятка в принципе может быть отключена от интернета или хотя бы раз в 35 или сколько дней обязана к нему подключаться для обновлений и слива конфиденциальной инфы?

praseodim, сейчас попал на новость (да, так поздно), о том что Microsoft купила github. Что-то мне кажется, что всё пойдет вовсе не в ту сторону, в плане приватности в дальнейшем, если они «помогают» сообществу свободного ПО.

TheLinuxUser ★★
() автор топика

Насколько мне известно, безопасностью и конфиденциальностью занимается пооьзователь. Это нормально сомневаться и проверять или не доверять устройству то что должно быть конфидициально.

Deleted
()
Ответ на: комментарий от Senjougahara

Нет, не мимо, читай внимательно. Если _другие_ будут орать о сливе, тебе точно так же придется довериться не _своему_ знанию. С точки зрения рядового пользователя один фиг вопрос доверия чужому мнению.

если какая-нибудь условная убунту начнет сливать все налево и направо, я об этом узнаю

ты узнаешь о том, что ряд людей говорят, что убунту сливает, но будет и ряд людей, которые будут орать что нет. итого ты все равно вынужден довериться кому либо.

Anoxemian ★★★★★
()
Ответ на: комментарий от TheLinuxUser

Я это понимаю, я читал лицензию GPL.

Ок, я просто ответил на тот вопрос.

Да, по сути должны быть исходники на github, но много ли людей могут легко определить выгружает ли что-то лишнее программа куда-то, или нет?

Нет, не много, конечно. Я слышал, кажется, о какой-то инициативе, которая предполагала контроль добрых намерений, но не помню как называется. К тому же, это сложно формализовать (пока еще!). Copyleft был построен в соответствии с буквой закона, для игры по правилам. Формальных правил «добрых намерений» (или злых) я пока не встречал.

И кстати, современная _десятка_ в принципе может быть отключена от интернета или хотя бы раз в 35 или сколько дней обязана к нему подключаться для обновлений и слива конфиденциальной инфы?

Как я слышал - нет, что касается именно потребительской десятки. Вроде бы есть версии для корпораций и госорганов, она называется как-то по-другому, и позволяет лучше контроллировать контакты с третьими серверами.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Senjougahara

Полагаться на репутацию вендора. Принимать решения изходя из этого, тем самым глобально повышая значимость репутации для вендоров.

Deleted
()
Ответ на: комментарий от Senjougahara

По мере возможности пользоваться открытым ПО, помня при этом, что это не панацея.

Anoxemian ★★★★★
()
Ответ на: комментарий от TheLinuxUser

Но вот кто-то, читал и проверял ли действительно код, чтобы смело сказать «программы чисты»?

Репутация важнее. Можно пригласить экспертов, которые проверят и скажут, что код и, скажем, криптография работают как надо, этим занимают производители проприетарных «защищённых» мессенджеров. Но ничего не мешает им код поменять в следующей версии, а не обновляться, если программа работает с интернетом - идея глупая.

FedyaPryanichkov ★★
()

С чего GNU ПО является безопасным и сохраняет конфиденциальность?

Ни с чего, может не являться и не сохранять.

slovazap ★★★★★
()

На жратве всегда пишут состав, это закон. Но никто же не жалуется, что понять его важность могут только биологи или пищевые технологи? Если нужно-этот состав будет проинспектирован и ответственных подвесят за яйки. Так же и в опенсурсе, лучше, когда есть возможность, чем когда её нет. А то, что этой возможностью не можешь воспользоваться лично ты-это уже твоя личная проблема.

Pyzia ★★★★★
()
Ответ на: комментарий от Pyzia

На жратве всегда пишут состав, это закон. Но никто же не жалуется, что понять его важность могут только биологи или пищевые технологи? Если нужно-этот состав будет проинспектирован и ответственных подвесят за яйки. Так же и в опенсурсе, лучше, когда есть возможность, чем когда её нет. А то, что этой возможностью не можешь воспользоваться лично ты-это уже твоя личная проблема.

Логично. Но стоит же учесть то что хим. состав еды можно загуглить прям по элементам и узнать что это за хрень. А десятки страниц кода, как загуглишь? Только углубленно изучать программный код, и не факт что хватит терпения.

TheLinuxUser ★★
() автор топика
Ответ на: комментарий от TheLinuxUser

Для множества людей читать портянки о хим. элементах так же мучительно, как кому-то ковырять чужой код. Если безопасность действительно важна-вы раскошелитесь на аудит кода или проведёте его сами. Крупные софтверные конторы иногда делают это. Если вам не под силу ни первое ни второе, значит ваша безопасность не настолько важна, как вам кажется или хочется и лучшее решение в данном случае-просто перестать беспокоиться об этом.

Pyzia ★★★★★
()
Ответ на: комментарий от legolegs

А если является?

Это так, для примера. Много ли программ, про которые мы можем быть уверены, что они вообще никогда в сеть не полезут?

А собрать — во-1, речь шла именно о выгрузке, во-2, код, который скрытно по винчестеру ползает, вообще никак не отличается от нормального.

Miguel ★★★★★
()
Ответ на: комментарий от Senjougahara

свободный софт с открытым кодом на подобные риски не пойдет, так как им дорогА репутация.

А грабить в подворотнях никто не будет, так как всем дорога свобода.

Miguel ★★★★★
()
Ответ на: комментарий от Bfgeshka

Мдя. Рядовой Иванов, не капайте мне на голову раскалённым оловом.

Miguel ★★★★★
()
Ответ на: комментарий от Pyzia

Для множества людей читать портянки о хим. элементах так же мучительно, как кому-то ковырять чужой код.

Тем не менее, химдобавки — задача с ограниченной сложностью (O(1)), в то время как разбор кода на предмет безопасности вообще алгоритмически неразрешим.

Miguel ★★★★★
()
Ответ на: комментарий от TheLinuxUser

На сколько эти ОС и программы сохраняют конфиденциальность?

Эти программы и ОС - это не только код под GPL, это и сообщество над ним работающее.

Случайный открытый софт упакованный кем попало и выложенный на случайный докер-хаб/ppa безопасным не является. Это известная истина имеющая множество подтверждений.

Но проекты и дистрибутивы делаются не случайными людьми, эти люди не анонимы из darknet, а участники сообщества, организаторы различных Foundations, знакомые вживую, регулярно общающиеся и работающие сообща.

Поэтому кроме банального «я могу сам посмотреть», есть ещё и цепь доверия. Я не просто могу посмотреть код, я лично знаю человека который лично знает человека, который этот код пишет.

Репутация в Open Source разработке значит очень много, и это очень важная часть всего процесса.

alpha ★★★★★
()

Никто так и не думает. Абсолютно никто кроме авторов (и желающих получить выгоду с проекта) не читает исходники.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.