LINUX.ORG.RU
ФорумTalks

[Open Source][Security] Две разных позиции

 


0

2

Сообственно интересно было-бы почитать мнения по поводу того, какая позиция верная:

- Проприетарные продукты более безопасные, потому-что никто, кроме девелоперов, не видит сорцов.

- Свободные продукты более безопасные, потому-что сорцы видят все кто хотят, и залатывают дыры тоже всем миром.

И есть ли другие варианты?

З.Ы. Подразумевается идеальная проприетарщина, и идеальный опенсорс, т.е. например не учитывается вариант, что сорцы проприетарного продукта как-то утекут куда-то.

★★★★★

Последнее исправление: Debasher (всего исправлений: 2)
Ответ на: комментарий от skai-falkorr

Не, холливар не нужен, просто своё мнение и всё.

Debasher ★★★★★
() автор топика

Как правило:
Проприетарное - оно более проприетарное, закрытое, красивое.
Открытое - оно более костылеобразное, открытое, уродливое.
(поскольку проприетарное обычно берут с торрентов, самое лучшее; а открытое - из того, что раздают всем)

pacify ★★★★★
()

открытость всегда позитивно влияет на безопасность. Читай классику что ли - Брюс Шнайер еще это писал. Безопасность должна гарантироваться математикой.

JFreeM ★★★☆
()

Тут есть еще два важных фактора:

а) Принцип Неуловимого Джо

б) кто ищет, тот всегда найдет.

И как показывает практика, безопасность кода в первую очередь зависит от квалификации разработчиков а не от лицензии.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от DNA_Seq

+1.

К тому же, ))) уже поработав с проприетарным кодом немного, скажу вам, что особой разницы в разработке нет. И пожалуй один плюс - в свободном софте ГОРАЗДО меньше решений на один раз. Типа, чтоб щас вот работало, а потом хоть трава не расти.

hibou ★★★★★
()

1) Если кому-нибудь будет очень нужно он декомпилирует любой проприретарный код, какие бы совершенные защиты не ставились. Даже Skype с его мега-крутой защитой от отладки и анализа уже почти поломали.

2) Когда человек пишет открытый код он понимает, что его код будет доступен всем. А значит не может себе позволить «а всё равно никто не узнает, что я значение XXX не фильтрую на входе - зачем волноваться то» и заведомо старается писать код без явных дыр.

Надо помнить, что будет сломано ВСЁ, что чисто физически можно сломать, если это кому-то будет нужно. Гарантию даёт лишь математическое доказательство, но никак не секретность механизмов работы приложения.

KivApple ★★★★★
()
Ответ на: комментарий от abraziv_whiskey

значок цитаты ты не заметил, сынок? быстро с лора нафиг свалил

skai-falkorr
()
Ответ на: комментарий от pacify

А ты много чужих продуктов видел в исходниках?
Оно там красивое, да?

Я просто сидел кучу проприетарныз библиотек которые продаются строго в руки и стоят очень дорого, и почти всегда код был редкостным шлаком.
При том что это софт с сорцами «на продажу», что в остальном софте мне подумать страшно.
Единственный плюс - почти всегда есть документация, в отличии от опенсорца где часто надо до разработчиков в рассылке домогаться о том, что и как.

winddos ★★★
()
Ответ на: комментарий от CARS

Ага, для безопасности просто супер.
Вася пупкин репортит сегфолт, и тут дружная толпа кулхацкеров делает эксплоит и ломает кучу компов.

winddos ★★★
()
Ответ на: комментарий от winddos

А ты много чужих продуктов видел в исходниках?

Видел. Причем, за деньги люди стараются. Код на уровне. Впрочем, попадался и шлак.
А открывают только то, что не жалко, обычно.

pacify ★★★★★
()
Ответ на: комментарий от buddhist

Ну... он же не видит, что там в исходниках творится. А снаружи да, всё красиво, все костыли аккуратненько приставлены, где надо.

KivApple ★★★★★
()

Все одинаково кривое. Дыры находят одинаково хорошо в открытом и закрытом софте, все зависит от его популярности.

Секурность состоит не в закрытости или открытости софта, а в том насколько быстро дыры закрываются. А это от открытости или закрытости не зависит.

mono ★★★★★
()

Да, тем кто считает, что в открытом коде проще дыры искать - ищите дыры в Chromium, и браузер лучше станет и денег гугл за это отваливает неплохо для наших краев.

mono ★★★★★
()
Ответ на: комментарий от buddhist

Разумеется, в среде разработки/языке/фреймвёрке костыли слишком трудно спрятать. Но тот кто знаком лишь с пользовательскими приложениями (и то не очень глубоко) вполне может сказать, что проприретарщина «красивая». Только тольку от такой красоты не много.

KivApple ★★★★★
()
Ответ на: комментарий от buddhist

С меня хватило нескольких месяцев общения с OracleDB, чтобы развилось стойкое отвращение к проприетарщине.

хихи. Оракл используется в 98% компаний из FORTUNE 500, а тут, значит, пришел русский дядя Вася и заявляет, что у него отвращение к бд Oracle. Ну не смешно ли?

JFreeM ★★★☆
()
Ответ на: комментарий от pacify

Видел. Причем, за деньги люди стараются. Код на уровне. Впрочем, попадался и шлак.

В том коде который видел я проблема не совсем в людях.
А в том что в процессе развития продукта обычно меняется куча людей его разрабатывающих, и в итоге всякое legacy остается по принципу «работает не трожь».
Часто остаются куски с совершенно неактуальными комментариями или проверками.

Не говорю о каких то там офисах и подобному крупному софту, но вот в средний и мелкий я видел.
Может быть во всяких корпорациях есть стандарты и отлаженная схема проверки, но в большинстве средних и мелких контор все именно так.


А открывают только то, что не жалко, обычно.

Ну в открытом софте есть плюс в том, что большинство проектов большую часть своего жизненного цикла ведется одним разработчиком или группой разработчиков.
А в проприетарщине текучка большая, а потому каждый ведущий программист оставит обязательно что то от себя.

В коде всяких игр (автоматов, лохотронов и прочих встроенных лотерей) все вообще плохо.
Некоторые игры написаны вообще хрен знает когда, с ассемблерными вставками, конфигами в коде и при этом продаются за кучу кучу бабла.
А ещё к одной проприетарщине любят цеплять другую, и она уже обычно идет без сорцов из за чего приходится собирать это добро на старой винде в старой визуал студии и молиться чтобы оно заработало.
Какая нибудь там библиотека для работы с сетью, фирма которая её написала уже разорилась 3 года назад.

winddos ★★★
()
Ответ на: комментарий от mono

Ну уж лучше сидеть и искать в каком нибудь серверном ПО, ftp, apache или ещё в чем.
С этого профита больше :)

winddos ★★★
()
Ответ на: комментарий от JFreeM

А еще на сиплюсплюсе пишут более 9000 высокооплачиваемых быдлокодеров, что не мешает мне питать отвращение и к нему.

buddhist ★★★★★
()
Ответ на: комментарий от JFreeM

хихи. Оракл используется в 98% компаний из FORTUNE 500, а тут, значит, пришел русский дядя Вася и заявляет, что у него отвращение к бд Oracle. Ну не смешно ли?

Нет, в использовании ПонтыDB ничего смешного нет.

O02eg ★★★★★
()

Я скажу одно - openssh.

f1xmAn ★★★★★
()

ясен пень, открытый код безопаснее

kto_tama ★★★★★
()

А теперь возьми и спроси тоже самое на ресурсе поклонения какой-то проприетарщине =)

observer ★★★
()

в топике неправильные формулировки, неверные выводы, путанные понятия, так что вдоль.

автору, к сведению : проприетарный!=закрытый и свободный!=открытый.

de-facto если у системы закрыты исходники, то нарушитель имеет преимущества.

MKuznetsov ★★★★★
()
Ответ на: комментарий от DNA_Seq

1. Безопасность - это процесс, а не готовый продукт.

2. Согласен с DNA_Seq в данном вопросе:

И как показывает практика, безопасность кода в первую очередь зависит от квалификации разработчиков а не от лицензии.

3. Кто не платит за безопасность, тот впоследствии вынужден расплачиваться за ее отсутствие.

Deleted
()

Подразумевается идеальная проприетарщина, и идеальный опенсорс, т.е. например не учитывается вариант, что сорцы проприетарного продукта как-то утекут куда-то.

Вообще-то дыры в безопасности проистекают из неидеальности ситуации.

r ★★★★★
()

- Проприетарные продукты более безопасные, потому-что никто, кроме девелоперов, не видит сорцов.
- Свободные продукты более безопасные, потому-что сорцы видят все кто хотят, и залатывают дыры тоже всем миром.

Не так: - Проприетарное - если нашли дыру, ждите десять лет, пока автор соизволит её залатать. В противовес открытое: - Дыру залатают быстро. А даже если не залатают, то есть возможность залатать самому.

Короче говоря в двух случаях всё сводится к активности разработчиков или комьюнити. Но во втором случае всегда есть возможность взять дело в свои руки(для себя пару раз патчил по мелочи... хоть и не дыры, но баги) :)

invy ★★★★★
()
Ответ на: комментарий от buddhist

лол. Я поработал год с ораклом и мне она очень понравилась. Не знаю откуда там отвращению взяться. Ну, не считая sqlplus без readline :(

mrdeath ★★★★★
()
Ответ на: комментарий от KivApple

Ну... он же не видит, что там в исходниках творится.

Ошибки преобразования типов, форматирования строк и прочее великолепно ищутся на уровне бинариков, даже проще чем в исходниках.

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от DNA_Seq

Вы так говорите, как будто я прямо любитель проприретарщины и активно её защищаю. Я лишь пытаюсь объяснить позицию юзеров, которые утверждают, что проприретарщина красивая. Залезть в код - нет возможности (исходники закрыты), залезть в бинарник - знаний не хватает, увидеть фееричные глюки и нелогичности интерфейса - привычка не позволяет («я уже привык, что это кнопка здесь. ну и что, что она вообще к другому окну относится! она здесь и мне так привычно и очень удобно!»).

KivApple ★★★★★
()
Ответ на: комментарий от buddhist

ну я даже не знаю откуда это отвращение. :) SQL очень полезная штука. Без него в некоторых задачах никуда.

mrdeath ★★★★★
()
Ответ на: комментарий от KivApple

все зависит от того, какая проприетарщина. Есть серьезные интерпрайз вещи, которые работают или идут с серьезным 24x7 суппортом, а есть говно, в котором проблемы вылезают на этапе ввода регистрационного кода и поддержкой типа «когда не забыл включить ливчат». Тут да, говно дело.

mrdeath ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.