Зонды АНБ в Линукс

ну сделай свой селинукс. На локалхостах достаточно простых прав, а если у тебя Over9000 админов, то что ты ноешь-то? АНБ всё правильно сделали — зпилили свою уютную систему безопасности, и выложили её публично. Лучше, если её публично поломают, и сразу починят, чем как в венде, где на одной и той же дыре можно наживаться годами, если не наглеть, и вести себя тихо. С open source вероятность такого сценария ниже, а время жизни дыры меньше, ибо если дыра есть, то она будет обнаружена не только врагом, но и тем, кто её опубликует.

Дело всё в том, что дыра, это всегда баг, и большинство пользователей OpenSource заинтересованно в исправлении этого бага, и не заинтересованны в его эксплуатации.

Потому баги в открытом софте исправляются ещё ДО того, как кто-то догадается, как его использовать как уязвимость — достаточно потенциальной угрозы.

Ты мне доказываешь преимущество OpenSource? LOL. Зачем я читаю твой комментарий? Зачем ты писал его? Я вам о принципиальной уязвимости алгоритма, вы мне про код. С кодом всё может быть отлично, но сам метод защиты данных может быть уязвим. Вы можете иметь отличную реализацию шифра Цезаря, без единого бага.

A он всегда так. Общается как бот, лишь бы последнее слово было за ним. Делает вид что что-то отвечает, но часто его комментарий никак не относится к тому, на который он отвечал.

Сейчас в тред должна ворваться переписка на crypto.me по поводу интеловского блоба в RdRand;

Сейчас в тред должна ворваться переписка на crypto.me по поводу интеловского блоба в RdRand;

Эта?

Эта?

Она самая.

точный комментарий, хорошо сформулировал
плюсую

если дыра есть, то она будет обнаружена не только врагом, но и тем, кто её опубликует.

А откуда возьмётся тот, кто её опубликует? Он по либастралу получит сообщение об атаке только потому, что это опенсорс?

Дело всё в том, что дыра, это всегда баг, и большинство пользователей OpenSource заинтересованно в исправлении этого бага, и не заинтересованны в его эксплуатации.

Ну конечно, ведь в опенсорсе баги появляются в багтрекере мгновенно и мгновенно же закрываются.

На локалхостах достаточно простых прав

Зависит от данных на этом локалхосте.

если дыра есть, то она будет обнаружена не только врагом, но и тем, кто её опубликует.

А откуда возьмётся тот, кто её опубликует? Он по либастралу получит сообщение об атаке только потому, что это опенсорс?

ну говорю-же: дыра это баг. Баг может быть обнаружен и сам по себе. Обычно так и бывает.

Ну конечно, ведь в опенсорсе баги появляются в багтрекере мгновенно и мгновенно же закрываются.

да. Ибо ничто им не мешает там появляться и закрываться. Потому-что багтрекер тоже открытый. А вот если багтрекер закрытый, то багу можно годами игнорировать, ибо её всё равно никто не видит.

На локалхостах достаточно простых прав

Зависит от данных на этом локалхосте.

не зависит. Если данные ценные, то нужно использовать шифрование, а не права SELinux. Я надеюсь ты догадаешься почему.

Баг может быть обнаружен и сам по себе. Обычно так и бывает.

Поэтому статические анализаторы находят *сотни* багов в крупных опенсорс-проектах.

Ибо ничто им не мешает там появляться и закрываться.

Тебе показать баги с возрастом больше трёх лет?

Если данные ценные, то нужно использовать шифрование, а не права SELinux. Я надеюсь ты догадаешься почему.

Шифрование не имеет отношения к SELinux. SELinux позволяет ограничить ущерб от каждого бага, попутно ломая большинство попыток воспользоваться local root. Он помогает при remote-уязвимостях в первую очередь. Шифрование нужно совершенно для других целей, если кто-то успешно использовал remote-уязвимость, то у него доступ к уже расшифрованным (тобой) данным.