Вот все говорят, что, мол, будут внедрять Linux в гос учреждения и это хорошо. Но...

Почему вероятность внедрения бэкдоров будет еще больше?

Если это будет активно юзаться государством, как думаешь?

Почему вероятность внедрения бэкдоров будет еще больше?

в опенсорс гораздо проще внедрить бэкдор // K.O.

Разве его [софт] не будут тестировать на бекдоры и не будут проверять исходники?

Лолшто? OpenBSD - помнишь? А багу в исках, с 199* по ныне исправили (?) недавно. Сколько в ядре строк? Найди бэкдор. Есть еще и обфускаторы. Можно написать так, что хрен найдешь. Погугли про бэкдоры в ООП.

ровно как и обнаружить. а от бэкдоров проприерастия не сильно защищает (см. новости о дверях в роутерах различных марок и моделей за последний год)

не надо работать в госучреждениях.

Как думаете, хорошо это или плохо, в общем-то?

Я считаю, что быть параноиком - это плохо, да.

Вот все говорят, что, мол, будут внедрять Linux в гос учреждения

Не будут. Уже распилили, теперь будут продолжать на венде пилить.

Ну давайте и пульт управленич ядерным оружием сделаем доступным через интернет с паролем «123».

в опенсорс гораздо проще внедрить бэкдор // K.O.

Обоснуйте ваше утверждение.

Так что minix спасет всех. Там не так много кода и есть описание структуры ОС

Код может предложить кто угодно, майнтейнер может быть неадекватом, могут майнтейнера подкупить, могут поломать сервер с исходниками и дописать. К примеру, в OpenBSD бэкдор внедрили спецслужбы, пруф в гугле.

И даже звук появился. Годно. XD

А то, что Linux уже используется в куче гос. учреждений тебя не смущает?

В России видел очень мало. Пару терминалов в поликлинике на openSuse (серьезно). И десктоп у пары врачей. Больше - нигде. Я про массовое использование. А так зонды от Некро$офта.

Ну то в России. Это же не единственная страна. США вон куда больше бэкдорами известны.

Индус из фирмы субподрядчика тоже может из stackoverflow дырявый кусок кода скопипастить, опенсорсность тут не показатель.

Ну полицайское гов-но гос-во, чего ждать еще?

Ну тут нужно постараться, чтобы не заметить бэкдор. Эталон индуса.

Ситуация полностью аналогична предложенной тобой — индус-мейнтейнер.

Код может предложить кто угодно

Чушь.

майнтейнер может быть неадекватом, могут майнтейнера подкупить,

Ровно то же относится к закрытому софту.

могут поломать сервер с исходниками и дописать

Даже после взлома сервера технически очень трудно внести изменения незаметно (по крайней мере, с криптохешевыми распределенными hg и git).

Т.е. довод ровно один - «репозиторий с исходниками проще взломать», я правильно понял?

Нет. Предлагать код могут почти любые люди и компании (тот же гугл участвует в разработке, к примеру). Ну и майнтейнеров так сильно не контролируют, как в проприетарщинке.

А если действительно нужна безопасность аж пипец какого уровня, для проекта с маленькой кодовой базой (план9? миникс?) возможно провести полный аудит кода, собрать свои бинарники проверенным компилятором. С проприетарщиной так нельзя сделать.

Как думаете, хорошо это или плохо

Для тех, кто внедряет хорошо.

Я уверен в системде есть бекдор но попробуй его там найди

Предлагать код могут почти любые люди и компании

Да кто угодно может, конечно. Только примут отнюдь не у всех.

(тот же гугл участвует в разработке, к примеру).

Т.е. гугл ходит по открытым проектам и вставляет в них бэкдоры? У него корпоративная политика такая?

майнтейнеров так сильно не контролируют, как в проприетарщинке

Ахаха. Кто контролирует «майнтейнеров» в проприетарщинке?

Ахаха. Кто контролирует «майнтейнеров» в проприетарщинке?

Что не так сделают - попадут на бабло и под увольнение за несоответствиею

К примеру, в OpenBSD бэкдор внедрили спецслужбы, пруф в гугле.

Что за бекдор? Звучит как городская легенда.

Кто контролирует «майнтейнеров» в проприетарщинке?

Что не так сделают - попадут на бабло и под увольнение за несоответствиею

Ыыы... что они сделают «не так» - пропустят бэкдор на ревью? И ты правда думаешь, что их за это покарают?

Вопрос в том, быстро ли узнают что он что-то не так сделал. Может он 10 лет назад бакдор внедрил, потом уехал на пмж в Аргентину, а код добавленный под его руководством хуже чем из-под обфускатора, но всем пофиг на качество исходника, чай не опенсорс, и работает — не трогай.

http://www.opennet.ru/opennews/art.shtml?num=28998 http://cryptome.org/2012/01/0032.htm

Представь: компания юзает софт A. Подкупили майна, он внедрил бэкдор в софт A. Компании нанесли вред из-за этого бэкдора. Узнали, какой майн подмешал бэкдор в софт A. Как... хм... покарают майна?

Какие-то тёмные догадки. Аудит провели, дырку нашли и обезвредили?

Это _предположение_ о том, что RSA слаб:

«Ecuadorian national that provided Premenos with at least one mathematical vulnerability in the RSA encryption algorithm»

«If any of this conjecture is the case, then it could reasonably be said that the FBI intentionally - and very seriously - weakened the United States critical infrastructure and our military capabilities by advocating the use of a fundamentally weak encryption algorithm as a tradeoff between US National Security and their need to observe domestic communications in the United States».

И где там бэкдор вообще?

Не в теме. Лень. Но вероятность есть. Да и баги, хоть код и открытый, находят не всегда (X).

Гугл: openbsd бэкдор. Надоело.

Но вероятность есть.

Ложечки нашлись, но осадок остался.

Представь: компания юзает софт A. Подкупили майна, он внедрил бэкдор в софт A. Компании нанесли вред из-за этого бэкдора.

Пока что ситуация общая для открытого и закрытого софта...

Узнали, какой майн подмешал бэкдор в софт A. Как... хм... покарают майна?

И вот здесь начинается интересное. Во-первых, кто сказал, что наниматель «майна» вообще будет отвечать за ущерб? Всё зависит от соглашения, прилагаемого к софту А; во-вторых, попробуй докажи умысел - если автор бэкдора не совсем дурак, бэкдор будет выглядеть как ошибка; в-третьих, если «майн» не является автором, за что его вообще наказывать - за то, что пропустил ошибку? Тогда «майны» вообще будут постоянно должны.

Гугл: openbsd бэкдор. Надоело.

Не можешь дать приличных ссылок - не начинай спорить.

зато, если продолжать использовать проприетарщину, повышается вероятность, что все бэкдоры УЖЕ внедрены

Тоже мысль. Но, согласитесь, относительно проще. Хотя, есть разные примеры и варианты.

Погуглил, да, особо сказать нечего. Но флейм был.

Больше чем что? Обязательная ОС — обязательный софт — любые бэкдоры на вкус вне зависимости от открытости самой ОС.

Как работающий в одном таком, подтверждаю. Махровая вендовщина. И что впечатляет, разрабатываемые новые продукты тестируют не руками.

Ну и майнтейнеров так сильно не контролируют, как в проприетарщинке

Историю про Тойоту и коврик помнишь?

в опенсорс гораздо проще внедрить бэкдор // K.O.

Скажи-ка дядя, ведь недаром, Лицо разбитое фейспалмом...

Угу, а патчи от контрибьюторов типа не проверяются, да. И обфусцированные принимаются сходу, без скрипа и мата. Ты сначала узнай как происходит разработка, а потом паникуй про количество строк в ядре.

Ну давайте и пульт управленич ядерным оружием сделаем доступным через интернет с паролем «123».

Нет, лучше замотать пульт в фольгу.

Подкуп. Обфускация в виде индусского кода или просто искусно замаскированного.