LINUX.ORG.RU

Open-source угрожает безопасности США?


0

0

Консервативный американский институт утверждает, что ПО с открытым исходным кодом по своей природе менее безопасно, чем проприетарное программное обеспечение, и предостерегает правительство от его применения в сфере национальной безопасности.

В документе Opening the Open Source Debate, который организация Alexis de Tocqueville Institution (ADTI) планирует опубликовать на предстоящей неделе, утверждается, что ПО с открытым исходным кодом открывает двери для хакеров и террористов. ╚Пытаясь перейти на 'open source', как рекомендуют некоторые группы, федеральное правительство облегчает задачу террористам, стремящимся взломать или вывести из строя компьютерные сети США╩, √ говорится в предварительно распространенном заявлении ADTI.

>>> Полная статья на русском

Никак не пойму, о чем спор? Напрочь Микрософтом промыты мозги что-ли? Читайте на slashdot.org: эти проститутки (это не ругательство, а их профессия) проплачены Микрософтом, в число достижений этого "независимого" института входят "доказательства о том, что табак не вредит здоровью".

Виндузятник, ты что пытаешься доказать? Какая твоя цель? Чтоб я поверил проституткам?

ZhekaSmith
()

2 Oleksiy (кстати, что-то имечко у Вас подозрительное - Вы случаем не из пОпов? Ой, простите, я хотел сказать из попОв?): >>Кстати, о криптографии речь по-моему вообще не велась. Да и слишком уж общирная это >>тема чтоб каждый линуксоид в ней полностью разбирался. Может великий closed-source Oleksiy разобрался в ней полностью? Пара линуксоидов разберется и другим раскажет. А Вы со своими товарищами будете сидет засунув язык в ж... и молчать, потому что "То что знаю я не нужно знать другим!".

>>IE не считать, ему все равно конкурент только глючная бета-мозила. Да и не запускают >>его на серверах. Ну, ну... В качестве тренировки можете поставить Вин2000Сервер без ИЕ. Успехов.

anonymous
()

Видимо американцы настолько боятся "хакеров и террористов",
что любую идею можно зарезать на корню показав что она может помочь хаккерам и террористам :-)
Таким темпом скоро Mozilla, Konqueror и Apache попадут в немилость...

anonymous
()

2 ZhekaSmith (*) (2002-06-05 16:05:15.436)

Только то, что перегибы в любую сторону не могут быть и не будут хорошим делом.

То, что любое мнение, направленное против Линукса (Фри-Опен Софт и т.д.) необязательно (как тут ВСЕГДА полагают) исходит от проплаченных или тупых людей.
(ATDI выходит в мир через IRIX)

Есть много аргументов "за" и "против" любой стороны.

Но! В ОБЫЧНОМ мире (а не в мире ИДЕАЛЬНЫХ людей) до сегодняшнего дня большинство вопросов, связанных с обеспечением безопасности, не открывались публично. ИМХО - это разумно и в большинстве случаев рационально.

Я, вроде, нигде не призывал верить проституткам... :)
Но если проститутка скажет, что солнце встает на востоке, я ей, пожалуй, поверю. :)

Виндузятник.

PS А ФБР и ЦРУ публичные сайты держат на Линуксах...

anonymous
()

2bormotov. Спасибо за информацию. Обязательно полистаю эту книжку.

Korwin ★★★
()

1. Давно пора показывать ip анонимусов, что бы думали, прежде чем испражняться.

2. Для серьезных дел пишут серьезный софт за серьезные деньги, вполне логично за основу взять опенсурс, поправте меня, если я не прав, GPL это не нарушает.

3. Для гос учреждений янки соответствие стандартам(не те стандарты о которых вы подумали, речь идет о сертификации продуктов) важнее всего, поэтому у них в гос конторах почту по x400 гоняют. Помнится в рэд бук был пример, когда письмо между двумя соседними офисами шло 15 дней, пока на ip шлюз не вышло:), делайте выводы. Монстры сродни МС в этом плане имеют преимущество. Кроме того секретную инфу гоняют по внутренним сеткам, не связанным с инетом, да и винду воткнут на машинки чинушам среднего пошиба.

4. Насколько я помню, в нашей армии провода секурной сетки упакованы в трубы с гелием, если давление внутри трубы падает, линия считается не секурной. Так что ни о каких хаках речи быть не может, советую поменьше смтореть тупых боевиков :)

penguin
()

2anonymous (*) (2002-06-05 16:43:10.354)(AKA Виндузятник), bormotov:

Слава богу спор кажется пришел к чему-то среднему. Тем не менее, насколько я понимаю есть ряд положений:

1) Программу шифрования с закрытым кодом использовать не рекомендуется вследствие трудности ее проверки на предмет корректности реализации стойкого алгоритма.

2) Исходники OS Windows раскрывать нельзя (по-крайней мере все сразу), поскольку есть вероятность обнаружения огромного количества дыр, что несомненно негативно скажется на сети.

3) Open source программы, теоретически содержат меньше дыр, но их теоретически проще найти, нежели в closed source. Я могу привести много примеров, как pro так и contra. (например bind и его непробиваемый аналог от автора qmail; sendmail и qmail) Вопрос кто делает и с какими основными целями.

4) По приведенным итогам Netstat вообще ничего нельзя сказать, т.к. там open/closed идут в шахматном порядке - при небольшой погрешности результаты могут быть прямо противоположными. Вопрос - кто систему делает, с какими целями (RH & MS vs Slackware & AIX).

anonymous
()

2anonymous (*) (2002-06-05 16:43:10.354)(AKA Виндузятник), bormotov:

Слава богу спор кажется пришел к чему-то среднему. Тем не менее, насколько я понимаю есть ряд положений:

1) Программу шифрования с закрытым кодом использовать не рекомендуется вследствие трудности ее проверки на предмет корректности реализации стойкого алгоритма.

2) Исходники OS Windows раскрывать нельзя (по-крайней мере все сразу), поскольку есть вероятность обнаружения огромного количества дыр, что несомненно негативно скажется на сети.

3) Open source программы, теоретически содержат меньше дыр, но их теоретически проще найти, нежели в closed source. Я могу привести много примеров, как pro так и contra. (например bind и его непробиваемый аналог от автора qmail; sendmail и qmail) Вопрос кто делает и с какими основными целями.

4) По приведенным итогам Netstat вообще ничего нельзя сказать, т.к. там open/closed идут в шахматном порядке - при небольшой погрешности результаты могут быть прямо противоположными. Вопрос - кто систему делает, с какими целями (RH & MS vs Slackware & AIX).

Если я не прав - пишите...

anonymous
()

2penguin (*) (2002-06-05 17:15:42.65):

RE 1): Во-первых, есть такая байка про мудреца и гавно. Если попросите - закину, но вечером, когда домой приду из института. Во-вторых, люди, которые гадят могут гадить не со своей родной машины, а с другой. В-третьих, есть такая штука, как proxy.

RE 2): Насколько я понял - можно модифицировать GPL программу, как угодно, под лицензией GPL и не раздавая исходные тексты. Но только человек, получивший ее может потребовать GPL исходники и они ему и только ему могут быть выданы. Ему нельзя запрещать делать с программой практически что угодно, но можно попытаться убедить в нецелесообразности ее распространения.

RE 3): Я как-то сильно сомневаюсь, что трубу с гелием нельзя вскрыть без того, чтобы упало давление. В любом случае на практически любую физическую защиту есть технология вскрытия. Правда есть квантовая криптография, но насчет ее я не могу ничего сказать.

anonymous
()

Я понял, почему Microsoft выпускает локализованные дистрибутивы, вместо того, чтобы выпустить сразу дистрибутив с поддержкой всех языков и стран! Просто для каждой страны у них свои собственные закладки и дырочки, оплаченные спецслужбами этих стран. Потому и разница в сроках выхода такая - время на переговоры с правительствами уходит. Во, блин, я уже рассуждаю как Мэл Гибсон в "Conspiracy Theory" (рекомендую посмотреть всем параноикам и сочувствующим).

anonymous
()

Основной принцип квантовой криптографии заимствован из квантовой механики, а там , как извесно, ЛЮБОЕ наблюдение влияет на наблюдаемые данные. Так и квантовая криптография - любая попытка внедриться в защищенный канал приводит к искажению передаваемой информации. Кстати, есть уже готовые коммерческие решения для таких каналов. Только канал короткий, и скорость по нему 60 bit/s

angels
()
Ответ на: комментарий от anonymous

2 anonymous (*) (2002-06-05 17:20:45.332)

Даю свою формулировку

1) No comments. (Не копенгаген)
2) Исходники OS Windows раскрывать нельзя (по-крайней мере все сразу), поскольку есть вероятность обнаружения РЯДА дыр, что МОЖЕТ негативно сказаться на сети.
3) Open source программы МОГУТ ИМЕТЬ дыры, но ЧЕЛОВЕКУ С УЛИЦЫ их теоретически проще найти , нежели в closed source. (Я ТОЖЕ могу привести много примеров, как pro так и contra).
4) По приведенным итогам Netstat МОЖНО ПРИ ОПРЕДЕЛЕННЫХ УСЛОВИЯХ ТОЛЬКО СКАЗАТЬ О НАЛИЧИИ СООТВЕТСТВУЮЩИХ СПЕЦОВ И ЖЕЛЕЗА/СОФТА НА ФИРМЕ - ОБСЛУЖИВАЮЩЕЙ САЙТ. Вопрос - кто систему делает, с какими целями (RH & MS vs Slackware & AIX).
:)

Виндузятник

anonymous
()

2>1) No comments. (Не копенгаген) 2>2) Исходники OS Windows раскрывать нельзя (по-крайней мере все 2>сразу), поскольку есть вероятность обнаружения РЯДА дыр, что МОЖЕТ 2>негативно сказаться на сети. на сети нет, но ни как она не скажется а вот в отношении одной такчки да!

2>3) Open source программы МОГУТ ИМЕТЬ дыры, но ЧЕЛОВЕКУ С УЛИЦЫ их 2>теоретически проще найти , нежели в closed source. (Я ТОЖЕ могу 2>привести много примеров, как pro так и contra). м-да? возьми да дисамблируй эту прогу :) и всё на лицо что и где и как вызывается :)

Open Source наглядно дает тебе карты в руки тебе даже её ломать НЕ НАДО! ТАК?! ТАК! а вот теперь мне скажи почему все МС прги ломаются, да потому, что людям/человекам/МС-людям/юних-людям/нужна свобода!!!

anonymous
()

2anonymous (*) (2002-06-05 20:15:16.778):

На СЕТИ скажется элементарно. Т.к. даже CodeRed, который ломал ТОЛЬКО англо- версию IIS - отнюдь не наиболее распространенного СЕРВЕРА (которых тоже на порядки меньше, чем desktop'ов) нанес довольно ощутимый вред в масштабе СЕТИ. А если теперь перейти ко всем тачкам с Win9x (даже без WinMe)... Мне кажется случится что-то масштабное.

2anonymous (*) (2002-06-05 19:30:02.478)(AKA Виндузятник):

Ряд дыр есть уже и пока ничего сверх серьезного не произошло, поэтому мне кажется следует опасаться именно огромного количества. Хотя это вопрос терминологии, который лучше закрыть.

Честно говоря я плохо понимаю, как СЕТЬ еще держится на плаву, т.к. троянов, вирусов, червей очень, очень много. Но видимо недостаточно, слава богу.

Насчет NetStat я перепутал - читай securityfocus. Я про постинг anonymous (*) (2002-06-05 09:06:54.771).

anonymous
()

2 Oleksiy
"вот просканили nmap'ом (и не только) серверок fsb.ru, и что?
Много это дало? :)) хотя, думаю админы там повеселились глядя на все это..."
.............
Никто и никого не сканировал, использовались telnet по двум портам - HTTP и SMTP, а также ICMP (ping) + голова, руки и нетрадиционное мышление и nslookup :-)
..............
"как в том анекдоте "товарищ майор шуткой остался доволен" :)))" - ну и ладно, пусть веселится - я же ничего криминального ну совершенно не предпринимал - делать телнет на соответствующий порт, чтобы послать письмо админу машины никто не запрещал :-) А уж указать в браузере локатор - свято дело :-) Более того, я делал благое дело - разглядывал пример плохого файрвола, который потом буду пересказывать своим студентам :-)
............
А шо, с каких то пор серверок fsb.ru может что-то дать? Там ведь только пара информационных страниц и форма для анонимных доносов. Или кто-то из уважаемых линуксоидов думает что чекисты на открытом веб-сервере секретные документы хранят? Или что их внутренняя сеть относится к домену fsb.ru?
............
Так я о том и говорил - ну ничего там нет. Более того - у них даже внутри здания с вероятностью "единица" существует несколько _никак_ не связанных сетей. Ну а если высказаться по поводу количества дыр в области безопасности, то можно сказать только одно - если взять две команды специалистов одного (высокого) класса и посадить их за тестирования софта с открытым кодом и с закрытым, то результаты тестирования первой команды (что работают с открытыми исходниками) будут более убедительны, а полученный после учета их замечаний продукт будет на порядок более стабилен и надежен. Но ни тот, ни другой продукт в действительно серьезную контору не пойдет - контора будет писать себе все сама. Скажу просто еще одно замечание: в серьезных конторах у разработчиков есть собственный комплекс для тестирования - изолированый от работающей системы. А к работающей системе их не подпускают _в принципе_ Ни физически, ни, упаси боже, по сети. А если подпускают - то под надзором гардиана со стволом и трех-четырех спецов-эксплуатационщиков. А эксплуатационщиков (особенно тех, кто способен хоть что-то понять в коде) не подпускают к сырцам. Так то вот :-) А тестирует и заверяет это все третья группа, "контролеров"... Это, кстати, пример "из жизни". А вы тут "открытый, закрытый, глючный, безглючный" - даже не смешно.

no-dashi ★★★★★
()

О чём вы спорите? Говорил же я выше, что вопрос этот открытый и однозначного ответа на него нет. Например открытый софт развивается бесконтрольно, в нём не учитываются требования конкретного пользователя. Закрытый софт можно сделать специализированым, реализовать только то, что необходимо и так как требуется. И ещё, почему в качестве закрытого софта тут только винду упоминают? Она не закрыта, а просто не бесплатна.

anonymous
()

Господа, что вы спорите?
Безопасности США угрожает _все_. Абсолютно.
Тупые янки боятся всего на свете после известных событий.
Ибо менталитет такой. И правильно - должны боятся!
Как в старом добром анеке: "я по-английски знаю три слова -
янки! гоу хом!" :)

anonymous
()

> Я понял, почему Microsoft выпускает локализованные дистрибутивы,
> вместо того, чтобы выпустить сразу дистрибутив с поддержкой всех
> языков и стран! Просто для каждой страны у них свои собственные
> закладки и дырочки, оплаченные спецслужбами этих стран. Потому и
> разница в сроках выхода такая - время на переговоры с правительствами
> уходит. Во, блин, я уже рассуждаю как Мэл Гибсон в "Conspiracy
> Theory" (рекомендую посмотреть всем параноикам и сочувствующим).

Ты наверно сильно удивишся если узнаеш, что например Win2K сразу
вышла с поддержкой всех языков. Локализованая версия - ето версия с
GUI на языке страны. Чтобы реализовать GUI недостаточно простой
поддержки кодировок, раскладок клавиатур, мер и весов. Например
ивритский Windows перевёрнут, кнопка [Start] находится справа. И вобще
с таким невозможно работать. Даже русский Windows убивает некоторыми
переводами, один "Проводник" чего стоит! Поэтому профессионалы ставят
английскую версию, а поддержку языка выставляют в Locale.
Даже если есть различные закладки для различных локализованых Windows,
от их использования пострадают разве что дети, да домработници.

anonymous
()

> Во, блин, я уже рассуждаю как Мэл Гибсон в "Conspiracy Theory"

Ты рассуждаеш как тупой журналюга делающий очередную страшилку про
хакеров, типа той, что когда-то НТВ показывало.

anonymous
()

Что касается качества и надёжности всё дело не в открытости или закрытости исходников, а в профисианализме тех, кто писал код. В качестве примера можно привести ssh и openssh, алгоритмы одинаковые, код и там и там открыт, да вот только у open попа постоянно отваливается. Это касается и бесчисленного количества других программ. Про винду речи быть не может, не думаю, что чтото БОЕВОЕ станут строить на ней, для этого есть закрытые, относительно стабильные unix платформы (касается ядра). Что касается программного обеспечения, многим открытым программам нет альтернативы, и их используют как в закрытых так и на открытых платформах.

faust
()
Ответ на: комментарий от faust

ха ха ха. не существует относительно стабильных unix-систем, сравнимых с windows nt! ни одна серьезная контора эти ваши глючные соплярисы и хпуксы никогда не поставит!

anonymous
()

Дайте ка и я пофлеймлю :-)))))))

Открытость|закрытость исходников для тех, кто сам себе написал софт, явно не очень важна :-))) Так что очевидно их имеет смысл исключить из рассмотрения. Остаются те, кто пользуется софтом написанным другими. Для уверености в секьюрности необходимо 2 (два) условия:
1) Есть исходники софта
2) Есть деньги|люди|время на проверку этих исходников. (Проверить на предмет СОЗНАТЕЛЬНОЙ дыры софт значительно легче, чем писать его самому. Случайные переполнения буфера и прочую байду отловить уже сложнее.)

Ясен пень, что далеко не все располагают такими возможностями. А это значит, что им придеться кому-то ДОВЕРИТЬСЯ. Так вот, внимание - вопрос. Кому вы больше доверитесь в области безопасности (компании, специалисту/ам) - тем, кто обеспечивает упомянутую безопасность для софта, исходников которого у них нет, или тем, кто гарантирует вам секьюрность софта, исходники от которого у них есть ??? :-)))) Само собой, при прочих равных :-))))


"На мою память нет ни одного случая когда что то сперли в фирме (государственной или особо серетной) через Интернет/модем."
А на моей есть. Совсем недавно (с полгода - год) один перец из какого-то Урюпинска (нашинский перец) стырил полный список клиентов какого-то (вроде немецкого) банка. Правда ума у него хватило только на это, дейстовал он из собственного дома, и по-моему, даже не пытался шифрануться, хотел от банка денег. Вследствие чего его взяли сотрудники нашей доблестной, и потом долго трубили об этом, как о немыслимом подвиге :-))))))))

"Причем засекретить сам факт ее существования?"
Остапа понесло... :-)))))) Может им еще и сам факт сущестования государства... А, чего там !!! ...континента засекретить ??? :-)))))

LamerOk ★★★★★
()

... ну что же ты не продолжил про серьезную контору микрософт
с ее хотмейлом? Или контора, которая выпускает серьезную вин-нт
сама в детском саду обитает?
Ладно, пойду на свой аптайм любоваться.

anonymous
()

Во-во, уж чья бы корова мычала, а мелкософтовская не вые..лась бы.

anonymous
()
Ответ на: комментарий от penguin

> Насколько я помню, в нашей армии провода секурной сетки упакованы в трубы с гелием,

Ну ты и пингвин........... Придется тебя принудительно отправить в армию на практику,
потаскать на плечах трубы с гелием ;))

anonymous
()

2anonymous (*) (2002-06-06 03:06:48.167)

С каких пор срочников на секурные об'екты пускают...

А на практику меня отправлять не надо, я уже практиковался.

penguin
()
Ответ на: комментарий от LamerOk

2LamerOK А на моей есть. Совсем недавно (с полгода - год) один перец из какого-то Урюпинска (нашинский перец) стырил полный список клиентов какого-то (вроде немецкого) банка.

Ну да, ну да. (с) Наша страна полна идиотских гениев? Спереть смог, а воспользоваться нет? Это значит что инфа все равно в сохранности (смыл спереть/взломать в последующем пользовании информации в свое благо). У меня знакомый в Москве тоже "типа взломал" базу данных московской ГИБДД (ходил он - грудь колесом), а на проверку он не взломал а просто за бабку купил старые версии (2-летней давности) у клерка какого то. Так что совету не воспринимать это так близко (В каждой шутке есть доля шутки)

klim
()
Ответ на: комментарий от penguin

> С каких пор срочников на секурные об'екты пускают...

А с каких пор их не пускают? Не бздел бы о том, чего не знаешь.

> я уже практиковался.
Так мало практиковался, раз чушь порешь в каждой фразе. Надо подсказать
твоему военкомату, чтобы тебя по полной, пару лет попрактиковать...


anonymous
()

Безопастности США угрожает не opensource а сами американцы со своей внешней политикой.

anonymous
()

> пока Вы тут спорите почитайте лучше это http://www.zdnet.ru/?ID=203312

Гы :) Шутник, да?

> Ты наверно сильно удивишся если узнаеш, что например Win2K сразу
> вышла с поддержкой всех языков.

:) Почему до сих пор не сделали XP с поддержкой грамотности?

> не существует относительно стабильных unix-систем, сравнимых с windows nt!

А это уже просто истерика... Валерьяночки выпей, да? :)

> Придется тебя принудительно отправить в армию на практику,
потаскать на плечах трубы с гелием

Пингвин --- птица гордая и редкая. Попрошу вашим грязным гелием не обдувать. А то среди них и бешеный встречается...

CybOrc
()

Во нафлеймили-то... ;-)
Короче, попали под раздачу... ;-)

1. ZLIB... Факт. Ошибку не могли найти черт знает сколько лет. Нашли. Патч для Слаквари вышел на следующий день. И все. Проблема прекратила иметь место быть. M$ признались, что ZLIB они у себя в софте использовали (кстати, фишка! даже не удосужились на баги протестить! => даже сами макросаксы считают Open Source достаточно надежным). Где они использовали, в каком софте - они САМИ не знают... Вот уж действительно - ламерюге даже наличие сырцов не поможет. Собственных сырцов.

2. Анонисту, который типа советник по секурити в куче организаций...
Слушай, ну вот скажи честно, ты-то сам ВЕРИШЬ в тот бред, что написал? Или можно перефразировать (если хочешь): а к какой ОС прикладное ПО вылизывается с такой же тщательностью, как ядро? NеTe винды не предлагай - кривее софта, чем для винды в природе нет, впомнить те же Корел, 3DMax, Автокад, Solidworks и т. д... 1С туда же. Так что не надо ТРА-ЛЯ-ЛЯ про то, что софт для Linux'а ненадежный... НЕНАДЕЖНЫЙ, простите, в сравнении С ЧЕМ? Более того, судя по орфографии и пунктуации, вы, уважаемый, еще даже 8-го класса школы для умственно отсталых детей не закончили... А уже лезете в высокие материи. Нехорошо.

3. 2Oleksiy. Эт-та... А ты ничего не напутал? Это я про то, что дырки в Linux'e находят чаще... ;-) Покопай флеймы - выкинул как-то Irsi линк один не подумав (он просто никогда не думает). Дыр в маздае там чуть ли не больше, чем во всех UNIX'ах, вместе взятых... А самым надежным из Linux'ов там Слакварь, в которой дырок меньше, чем во FreeBSD и меньше, чем в большинстве коммерческих (закрытых) UNIX'ов. Так что не БЗДи.

4. Сторонникам closed source. Вы обвиняете Open Source в том, что, мол, злоумышленник может найти дырку и никому об этом не сказать. Дырку рано или поздно обнаружит кто-нибудь другой. А подумайте вот над чем: некий кул-хацкер нашел дырень в маздайке .NET и НИКОМУ об этом не сказал... ;-) Что получится? В таком случае даже сам факт взлома будет ставиться под сомнение (инфы-то о способе нет). А чудик будет огребать бабки, хакая, скажем, янковские банки... ;-))) Вот ЭТОГО янкам бояться и нужно. ОЧЕНЬ.
По поводу "M$ большим клиентам позволяет сырцы читать": не надо ЛЯ-ЛЯ. Даже если предположить, что банк купит сырцы, наймет сотню программеров, это НИЧЕГО не даст. M$ не позволяет менять сырцы. Только смотреть. И даже не в этом дело. Линуксовое ядро весит в сырцах метров 80. Только ядро. А прикиньте, сколько весит в сырцах MD2K? Той сотне программеров всей жизни не хватит только на то, чтобы сырцы ПРОЧИТАТЬ, не говоря уже - искать баги.
Проблема секурности в закрытом софте в том, что софтина эта - конечный продукт. Т. е., в том, что нету в ней модульности. Все DLL'ки, EXE'шники и т. п. органически связаны не только через системные библиотеки, но и через взаимодействие друг с другом (не зря макросаксы орут, что IE из маздайки убрать нельзя). В этом отношении Open Source, несомненно, в выигрыше: относительно маленькие независимые проекты позволяют сконцентрироваться на поиске ошибок в данной конкретной софтвине и не отвлекаться на баги ядра, системных библиотек, компилятора и т. п. (баги в этих проектах ищут другие люди просто ;-) ). В общем, не опасаться того, что в службе поддержки скажут "А! Это?!? Это ж не баг!!! Это фича такая!!!".

Ладно, хватит... Надо бы и поработать... ;-)))

R00T
()

2R00T: а врать нехорошо - больше всего дыр все же в линуксах... А "какой-то линк" вел на секюритифокус, я понимаю что такой псевдоспециалист как ты этого сайта не знает :) Вот он - http://securityfocus.com/vulns/stats.shtml, смотрите сами...

Про модульность ты насмешил - не линуксу с его монолитным ядром говорить о модульности...

А вообще спор на тему что безопасней OpenSource или ClosedSource имхо идиотский - у каждого подхода есть свои плюсы и минусы в плане безопасности. Но самое главное - некоторые ClosedSource продукты имеют код, правильность которого математически доказана. Но нет ни одного OpenSource продукта с таким кодом и имхо быть не может... Но впрочем ни к виндам, ни к линуксу эти продукты не имеют никакого отношения...

Irsi
()

Вот придурки и Irsi туда же. Ну неужели нельзя понять, что говорить - Linux уязвим нельзя без наименования дистрибутива. Вот берем RH - лидирует, Slackware - ошибок меньше, чем в любимой Irsi FreeBSD. И что? Как вы можете объединить оба эти дистрибутива и сказать, что Linux безопаснее или Linux - страшно дыряв. Вас логике учили?

Вы можете говорить, что стол страшно высокий предмет из-за того что сколько-то лет назад пешком под него ходили? А ведь тогда он был несомненно выше!

Поэтому, дабы не бредить лучше указывать дистрибутив, а то мне ничего не стоит взять RH, назвать своим именем и не обновлять его годами. Вы по этому будете судить о Linux в целом?

anonymous
()

Упс... Прорезался голос из помойки... ;-))) Ну да ладно. Смотрим:

Оpen Source:
Slackware: 2000г - 11 дырок, 2001г - 10 дырок. => всего 21 дырка за 2 года.
Debian: 2000 - 55, 2001 - 28 => 83
RedHat: 2000 - 95, 2001 - 54 => 149
FreeBSD: 2000 - 36, 2001 - 17 => 53
NetBSD: 2000 - 20, 2001 - 9 => 29
OpenBSD: 2000 - 17, 2001 - 14 => 31
______________________________________
Итого: примерно по 61 дырки на брата... Red Hat, мать его...

Коммерческие Unix'ы:
AIX: 2000 - 15, 2001 - 6 => 21
HP-UX: 2000 - 26, 2001 - 16 => 42
Irix: 2000 - 14, 2001 - 7 => 21
SCO: 2000 - 2, 2001 - 21 => 23
Solaris: 2000 - 22, 2001 - 33 => 55

M$:
MD 3.1x/9x: 2000 - 40, 2001 - 14 => 54
MD NT/2K: 2000 - 97, 2001 - 42 => 139
__________________________________________
Итого: примерно по 50.7 дырки на софтвину.

Я специально не стал выбирать всякие Caldera, Suse, Mandrake - это все Шапка... ;-)
Так же, специально не стал выбирать MacOS и BeOS - они не столь распространены. (по крайней мере, в России).

А теперь статистика... Интереснейшая вещь: MD NT/2K по уровню надежности - в такой же заднице, как Шапка. Да и Debian не далеко от них ушел. В связи с чем, вопрос, какой же софт использовать янковскому Генштабу, принимает, скорее, сатирический оттенок... ;-)
Самые надежные (по алфавиту): AIX, Irix, Slackware. Опять же, не скажешь, что из-за своей открытости Слакварь страдает...

Теперь про итог: посчитав соотношение суммы дырок к количеству программных продуктов, нельзя однозначно сказать, какой же из методов эффективнее, поскольку разница в процентном соотнешении результатов незначительна. Упс. ;-)

R00T
()

2Irsi: Читай внимательнее! Я говорил не про ядра, а про системы ВЦЕЛОМ. Потому и привел пример про IE.
Может быть, я несколько неправильно понимаю понятие "модульность", но, на мой взгляд, "модуль" - это компонент системы, который можно извлечь из системы и рассматривать после этого как новую систему. ;-)

R00T
()

Упс ! какие люди и без охраны :))))))
Irsi тебя с lrn выгнали?

по теме:
опен-сорс страшен для америки не тем, что там много дыр и прочая лабудень, а тем, что это реальный отток денег.
крупные корпорации теряют прибыли в америке уменьшается производство
уменьшается потребительский спрос страдает внешняя политика.
ну и соответственно :(

есть мнение, что 11 сентября устроили сами америкосы
создана волна страха и паники и на этой волне надо гасить всех тех кто мещает обогащаться корпорациям.
гдето это уже было? дежа-вю?
"генетика есть антикоммунистическое ..... и т.д. будем растить морковку на елках"
не напоминает сегодняшную ситуацию с опен-сорс?

l-xoid ★★★★★
()

США угражает не Open-source, а чудаки на букву м. И как раз 11 сент тому прекрасный показатель! Теперь во-всем виноваты всякие там бенладены, ну и ... open source! Старинную русскую игру в поиск виноватых они только сейчас затеяли. Типа, мы знали про терракты, но ничего не сделали. ЧушЬ!

2 Irsi (*) (2002-06-06 13:04:21.838)
> вообще спор на тему что безопасней OpenSource или ClosedSource имхо идиотский - у каждого подхода есть свои плюсы и минусы в плане безопасности.

Согласен. Но плюсы и минусы одни и те же. От доступности исходников надежность продукта почти не зависит! И не уподобляйтесь американам. В советские времена телевизоры снабжались схемами, многие импортные их также имели. И что? Ничего!

> некоторые ClosedSource продукты имеют код, правильность которого математически доказана

Сам-то понял? Это как же можно доказать математически правильность исходного кода ОС или хотя бы почтового агента? Теоретичские рассуждения - чистой воды пи...ж!

PitStop
()
Ответ на: комментарий от PitStop

Если ты безграмотный такой, то лучше уж молчи, не засоряй тред чистой воды пи...жом. Не знаешь, что называется формальным доказательством кода - узнай, а не обсирай по своей врожденной жлобской тупости заочно большую науку.

Antichrist
()
Ответ на: комментарий от R00T

И где это такую мурзилку пиздобольскую публикуют, про всего 20 дырок в слаке? Или ты, как любой религиозный фанатик, фильтруешь только хорошее про предмет своей веры? Запомни - шлака ничуть не менее дырявая чем остальные линьюхи. Если ты думаешь, что Патрик делает аудит всего-всего кода всех пакетов, собирает их тайным верифицирующим компилятором с рантайм-проверками на переполнания - то место твое в дурке, а не тут.

Antichrist
()

2 Antichrist (*) (2002-06-06 16:12:06.907) Это ты мне или Irsi? :) > Не знаешь, что называется формальным доказательством кода - узнай, а не обсирай по своей врожденной жлобской тупости заочно большую науку. Во-первых - к теме open/closed source сие не имеет никакого отношения. Во-вторых Я знаком со многими теориями и даже (ты не поверишь) читал об этой. К делу это имеет мало отношения, что Irsi и говорил. Мало систем изученых этим методом. И вопрос весьма академический - теория, она на то и теория. :(

PitStop
()

2Antichrist: Ну вот... Еще одно говнецо из отстойника просочилось... Блин, вам бы с Irsi не на LOR'е сидеть, а в параше.
Итак. Про "математическое доказательство". ;-) Нет, я понимаю, что математики - люди не от мира сего, но заниматься ТАКИМ бредом - это уж что-то совсем нездоровое.
Антихрист, вот возьми транспортную задачу, реши ее. Запрограммируй. От того, что ты ее всячески "математически" докажешь, еще не будет означать, что программа будет работать так, как должна. ;-))) В конце-концов, есть старая, как мир, поговорка: "Если вы написали программу и компилятор не сообщил об ошибках в программе - зовите системщика. Он исправит ошибки в компиляторе." Так что не БЗДи.
Теперь про "где публикуют". Не Securityfocus. Вот: http://securityfocus.com/vulns/stats.shtml

Да и вообще, про "большую науку" бздеть не тебе. Напомнить, как ты лохонулся тогда про тред с черными дырами? Выставил себя полнейшим уежищным ублюдком.

R00T
()
Ответ на: комментарий от anonymous

2Виндузятник: "То, что любое мнение, направленное против Линукса (Фри-Опен Софт и т.д.) необязательно (как тут ВСЕГДА полагают) исходит от проплаченных или тупых людей. "

Не обязательно тупых. Малоинформированных. И не обязательно проплаченных, а имеющих интерес. Но обратных примеров как бы не было.

"Есть много аргументов "за" и "против" любой стороны. "

Ну-ну.

"Но! В ОБЫЧНОМ мире (а не в мире ИДЕАЛЬНЫХ людей) до сегодняшнего дня большинство вопросов, связанных с обеспечением безопасности, не открывались публично. ИМХО - это разумно и в большинстве случаев рационально. "

Ты опоздал на пятьдесят лет. Именно вопросы безопасности должны обсуждаться и обсуждаются публично. Другое дело, что кроме публичных мер принимаются и приватные. Но основа - публичные меры. Именно они заставляют думать, что все более-менее в порядке, и на халявку сломать систему безопасности нельзя. Во всяком случае в шифровании дисскусия на эту тему закончена. Не один серьезный эксперт по шифрованию не скажет - полагайтесь на вот этот никому не известный и не проверенный алгоритм и все будет впорядке.

ZhekaSmith
()

Статистика

2 ROOT: Если есть желание порассуждать о надежности дистрибутивов, то не забудьте поделить число дыр на количество доступных пакетов... В Дебиане их в несколько раз больше чем во всех остальных линуксах.

anonymous
()
Ответ на: Статистика от anonymous

Угу. Вот только 80% тех пакетов непонятно кому нужны. Лично у меня все время возникает ехидная мыслишка, что пакеты лишние там для того, чтобы с установкой помучиться всерьез и подольше.

R00T
()
Ответ на: комментарий от ZhekaSmith

2 ZhekaSmith (*) (2002-06-06 16:37:22.784)

А что вы хотите увидеть в обратном примере? Более информированных? По сравнению с кем? Неимеющих интерес? А что, тут все незаинтересованные собрались? А вы себя по этой своей классификации как рассматриваете? :)

1.
Ваши слова "Читайте на slashdot.org: эти проститутки (это не ругательство, а их профессия) проплачены Микрософтом". (Очень хорошая информированная ссылка...) :)))

Я нашел
http://slashdot.org/article.pl?sid=02/06/04/228240&mode=thread&tid=109

В названии - Think Tank' Issues Microsoft-Funded Troll. И в тексте - It's little suprise that this group takes money from Microsoft.
Оно?

Доказательства у них есть? Ссылка на статью в Регистре (в числе прочих) http://www.theregister.co.uk/content/4/25569.html

Читаем. as our friend Richard M. Smith points out, the Institution takes money from Redmond. И ссылка на головную страницу этого Смита с десятками статей без поисковика. Вручную не нашел. Приехали.

Имеем - Регистр дает кучу ничем не обоснованных предположений, Слэш уже дает, как известную вещь, вы смело повторяете, и говорите про информированность и заинтересованность. :)))

(Больше ни в одной ссылке из этой статьи про деньги никто не говорит. Вы найдете на Слэше другую статью или другое доказательство?)

Как по вашему, в чем интерес Слэшдота? И можно ли его (да и любой другой ресурс СМИ), использовать как источник достоверной незаинтересованной информации (и в каких случаях)? :)

2. Ты слишком категоричен и оптимистичен. Публично обсуждается теория, да и то далеко не вся. Практическое же применение в большинстве случаев до сегодняшнего дня держат за семью замками.

(Если вы подскажете, например, как практически организована и осуществляется охрана, скажем, ядреного центра в Неваде, (с детальными режимами работы и схемой СОС) и укажете, где это обсуждалось публично - признаю, что отстал на 100 лет навсегда). :)

А в шифровании за последние сутки я так и не продвинулся... :(

Виндузятник

anonymous
()

2R00T (*) (2002-06-06 16:35:41.964):

1 - A/X зачастую слишком категоричен, хотя его высказывания и интересны. 2 - а когда же вы успели на LOR потрепаться насчет черных дыр? Жаль, что я этого не видел.

anonymous
()

Машинный код программы - тоже код и его правильность тоже можно доказать математически. Кроме того можно доказать правильность и предсказуемость компилятора. Это позволит использовать уже доказаный код, скажем на C, чтобы получать программу с заданой надёжностью. Всё это не легко, но возможно.
ROOT, а Вам я бы посоветовал не проявлять своё невежество и невоспитанность подобным тоном беседы с переходом на личности. Заметьте, невежество не есть незнание или заблуждение.

anonymous
()

2anonymous (*) (2002-06-06 22:07:04.125):

В любом случае, я не слышал, чтобы кто-либо доказывал правильность кода любой применяемой мною программы. Конечно да, есть программы, про исходный код которых доказано, что он правилен и я их сам видел. Но поскольку это очень квалифицированный труд, на мой взгляд, то на поток его поставить нельзя.

К сожалению, нужно либо тратить годы жизни на одну программу, либо писать универсальный "доказыватель", который разумеется тоже придется проверять! Так что, если действительно воплощать в жизнь эту многообещающую мысль, нужно будет делать что-то на подобие gcc boostrapping. :-)

Если я не прав очень бы хотелось услышать опровержение или уточнение.

anonymous
()
Ответ на: Статистика от anonymous

> В Дебиане их в несколько раз больше чем во всех остальных линуксах.

Ну и хули? Ты знаешь качество тех пакетов? Возьмите и пососите на свой страх и риск.
Вот что такое 90% пакетов дебиана. Я, как человек читающий соответствующие списки рассылки,
соберу 10% из оного дерьма на 100% лучше и надежнее, потому как знаю, что ошибаться мне
в отличие от дрочунов из дебиана нельзя.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.