mboost-dp1
unknown
"A Trojan horse is just a bug that a person has put into the system deliberately," he said. "The open-source security model is that everyone is using this stuff, so bugs get found and get fixed. That's one of the reasons that you are not hearing me freak about this."
Det lyder godt nok lidt dumt det der.
En trojansk hest er da en bagdør?
Og så kunne det vel godt findes selvom det ikke var opensource?
Det lyder godt nok lidt dumt det der.
En trojansk hest er da en bagdør?
Og så kunne det vel godt findes selvom det ikke var opensource?
for dem der skulle være i tvivl:
quoting PandaSoftware
Trojans (also known as Trojan horses) are similar to viruses in terms of the negative effects they can have, but are different in that they don’t reproduce or make copies of themselves. Actually, they are programs that infiltrate computers hidden inside other, seemingly inoffensive, programs. They are not inoffensive however, and can open security holes in your computer. These holes can be used by others to enter or attack your system.
The actions that Trojans can carry out include taking screenshots, accessing and collecting personal data (e.g. passwords) which can be sent on to other computers, etc.
quoting PandaSoftware
Trojans (also known as Trojan horses) are similar to viruses in terms of the negative effects they can have, but are different in that they don’t reproduce or make copies of themselves. Actually, they are programs that infiltrate computers hidden inside other, seemingly inoffensive, programs. They are not inoffensive however, and can open security holes in your computer. These holes can be used by others to enter or attack your system.
The actions that Trojans can carry out include taking screenshots, accessing and collecting personal data (e.g. passwords) which can be sent on to other computers, etc.
#2:
Grunden til at sådanne bugs bliver fundet i opensource miljøet er at der er SÅ mange flere der kikker på koden hele tiden!
Hvis nogen fik listet en ligende bagdør ind de fleste steder jeg har arbejdet, har jeg svært ved at tro det ville blive opdaget - man har ganske enkelt ikke tid til at sidde og kontrollere "gammel" kode!
Lige på mit nuværende arbejde ville der være en hvis sandsynlighed for at den slags ville blive opdaget, da vi systemet automatisk builder ved checkin - og man ville nok undre sig lidt over et pludseligt build.
Men i et større projekt med mere end de 5 mennesker vi sidder her, ville den slags sandsynligvis aldrig blive opdaget.
Eksempelvis var der en ligende bagdør i Interbase - den blev puttet ind i 1994 - den blev først opdaget i 2001 - iøvrigt efter Interbase blev et opensource projekt! :)
(Det hele var måske ikke direkte et svar til dig - men måtte lige punktere enhver tanke om at closed source er mere sikkert mod den slags angreb - tværtimod :))
Grunden til at sådanne bugs bliver fundet i opensource miljøet er at der er SÅ mange flere der kikker på koden hele tiden!
Hvis nogen fik listet en ligende bagdør ind de fleste steder jeg har arbejdet, har jeg svært ved at tro det ville blive opdaget - man har ganske enkelt ikke tid til at sidde og kontrollere "gammel" kode!
Lige på mit nuværende arbejde ville der være en hvis sandsynlighed for at den slags ville blive opdaget, da vi systemet automatisk builder ved checkin - og man ville nok undre sig lidt over et pludseligt build.
Men i et større projekt med mere end de 5 mennesker vi sidder her, ville den slags sandsynligvis aldrig blive opdaget.
Eksempelvis var der en ligende bagdør i Interbase - den blev puttet ind i 1994 - den blev først opdaget i 2001 - iøvrigt efter Interbase blev et opensource projekt! :)
(Det hele var måske ikke direkte et svar til dig - men måtte lige punktere enhver tanke om at closed source er mere sikkert mod den slags angreb - tværtimod :))
#7
Og hvad har det så med trojaner at gøre? Intet.
Hvis jeg sender dig en fil som du er dum nok til at køre i root. Så er der intet med bugs eller fejl at gøre.
Og faktisk har du lige svaret til dig selv om at closed source sådan set er mere sikkert. Da der ikke er "SÅ mange flere" der kigger i koden hele tiden.
Dog har det den fordel i open source at det højst sandsynligt bliver rettet før det kommer ind i et closed-source firma's deadline.
Og hvad har det så med trojaner at gøre? Intet.
Hvis jeg sender dig en fil som du er dum nok til at køre i root. Så er der intet med bugs eller fejl at gøre.
Og faktisk har du lige svaret til dig selv om at closed source sådan set er mere sikkert. Da der ikke er "SÅ mange flere" der kigger i koden hele tiden.
Dog har det den fordel i open source at det højst sandsynligt bliver rettet før det kommer ind i et closed-source firma's deadline.
Finder det lidt humoristisk at når der bliver fundet en fejl i Windows eller når nogen har hacket en Windows server, ja så svælger Linux brugere i selvtilfredshed.
Når så det tilsvarende sker for Linux.... Ja så svælger de igen i selvtilfredshed, fordi dette grundlag er absolut ikke det samme. Når det sker for Linux er det et symbol på at Opensource har sejret. Når det sker for Windows er det et symbol på at opensource er bedre ?
Når så det tilsvarende sker for Linux.... Ja så svælger de igen i selvtilfredshed, fordi dette grundlag er absolut ikke det samme. Når det sker for Linux er det et symbol på at Opensource har sejret. Når det sker for Windows er det et symbol på at opensource er bedre ?
#9
Det er noget skidt at nogen fik lagt noget snavs ind, uanset hvad. Men fordi det er open source blev det opdaget hurtigt. Var det lukket ville der måske kun være ganske få mennesker, der havde muligheden for at tjekke, og den slags har ofte alt for travlt til at gøre det. De ville måske aldrig have opdaget noget.
Sådan gik det tilsyneladende med Interbase (#7).
Så det er ikke: "Der var et problem, open source er fedt."
Det er: "Der var et problem, fedt at det blev opdaget så hurtgt. Det ville det måske ikke, hvis det ikke var open source."
Det er noget skidt at nogen fik lagt noget snavs ind, uanset hvad. Men fordi det er open source blev det opdaget hurtigt. Var det lukket ville der måske kun være ganske få mennesker, der havde muligheden for at tjekke, og den slags har ofte alt for travlt til at gøre det. De ville måske aldrig have opdaget noget.
Sådan gik det tilsyneladende med Interbase (#7).
Så det er ikke: "Der var et problem, open source er fedt."
Det er: "Der var et problem, fedt at det blev opdaget så hurtgt. Det ville det måske ikke, hvis det ikke var open source."
#9 at finde og håndtere "problemer" før de bliver problemer er altid en god ting om så det er linux eller windows.
De problemer der plejer at give linuxbruger "selvtilfredshed", er normalt dem man finder i windows der påvirker alle nuværende brugere.
#8
opensorce er netop mere sikkert end closed sorce fordi flere kigger i koden og ting som dette bliver opdaget mens man ved closed source kan "snige ting ind" uden folk opdager det(givet vis i meget få tildfælde.)
De problemer der plejer at give linuxbruger "selvtilfredshed", er normalt dem man finder i windows der påvirker alle nuværende brugere.
#8
opensorce er netop mere sikkert end closed sorce fordi flere kigger i koden og ting som dette bliver opdaget mens man ved closed source kan "snige ting ind" uden folk opdager det(givet vis i meget få tildfælde.)
Open source betyder ikke at der er mange der kan commite kode, det er stadig kun udvalgte, og mange gange er der så et coreteam der tjekker det de udvalgte har lavet inden det kan lægges sammen med current.
#6
"Trojans (also known as Trojan horses) are similar to viruses in terms of the negative effects they can have, but are different in that they don’t reproduce or make copies of themselves. Actually, they are programs that infiltrate computers hidden inside other, seemingly inoffensive, programs. They are not inoffensive however, and can open security holes in your computer. These holes can be used by others to enter or attack your system.
The actions that Trojans can carry out include taking screenshots, accessing and collecting personal data (e.g. passwords) which can be sent on to other computers, etc."
-----------
For dem der skulle være i tvivl? Du mener da ikke at "de der" altid har ret vel?
"that they don’t reproduce or make copies of themselves"
"Trojans (also known as Trojan horses) are similar to viruses in terms of the negative effects they can have, but are different in that they don’t reproduce or make copies of themselves. Actually, they are programs that infiltrate computers hidden inside other, seemingly inoffensive, programs. They are not inoffensive however, and can open security holes in your computer. These holes can be used by others to enter or attack your system.
The actions that Trojans can carry out include taking screenshots, accessing and collecting personal data (e.g. passwords) which can be sent on to other computers, etc."
-----------
For dem der skulle være i tvivl? Du mener da ikke at "de der" altid har ret vel?
"that they don’t reproduce or make copies of themselves"
Hvad betydning har det, at der er opensource?
Opensource garantere ikke at den slags bliver opdaget. Kernen er et stort projekt, og har dermed en masse opmærksomhed så derfor er det sværere at smugle noget kode ind. Ikke fordi det er opensource - men fordi der er en del folk der ser hvad der foregår. Det samme kan jo sagents være det samme for et closesource projekt. Et stort firma med en masse programmører kan jo "ligeså nemt" opdage disse slags fejl. Jeg kan sagents finde tonsvis af opensource-projekter hvor indsmuglning af kode vil lykkes. Mange har mulighed for at se source efter, men det betyder jo ikke at der er mange der rent faktisk gør det.
Opensource giver hver mere eller mindre risiko for den slags.
Det handler mere om projektets styring og strukturering. Faktisk er jeg lige ved at tro, at closesource har nemmere ved at føre en streng politik mht omgang af sourcen. De kan nemmere sætte 50 mennesker til at se et system igennem. I opensource gør folk det arbejde de kan lide, så det afhænger meget mere af at få motiveret dem. Closesource er normalt motiveret igennem løn.
Jeg er linux mand og er også indvolveret i OS: Men jeg har svært ved at tro på at fordi et projekt er opensource så er det bedre og mere bugfrit. Det afhænger total af styringen af projektet.
(Jeg bruger også Windows indimellem - jeg kan godt lide at bruge det redskab der passer bedst til opgave. Ikke bruge det der bliver dikteret af en "trosretning").
Opensource garantere ikke at den slags bliver opdaget. Kernen er et stort projekt, og har dermed en masse opmærksomhed så derfor er det sværere at smugle noget kode ind. Ikke fordi det er opensource - men fordi der er en del folk der ser hvad der foregår. Det samme kan jo sagents være det samme for et closesource projekt. Et stort firma med en masse programmører kan jo "ligeså nemt" opdage disse slags fejl. Jeg kan sagents finde tonsvis af opensource-projekter hvor indsmuglning af kode vil lykkes. Mange har mulighed for at se source efter, men det betyder jo ikke at der er mange der rent faktisk gør det.
Opensource giver hver mere eller mindre risiko for den slags.
Det handler mere om projektets styring og strukturering. Faktisk er jeg lige ved at tro, at closesource har nemmere ved at føre en streng politik mht omgang af sourcen. De kan nemmere sætte 50 mennesker til at se et system igennem. I opensource gør folk det arbejde de kan lide, så det afhænger meget mere af at få motiveret dem. Closesource er normalt motiveret igennem løn.
Jeg er linux mand og er også indvolveret i OS: Men jeg har svært ved at tro på at fordi et projekt er opensource så er det bedre og mere bugfrit. Det afhænger total af styringen af projektet.
(Jeg bruger også Windows indimellem - jeg kan godt lide at bruge det redskab der passer bedst til opgave. Ikke bruge det der bliver dikteret af en "trosretning").
#15 dennis
[Hvad betydning har det, at der er opensource?
Opensource garantere ikke at den slags bliver opdaget.]
Garantere ikke.
Men jo fler der har adgang til koden, jo større er sandsynligheden for at ting bliver opdaget og rettet.
Men det er ingen garanti, hvis maintainerne er nogle sjuskehoveder.. ;)
[Kernen er et stort projekt, og har dermed en masse opmærksomhed så derfor er det sværere at smugle noget kode ind.
Ikke fordi det er opensource - men fordi der er en del folk der ser hvad der foregår.]
AL kode går gennem Linus os hans betroede hackere, som selvfølgelig kigger de patches igennem folk sender.
Gerningsmanden angreb så sidste maskine i systemet, og derved passede integriteten ikke.
Kender ikke properitær software udvikling, men det bruger forhåbentligt noget i samme stil.
[Det samme kan jo sagents være det samme for et closesource projekt. Et stort firma med en masse programmører kan jo "ligeså nemt" opdage disse slags fejl.]
Selvfølgelig.
[Jeg kan sagents finde tonsvis af opensource-projekter hvor indsmuglning af kode vil lykkes.]
Det kan kun lade sig gøre, hvis maintaineren er sjusket.
[Mange har mulighed for at se source efter, men det betyder jo ikke at der er mange der rent faktisk gør det.]
I de mest populære projekter jo.
Men gamle og forladte projekter, bliver så ikke kigget lige så meget efter.
[Opensource giver hver mere eller mindre risiko for den slags.
Det handler mere om projektets styring og strukturering. Faktisk er jeg lige ved at tro, at closesource har nemmere ved at føre en streng politik mht omgang af sourcen. De kan nemmere sætte 50 mennesker til at se et system igennem.]
Det tager jeg nu ikke så seriøst.
Alene min distro Gentoo, har en del stabile maintainere på diverse projekter.
At man så i properitære projekter, kan betale sig fra kedeligt arbejde er rigtigt.
Det ændre dog ikke ved at disse ting, nu bliver lavet alligevel i open source projekter.
[I opensource gør folk det arbejde de kan lide, så det afhænger meget mere af at få motiveret dem. Closesource er normalt motiveret igennem løn.]
Nu er der så mange open source udviklere der faktisk arbejder på fuld tid med det.
Andre arbejder med det af ideologiske årsager, eller fordi de elsker at kode og deltage i fællesskabet.
[Jeg er linux mand og er også indvolveret i OS: Men jeg har svært ved at tro på at fordi et projekt er opensource så er det bedre og mere bugfrit. Det afhænger total af styringen af projektet.]
Det er også rigtigt.
[(Jeg bruger også Windows indimellem - jeg kan godt lide at bruge det redskab der passer bedst til opgave. Ikke bruge det der bliver dikteret af en "trosretning").]
Har så personligt droppet Windows.
Den properitære model, er en jeg håber man vil gå bort fra i fremtiden.
Med mindre man har en ekstrem god grund til andet.
[Hvad betydning har det, at der er opensource?
Opensource garantere ikke at den slags bliver opdaget.]
Garantere ikke.
Men jo fler der har adgang til koden, jo større er sandsynligheden for at ting bliver opdaget og rettet.
Men det er ingen garanti, hvis maintainerne er nogle sjuskehoveder.. ;)
[Kernen er et stort projekt, og har dermed en masse opmærksomhed så derfor er det sværere at smugle noget kode ind.
Ikke fordi det er opensource - men fordi der er en del folk der ser hvad der foregår.]
AL kode går gennem Linus os hans betroede hackere, som selvfølgelig kigger de patches igennem folk sender.
Gerningsmanden angreb så sidste maskine i systemet, og derved passede integriteten ikke.
Kender ikke properitær software udvikling, men det bruger forhåbentligt noget i samme stil.
[Det samme kan jo sagents være det samme for et closesource projekt. Et stort firma med en masse programmører kan jo "ligeså nemt" opdage disse slags fejl.]
Selvfølgelig.
[Jeg kan sagents finde tonsvis af opensource-projekter hvor indsmuglning af kode vil lykkes.]
Det kan kun lade sig gøre, hvis maintaineren er sjusket.
[Mange har mulighed for at se source efter, men det betyder jo ikke at der er mange der rent faktisk gør det.]
I de mest populære projekter jo.
Men gamle og forladte projekter, bliver så ikke kigget lige så meget efter.
[Opensource giver hver mere eller mindre risiko for den slags.
Det handler mere om projektets styring og strukturering. Faktisk er jeg lige ved at tro, at closesource har nemmere ved at føre en streng politik mht omgang af sourcen. De kan nemmere sætte 50 mennesker til at se et system igennem.]
Det tager jeg nu ikke så seriøst.
Alene min distro Gentoo, har en del stabile maintainere på diverse projekter.
At man så i properitære projekter, kan betale sig fra kedeligt arbejde er rigtigt.
Det ændre dog ikke ved at disse ting, nu bliver lavet alligevel i open source projekter.
[I opensource gør folk det arbejde de kan lide, så det afhænger meget mere af at få motiveret dem. Closesource er normalt motiveret igennem løn.]
Nu er der så mange open source udviklere der faktisk arbejder på fuld tid med det.
Andre arbejder med det af ideologiske årsager, eller fordi de elsker at kode og deltage i fællesskabet.
[Jeg er linux mand og er også indvolveret i OS: Men jeg har svært ved at tro på at fordi et projekt er opensource så er det bedre og mere bugfrit. Det afhænger total af styringen af projektet.]
Det er også rigtigt.
[(Jeg bruger også Windows indimellem - jeg kan godt lide at bruge det redskab der passer bedst til opgave. Ikke bruge det der bliver dikteret af en "trosretning").]
Har så personligt droppet Windows.
Den properitære model, er en jeg håber man vil gå bort fra i fremtiden.
Med mindre man har en ekstrem god grund til andet.
nu hvor windows brugerene endnu en gang har fordrejet sanheden vil jeg lige tilføje. Der bliver fundet sikkerhedshuler i alle systemer. men i opensource sker det ofte at hulerne bliver fundet inden de bliver udnytte, hvor imod at microsoft først lukker hulet når skaden allerede er sket.
#19
Tja...Kommer lidt an på hvem man er, hvis du var CIA og gerne ville have et hul i et system, hvad er så nemmest, at bestikke en MS medarbejder eller bestikke en kernelmaintainer med commit rights, eller få koden ind på anden vis. Som det tydeligt ses her var det ikke engang lykkes selvom ham der blev 'framed' (eller hvad man skal kalde det) for det virkelig havde gjort det.
Men jo, hvis man kan få et hul i et system og sikre at man kun bruger det til ting der ikke sådan lige bliver opdaget, jamen så kan man da godt skjule sådan et hul i et stykke tid. Men det er nu ikke nemt, tror det er nemmere at bruge de huller der bliver opdaget på ugebasis til at få root, i forhold til selv at lave sit hul.
Tja...Kommer lidt an på hvem man er, hvis du var CIA og gerne ville have et hul i et system, hvad er så nemmest, at bestikke en MS medarbejder eller bestikke en kernelmaintainer med commit rights, eller få koden ind på anden vis. Som det tydeligt ses her var det ikke engang lykkes selvom ham der blev 'framed' (eller hvad man skal kalde det) for det virkelig havde gjort det.
Men jo, hvis man kan få et hul i et system og sikre at man kun bruger det til ting der ikke sådan lige bliver opdaget, jamen så kan man da godt skjule sådan et hul i et stykke tid. Men det er nu ikke nemt, tror det er nemmere at bruge de huller der bliver opdaget på ugebasis til at få root, i forhold til selv at lave sit hul.
#19 dynamism
Hvorfor bilder du dig det ind?
Hvad får det til at tro at det skulle være nemmere?
Uden at viden hvordan i arbejder internt hos Microsoft, så er der i open source projekter centrale figure som implementere folks fixes og forbedringer.
Du får ikke *bare* ting med i open source projekter.
Der er en maintainer, som kigger tingene igennem.
Og så implementere han det efterhånden, som han har gået det igennem.
Denne arbejdsprocess gør netop at ovenstående ikke kunne lade sig gøre.
Hvorfor bilder du dig det ind?
Hvad får det til at tro at det skulle være nemmere?
Uden at viden hvordan i arbejder internt hos Microsoft, så er der i open source projekter centrale figure som implementere folks fixes og forbedringer.
Du får ikke *bare* ting med i open source projekter.
Der er en maintainer, som kigger tingene igennem.
Og så implementere han det efterhånden, som han har gået det igennem.
Denne arbejdsprocess gør netop at ovenstående ikke kunne lade sig gøre.
#19
Du har ikke fattet pointen - du kan ikke bare få noget kode med i Linux kernen f.eks. - du kan sende det du vil give til kernen, til de folk der står for den, og så kigger DE dit kode igennem, er det så godt nok, så bliver det accepteret, er det ikke bliver det kasseret.
Så Open Source ER mere sikker, og det baserer jeg mit udsagn på fra viden omkring udvikling af closed-source projekter i multi-million klassen her i .dk - firmaer koncentrerer sig om ÉN ting, bundlinien, og derfor sparer de ofte code-reviewers væk.
Du har ikke fattet pointen - du kan ikke bare få noget kode med i Linux kernen f.eks. - du kan sende det du vil give til kernen, til de folk der står for den, og så kigger DE dit kode igennem, er det så godt nok, så bliver det accepteret, er det ikke bliver det kasseret.
Så Open Source ER mere sikker, og det baserer jeg mit udsagn på fra viden omkring udvikling af closed-source projekter i multi-million klassen her i .dk - firmaer koncentrerer sig om ÉN ting, bundlinien, og derfor sparer de ofte code-reviewers væk.
#15 meget få komersielle firmaer har de nødvednige resourcer til at styre et kvalitets kontrol aparart af tilnærmelses vis den kvalitet linux kernen og de store projekter, er underlagt.
Du får langt mere ud af at have en masse forskellige uafhængige team's, gå et system igennem med hver deres metode, end ved at gøre det intent.
MS kunne måske godt klare det, men de ville værre nødt til at sætte 2-3 gange, de resourcer der bruges til nyudvikling af på det.
Og de bliver nødt til at hente ind externe folk.
For et closed source firma er det noget med tunge NDA'er og advokater her, der og alle vejne, og det er stadigt ikke overvejende sandsynligt man får det samme tilbage som opensource projekterne.
BTW allerede idag er MS sikkerhed noget der foretages udenfor MS's kontrol.
Du er afhængig af en god firewall, et antivirus program, og en masse menesker hos div sikkerheds firmaer der analysere windows.
Der er bare et administrativt overhead ved denne process du ikke finder hos opensource.
Du får langt mere ud af at have en masse forskellige uafhængige team's, gå et system igennem med hver deres metode, end ved at gøre det intent.
MS kunne måske godt klare det, men de ville værre nødt til at sætte 2-3 gange, de resourcer der bruges til nyudvikling af på det.
Og de bliver nødt til at hente ind externe folk.
For et closed source firma er det noget med tunge NDA'er og advokater her, der og alle vejne, og det er stadigt ikke overvejende sandsynligt man får det samme tilbage som opensource projekterne.
BTW allerede idag er MS sikkerhed noget der foretages udenfor MS's kontrol.
Du er afhængig af en god firewall, et antivirus program, og en masse menesker hos div sikkerheds firmaer der analysere windows.
Der er bare et administrativt overhead ved denne process du ikke finder hos opensource.
#22
I "mit" firma (der har over 1 mia kr i omsætning) kan man kun få pepsi indenfor matriklen, ergo må pepsi smage bedre end cola :) Ens holdninger og den viden man mener at have, er altså ikke bevis for noget som helst.
Koden behøver heller ikke sendes ind, det gælder vel bare om at finde et hul:
http://news.com.com/2100-1009-5063683.html?tag=nl
I "mit" firma (der har over 1 mia kr i omsætning) kan man kun få pepsi indenfor matriklen, ergo må pepsi smage bedre end cola :) Ens holdninger og den viden man mener at have, er altså ikke bevis for noget som helst.
Koden behøver heller ikke sendes ind, det gælder vel bare om at finde et hul:
http://news.com.com/2100-1009-5063683.html?tag=nl
Hvis man ser bort fra situationer hvor folk med vilje forsøger at snige bugs ind i en source, må man jo sige at den store forskel på open- og closedsource alene ligger i antallet af folk der sidder og kigger på koden - også når den er distribueret. At en fejl helst ikke bør være der, er en ting, men at det er langt lettere at opdage den (dette gælder for både venligt- og ondsindede personer) når man har mulighed for at gå kildekoden igennem, er et faktum.
Uden at have nogen dybere indsigt i hvordan folk gør det, tror jeg nok at kunne sige at det er de færreste, der med reelle hensigter sidder og leder efter sikkerhedshuller i f.eks. et closedsource OS. Når disse sikkerhedshuller bliver opdaget er det som regel som en følje af eksperimentering, i forsøg på at udnytte eventuelle sikkerhedsbrister i det pågældende system.
I et opensourceprojekt, behøver dette ikke at være tilfældet, for som sagt er der folk der sidder og kigger koden igennem, igen og igen og igen.
At ondsindede personer med succes kan snige bugs ind i et open- eller for den sags skyld closedsource projekt, vidner (som påpeget tidligere) om sjuskethed hos maintaineren af det pågældende projekt. Hvis denne er sjusket nok til at det kan lade sig gøre, er hverken open- eller closedsource sikkert, og det siger derfor intet om hvorvidt den ene type kode er mere sikker end den anden.
Uden at have nogen dybere indsigt i hvordan folk gør det, tror jeg nok at kunne sige at det er de færreste, der med reelle hensigter sidder og leder efter sikkerhedshuller i f.eks. et closedsource OS. Når disse sikkerhedshuller bliver opdaget er det som regel som en følje af eksperimentering, i forsøg på at udnytte eventuelle sikkerhedsbrister i det pågældende system.
I et opensourceprojekt, behøver dette ikke at være tilfældet, for som sagt er der folk der sidder og kigger koden igennem, igen og igen og igen.
At ondsindede personer med succes kan snige bugs ind i et open- eller for den sags skyld closedsource projekt, vidner (som påpeget tidligere) om sjuskethed hos maintaineren af det pågældende projekt. Hvis denne er sjusket nok til at det kan lade sig gøre, er hverken open- eller closedsource sikkert, og det siger derfor intet om hvorvidt den ene type kode er mere sikker end den anden.
#26 dynamism
[Og alligevel var det lige ved at lykkes, jeg mener den ondsindede kode kom jo ind på selve den server hvor kernen ligger, noget som ikke kan lade sig gøre, hvis det altid foregår som du siger....]
Okay jeg prøver lige igen:
Linus & Co => Bitkeeper => CVS gateway
Normalt sender man koden til Linus hvor ham eller en af hans betroede hackere, kigger det igennem og implementere det hvis det er godt.
Derefter ryger det ind i Bitkeeper systemet, hvor koden er blevet signeret.
CVS gateway'en er der kun til ære for dem, der ikke vil bruge den properitære Bitkeeper klient.
Idet crackeren smed koden ind, ovre ved CVS gateway'en var signaturen ikke iorden og systemet meldte fejl.
Så ja koden kom ind, men ikke på en central server.
Kun på en der fungere som mellemled mellem Bitkeeper og CVS systemet, til ære for folk der nægter at installere properitært software på deres system.
Det jeg siger er ikke at det ikke kan lade sig gøre, at cracke en server og inficere kernen med en trojansk hest.
Det jeg siger er at der er så stærk kontrol, at det ikke vil nytte en skid.
MD5 summen/ gpg nøglen vil ikke stemme, og folk vil da vide at noget er galt.
[Og alligevel var det lige ved at lykkes, jeg mener den ondsindede kode kom jo ind på selve den server hvor kernen ligger, noget som ikke kan lade sig gøre, hvis det altid foregår som du siger....]
Okay jeg prøver lige igen:
Linus & Co => Bitkeeper => CVS gateway
Normalt sender man koden til Linus hvor ham eller en af hans betroede hackere, kigger det igennem og implementere det hvis det er godt.
Derefter ryger det ind i Bitkeeper systemet, hvor koden er blevet signeret.
CVS gateway'en er der kun til ære for dem, der ikke vil bruge den properitære Bitkeeper klient.
Idet crackeren smed koden ind, ovre ved CVS gateway'en var signaturen ikke iorden og systemet meldte fejl.
Så ja koden kom ind, men ikke på en central server.
Kun på en der fungere som mellemled mellem Bitkeeper og CVS systemet, til ære for folk der nægter at installere properitært software på deres system.
Det jeg siger er ikke at det ikke kan lade sig gøre, at cracke en server og inficere kernen med en trojansk hest.
Det jeg siger er at der er så stærk kontrol, at det ikke vil nytte en skid.
MD5 summen/ gpg nøglen vil ikke stemme, og folk vil da vide at noget er galt.
Hvis det har nogens interesse, skulle dette eftersigende være den stump kode, der er hele problemet.
Linket er fra Ingeniøren, som lige har bragt denne nyhed.
Linket er fra Ingeniøren, som lige har bragt denne nyhed.
Hvis man følger linket "Next in thread" i den diskussion jeg linker til i indlæg #28, kan man læse reaktioner på "koden". Der er bl.a. tilsyneladende en kommentar fra Linus Torvalds.
Jeg forstår ikke selv hvad de snakker om, men det kan være nogle programmerings/Linux-kyndige folk ville syntes det var spændende ;-)
Jeg forstår ikke selv hvad de snakker om, men det kan være nogle programmerings/Linux-kyndige folk ville syntes det var spændende ;-)
#30 dynamism
Tjahh
Pressen er ikke altid lige saglig.
Hvilket i nok mærkede under blaster stormen.
Pressen glemte pudsigt nok at nævne, at patchen havde været der længe på det tidspunkt.. ;)
Hvilket jeg til trods for at jeg foretrækker fri software, ikke fandt specielt sagligt.
Tjahh
Pressen er ikke altid lige saglig.
Hvilket i nok mærkede under blaster stormen.
Pressen glemte pudsigt nok at nævne, at patchen havde været der længe på det tidspunkt.. ;)
Hvilket jeg til trods for at jeg foretrækker fri software, ikke fandt specielt sagligt.
Tror faktisk sikkerheden i closed og opensource er nogenlunde lige. Hullerne i open source bliver rettet hurtigere, men de er også mere udsatte fordi enhver cracker kan få fingrene i kildkoden.
#32 xect
At open source skulle være mere sårbart, på grund af den åbne kode er en skrøne.
Kildekoden er til mere gavn for dem der vil forbedre, og rette fejl end folk der vil lede efter dem.
Det tager store resourcer at gå så mange linier kode igennem.
Dem som finder fejl på open source, gør det som regel ved at prøve sig frem.
At open source skulle være mere sårbart, på grund af den åbne kode er en skrøne.
Kildekoden er til mere gavn for dem der vil forbedre, og rette fejl end folk der vil lede efter dem.
Det tager store resourcer at gå så mange linier kode igennem.
Dem som finder fejl på open source, gør det som regel ved at prøve sig frem.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund