Érdekes cikk, de semmilyen konkrét adatra nem tér ki. Én már egyre kevésbé hiszek az ilyen cikkeknek, mert mindenki azt hoz ki belőle amit akar. A témához annyit fűznék hozzá, h a vita itt az OS-t (szerintem) a Linux/Unix-szal azonosítja, a zárt forráskód pedig egyenlő W$. A biztonságosságuk szvsz a rendszergizdától függ mindkét esetben, de tény h nyílt forráskódú rendszerek esetében sokkal nagyobb esélye van valójában tudni, hogy mik a rendszer hibái és orvoslni azokat, még akkor is ha nem él ezzel. Szerintem mellesleg nem ez a Linux disztrik egyetlen előnye ;) eSGott
Vicces mondjuk, hogy a cikk altal Linux-rajongonak titulalt Richard Ford, 2003-ban megjelentetett egy cikket, amelyben azt a nezetet tamadta miszerint a OS monokulturak a kedveznenek a virusok es hasonlo csunyasagok terjedesenek, valamint 2004-ben egy Microsoft munkatarssal tartott kozos eloadast a virusirtosok konferenciajan...
"... Believe it or not, a Windows Web server is more secure than a similarly set-up Linux server, according to a study presented yesterday by two Florida researchers. ..."
A SuSE cég rendszeresen átnézi az ő disztribúciójukba bekerülő csomagok, és a kernel egyes részeinek forrását, és az egyébb (pl. egyetemeken végzett) biztonsági kutatásokban is nyílt kódú programokat szoktak vizsgálni (az van kéznél). Az átnézésekről (ki mikor vette észre a hibát) tájékoztatni is szokták a felhasználókat, pl. a Mandrake linuxhoz ven program ami automatikusan feltrakja a frissítéseket, ill. kérheted, hogy ha oddaadod a te gépeden fentlévő csomagok listáját, akkor szóljanak, ha van frissítés (MandrakeOnline), így már nem fáradtság frissen tartani a gépet. Egyébként a Reasoning csinált egy öt különböző oprendszer TCP/IP implementációját összehasonlító auditot és a linuxot találta a legjobbnak. A linuxra vonatkozó hibalistát már nyilvánosságra is hozták, megvoltak a patchek is már. (ld. www.reasoning.com
Ez persze nem jelenti azt, hogy zárt kóddal ne érhetnél el ugyanilyen biztonságot. Lásd VMS.
(nem beszélve a katonai rendszerekről). Szerintem ezen kár vitatkozni. A Windows rendszer megbízhatatlanságát nem a zárt kód adja, hanem a kompatibilitás megőrzése miatti toldozott-foldozottság.
Számomra az open source előnye inkább az, hogy ha belefutok valami kisebb, de kellemetlen hibába, akkor bele tudok piszkálni, nem kell reménykednem, hogy majd talán a következő verzióban kijavítják.
Arra probaltam utalni, hogy pusztan a forraskod nyiltsagabol nem kovetkezik, hogy minden hibat rovid idon belul megtalalnak.
Mivel emberek csinaltak, igy erre soha semmilyen modszer mellett nem lesz esely. :) Nincs tokeletes program! Se nyilt, se zart.
A kerdes mar csak az (bar szamomra ez nem kerdes), hogy melyikben van tobb hiba? :}
igen. Nehezebb. De azert meg lehet. Egy rendes fuggetlen source code audit, mint amilyet pl. az ISS vegzett a BSD-nel (ha jol tudom), az kihozza a regi hibakat is, mert az auditor nem a fejleszto, es van neki modszertana, amivel audital.
Nem az volt a kerdes, hgy megtalaltak-e a hibat. Arra probaltam utalni, hogy pusztan a forraskod nyiltsagabol nem kovetkezik, hogy minden hibat rovid idon belul megtalalnak.
Megkonnyiti a hibakeresest, de ezt sem vitattam.
azert szoktak ilyet csinálni. Fokent a nagyobb opensource projektek. Ezt onnan lehet eszrevenni, hogy egyszerre csak surun egymas utan jelentetik meg a sec patch-eket.
Ha erdekel, akkor google "source code audit", ott talalsz sok erdekeset. Bocs, de konkret cimet en sem tudok most neked, mert nem bookmark-oltam annakidejen, amikor nezegettem.
De kibukott es mar nincs ott tobbe!
Egy nyilt forraskodu programban elrejteni egy trojait vagy szandekos hibat picit nehezebb mint egy binarisban. Foleg annak tukreben, hogy a zart forraskoduban nem is kell nagyon rejtegetni ha a fonok parancsara megy a moka.. ehhe...
Kakukk: az audit valóban kell, de szerintem régóta lapuló biztonsági problémát nehezebb megtalálni, mint viszonylag frissen becsempészett trójait. Az utóbbit egy diff viszononylag gyorsan kidobja, ha valaki egyébként ismeri a kódot.
Nem vitatom, hogy konnyebb forras kodot vizsgalni, mint binarist.
De az, hogy elvileg ellenorizheto a kod, nem jelenti azt, hogy valaki gyakorlatilag is meg fogja ezt tenni. Van eselye ra, de arra is, hogy mindenki masra var.
Kulonben ugyebar nem maradhatott volna benne a Sendmail-ben 15 evig a heten kibukott hiba.
Nah, jovan Szapi, akkor irok ide neked valaszt a kerdesedre.
Szoval a source "atnezeset" forraskod audit alneven szoktak erre szakosodott kollegak csinalni. A modszer egyszeru. Tudjak, hogy miket kell keresni, es megkeresik. Tobb ilyen is volt mostanaban. A BSD-nel is csinaltak ilyet, meg az Apache-nal is, hogy csak a ket legnagyobb peldat emlitsem. Igy derult ki pl. az altalad is emlitett trojai.
A modszer nem tul bonyolult, csak kicsit maceras. Vannak checklist-ek, amik szerint vegignezik a kodot sorrol sorra.
Szoval igenis csinalnak ilyet, meghozza nem is kevesen. Sot, vannak akik a szemiformalis es formalis helyessegbizonyitas rogos utjat jarjak. Ok biztonsagi szoftvereket keszitenek, es a mazochistabb fajtabol valoak. :-)
SOurce-ot szerintem nagysagrendekkel konnyebb auditalni. De ha binarist szeretnel, akkor arra is vannak utilitasok Linuxon. Szerintem, ha beleveted magad, hipp-hopp megtalalod a neked tetszo eszkozoket-megoldasokat.
Ha igazak az abban leírtak, akkor komolyan kezdhetünk aggódni a zárt kódú, elsõsorban amerikai érdekeltségi területrõl származó szoftverekkel kapcsolatban...
Ez a hálózattól függ, mert pl. egy 4 gépes hálót összerakok egy könyvelőirodának (tegyük fel, hogy kevés a rábeszélőképességem egy linuxra), akkor nem biztos, hogy a win server gépre meg akarnak venni egy Server kiadású win-t. Mivel egy workstation v. 2000 prof. is kiszolgálja, ezek meg tudtommal nem lehetnek tartományvezérlők.
Megfexik, ujratelepitem - adatok persze masik particion - ES NEM TUDOM MEGMONDANI, hogy az ujratelepitett lajoska ugyanaz, mint korabban es kezdhetem elolrol beallitani a k*szott jogosultsagokat
Használj tartományt, és tartományi felhasználókat. Ez erre van kitalálva. Ja, és vagy mentsd rendszeresen a címtárat, vagy legyen legalább két tartományvezérlőd.
Azt hogy a program kezhezvetelekor a forrast is latod, es szabadon modosithatod.
Tehat amikor letoltod a szoftvert akkor lehetoseged van a binaris allomany mellett a forraskod letoltesere.
Ugy kepzeld el, mintha a sutemenyhez a receptet is megkapnad, nem csak a sutit.;)
Nem biztos hogy túl nagy a különbség. Szvsz ha valaki találna egy backdoort a win-ben az M$ válasza egész biztos hogy az lenne hogy ez egy véletlen hiba. Bizonyítsa be valaki hogy nem az :-)
Es ismetlem, nem vitatom, hogy a nyilt forraskod biztonsagosABB. Akkor úgy látszik elbeszéltünk egymás mellett, mert én is (és gondolom a többiek is) ezt próbáltam mondani, hogy biztonságosabb. Olyan, hogy biztonságos hálózati szoftver, nincs. Olyan van csak, amihez hamar kijön a javítás. Erre, ahogy én látom, a M$ is kezd jobban odafigyelni.
Ha már nyílt forrás <-> zárt forrás alapján vizsgáljuk a biztonságot, akkor a legfőbb szempont IMHO az, hogy milyen hamar tud(od/ják) kiszúrni a hibát. Egy szándékosan belerakott backdoor-t sokkal nehezebb kiszúrni zárt kód esetén, addig meg nyugodtan használhatja az, aki belerakta.
