Internetre szivárgott a Windows forráskódja
2004-02-13T08:38:12+01:00
2004-05-17T15:33:29+02:00
2022-07-27T12:22:28+02:00
  • Hi!

    Nincsen meg valakinek véletlenül a Windows forráskódja?

    De, mar nyomom is, Neked
    3 nap mulva letorolned.

    Kellene, bár szerintem 1 szót sem értenék belőle.

    Inkabb 1 szot se forditanal le.
    A cucczos (imhi: direkte) hasznalhatatlan. Sok benne a header fajl, de csokolhatod mert a helpfajlokban is megtalalhatoak ezek az infok.
    Amit le tudnal ferditeni azt meg nem erdemes mert -- jobb -- esetben elavult
    Mar csak azt nem ertem, mit parazik picipuha?
    Mutasd a teljes hozzászólást!
  • A baj, hogy semmi alapod nincs a biztonságosság összehasonlítására, mert semmilyen hiteles tudományos kutatás nem folyt ezen a téren, sőt, a probléma


    Kutatas tenyleg nem folyt, de megprobalkoztam egy gondolat kiserlettel. Vettem nehany peremfeltetelt, stb. Ezzel lehetne konstruktivan is vitatkozni, persze a hulyesegazegesz egyszerubb valasz. Szerencsere a velemenyalkotashoz nem mindig szukseges, hogy ewlotte valaki jo hosszu tudomanyos kiserletet vegezzen (meg annak az elozmenye is altalaban valami ilyesmi elozmenye van - valahogy ki kell talalni, hogy mit vizsgaljunk komolyan).

    komplexitásából adódóan nem is lehet ilyesmit lefolytatni. Ahhoz, hogy valóban össze lehessen mérni a biztonságosságot az kellene, hogy legyen két különálló, de teljesen identikus világ, amelyikben ugyanazt a szoftvert ugyanolyan képességű emberek megírják, és azt kellene mérni, hogy az elkészült szoftvereket milyen gyakran törik fel, és milyen károkat okoznak szintén ugyanolyan képességű hackerek rajtuk. Ezt a kísérletet nyilván lehetetlen kivitelezni.


    Ezt te sem gondolod komolyan. Egyszeru kis vilagunkban eleg sok olyan rendszer van, aminel ezek a feltetelek - vagyis, hogy a kiserlet elvegzese utan visszaallitunk mindent a kiindulasi allapotba, es utana uj kiserletet kezdunk -, nem adottak. Az ember pl. alapvetoen ilyen, megis szerencsere eleg sok tudomanyos vizsgalatot sikerult mar elvegezni rajtunk. A te ervelesed szerint gyogyszerkiserleteket sem lehetne vegezni.

    Az en ervelesem szerint nem kell ket kulonallo vilag, mert nem ket db. szoftver keszul a vilagban (egy zart es egy nyilt fejlesztesi korulmenyek kozott), hanem sok. A _gondolatkiserletben_ valoban ket szoftbverrol volt szo, de ezek hipotetikus szoftverek, es egy igazi kiserletnek valoban sok szoftvert es sok programozot kene vizsgalnia. A gondolatmenet alapveto eleme volt, hogy mindket tipusu projecten hasonlo kepessegu emberek hasonlo minosegu munkat vegeznek. Ha ez fennall, akkor az eredmenyeim igazak. Ennek a feltetelnek a fennalasaval lehet vitatkozni, de egyelore nem latom, hogy miert vegeznenek rosszabb munkat az OS fejlesztok (akik gyakran egyben CS fejlesztok is).


    Innentől kezdve ha te mégis összehasonlító kijelentéseket teszel a két típus között (azaz, hogy az egyik biztonságos_abb_, mint a másik), azzal csak azt bizonyítod, hogy egy hitet akarsz igazolni, nem pedig racionálisan érvelsz.


    Mar megint velem foglalkozol. Koszi. Az allitasod akkor lenne igaz, ha en azt gondoltam volna, amikor irtam a hozzaszolasomat, amit te gondoltal :), de ez nem igy volt. Ezenkivul az hogy lehet, hogy te viszont tehettel sokszor olyan kijelenteseket, hogy a zart forraskodu szoftver biztonsagosabb, ha _te_ ugy gondolod, hogy ez a kerdes nem eldontheto? Mert ha a kijelenteseidet osszerakjuk, akkor ebbol az kovetkezik, hogy te hitet tettel. Es ezt nem en mondom, hanem te a fenti 2 hozzaszolasoddal.

    De mivel en nem ertek azzal egyet (egyelore), hogy ne lehetne ilyen gondolatmenettel legalabb megbecsulni a dolgok allasat, ezert en nem 'hiszem', hanem feltetelezem, hogy a nyilt forraskodu szopftver legalabb olyan biztonsagos, mint a zart forraskodu. A gondolatmenetem, amit az elozo hozzaszolasban leirtam tovabbra is vallalom, jonak tartom. Ha szerinted nem jo, akkor majd vitazz vele. Ha 'tokrossz', javasolj jobbat.

    Rossz a logikád. Értelmetlen egy időben változó paramétert (a fentmaradó hibák számát, valamint a felfedezési valószínűséget) vizsgálni az időtől függetlenül. Te most kiragadtál egyetlen pillanatot (azt amikor a nyílt forrású szoftverben már x hiba javítva van, míg a zárt forrásban még egy sem), és közben elfelejtetted azt vizsgálni, hogy mi volt az adott időpont előtt, és mi van utána - azaz, hogy pl. előtte átlagosan sokkal sebezhetőbb volt a nyílt forrású rendszer, meg, hogy a hibák javítása után a zárt forrású is "szintre lett hozva".


    Nem rossz. Bocs. Ha jobban megnezed, amit irtam, szepen idoben kovettem le a folyamatot. Olyat pl. sosem irtam, hogy a zart kodu rendszerben egy hiba sincs javitva. Onnan indultunk, hogy a 'kiserlet' kezdeten mindket rendszerben X kijavitatlan, felfedezetlen hiba van. (X termeszetesen ismeretlen.) _Ezutan_ (hopp, megsem egy idopillanatot nezunk!) az egyik project nyilt lesz, a masik zart marad. Ezutan javitanak _mindkettoben_ hibakat, csakhat - a te alliatsaidnak IS megfeleloen - a zart rendszerben kevesebb hibat talalnak, ergo kesebbet is javitanak. A megtalalt/kijavitott hibak szama Nos > Ncs. A fenmarado hibak szama X - Nos < X - Ncs. Ezutan tfh a zart kod kiszivarog. _Ebben az idopillanatban_ a zart kodban konyebb hibat talalni. Itt tenyleg megalltunk egy pillanatra. Mi tortenik ez utan? A zart kodban a felfedezett hibakat nemjavitja a kozonseg, mert a tokere lep a jogtulajdonos. Sok esetben szolni se fognak rola, tehat kisebb aranyban fogjak javitani/felfedezni a hibakat, mintha mondjuk szivargas helyett megnyitottak volna a kodot. Ha megnyitottak volna, akkor nyilvan lassan kozelitene a fennmarado hibak szama az OS projecthez (mert az ex-zart kodban tobb hiba van -> konyebb oket felfedezni), de sokaig akkor is rosszabb lenne. Csakhogy errol szo sincs! Lasd a cikkedet a fenyegetozesekkel! Eredmeny: konyebb hibat talalni (tamadasi feluletet), es ez idoben sem fog valtozni (marmint nyilvan kevesebb lesz benne a hiba, de a javitas uteme aligha fog valtozni). Amig nincs szivargas, addig ez a hatas valoban nincs. De nem is errol beszeltunk.

    BTW ugyanezt irtam le az elozo hozzaszolasomban is szorol-szora. Mi nem volt vilagos? Ha jol latom, akkor szinte semmi, csak az az egy pillanat, amibe belekotottel.
    Mutasd a teljes hozzászólást!
  • Érdekes érvelésed van, az már egyszer biztos.
    Akkor nézzük:
    Innentől kezdve ha te mégis összehasonlító kijelentéseket teszel a két típus között (azaz, hogy az egyik biztonságos_abb_, mint a másik), azzal csak azt bizonyítod, hogy egy hitet akarsz igazolni, nem pedig racionálisan érvelsz.


    Ugyan akkor itt, ugyan az a szerző:
    Egyébként szerinted ez az eset nem pont azt bizonyítja, hogy a zárt forrás véd?

    Ergo: biztonságosabb?

    A zártság védelmet jelentett arra az időszakra nézve, amikor még zárt volt a kód (és ez a jövőben is igaz lesz addig amíg az újabb kód is ki nem kerül esetleg egy baleset folytán).

    És erre mondom, nem igaz. Nem jelent védelmet, mert mi ellen védene? Kis Pistike kernel hacker ellen megvéd, de egy komolyabb destruktív célú hacker ellen nem véd meg. Akár csak a nyílt forrás sem. De legalább a nyílt forrás lehetővé teszi a legális hiba keresést a jó fiúk számára is!

    Bár a megállapítás igaz, de azt felejted el, hogy nem az az érdekes, hogy az _illegális kódbirtoklók közül_ hányan kutatják át jó ill. rossz szándékkal a kódot, hanem az, hogy _abszolút számban_ (legális+illegális) hányan vannak a két oldalon. Ez utóbbival kapcsolatosan pedig nem hiszem, hogy a fentiekből bármi is következne. Innentől kezdve ez a megállapítás - bár mondom, igaz - irreleváns.

    Még is melyik a több: azok, akik legálisan nézik a Windows forrását hibák után kutatva vagy azok, akik illegálisan keresnek hibákat az adott oprendszerben? Igaz tippelek, de nem hiszem, hogy nagyot tévednék ha azt mondom, hogy az illegális irányba billenhet a mérleg, de az elterjedtség miatt, nem tudod azt mondani, hogy a legális keresők vannak többen, ugyan annyian lehetnek maximum, de mint írtam, az illegálisak felé billenhet a mérleg.
    Ugyan, akkor míg nyílt a forrás, talán (! nem biztos) többen nézhetik legálisan, jó fiú módjára.
    Mutasd a teljes hozzászólást!
  • Ha nem magad elé mormolva hajtogatnád azt amit, hanem elolvasnád a hivatkozott hozzászólásomat, akkor rájönnél, hogy tévedsz.

    Ha nem értesz egyet valamilyen ott tett megállapításommal, akkor érdemben cáfold, ne pedig azt hajtogasd, hogy nincs igazam, és elvakult vagyok, mert ez a stílus minden olvasót csak ennek fordítottjáról győz meg.
    Mutasd a teljes hozzászólást!
  • Nem lerágott csont, mert elvakult hívőként a zárt forrást teszed abszolut előtérbe, és nem vagy hajlandó megérteni, hogy nem jobb a zárt forrás, mert statisztikailag jóval többen keresnek benne destruktív céllal hibát, mint pusztán jó szándékból, mert a hiba keresés nem legális művelet. Míg nyílt forrás esetén az arányok közel azonosak, azaz közel annyian keresnek destruktív célla, mint jó számdékból, mert meg teheti mind két fél, abszolut legálisan.
    Mutasd a teljes hozzászólást!
  • Egy lerágott csontot rángatsz elő újból. Egyébként meg rossz a következtetésed, mert hibás tézisekből indulsz ki. Lásd itt (a hozzászólás vége az érdekes a felvetéseddel kapcsolatban).
    Mutasd a teljes hozzászólást!
  • Ja? Ez FUD? Nahát... :)
    Mutasd a teljes hozzászólást!
  • "Az ellen nem véd."
    Nem bizonyít semmit. A zárt forrás nem véd jobban, mint a nyílt, egy szikrát sem. Ha csak a jó fiú/rossz fiú példát nézzük. Zárt forrás esetén sokkal nagyobb statisztikailag az arány arra, hogy valaki nem jó szándékból, hanem destruktív célból keres rést, hibát. Mert ugye, hiába vagyok én jó fiú és találok egy hibát a Windowsba, ha én azt jelzem az MS felé, akkor még az is előfordulhat, hogy beperelnek hackerkedés, meg anyám kínja dolgok miatt, a hibát meg szépe eltusolják vagy figyelmen kivül hagyják, mert ugya ne nyúlkájon senki se a forrásba. Ergo a zárt forrás esetén nagyobb lesz az arány a romboló szándékú hackereknek/crackereknek. Míg nyílt forrás esetén közel azaonos arányban fog felállni az, hogy lyukat keresnek, mert azért ott is van, aki rombolni akar, de aki építeni szeretne, az is megteheti legálisan. Ez a nagy különbség. A zárt forrás nem jobb ebből a szempontból.
    Mutasd a teljes hozzászólást!
  • Mi? A FUD? Mert ez egy már másfél éve javított hiba.

    Mellesleg nem csodálkoznék, ha ezt a hibát a kiszivárgott forrásban a javítást jelző kommentek alapján (pl. a "bugfix" szóra greppelve, vagy valami hasonló) találta volna meg állítólagos "felfedezője" (aki max. második lehetett a sorban).

    Egyébként szerinted ez az eset nem pont azt bizonyítja, hogy a zárt forrás véd?
    Mutasd a teljes hozzászólást!
  • Mutasd a teljes hozzászólást!
  • Marpedig ez azert erdekes, mert te (meg mas szakertok is) tobbszopr allitottad, hogy az a teny, hogy nem lehet hozzafernia kodhoz onmagaban is nyujt egy plusz vedelmet. Hat ha ez igy van, akkor az a teny, hogy hozza lehet ferni, a kodhoz, implikalja :), hogy a win2000 innentol kezdve kevesbe biztonsagos, mint eddig (hacsak nem mentes a felfedezheto + kiaknazhato hibaktol, vagy, ha megsem igaz az elso allitas).

    Igen, de nem tudom ebből mit akarsz levezetni. Mert
    - ettől még lehet, hogy 100x biztonságosabb, mint a Linux
    - a kiszivárgást megelőzően, és az újbóli kiszivárgásig lehet, hogy 10*100x biztonságisabb, mint a Linux
    Nem akarom azt mondani, hogy feltétlenül az (ti. biztonságosabb), csak azt, hogy ha egy védelem csak egy adott ideig hatásos, az még mindig jobb, mint ha egyáltalán, egyetlen időpillanatban sem létezne, és pláne logikai bukfenc azt mondani, hogy úgymond a kiszivárgással "elveszett" ez az előny, mert valójában erről szó szincs: az előny megvolt x évig és meg is lesz, a jövőben is.

    A baj az, hogy te ahhoz képest vizsgálod az esetet, hogy mi lett volna ha nem szivárog ki a kód - pedig ahhoz képest kell vizsgálni, hogy mi történt volna, ha eleve nyílt a kód. Mert ez dönti el, hogy érdemes -e zárva tartani, vagy sem.

    A kerdes az, hogy ez szamit-e? Szamithatsz-e arra, hogy az uj termek (most winXP) majd eleg ideig biztonsagos lesz ezaltal? Es megtudod-e idoben, amikor mar nem az (felreteve az osszeeskuves elmeletet - megtudja-e az MS idoben)?

    Egyrészt 1 perc előny is előny (tehát ha már a második évben kiszivárog a Win kódja, akkor is nyertél 1 évet, amíg a hackerek csak feketedoboz módszert használhattak a hibák kereséséhez), és nem kell tudnod arról, hogy 1 v. 5 perc előnyöd van valakivel szemben (azaz, hogy mikor szivárog ki a kód), hogy elmondhasd: te vezetsz.

    Es most, hogy tudjuk, most mi van? Csereljuk le a 2000-eket?

    Nem tudom miért lenne erre szükség? Ennyir erővel a Linuxot már fel sem kellene telepítened, mert annak már kiadásának pillanatában elérhető nyilvánosan a kódja - és ha ez valóban annyira nagy hátrány, akkor csakis ez lehet a logikus reakció.

    A termek eletciklus szep fogalom, csak a felhasznalo nem biztos, hogy olyan gyakran akarja cserelgetni, mint a gyarto

    Ezt szerintem azoknak a Linux disztribútoroknak kellene mondogatnod, akik 2 év után beszüntetik egy-egy termékük támogatását. Persze tudom, ha van forrás utána is lehet még egy ideig patchelni (bár ez egy idő után inkább érdekes kaland lesz, mint sem megbízható eljárás), de a felhasználók 99%-ának az már leküzdhetetlen akadályt jelent, amihez egy apt-get-nél többet kell beírni.

    Szerintem ha elore akarod becsulni a biztonsagi kockazataidat, akkor inkabb a kiszamithatobb dolgokat erdemes valasztanod - mert az, hogy mikor szivarog ki a windows kovetkezo verziojanak a forrasa, az elegge kiszamithatatlan.

    Nem értünk egyet. Az előbb írtam, hogy az előny akkor is előny, ha nem tudod mekkora.

    Ha van egy linuxom, akkor tudom, hogy evente kb. ennyi hiba van, azok ennyi napig jelentenek sebezhetoseget (persze a bejelentes utan), stb.

    Ez nem így van, mert
    - semmi garancia nincs arra, hogy a jófiúk fedezik fel először a sebezhetőségeket, vagy hogy egyáltalán nekik (is) szükségszerűen fel kell fedezniük mindegyiket, tehát egyáltalán nem biztos, hogy egy sebezhetőségről a nyilvánosság tudomást szerez, bármikor is
    - nyílt forrás esetén _is_ legtöbbször titokban tartják a sebezhetőségeket a javítások kiadásáig, tehát nem igaz, hogy minden felfedezett sebezhetőségről azonnal tudomást szerzel
    - az esetlegesen még nem javított sebezhetőségekről zárt forrás esetén is tudomásod lehet - pontosan annyira, amennyire nyílt forrás esetén sincs garancia arra, hogy tudomásod van róla

    Ehhez még számold hozzá azt is, hogy a javítás kiadása után nyílt forrás esetén az exploit megírása pofonegyszerűvé válik, míg zárt kód esetén gyakorlatilag minimális információ sem szűrhető ki egy patchből (mert ha még tudsz is csinálsz egy használható diff-et rajta, azt továbbra is vissza kellene még fejteni, hogy megtudd: mi volt a hiba lényege).

    A legevszelyesebb az, ha azt hiszed, hogy biztonsagban vagy, pedig nem vagy.

    Ez valóban így van, csak ennek elég kevés köze van a forrás nyíltságához, zártságához.
    Mutasd a teljes hozzászólást!
  • Hali!

    Ahogy' látom, a Microsoft programozó-gárdájának is van humora.

    We Are Morons: a quick look at the Win2k source
    Mutasd a teljes hozzászólást!
  • Namost ha sem a nyilt nem biztonsagosabb, sem a zart, akkor mindketto egyforman biztonsagos, nem? (Szerintem persze nem, de te mar mindkettore leirtad, hogy nem ved meg ;) ).

    A baj, hogy semmi alapod nincs a biztonságosság összehasonlítására, mert semmilyen hiteles tudományos kutatás nem folyt ezen a téren, sőt, a probléma komplexitásából adódóan nem is lehet ilyesmit lefolytatni. Ahhoz, hogy valóban össze lehessen mérni a biztonságosságot az kellene, hogy legyen két különálló, de teljesen identikus világ, amelyikben ugyanazt a szoftvert ugyanolyan képességű emberek megírják, és azt kellene mérni, hogy az elkészült szoftvereket milyen gyakran törik fel, és milyen károkat okoznak szintén ugyanolyan képességű hackerek rajtuk. Ezt a kísérletet nyilván lehetetlen kivitelezni.

    Innentől kezdve ha te mégis összehasonlító kijelentéseket teszel a két típus között (azaz, hogy az egyik biztonságos_abb_, mint a másik), azzal csak azt bizonyítod, hogy egy hitet akarsz igazolni, nem pedig racionálisan érvelsz.

    Az egyetlen amit adott körülmények között el lehet mondani, azaz, hogy egy-egy szoftver megfelel -e egy adott kritériumnak (pl. biztonságos, legyen bármi is ennek a definíciója), vagy sem, és a megfelelőség vonatkozásában "összehasonlítani" őket.

    Az, hogy a ket forras kozul melyikben konnyebb hibat talalni attol fugg, hogy melyikban van tobb hiba. Altalanosan ezt nyilvan nem lehet eldonteni, de ha azonos kepessegu embereket feltetelezunk hasonlo munkamodszerekkel, akkor abban van tobb hiba, amin kevesebbet dolgoztak, pontosabban, amiben kevesebb hibat talaltak meg.

    Rossz a logikád. Értelmetlen egy időben változó paramétert (a fentmaradó hibák számát, valamint a felfedezési valószínűséget) vizsgálni az időtől függetlenül. Te most kiragadtál egyetlen pillanatot (azt amikor a nyílt forrású szoftverben már x hiba javítva van, míg a zárt forrásban még egy sem), és közben elfelejtetted azt vizsgálni, hogy mi volt az adott időpont előtt, és mi van utána - azaz, hogy pl. előtte átlagosan sokkal sebezhetőbb volt a nyílt forrású rendszer, meg, hogy a hibák javítása után a zárt forrású is "szintre lett hozva".

    kiaknazhatjak, tehat az, hogy a multban zart volt egy project kodja a jelenre nezve nem jelent vedelmet.

    Nem igaz. A zártság védelmet jelentett arra az időszakra nézve, amikor még zárt volt a kód (és ez a jövőben is igaz lesz addig amíg az újabb kód is ki nem kerül esetleg egy baleset folytán).

    A lenyeg az, hogy a titokban tartas tenye csak addig nyujt plusz vedelmet, amig a kod titokban van (tautologia, de ugy latszik le kell irni). A kiszivargott titkot visszavonni soha nem lehet - tehat a zart kod onmagaban (es errol szoktunk vitazni, nem a kulonbozo fejlesztesi modszerekrol) nem jelent plusz vedelmet, ha a titkot nem tudod megtartani.

    Ellentmondasz magadnak. Gondold végig: ha mondjuk 4 évből 2 évig többet nyújt valami egy másik alternatívával szemben, majd a második két évben azonos "teljesítményt" adnak le, akkor a 4 év során összességében melyik nyújt többet? Nem az első?

    Vagy esetleg tudsz valami olyan bizonyított, gyakorlati (nem hipotetikus) hátrányt mondani, ami akkor "realizálódik" a zárt forráson, amikor kiszivárog, _és_ amivel akkor nem rendelkezne, ha eleve nyílt lenne?

    Plusz kockazatot viszont jelent szerintem, mert: a fent leirtakra vonatkozoan szerintem igaz, hogy bizonyos (persze nem minden) project eseteben tobb hibat javitanak ki az OS porjectekben egysegnyi ido alatt, vagyis egy kiszivargott zart kodban tobb lesz a hiba, mint egy ugyanakkora, ugyanannyi ideje, de nyiltan fejlesztett szoftverben.

    Nem hiszem, hogy bizonyítottnak fogadhatnánk el ezt a tényt. Hipotézisként természetesen van létjogosultsága, de akkor meg felesleges vitatkozni rajta.

    Az sem elhanyagolhato (lasd az MS altali fenyegetozeseket), hogy egy illegalisan kiszivargott cuccban sokkal kevesebben fognak joszandekkal hibat keresni, mint egy OS forasban, hiszen illegalis mar az olvasasa is, ha hibat talalsz, emiatt nem is ertesitheted a fejlesztoket.

    Bár a megállapítás igaz, de azt felejted el, hogy nem az az érdekes, hogy az _illegális kódbirtoklók közül_ hányan kutatják át jó ill. rossz szándékkal a kódot, hanem az, hogy _abszolút számban_ (legális+illegális) hányan vannak a két oldalon. Ez utóbbival kapcsolatosan pedig nem hiszem, hogy a fentiekből bármi is következne. Innentől kezdve ez a megállapítás - bár mondom, igaz - irreleváns.
    Mutasd a teljes hozzászólást!
  • Hat ott, hogy maga a titkolozas nem mukodik :-0. Bar vannak, akik azt hiszik, hogy igen, de aztan mindig kiderul, hogy nem.
    Nem tűnik fel, hogy a logikádban valami olyasmit implikálsz, hogy egy olyan dolog van a Win-ben, ami nem derülhet ki, mert valami olyan oltári nagy disznóság, hogy azonnal lenullázza a megbízhatóságát?


    Nem implikalom - te akarod beleerteni. Vagy nem tudod nem beleerteni. Legyszi - hadd ne vitatkozzak azzlal, amit nem allitok. Lasd az elozo hozzaszolasomat (amit a tied utan irtam), de, hogy roviden is meglegyen: nem allitottam, hogy talalnak majd hibat (bar nyilvanvalo, hiszen miert pont a win2000 lenne a vilag egyetlen ilyen meretu hibatlan szoftvere?), csak azt, hogy a kozvetlenul a titkolozas altal nyujtott biztonsagi elony oda. Pont. Ha van benne hiba, ugyanugy meg fogjak talalni, mint a linux kernelben. (Inkabb csak a rossz fiuk, de ebbe nem mennek bele megegyszer.) Marpedig ez azert erdekes, mert te (meg mas szakertok is) tobbszopr allitottad, hogy az a teny, hogy nem lehet hozzafernia kodhoz onmagaban is nyujt egy plusz vedelmet. Hat ha ez igy van, akkor az a teny, hogy hozza lehet ferni, a kodhoz, implikalja :), hogy a win2000 innentol kezdve kevesbe biztonsagos, mint eddig (hacsak nem mentes a felfedezheto + kiaknazhato hibaktol, vagy, ha megsem igaz az elso allitas). En viszont ehhez azt tettem hozza, hogy ez a kiszivargas gyakorlatilag elkerulhetetlen, tehat a vedelem nem letezik.

    Mert ha ez nem igaz, akkor nem gondolhatod komolyan, hogy az a jobb, hogy egy termék mondjuk 7 éves életciklusából mind a 7 évig szabadon kereshetnek (a forrás alapján) biztonsági réseket rajta a hackerek, és nem pedig csak 3 évig, mert a ciklus 4. évében szivárog ki a kódja (ami szintén


    Jo, ez jogos, hogy ha elfogadjuk, hogy a feketedoboz modszer nehezebb (nem todom, hogy valojaban hogy keresik a hibakat) akkor a 'szivargasig' - amit igazabol nem tudsz, hogy mikor tortenik meg eloszor - nagyobb a biztonsag. A kerdes az, hogy ez szamit-e? Szamithatsz-e arra, hogy az uj termek (most winXP) majd eleg ideig biztonsagos lesz ezaltal? Es megtudod-e idoben, amikor mar nem az (felreteve az osszeeskuves elmeletet - megtudja-e az MS idoben)?

    Es most, hogy tudjuk, most mi van? Csereljuk le a 2000-eket? A termek eletciklus szep fogalom, csak a felhasznalo nem biztos, hogy olyan gyakran akarja cserelgetni, mint a gyarto (bar a 7 ev azert ehhez egyelore! eleg hosszu, csakhat igazabol akkor mostmar csak 4 evrol beszelhetunk, ami viszont nem). A win2000-ek elterjedtsegben mostanaban lehetnek a csucsponton, de meg mindig van egy csomo 95/98.

    Szerintem ha elore akarod becsulni a biztonsagi kockazataidat, akkor inkabb a kiszamithatobb dolgokat erdemes valasztanod - mert az, hogy mikor szivarog ki a windows kovetkezo verziojanak a forrasa, az elegge kiszamithatatlan. Ha van egy linuxom, akkor tudom, hogy evente kb. ennyi hiba van, azok ennyi napig jelentenek sebezhetoseget (persze a bejelentes utan), stb. A legevszelyesebb az, ha azt hiszed, hogy biztonsagban vagy, pedig nem vagy.
    Mutasd a teljes hozzászólást!
  • Igen, tudom. Eddig is használtam az IIS részeként.

    Amúgy véleményem szerint a W2k3-ban lévő POP3 szerver inkább amolyan "Exchange Light". Tehát POP3-szervernek megfelel, de korántsem egyenértékű a másik termékkel. De ennek természetesen üzletpolitikai okai vannak, és ez még rendben is van.
    Mutasd a teljes hozzászólást!
  • Nem hiszem. Talán inkább csak most sikerül először megértened mit írok.

    Hat igazan nem akarok szerenytelennek latszani, de inkabb arrol lehet szo, hogy most eloszor irtal ilyet (ugy, hogy azt en is olvastam).

    az általam a cikkel megfogalmazottakkal ellentétben - azt állítják, hogy biztonságosabb, mint a zárt forrás, ami nyilvánvalóan nem igaz,


    Namost ha sem a nyilt nem biztonsagosabb, sem a zart, akkor mindketto egyforman biztonsagos, nem? (Szerintem persze nem, de te mar mindkettore leirtad, hogy nem ved meg ;) ).

    Ebbol az esetbol gyonyoruen latszik, hogy a titkolozassal elert biztonsag (security through obscurity) nem igazan mukodik.
    Igen, de ne essünk abba a hibába, hogy elhallgatjuk: ugyanilyen "gyönyörűen" látszik, hogy nem működik a megnyitással elérni kívánt biztonság sem, mert akkor nem törték volna fel a Debian szervereket, és nem fedeznének fel évtizedes hibákat a bind-ben, sendmailben, stb.


    Nem akartam ilyen hibaba esni, csak nem errol volt szo. Ezenkivul nem logikus az ervelesed - van egy dolog (biztos tobb is, de most pont ez az egy jut az eszembe), amit soha nem voltal hajlando elfogadni: a biztonsagos (= feltorhetetlen?) es a biztonsagosabb nem ugyanazt jelenti. Attol, hogy A rendszer biztonsagosabb, mint B, meg siman feltorhetik A-t is. Tehat a szerencsetlen debian szerverek nem bizonyitjak, hogy a nyilt kod nem biztonsagosabb, mint a zart, csak azt, hogy a nyilt kod nem hibatlan. Es epp eszu ember nem is allitja ennek az ellenkezojet. (De zart kordol sem.)

    Namost nezzuk, hogy mitis jelent az, hogy a nyilt vagy a zart kod biztonsagosabb, mint a masik. Vagyunk kiindulasi alapul egy eleg nagy forraskoddal rendelkezo szoftver rendszert, amit tetszoleges modszerrel fejlesztettek, de mondjuk eddig meg nem szivargott ki a kodja. (Ha OS-nak szantak, akkor meg nem volt ember, aki megnezze - a kezdeteknel ez elkepzelheto.) Van benne X hiba. Ket lehetoseg van:

    1., Megnyitjak a kodot (nyilvan olvasasra) mindenki elott (nehanyan csatlakoznak, javitasokat, fejleszteseket kuldenek), javitja a szoftvert N1 db. emberke. Mindenki latja a hibakat, a potencialis tamadok is. Ha kiderul egy hiba, egybol irnak ra javitast es tamadast is, stb.

    2., Megprobaljak zartan tovabb fejleszteni , javitgatja a hibakat N2 ember (nagy valoszinuseggel N1<N2, de a kedvedert, ez nem feltetlenul jelenti, hogy ez a raforditott emberora szamra is igaz). Aztan egyszercsak kiszivarog a kod. Innentol kezdve majdnem ugyanaz igaz ra, mint az 1.-es esetre - a hibakat a rosszindulatu tamadok is felfedezhetik (pont ugyanakkora az eselyuk a ket esetben, igaz?), kiaknazhatjak, tehat az, hogy a multban zart volt egy project kodja a jelenre nezve nem jelent vedelmet.

    Az, hogy a ket forras kozul melyikben konnyebb hibat talalni attol fugg, hogy melyikban van tobb hiba. Altalanosan ezt nyilvan nem lehet eldonteni, de ha azonos kepessegu embereket feltetelezunk hasonlo munkamodszerekkel, akkor abban van tobb hiba, amin kevesebbet dolgoztak, pontosabban, amiben kevesebb hibat talaltak meg. feltettuk, hogy kiindulaskor ugyanannyi hiba volt bennuk, tehat abban talaltak kevesebb hibat, amit kevesebben hasznaltak (vagy kevesebb fele korulmeny kozott!), ill. amiben kevesebb ember keresett hibat. Az esetek nagyobb reszeben ez nyilvan a zart kodo porjecteket jelenti, de ez meg mindig nem tul lenyeges.

    A lenyeg az, hogy a titokban tartas tenye csak addig nyujt plusz vedelmet, amig a kod titokban van (tautologia, de ugy latszik le kell irni). A kiszivargott titkot visszavonni soha nem lehet - tehat a zart kod onmagaban (es errol szoktunk vitazni, nem a kulonbozo fejlesztesi modszerekrol) nem jelent plusz vedelmet, ha a titkot nem tudod megtartani. Marpedig nem tudod.

    Plusz kockazatot viszont jelent szerintem, mert: a fent leirtakra vonatkozoan szerintem igaz, hogy bizonyos (persze nem minden) project eseteben tobb hibat javitanak ki az OS porjectekben egysegnyi ido alatt, vagyis egy kiszivargott zart kodban tobb lesz a hiba, mint egy ugyanakkora, ugyanannyi ideje, de nyiltan fejlesztett szoftverben. (Tobb hiba -> konnyebb tamadast talalni.)

    Az sem elhanyagolhato (lasd az MS altali fenyegetozeseket), hogy egy illegalisan kiszivargott cuccban sokkal kevesebben fognak joszandekkal hibat keresni, mint egy OS forasban, hiszen illegalis mar az olvasasa is, ha hibat talalsz, emiatt nem is ertesitheted a fejlesztoket. Viszont tamadasi pontot nyilvan fognak benne keresni, mert maga a tamadas mar onmagaban illegalis cselekedet (raadasul sulyosabb) - egy bunozot nem tartanak vissza a torvenyek, ezenkivul, mivel nem hozza nyilvanossagra a hibat nem is igazan van mitol tartania.

    Ezekbol osszessegeben szamomra megiscsak kovetkezik, hogy a nyilt forras biztonsagosabb, hacsak nem hamis az a felteves, hogy nyilt es zart fejleszteseken atlagban azonos kepessegu emberek atlagban azonos minosegu munkat vegeznek.
    Mutasd a teljes hozzászólást!
  • Hat ott, hogy maga a titkolozas nem mukodik :-0. Bar vannak, akik azt hiszik, hogy igen, de aztan mindig kiderul, hogy nem.

    Nem tűnik fel, hogy a logikádban valami olyasmit implikálsz, hogy egy olyan dolog van a Win-ben, ami nem derülhet ki, mert valami olyan oltári nagy disznóság, hogy azonnal lenullázza a megbízhatóságát?

    Mert ha ez nem igaz, akkor nem gondolhatod komolyan, hogy az a jobb, hogy egy termék mondjuk 7 éves életciklusából mind a 7 évig szabadon kereshetnek (a forrás alapján) biztonsági réseket rajta a hackerek, és nem pedig csak 3 évig, mert a ciklus 4. évében szivárog ki a kódja (ami szintén nincs kőbe vésve, hogy így _kell_ lennie, csak nem lehet teljes biztonsággal kizárni, hogy megtörténik)?

    Persze valóban az lett volna a legjobb - mármint a zárt forrás jelentette biztonság szempontjából - ha mind a 7 évig "titokban" marad a kód, de még így is igaz, hogy 4 évig nem lehetett hibákat keresni benne, csak feketedoboz módszerrel.
    Mutasd a teljes hozzászólást!
  • SMTP szerintem Win2k szerver-ben is van.
    Mutasd a teljes hozzászólást!
  • Logikailag hol következik ebből, hogy a titkolózással elért biztonság nem működik? Úgy értem oké, én ezzel egyetértek. De: kiderült már valamilyen biztonsági hiba azután, hogy most a Windows forrást valszeg ezrek túrkálják


    Hat ott, hogy maga a titkolozas nem mukodik :-0. Bar vannak, akik azt hiszik, hogy igen, de aztan mindig kiderul, hogy nem. Es ettol egy teljesen fuggetlen dolog, hogy valaki a win forrassal a kezeben tud-e kiaknazhato tamadast talalni. De ha mar a kezeben a forras, akkor titokrol nem beszelhetunk. Ha talal rest, akkor az a win hiabaja, ha nem, akkor a programozoe , ill. a win erossege, de semmi koze ahhoz, hogy eldugtak-e korabban a kodot. (Jo, nyilvan lassabban talal, mint a linux kernelben, amit 10 eve olvasgat, minden este lefekves elott.)
    Mutasd a teljes hozzászólást!
  • USA???
    Mutasd a teljes hozzászólást!
  • Ugyanis a viták a nyílt forrás kapcsán azért szoktak itt kialakulni, mert egyesek - az általam a cikkel megfogalmazottakkal ellentétben - azt állítják, hogy biztonságosabb, mint a zárt forrás


    Szerintem, mostanában akörül szoktak kialakulni a viták, hogy nem találtatik egyensúly a "szabad" és a zárt fejlesztésű oprendszerek hibáinak kommentálásában.
    Mutasd a teljes hozzászólást!
  • Ah! Köszi, nem tudtam :(
    Mutasd a teljes hozzászólást!
  • Win2003 Server-ben van SMTP és POP3 szerver.
    Mutasd a teljes hozzászólást!
  • Összehasonlítva: Openoffice: 0,- brutto :) Debian lInux Srv!!!: 0,- bruttó Fedora Core: 0,- Ez pont 45400 forinttal kevesebb mint a szuperkedvezményes win és még mindig nincs mail szervere :)
    Mutasd a teljes hozzászólást!
  • "A linux nem mindenható és nem megoldás mindenre és ennyire nem lehet az ms halálát kívánni, bár néha én gondolatban én is belevágtam azt a bizonyos nagykést egyes fejlesztők hátába "
    Ahogy a kolleganom szokta mondani:csak a kozep es felsovezetokbe.
    Mutasd a teljes hozzászólást!
  • Reméljük, hogy lesznek a forrást kihasználó exploitok és lesz hibajavítás is ezerrel. Szerintem ez csak jót fog tenni az ms termékeivel biztonság tekintetében. Persze belegondolni is szörnyű, hogy hány csúnya ember fogja, akarja kihasználni az így felfedezett sebezhetőséget. Bízom benne, hogy azok a cégek akik eddig is biztonságtechnikával foglalkoztak szintén megtalálják ezeket a réseket és gyorsan megszületnek a hibajavítások. A magam részéről optimista vagyok e tekintetben (lehet, hogy nem kellene?). A linux nem mindenható és nem megoldás mindenre és ennyire nem lehet az ms halálát kívánni, bár néha én gondolatban én is belevágtam azt a bizonyos nagykést egyes fejlesztők hátába
    Mutasd a teljes hozzászólást!
  • Nocsak Sting, mintha valtozna a velemenyed a zart forraskoddal kapcsolatban.

    Nem hiszem. Talán inkább csak most sikerül először megértened mit írok.

    Ugy latszik, valamit megis ertek ezek a vitak.

    Bár csak úgy lenne. Ugyanis a viták a nyílt forrás kapcsán azért szoktak itt kialakulni, mert egyesek - az általam a cikkel megfogalmazottakkal ellentétben - azt állítják, hogy biztonságosabb, mint a zárt forrás, ami nyilvánvalóan nem igaz, illetve abból, hogy más a megítélés azt illetően, hogy a szabadszoftver (=nem csak nyílt forrású, de szabadon terjeszthető, módosítható szoftver) miként befolyásolja az innovációt és a gazdaságot. Utóbbiakkal kapcsolatosan továbbra is fenntartom, hogy negatívan.

    Ebbol az esetbol gyonyoruen latszik, hogy a titkolozassal elert biztonsag (security through obscurity) nem igazan mukodik.

    Igen, de ne essünk abba a hibába, hogy elhallgatjuk: ugyanilyen "gyönyörűen" látszik, hogy nem működik a megnyitással elérni kívánt biztonság sem, mert akkor nem törték volna fel a Debian szervereket, és nem fedeznének fel évtizedes hibákat a bind-ben, sendmailben, stb.
    Mutasd a teljes hozzászólást!
  • Türelem rózsát terem
    Mutasd a teljes hozzászólást!
  • rotfl, a végére tényleg ő lesz a nagy open source prédikátor
    Mutasd a teljes hozzászólást!
  • Ebbol az esetbol gyonyoruen latszik, hogy a titkolozassal elert biztonsag (security through obscurity) nem igazan mukodik. Valaki ugyis elarul, becsap, stb. Minel tobb ember tud valamirol, annal kevesbe lehet titokban tartani (egyesek szerint mar 2 is sok ;) ).


    Logikailag hol következik ebből, hogy a titkolózással elért biztonság nem működik? Úgy értem oké, én ezzel egyetértek. De: kiderült már valamilyen biztonsági hiba azután, hogy most a Windows forrást valszeg ezrek túrkálják jelen pillanatban? Szerintem túl hamar vontál le következtetést, mintegy feltételezve egy meg nem történt eseményt. Még nem tudni, hogy több problémát jelent-e (és ha igen mennyivel) az, hogy illetéktelenek is hozzájuthattak a Windows forráshoz, Te pedig deklaráltad a végeredményt.

    Péter
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd