"Megdőlt a nyílt forrás egyik dogmája?"

Open Source

A Microsoft egyik biztonsági programmendzsere a napokban éleshangú blogbejegyzésben bírálta és cáfolta Eric S. Raymond egyik klasszikus, a nyílt forrással kapcsolatos - és a szabadszoftvereket támogató közösség tagjai által jellemzően igaznak elfogadott - alaptételét. A "Lex Linus"-ként, azaz "Linus Törvényeként" is ismert dogma szerint a nyílt forrású szoftverek elméletileg biztonságosabbak zárt kódú társaiknál, mert hogy ti. előbbieket millióval több szempár vizsgál(hat)ja; Shawn Hernan szerint azonban a gyakorlatban pont ennek a fordítottja igaz.

A teljes cikk magyarul itt, angolul itt.

Én is pont így gondoltam!

Most hogy vmi. vezető-yuppie a microsoftnál ezt mondta, tényleg csak így lehet. :-)

"programmanager"
LOL! Biztos kivágták a faszit a marketingről, hogy na öcsém, vagy bizonyítasz, vagy repülsz! :-)

Úgyhogy, mindenki szépen most higyje el, mert különben a faszit kisavazzák :-D

( uid_4672 | 2010. 02. 19., p – 22:26 )

én még sosem kaptam malware-t a slackware-updattel. pedig biztos a májkroszoftnal is sokan nézték azt a forráskódot az update előtt...

Az igaz, hogy a netről letöltött XP változatok jó része nem vírusos. Viszont sok esetben ezek olyan XP remixek, ahol elő van telepítve egy sor ingyen és warezszoftver (adobe reader, windowblinds effektek, firefox sokféle kiterjesztéssel) amik mind potenciális malware-hordozók vagy biztonsági rések. Meg átkapcsolgatnak mindenféle default beállítást a windowsson, amiről úgy gondolják, hogy a powerjúzernek hasznos lehet.

a knoppix livecd segítségével, lehet ellenőrizni a frissen telepített windowst, illetve magát a dvd imaget is. a virusos/malware vagy gyanús fájlokat lehet pótolni egy másik imageről. nem valószínű, hogy ugyanazok a fájlok lesznek érintettek.
utána pedig érdemes olyan gateway antivírus védelmet alkalmazni, mint az Untangle.

Velem is millioszor megtortent OEM verzioval, multilicenc verzioval, lopott verzioval, XPvel, 2003-assal, hogy telepites utan bedugtam a halokabelt, letoltottem a frissiteseket, feltettem antivirust, es tele voltam virussal. A warez verzio kivetelevel a telepito eredeti, tehat vagy a microsoft kuldi bevirusozva, vagy tovabbi szoftverek nelkul minden verzio ugy vonzza a virusokat, mint a magnes.

2000 környékén, amikor még töredék ennyi szélessávú kapcsolat volt a neten, egy w2k-t kevesebb, mint 20 perc alatt gyaktak meg. Azóta a helyzet odáig fajult, megmérték, hogy a védtelen windowst hamarabb lecsapják, mint amennyi idő kell a service packok meg a többi letöltéséhez.

a lakótársam ilyen aranyos kékhalálosat :)

el is vitte rögtön szervizbe (Display Szerviz Kft., Bp. Frangepán u.) ahol a dilettáns "szakemberek" adtak is neki egy új vinyót, mondván a régi elromlott :D :D :D jó pénzért át is mentették volna az adatokat :P de ez itt már eléggé off

Ha valamit sokan használnak, azt sokan támadják. Van egy rakat F/OSS-ben talált (vagy még bujkáló, avagy épp ebben a pillanatban belerondított patch miatt születő) durva lik, amit lehet, hogy támadnak, lehet, hogy be is mennek rajta, de nem lesz belőle sajtóhír, mivel elenyésző a számuk. Csak ha megnézzük azt, hogy arányaiban ez mekkora, akkor lehet, hogy nem lenne ilyen virágillatos-madárfüttyös idilli a kép...

Azért hulladék, mert az az eszméletlen hype, ami körülveszi, meg a sok-sok marketing rizsa, nincs arányban a benne felfedezett bugok mennyiségével. Ahhoz képest, hogy mit vársz tőle a híre/hírek alapján, a w7 egy hulladék.

Sokkal jobb véleményem lenne ugyanezekről az ms termékekről, ha hanyagolnák végre a hypot és kooperatívan állnának az userekhez.

Létezik jól megcsinált webmail? Minél több réteget raksz magad és a leveleid közé, annál több bug esélyét rakod a rendszerbe. Nekem saját szerveren imapd, az összes gépemen viharmadárnak látszó jégállat. ha minden kötél szakad, akkor putty, ssh, mutt. De ez ritka, egy X-re képes gép gyakorlatilag mindig van nálam, a szerverem meg az itthoni kapcsolatom sávszélessége is lazán elvisz egy X sessiont.

Ha neked a bantu az az ubuntu, akkor lol. Ugye azzal kezdtem, hogy saját szerver, ami ortogonális az ubuntura... Minek is huzogatnám az óráját a linuxnak? Én a mindennapi életben előforduló dolgokra szoktam felkészülni, arra például nem, hogy jön a cápaember és az uszonyai alkalmatlanok a jelszó begépelésére.

Megint csak az it works for me(TM) jellegű dumával tudok jönni, 2002 óta így van a levelezésem és köszöni szépen, jól van. A rendelkezésre állása nem kilencesekkel jobb, mint a gmail-é, hanem az enyém 100%, a gmail meg valamivel rosszabb, mint az ügyfélkapu.

OWA? ugye ez az a webmail kliens, amihez exchange meg owa konnektor dukál szerveroldalra? Kell még bármit is hozzáfűznöm? És most sarkítsuk kicsit a helyzetet, ugyanis az althread levelezésről szól, tehát az exchange meg az owa levelezési szolgáltatásiról beszéljünk (a többiről se érdemes többet, de mindegy, maradjunk ennyinél). Persze bedobhatnánk a témák közé, hogy mennyibe is kerül mondjuk egy 5000 postafiókos exchange egy 5000 postafiókos courier imapd-hez képest...

Ubuntu, valóban, össz-vissz talán 10-12 perccel rángatta vissza a bootkor egyszer lefutó (h-p, csak munkaidőben megy a vas) rdate az órát, az imapd meg ezt zokon vette... Pedig nem dzsunkapécé, hanem a HP valami alapkivitelű soho szervervasa (<1 éves), ennek ellenére az órája szépen el bírt mászni...A works4me engem nem érdekel, eddig valóban 100%-on megy a te vasad, ha viszont valami megkushad benne, akkor éves szinten számolva a rendelkezlsre állást is bőven a Google apps alá fogsz zuhanni vele. Az egészben van egy számomra releváns különbség: Nem az én dolgom az, hogy a levelezésem működjön, ha gond van, akkor elég gyorsan rendbeszedik, nem nekem kell akárhonnan is nekifutni a javításnak...

Az OWA-t mint egy tényleg qrva jól összerakott webes csoportmunka-felületet említettem -- igen, kell mögé Exchange, kell mögé Windows-os szerverpark -- összevetni megintcsak nem lehet a kizárólag a levelek elérését lehetővé tévő imap-pal, merthogy jóval nagyonn a funkcionalitása, és van, ahol erre tényleg szükség van. Van, ahol meg Horde Groupware-t, SoGO-t, vagy a jó ég tudja, hogy mit használnak, és van, ahol meg a Google Apps irányába mozdulnak. (OWA-t mikor láttál/használtál legutóbb?)

Nem értem, először feláll az oprendszer, felhúzza az interfészeket, ránt egy pontosidőt, majd indul az imapd. Legalábbis én azt hiszem, normális oprendszeren így kellene működjön. Volt már rá példa, hogy elcsalingázott a pontos idő, amikor helyretettem, akkor sem rohadt meg semmi.

"eddig valóban 100%-on megy a te vasad, ha viszont valami megkushad benne, akkor éves szinten számolva a rendelkezlsre állást is bőven": tök frankó, hogy te látatlanban tudod, min megy a levelezésem, de tényleg. a google meg nagyjából egy napot állt az elmúlt 12 hónapban, ettől az én levelezésem még messze van.

Ha elkezdjük a levelezést megvitatni, majd te behozod a csoportmunkát meg a többit, arra mifelénk azt mondják, hogy moving target. Kicsivel több, mint egy éve használtam utoljára owa-t.

Szerk: és az owa mögé nem exchange kell, hanem *jól* összerakott exchange meg jól összerakott windowsos szerverpark stb. stb. Ezen a "jól"-on akkor is elvérezne az exchange implementációk zöme, ha egyébként az exchange meg az owa egy hibátlan tervezés hibátlan megvalósítása lenne. de nem az.

Elvileg. Gyakorlatilag meg nem, és egy balga lépésként rc.local -ból ment egy csekkolás, hogy van-e eltérés, és ha nagyobb, mint öt perc, akkor húzza helyre. A dovecot előtt nekem sem döglött ilyenbe bele semmi sem... (http://wiki.dovecot.org/TimeMovedBackwards)

Ha pécés fürt, akkor is lehet olyan gond, amit nem, vagy csak nehezen fogsz elviselhető időn belül javítani, ha például 283,5km-re vagy a vastól. Nekem nincs alkalmazottam, segéderőm, hostingba rakott vasam vagy virtuál szerverem (erre szolgáló fölös pénzem se), ergo valakivel meg kell csináltatnom a dolgot -- erre nekem a Google megfelel. w4m és kész.

Eddigi pályafutásom során több alkalommal kellett Exchange-alapon leveleznem, és komolyabb gondok nem voltak, igaz OWA-t napi munkában csak most, a T-nél használok, de ott és azt sokkal kényelmesebb, mintha MUA+imap felállásban próbálkoznék... (Tudom, mert havonta egyszer a régi leveleket thunderbird-del szedem le, és a webes felülethez képest lassú és fapados)

ha valamit sokan használnak azt valóban jobban támadják. ha valami értékes mint egy szerver és sokan használják azt fokozottan támadják. linux szerverből több van, mint windows szerverből. többek között a gűgli szerverei is linuxosak, rengetegen használják, sokan támadják, ennek ellenére ritkán hallani sikeres támadásról. ha véletlenül betörniük, jellemzően milliárdos feltörekvő nagyhatalom titkos szolgálata áll a háttérben, és beépített kémekkel dolgozik, mert egyébként nem tudna betörni a linux szervereken működő szolgáltatásra:) a windows védelme ennél sokkal gyengébb ostrom alatt is elesik:D

ezt nem értem, honnan veszed, hogy linuxos szerverből több van, mint Windows-ból?? Kb WW 70% a WIndows és a többi linux szerver..az hogy a Google linuxot használ az csak "egy" linux nagyfelhasználó.

Az mondjuk tény, hogy weboldalak többsége linuxon fut, de a szervervilág elhanyagolható része a weboldal üzemeltetés...

B10

( bandix | 2010. 02. 19., p – 22:37 )

"you’ll see: in product after product, the Microsoft offering is usually more secure than the competitors"

Aha...
__________________________________________________________________________
Arch Linux 2.6.32-ARCH #1 SMP PREEMPT - KDEmod 4.3.4

( raron | 2010. 02. 19., p – 22:43 )

Egyszer volt egy statisztika, ami azt mutatta, hogy az interneten több Linuxos szervert törnek fel, mint Windows-osat. Csak azt felejtették közölni, hogy milyen arányban vannak a külnböző OS-t futtató szerverek.

És micsa -hoz hasonlóan, én nem szórakozok különböző vírusírtók, képrogram-eltávolítók stb. keresgetésével, futtatásával.

Az ilyeneket el kéne vinni egy Richard Stallman féle előadásra.

rendszeresen előkerül ez a téma,ezért leirom alád,nemcsak neked:

Megfelelő körültekintéssel (backup+tudom mit nyitok meg hová kattintok és miért) simán probléma nélkül lehet windows rendszereket használni pár évtized óta.
Körültekintés nélkül nincs az a bolondbiztos operációs rendszer(kivéve talán linux live cd nonstop használata) ami az elhasználó
hülyeségétől megmentheti önmagát,vagy bármilyen tárolt adatot.

A többi linux/windows/bsd/osx trollkodás pedig FUD.

Remélem nagyjából pontos megfogalmazást adtam,ha nem valaki ugyis alámkommentel. :P

Azért egy firewall is kell ebbe az idilli képletbe, mert a Windows beépített nem sokat ér. Anélkül meg lehetsz szuper-elővigyázatos az sem ér sokat...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

azer ez a "par evtized" meghatarozas nem valami pontos, mondhatjuk eros csusztatas, még nincs egy evtizede annak a 380 byte koruli kodnak; meg emlexem, amikor ugy 13-14 eve a 137-es portba 'bye'-t kiabalva erosen osszeomlott az akkor uber nt 4.0 is...
hat ja. akkoriban meg nem volt minden szobaban net, personal firewall, adsl router, meg patch kedd.

/set mode nosztalog
boink, teardrop, eggdrop, stb:)) ezeket egy scriptbe rakva, inetd-ből elindítva mindenkire, aki a 137-es portomat piszkálta, automatikusan...
na meg az ál-hayes modemek, ami ugyan nem ms hiba, mégis szépen tizedelte az ircelőket:PPP
meg az igazi steve bloodok, akik verték a nyálukat a #magyar-on, hogy mindenkit ledurrantanak a netről, ezeknek lehetett mondani, hogy 127.0.0.1 az ip címünk és buzgón nekiugrottak:)

( kecsa | 2010. 02. 19., p – 23:00 )

Coverity. Az MS is megvette/megengedte hogy valami reprezentatív kódbázisára ráengedjék? Akkor lennének tökös legények, ha közölnék az eredményt is. Csodálnám ha más jönne ki mint pár nyílt forrású kódra. Az persze nem ér, ha nekik van már belső statikus kódelemző cuccuk és használják is.

Csak azt akarom jelezni, hogy Coverity elég érdekes dolgokat szokott találni, és mindenben amit ember írt...

( agolon | 2010. 02. 19., p – 23:36 )

Komolyan mondom ezt az esr-könyvet el kéne már egyszer olvasnom.
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2

( harlequin | 2010. 02. 20., szo – 00:40 )

valahogy ereztem, hogy melyik oldalon lesz a magyar cikk, meg mielott rakantottam volna...

( Jason v | 2010. 02. 20., szo – 07:24 )

Jó, hát ez a dolga.
Boldogok a lelki szegények, mert övék a főépület...

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

( turul16 v | 2010. 02. 20., szo – 07:42 )

10.5 billion SLOC /280 project --> kiadasok elotti kodok is benne vannak a statisztikaban. :)

Amit nem lehet megirni assemblyben, azt nem lehet megirni.

( kerekfyp | 2010. 02. 20., szo – 07:49 )

A cáfolat szerintem azért baromság, mert nem az eredeti állítást cáfolja. Szerintem nem úgy kell érteni a "Lex Linus"-t, hogy tetszőleges nyílt forráskódú alkalmazás biztonságosabb tetszőleges zárt forráskódú alkalmazásnál.

Valójában a "Lex Linus" azt állítja szerintem, hogy egy konkrét projekt biztonságosabb lesz, ha nyílt forráskódú modell szerint fejlesztik. Például azt kellene vizsgálni, hogy biztonságosabb lett-e a Solaris, Sun Java, stb., miután nyílt forrásra tértek át. Vagy azt, hogy biztonságosabb lenne-e a Flash, Windows, stb., ha nyílt forrásra térnének át.

Ha tehát egy zárt projekt azzal próbálja indokolni a zártságot, hogy így biztonságosabb, akkor legyen szíves azt bizonyítani, hogy ha a kérdéses projekt nyílt forrású lenne, akkor kevésbé lenne biztonságos. Egyébként elmehetnek a francba.

Teszteljük. Van egy fejlesztés alatt álló zárt forráskódú programom, skype kliens lesz belőle. Akkor most kiadom: 


/*
 * ----------------------------------------------------------------------------
 * "THE BEER-WARE LICENSE" (Revision 42):
 * <BaT@HUP.hu> wrote this file. As long as you retain this notice you
 * can do whatever you want with this stuff. If we meet some day, and you think
 * this stuff is worth it, you can buy me a beer in return Tibor Baksa
 * ----------------------------------------------------------------------------
 */

int main(int argc,char *argv[])
{

    return 0;
}

Majd ha kész lesz, megvizsgáljuk, biztonságosabb-e, mint amíg zárt forráskódú volt. :)

( tr3w v | 2010. 02. 20., szo – 08:38 )

Coverity:
Jók ezek a számok. Egy baj van velük, hogy nincs mihez hasonlítani őket...
Persze "I’ll also note that the SDL requires Microsoft software to be “PreFast clean” and “FxCop clean” meaning that all static analysis defects are fixed or confirmed as false positives."
Ezzel kapcsolatban 3 lehetőséget látok:
- nem igaz
- elméletileg igaz, gyakorlatilag szarnak rá rendesen csinálni
- szar az SDL-jük (nem a coverity-t használják)
Más esetben nem találok magyarázatot arra, hogy miért találnak sima buffer-túlcsordulásos sebezhetőséget olyan őskövület kódokban, mind a bmp header beolvasó rutin...

Sardonix:
Ki volt az a hülye, aki azt hitte, hogy ha kiraknak egy oldalra az emberek által nem használt, tök érdektelen kódot, azt majd bárki is megnézi?

Ez nem így működik. Ez úgy működik, hogy használsz valamit, és vagy valami nem úgy működik, ahogy várod, vagy egyszerűen kíváncsi vagy, hogy hogyan oldották meg. Megnézed, és találsz egy bugot.
Csak a Qt-ban csak az elmúlt fél évben 5 ilyen hibát találtam. Esélyem se lett volna se megtalálni, se kijavítani, ha zárt forrású.
Persze jelenthettem volna, de:
- a jelentésem nem lett volna pontos
- a javításhoz még egy ember munkája szükséges

A kérdés tehát az, hogy pl a Qt profitál-e a nyílt forrásból, és javul-e a minősége, ha feltesszük, hogy egyébként ugyanannyi ember dolgozik rajta. Nyilván igen...

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

( foofighter | 2010. 02. 20., szo – 10:37 )

Először is.

Katedrális és a bazár: http://magyar-irodalom.elte.hu/robert/szovegek/bazar/

Ez a "millió szempáros" kijelentés így hangzik:

"Given enough eyeballs, all bugs are shallow."

Wikipedia-fordítás: (több szem többet – több szoftverhibát – lát)” (ALERT)
Könyvfordítás: „elég sok szem mellett minden hiba jelentéktelenné válik”
Saját fordítás: „elegendő szemgolyó esetén, a bugok eltünedeznek”

Miért nem a kicsit formálisabb meghatározást vette górcső alá Shawn Hernan:

"Given a large enough beta-tester and co-developer base, almost every problem will be characterized quickly and the fix will be obvious to someone."

Elegendően nagy számú bétatesztelő és fejlesztő esetén szinte az összes probléma gyorsan kiderül és valakinek egyértelmű lesz a javítás.

Te én "szeretlek" téged, csak a demagógiát nem.
A hibák valószínűleg nem azért kerülnek elő, mert minden programozó zseni (a 'debianos' gyerek, aki kicserélte a kódot) lenne. És ez igaz mind a nyílt, mind a zárt világra. Csak a zárt világban 100-an nézik meg a kódot és a zseninek (sajna csak egyet alkalmaznak belőle) nincs ideje mindegyik hülyének a kódját átnézni. A nyílt világban viszont egy elterjedt projecthez csapódhat 8-10, de akár száz zseni programozó is.
Ha az én kódjaimat hasonlítanánk össze a win7 kódjaival, valószínüleg igaza lenne a pasasnak. :)
De ha általánosságban beszélünk, akkor....hogy is mondták: mozog a szája :)

Szóval maradjunk annyiban, hogy a debian project-ben sajnos előfordult, hogy a QMS nem működött.

Ez nem demagógia, de már annyiszor kifejtettem az egészet részletesen, hogy nincs kedvem újra belemenni. Inkább bekopizom l1x legutóbbi írását a csatin, amely nagyjából tartalmazza a lényeget, az ő egyedi stílusában... :)

{l1x} jo
{l1x} akkor szajbarago
{l1x} ki keresi meg a security hibakat egy kodban?
{bvalek2} l1x : aki belerakta oket :)
{l1x} nem
{l1x} a security researcherek
{l1x} akik vagy blackhetek vagy whitehatek most mindegy
{l1x} tehat nem a sozftverfejlesztok
{l1x} ezert van az h se linus se ghk se senki a linux project korul soha egyetlenegy security hibat sem fedezett fel
{l1x} tehat ha ezek az uriemberek keresik oket akkor gecimindegy hogy az osszes fogyatekos letoltheti a kodot
{l1x} hiszen akkor se vennenek eszre egy buffer overflowt ha belevernek a kis downkoros buksijukat mint kiskutya fejet a szarba
{l1x} ezert van az h securityt novelni csak security tesztelessel lehet
{l1x} mint ahogy teszi azt a majkremszoft peldaul

szerk.: mivel pont elém került megint egy Mozilla Security Advisory, ezért itt is van mindjárt egy példa. A hibát nem jóskapista hobbiprogramozó találta, hanem egy olyan nagynevű figura, mint Georgi Guninski, aki már talált komoly biztonsági hibákat az OpenBSD-től a qmail-ig, mindenben.

De ő sem hobbiból nézegette a Firefox forrását, hanem a Mozillának dolgozik be direkt security researcherként, nem kevés díjazás ellenében...

Attól még, hogy l1x haverod egy downkoros értelmi fogyatékos, aki akkor se venne eszre egy buffer overflowt ha belevernek a kis buksijukat, még él sok másik nála értelmesebb ember a Földön. :-) Nem magából kellene kiindulnia. Van sok nagynevű figura, mellettük még több valódi nevét és személyazonosságát titokban tartó figura, aki megbirkózik a feladattal. Ne gondold, hogy az IBM ellenőrzés nélkül felenged macskajancsi spagettikódokat a mainframe gépeire. Annyi igazság van abban amit írtál, hogy community-only linux disztribúciókban nem lehet megbízni, ha a fokozott biztonság kiemelt szempont. RedHat vagy Novelltől biztonságosabb rendszert kap az, aki az ő linux disztribúciójukat választja. A több szempár ott: ellenőrzik a RedHat vagy Novell fizetett alkalmazottak, ellenőrzik az IBM fizetett alkalmazottak, és az IBM vásárlói között is akadnak páran, akik megengedhetnek maguknak egy saját security team-et, forráskódot értelmezni tudó tagokkal. IBM mellett ez igaz a többi neves és tapasztalt IT szereplőre is. Abban igazad van, hogy az Ubuntu vagy Debian messze kevésbé megbízható. Ám ezt nem kellene általánosítanod.
Egy teljesen zárt rendszer esetén, mint a windows és szolgáltatásai, nincs sok esély az ellenőrzésre miután kikerül a Microsoft-tól a szoftver. Hiába lennének értő szempárok, nem tudnak segíteni. (A Ms codeshare program pedig egy vicc. Onnan senki nem tud lefordítani egy windowst magának. A webre odahányt kódban biztonsági hibákat keresni, olyan mint a kinyomtatott forráskódban böngészni.)

Van sok nagynevű figura, mellettük még több valódi nevét és személyazonosságát titokban tartó figura, aki megbirkózik a feladattal.

Csak ők azok, akik nem vesznek részt a nyílt forráskódú projektben "zseni programozóként" :)

Ne gondold, hogy az IBM ellenőrzés nélkül felenged macskajancsi spagettikódokat a mainframe gépeire

Nem gondolom, nem is írtam ilyet, sőt pont az én mondandómat támasztod vele alá, mert én is azt mondom, hogy ilyen helyekre nem olyan kódok kerülnek fel, amelyre a manyeyeballs nevű Közösség rábolintott :P

kik megengedhetnek maguknak egy saját security team-et

akik nem "zseni programozókból" állnak, hanem security researcherekből... ugyanarról beszélünk :)

Egy teljesen zárt rendszer esetén, mint a windows és szolgáltatásai, nincs sok esély az ellenőrzésre miután kikerül a Microsoft-tól a szoftver.

Nem tudom ez itt hupon valami nagyon elterjedt tévhit, hogy csak a forráskódot lehet auditálni... Hatalmas naívság.

A Windows binárisokat is többen auditálják jelenleg, mint a nyílt _siker_projektek forráskódjait (el lehet képzelni, hogy milyen állapotban vannak a tengődő nyílt forráskódú projektek, amelyek nincsenek reflektorfényben).

És nyilván még ennél is többen auditálják a Windows forráskódjait. Az elmúlt években a security szcéna jó része abból élt, hogy vagy közvetlenül a Microsoft által megbízva auditálta a forráskódjaikat, vagy egy közvetítő cégen keresztül.

A Ms codeshare program pedig egy vicc. Onnan senki nem tud lefordítani egy windowst magának. A webre odahányt kódban biztonsági hibákat keresni, olyan mint a kinyomtatott forráskódban böngészni.)

Mondom, ez valami tévhit, hogy csak weblapon keresztül nézegethetik a forrásokat és hasonlók :)

Mekkora az elegendően nagy szám? Ami most van, az elegendő? Várható, hogy belátható időn belül sokkal több lesz?

ESR ott tévedett a 90-es évek elején, hogy azt hitte, hogy majd mindenki hacker lesz, ez egy menő dolog lesz, a felhasználók ontani fogják az értelmes hibabejelentéseket és patcheket.

> Mekkora az elegendően nagy szám?

Benne van a szövegben, csak érte(lmez)ni kéne. Segítek:

Amikor szinte az összes probléma gyorsan kiderül és valakinek egyértelmű a javítás, akkor mondhatjuk, hogy elegendően nagy számú bétatesztelő és fejlesztő dolgozik a kódon.

> ESR ott tévedett a 90-es évek elején, hogy azt hitte, hogy majd mindenki hacker lesz, [...]

Forrás? Piszokos fantázia?

( emberk | 2010. 02. 20., szo – 13:45 )

Ez simán hülyeség. A biológia is azt mondja, hogy minél többszínűbb a világ annál nagyobb a biztonság, az élet fennmaradására. Az opensource rendszerek pedig olyan szinten sokszínűek, hogy az már szinte káosz. :D A sok tökegyforma win-klónt, pedig nagyon könnyű tönkrevágni, mert egyen kitapasztalod hogy mi a teendőd, és azt megteszed az összes többin. Linuxok, Bsd-k..... esetében ezt erősen kétlem, hogy univerzálisan meg lehetne tenni. Bár tény hogy egy zárt kódú rendszerben forráskód szinten nem lehet kiskaput keresni, de szerintem nem ez a fő gát. Sőt amint látjuk, már a megjelenés napján van bármire törés, lopás......

------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.

( blalo | 2010. 02. 20., szo – 14:46 )

A forrás prog.hu mi?
informatikáról? szakszerűen?
:D

( sh4d0w808 | 2010. 02. 20., szo – 17:16 )

Heh, most nézem, hogy ez Sting legújabb agymenése... no comment...

Már csak azt nem értem, itt miért ilyen debil címmel jött le.

-------------------------
Trust is a weakness...

( tetra | 2010. 02. 21., v – 13:11 )

Ehhez csak egy szót fűzök: Opera.
----
Hülye pelikán