Egyetértesz-e azzal, hogy a közpénzből fejlesztett szoftvereket szabad- és nyílt forráskódúként kellene kiadni?

Címkék

Az Free Software Foundation európai szárnya, az FSFE régóta kampányol a "Public Money? Public Code!" szlogennel:

Miért nem adják ki szabad szoftverként az adófizetők pénzéből fejlesztett szoftvereket? Olyan jogszabályokat akarunk, amelyek előírják, hogy az állami szektor számára kifejlesztett államilag finanszírozott szoftvereket szabad- és nyílt forráskódú szoftver licenc alatt nyilvánosan hozzáférhetővé kell tenni. Ha állami pénzről van szó, akkor annak nyilvános kódnak is kell lennie. Az összes ember által fizetett kódnak mindenki számára elérhetőnek kell lennie! Írja alá Nyílt levelünket!

Választások

Hozzászólások

A magyar adófizetők pénzén fejlesztett programot miért adjuk oda másnak?

Az emagyarország portál forráskódját csak úgy adjuk ki, mert közpénzen készült? 

USA védelmi minisztériuma is sok-sok pénzt ölt egyes kommunikációs szolgáltatások titkosítására, most adják ki, mert az USA adófizetők dobták össze rá a mánit? Ez már egy kicsit túl zöld nekem.

"A magyar adófizetők pénzén fejlesztett programot miért adjuk oda másnak?"

Mert pl. így a más adófizetők pénzéből fejlesztett programokat meg megkapják a magyar adófizetők.  Vagy mert sokkal nehezebb elkamuzni az ár és a minőség közötti különbséget.  
 

“The trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it."
"Senkit nem hagyunk az ereszcsatornán!"

Ez nagyon szuk latokoru volt. Eloszor is, attol mi nem leszunk szegenyebbek, hogy kiadjuk a forrast. Jobbat mondok: gazdagabbak leszunk, mert a helyi cegek tudjak, tudnak hasznalni egyes reszeit.

Masreszt, ez beinditana egy folyamatot mashol is. Nyilvan nem csak MO-n adnak ki a kozszoftvert. Sot, jobbat mondok, kedves nacionalista szomszedsag meg akar kodolasi versenyt is kezdhet, hogy kinek a rendszere szebb/jobb. Es ezekbol MO is profitalhat.

Harmadreszt, lehetove tenne, hogy koznevetseg targyava valjanak a meregdraga, "professzionalis" cegek altal keszitett "robosztus" szoftverek, ami a minoseg javitasara, ne adj' isten legkozelebbi kozbeszerzesen masik ceg valasztasara kivalo, vagyos javulna a kozpenzen fejlesztett szoftverek minosege.

Hinnye, de rossz ötlet lenne ez... csak így belegondolva pár MÁK által fejlesztett "csodába" ... Ha az kimenne nyílt forrásba, valakit ott helyben agyonlőnének :))

Mire gondolhatott a költő? Akkor a NAV-nak legyen minden része a KAU authtól kezdve az egész "adatbázis" szintig nyilvános ?
Vagy egy önkormányzat iktató rendszerének minden eleme legyen nyiltforráskódú ?
Vagy legyen a weboldala az ? Vagy MINDEN is legyen nyiltforrás ?

Mert az ennek az FSFE-nek jó ? Fura lenne böngészgetni ezeket a kódokat + tökéletes lenne hibák feltárására és azok esetleges kihasználására... 

Elég rossz megközelítés ez ilyen formában szerintem, értem én mit akarnak elérni.. "A mi pénzükbőőől készült a projekt, látni akarjuk!!!4444" . De minek ? Mi haszna az ecccerű állampolgárnak abból hogy na tessék nyiltforrásba kirakva a kód ? Semmi. Persze lehet pár fejlesztőnek hasznos... pro és kontra. küldhet be hibajavítást... aztán ~majd 3 hét múlva fixed lesz, addig kontra másik "user" ezalatt kihasználja az adott kód sebezhetőségét, stb.

Na mind1 is.

Még azt se rakják ki ami amúgy kötelező lenne, ha már a licenszelést nem ismerik (esetleg normálisan licenszelve kevesebb maradna a haveroknak :))

Példa:

Kérsz egy adóegyenleget az ÖHP-n, a pdf creator: ASP.Adó szakrendszer (AGPL-version)

Disclose and distribute all source code, including your own

You may not deploy it on a network without disclosing the full source code of your own applications under the AGPL license. You must distribute all source code, including your own product and web-based applications.

Ugyanez igaz pár iktatórendszerre csak ott még az iText-et se írják át. :P

> Hinnye, de rossz ötlet lenne ez... csak így belegondolva pár MÁK által fejlesztett "csodába" ... Ha az kimenne nyílt forrásba, valakit ott helyben agyonlőnének :))

Nem lehet, hogy ha elore tudjak a fejlesztok, hogy amit barkacsolnak az publikus lesz, akkor az a kod minosegere is pozitiv hatassal lenne?

/sza2

Digital? Every idiot can count to one - Bob Widlar

Mondjuk mert ha közpénzből autópálya, épület, stb. épül, annak a tervei ugyanúgy szerzői jogvédelem alatt állnak, és ugyanúgy a megrendelő birtokába kerülnek. Mert így lehet őket fenntartani, bővíteni, javítani. Nem látom be, hogy a szoftver miért lenne más.

Persze működik az is, hogy mindig kidobjuk a régit, és újat írunk.

Véleményem szerint a szoftver azért más, mert ott nem azt fogják nézegetni hogy ugyan hogy keverték ki a betont/aszfaltot/stb, vagy "egyenes-e" az út... Hanem konkrét kód kerülne ki a netre boldog boldogtalan által hozzáférve. Adott esetben nem csak Magyarországról érkező "ügyfelek" kína/russia/stb.. is szépen tudnának "vadászgatni" a kódbázisban esetleges hibák után kutatva.

Hogyan tudná azt bármelyik ország garantálni, hogy ugyan másik országból nem lehet elérni ezeket a kódokat ? Vagy tényleg az legyen, hogy boldog boldogtalan ahogy fentebb is írták férjen hozzá ?

Ennyi erővel miért is férjen hozzá mittudomén a Német user a Magyar adófizetők által fizetett nyilt forráskódhoz ? Vagy vica-versa...

Hogyan tudná azt bármelyik ország garantálni, hogy ugyan másik országból nem lehet elérni ezeket a kódokat ?

gondolod hogy a forráskód hiánya gátolja kínát, v. orosországot, v. bárkit abban, hogy betörjön egy másik ország rendszerébe, amikor olyanokkal dolgoznak, hogy win7-10 stb.. ?
:)

nem gondolok ilyesmit :)

De akkor csak maradjunk annál a példánál, hogy pl a Német user/állam/cég miért is férhessen hozzá a Magyar adófizetők pénzén készített szoftverekhez ? Ha már nyílt forrás mindenhol nyílt forrás nem ? És itt most alapvetően nem biztonsági hibákra, vagy egyebekre gondolok, pusztán a szimpla kódra, amiből ötleteket meríthetnek majd a németek.. hollandok, mittudomén még kik. Milyen alapon ? Ők is fizettek itt adót amiből a szoftver elkészült? :) 

Hanem konkrét kód kerülne ki a netre boldog boldogtalan által hozzáférve. Adott esetben nem csak Magyarországról érkező "ügyfelek" kína/russia/stb.. is szépen tudnának "vadászgatni" a kódbázisban esetleges hibák után kutatva.

https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle

Tessék úgy megírni, hogy akkor is biztonságos legyen. Tessék úgy üzemeltetni, hogy akkor is biztonságos legyen. Tessék...

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Mivel a mostani szoftverek is biztonságosnak vannak eladva, nem egyszerű azt mondani, hogy aha, mostantól biztonságos üzemeltetést is szeretnének? Akkor drágább lesz, mert eddig nem voltunk azok....

“The trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it."
"Senkit nem hagyunk az ereszcsatornán!"

"Hogyan tudná azt bármelyik ország garantálni, hogy ugyan másik országból nem lehet elérni ezeket a kódokat ? Vagy tényleg az legyen, hogy boldog boldogtalan ahogy fentebb is írták férjen hozzá ?"

Ez már most is megtörténik, tekintve, hogy most is használnak opensource szoftvereket az állami szférában. Amelyek forráskódjához boldog, boldogtalan hozzáfér. Akár más országból is.

“The trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it."
"Senkit nem hagyunk az ereszcsatornán!"

Jah, használnak, de egy LibreOffice-t, vagy bármi más egyéb Drupal* opensource amit community* tart karban ne hasonlítsunk már össze egy zárt rendszerben működő sw-vel, pl Iktatás, pénzügyi sw-k, otp-elektra (méé nem adja ki a forráskódot!), KAÜ auth.. NAV*, egészségügyi rendszerek infrája, stb...

Vagy esetleg tudsz olyan állami szférás sw-t ami opensource és "célzott" sw ? Bármelyik országban ?

hát pedig nem window$ szervereken és nem iis alatt futnak a te célzott programjaid, és az adatokat sem window$ok tárolják.

a banki szoftverek meg nem közpénzből vannak.
valamint különbség van egy vállalat, - még ha állami tulajdon is - és a közigazgatási szoftverek közt.
- még ha ezt szeretik keverni bizonyos itt meg nem nevezett ( NER ) körök -

baszki. komolyan ?

Felülre már nem is reagálok, két pü rendszer is van ami teljes MS infrastrukturaval fut, egy iktato rendszerrol tudok ami mysql-t hasznal...

Vendor Lock-In van. találkoztál már opensource Novell környezettel? esetleg Redhattal ?

Az ottani "opensource" megoldások is eléggé vendor-lock-inek...

Vagy nem tudom mire gondolunk itt. felhuzzunk egy openxchange-t mindenhova és mindenki boldog ??? KI a f.szm fogja

1. supportot adni

2. közbeszereztetni (belehet)

3. számlát adni (azt is adhat)

4. ember találni arra ahogy ezek a sz.rk mukodnek ?

.

Implement legislation requiring that publicly financed software developed for the public sector be made publicly available under a Free and Open Source Software licence.

Ebben hol látod a zikszcsénget? Nem arról van szó, hogy jajúristenzártforrástnehasználjonsenki, hanem hogy ha állami intézmény fejlesztet szoftvert, az legyen nyílt forrású. (és szerintem jót tenne nekik, ha más nem, lehetne valahol bug reportot nyitni, hogy ha már úgyis HTTP-n megy az adatforgalom a vastag kliens és a szerver között, akkor ne valami házi tákolmány "titkosítás" legyen, hanem tegyék bele azt a plusz három sor kódot, hogy rendes HTTPS-en menjen - és így mondjuk ugyanaz a kérés ne ugyanaz a ciphertext legyen... van ilyen, olyan szoftverben, amire illik a fenti definíció és országos szinten évente sok-sok pénzbe kerül, ráadásul állami monopólium miatt nincs rá alternatíva...)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Sehol, csak egy "példa" volt a nagy opensource minden kód free nyilt -ra.. 

Nem tudom hogy te dolgoztál-e már SW fejlesztésen, de van amikor a closed source kicsit több védelmet nyújt mint az opensource. De lehet cáfolni ezt példákkal. (és nem nem libre / open / lofszoffice / sogo / sambaAD hah..)-val.

Vagy dolgoztál-e már olyan környezetben ahol olyan érzékeny adatok közlekednek, amiket kb. logolnak hogy ki mikor és miért kérte le. És ezt nem cég szinten "logolják" ezt fent a BMben vagy mi most a neve...

Opensource megoldásokat kérek ezekre... majd felrakunk egy phpmyadmint azt jó lesz.

TÜK... az egyik legnygyobb vicc amit valaha láttam.
Na az tényleg csak azért titkos, mert nem tudják a külsősök, hogy hogyan működik :D

A bürokrácia fényes útvesztőjében elveszik a lényeges információ mire hozzáférnél. Ha egy rendes biztonsági cég vagy szaki felérné a jelenleg alkalmazott rendszerek biztonságát nem sírva, hanem röhögve futna el onnan.

Egyik volt cégem rendelt egy tesztet. Volt social engineering, adathordozó szórás a parkolóban, fishing, stb... ha jól emlékszem valami 82% volt a success rate. Na most a jelenlegi helyen erősen konvergálna a 100-hoz :D
Nem részletezném még véletlenül sem, de az 1234 jelszót mindenhol is használó, minden linkre kattintó és a jelszavaimat haveri alapon bárkinek megadó személy már egy erősen biztonságtudatos személy bizonyos helyeken dolgozókhoz képest.

Persze vannak erre oktatási anyagok. Nem olvassa el senki. Vannak oktatások... nem megy senki, vagy ha mégis, akkor nem figyel senki. Néha vannak tesztek. Nem kötelező. Vagy ha mégis, akkor akárhányszor megcsinálhatod. Vagy ha nem, akkor nincs semmilyen utólagos vonzata. Lehetne ezt fokozni a végletekig. Többen-kevesebben ennek tudják a miértjét is. Egy szó, mint száz: ez gáz. És ami a legrosszabb az egészben, hogy lehetne rajta változtatni. Szimplán csak akarni kellene. Csak akkor lehet, hogy a mariska épp nem it biztonsági felelős lenne, hanem takarító. És az nem jó. Hát micsoda presztízs veszteség. Arra meg már nem is gondol senki, hogy be is lehetne iskolázni valódi oktatásra.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Vagy dolgoztál-e már olyan környezetben ahol olyan érzékeny adatok közlekednek, amiket kb. logolnak hogy ki mikor és miért kérte le. És ezt nem cég szinten "logolják" ezt fent a BMben vagy mi most a neve...

Opensource megoldásokat kérek ezekre... majd felrakunk egy phpmyadmint azt jó lesz.

Látom, még mindig nem érted. Nem az van, hogy meglévő open source cuccokkal kell kiváltani ("phpmyadmint azt jó lesz"), hanem az, hogy amikor te állami megrendelésre megírod a BMben logolt programot, akkor az átadáskor átadod a forráskódot is, amit nyilvánosságra hoznak.

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

A BM program meg pedig teljesen jó példa hogy fogalmad sincs hogy működik az államigazgatás / jogrend / egyéb.

Kérlek világosíts fel, hogy mi a különbség aközött, hogy logolsz valamit egy cuccal és aközött, hogy logolsz valamit bitre pontosan ugyanazzal a cuccal, de a forráskódja nyilvános.

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

ezek mind kikopnak baszki:)
a pü rendszered webre dolgozik? netán a könyvelők nyílt webes felületen könyvelnek?:) erősen kétlem.

ahogy azt is hogy netwarrel weboldalakat szolgálnál ki...

de tök mindegy, ha a kormányzat megint megrendelne egy valamely programot a ner-től/t-systemtől, mondjuk egy elektronikus bérlet értékesítő rendszert, - ami valójában egy szimpla webáruház, amit minden sarkon találsz - és még azt is elbassza, akkor ne keljen az amúgy is elcseszett kód jogaiért még egyszer 10 milliárd ft.-ot kifizetni, hogy adott esetben valaki más anélkül tudja átvenni a munkát, hogy újra kelljen tervezni, írni az egészet.

a forráskód amit közpénzből állítottak elő az köztulajdon legyen. ennek legegyszerűbb ellenőrzési módja, ha nyílt a forráskódja, mellékhatásként pedig kénytelen a szoftver gyártója jó minőséget előállítani, mert a köz tagjai között lehet/van olyan aki akár ellenőrizni is tudja, akarja.

ennek hatására, az egységesség jegyében, ill a kivételezés elkerüléséért pedig minden program, ami közigazgatásba kerül nyílt forrásúnak kell lennie.

akinek pedig ez nem jön be, az mondjon le az állami megbízásokról.

Rendszerem ?

Semmi féle fajta rendszerem nincs.. (na jó kivéve egy printer counter lekérdezőt amit otthon írtam hobbyba ha ez annak számít.... )

.

Na most akkor mi a jó ? Ha opensource megoldás van, vagy ha van support? vagy a kettő együtt ? Mert pl a Novell ezt adja kb.

De az se teljesen opensource.

Most akkor mit akarunk ? Vagy akar ez az FFSFEFE* ? minden _is_ legyen opensource ? Legyen. 

Oldják meg a kiszolgáló / üzemeltetési oldalát is. Köszönjük.

azt hogy a közpénz eredménye köztulajdon legyen.
a nyílt forráskód nem jelenti hogy nem kapsz szupportot.
sőt azt állítom, hogy ha a közigazgatásban csak nyílt szoftvereket lehetne használni, mázsaszámra jönnének létre a redhathez hasonló nyílt szoftverekre építő vállalkozások.
és most is vannak nagyvállalatok amelyek szupportálják a saját disztrójukat.

csak az előítélet az szól belőled :))

hacsak nem egy állami tulajdonú cég birtokába kerül, mert akkor megint mások a tulajdonviszonyok

Én még ebben az esetben se tartom megengedhetőnek ha a forráskód nem nyílt, egyetlen esetet kivéve: ha a hadseregről (meg esetleg a titkosszolgálatról és a rendőrségről) van szó. Ott, fintorogva bár, de elfogadom hogy a forráskód zártsága nyújthat valamelyes védelmet az „ellenséggel” illetve bűnözőkkel szemben. Bár nem vagyok meggyőződve róla hogy ez olyan rém hatékony lenne mint sokan hiszik, de ezek olyan intézmények ahol lehet hogy még ez is számít valamennyit. Mondom, nem vagyok biztos benne... De talán és esetleg...

De ez az a végső határ ameddig elmennék az elveim gyengítésében. Minden más esetben a nyílt forrás híve vagyok. Illetve még ekkor is, csak itt ESETLEG tere lehetne némi kompromisszumnak ha nagyon muszáj, bár itt se szívesen.

A KAU forráskódja miért ne lehetne nyilvános? Így sok programozó meggyőződhetne róla, hogy mennyire biztonságos, és ha van benne hiba/sebezhetőség, akkor az hamar kiderülhetne. Az adatbázis az meg meg már más tészta.

"tökéletes lenne hibák feltárására és azok esetleges kihasználására... " ... amíg meg lehet kihasználható sebezhetőség, addig minek is üzemeltetni élesben? Egy ideig valóban rejtene veszélyeket, de aztán vagy születnének megoldások a javításra és biztonságossá válna, vagy kiderülne, hogy úgy szar az egész ahogy van, és gyökerestől más alapon kéne megvalósítani. Hosszú távon mindenki nyerne a nyílt forrással.

-fs-
Az olyan tárgyakat, amik képesek az mc futtatására, munkaeszköznek nevezzük.

Ezt az ostobaságot vajon ki adta a szádba?

Mióta forráskód egy adatbázis?

De az iktatórendszert például telibe trafáltad. Mert azt a rendszert egyúttal akkor használhatná az önkormányzat, a büntetésvégrehajtás, az ügyészség, a bíróság, a rendőrség, a katasztrófavédelem, mentők, iskolák, stb... és ezek még csak a belügyi szervek. Magyarországon. Már ezen rengeteg pénzt spórolhatunk, mert nem kellenek különböző helyekre különböző rendszerek, hanem kisebb-nagyobb módosítással mindenhova jó ugyanaz. Emellett az sem ördögtől való, hogy az ügyintézés menetét igazítjuk a szoftverhez. Nem akarok konkrét példákkal dobálózni, de közszférában nagyjából azzal az egy szoftverrel nincs gond, amit egyszer a németeketől vettünk. Persze veszünk a jenkiktől is bőven, mert a microsoft uralja a piacot, csak abba folyamatosan folyik a pénz zsákszám, mert kell a support, kell a licensz ezért cserébe tele van hibával.

Egyszer egy biztonsági szakértő valami ilyesmit mondott: Egy olyan rendszer, ami attól biztonságos, hogy nem ismered a működési elvét, az nem biztonságos.

Élő példa erre a blockhain rendszer. Nyilvánosan ismert a működése, mégis nagyon nehéz az adatokat megmásítani.
De hozhattam volna kézzelfoghatóbb példát: AES. Nyilvánosan definiált, bárki számára hozzáférhető, ezért ezáltal nagyon könnyen építhetők AES-el kompatíbilis rendszerek. Az információmegosztásnak többek között ez a lényege, hogy ne kezdjen mindenki saját rendszer fejlesztésébe, hanem legyenek közös pontok, ez alapján éppen közös kommunikációs csatorna.
A TCP/IP protokollkészlet is nyílt szabvány.

Ugye milyen csúnya dolgok? Mindenki ismeri a működését, ezért aki használja, az mindenki veszélyben van. De tehetsz ellene: kapcsold ki a számítógéped. Vagy adjuk el.

Egyébként a webes történetre visszatérve... a HTML is nyílt szabvány. Gondolom az általad említett cég/intézmény senkinek nem fizet licenszdíjat, hogy használhassa a HTML (vagy akár a PHP) nyelvet weboldal létrehozására. Vagy épp te sem fizettél senkinek azért, hogy ide TCP/IP szabványos protokollal üzenetet küldhess a fórumra. Valaki(k) drága pénzért, időt, energiát nem sajnálva kifejlesztették ezt nekünk, hogy mi élvezhessük ennek gyümölcsét. Ingyen. Igaz, hogy ezek nem konkrét szoftverek, "csak" szabványok, de valamiért mégis többségében a gyártók ezek alapján implementálnak különböző megoldásokat.

Gondolom te minden non-free szoftvert, amit használsz, legálisan megvásároltál. Mert én ezt tettem. Tisztelem a szoftverkészítőket és ahol lehet FOSS szoftvert alkalmazok.

Néhány szoftvert csak a látszat kedvéért:

!!BELNDER!! - Professzionális felhasználásra is alkalmas. Nagyon sok helyen bizonyított, kőkemény pénzeket keresnek vele. Egy free and opensource szoftverrel.
Signal messenger. Ebből kifolyólag írhattam volna akár XMPP-t vagy OwnCloud-ot is. Bár utóbbiban nem vagyok biztos, de aki Facebookon és Google-ön szocializálódott, annek ezek lehet nem is mondanak semmit, pedig az XMPP-t nagyon sokáig ők is alkalmazták.
iptables. Vajon a világony hány helyen alkalmazzák?... ebből kifolyólag: openSSH, PuTTY
!!KeePass!! - Jelszókezelő rendszer nyílt forráskóddal. Ú_:::_?r?:_?:_?:IsTeN oOoOoOo.-.
Firefox, Android (AOSP), Chromium
Gnome,KDE,LXDE, XFCE
MariaDB, MySQL...
WordPress, Drupal ésatöbbi
FFmpeg, Avidemux
VLC media player
OBS
Asterisk... erről csak annyit, hogy közigazgatásban az IP-telefonok 99,9%-a ezzel a megoldással működik. Az más kérdés, hogy megoldották az illetékesek házon belül, vagy egy 3. fél kész megoldását (akár pénzért) beszerzik és egy 4. fél pénzé' házhoz viszi+konfig+support, de bármikor építhetsz ingyen magadnak működő IP telefonhálózatot. Mint ahogy azt mi is tettük sokszáz mellékkel minden gond nélkül és még többezer van tervben. Mindezt egyébként úgy, hogy segítségül hívtunk egy másik free szoftvert, a FreePBX-et, így nem szükséges az Asterix konfigurációjának és paraméterezésének részletes ismerete. Természetesen vehettünk volna licenszt a Microsoft Exchange ezen moduljához is, de nem tettük. Szerencsére.
OpenVPN, VNC
Wireshark

Nem gondolnám, hogy ezek a fent felsorolt szoftverek csak attól bármivel is rosszabbak a társaiknál, mert épp nem fizetősel vagy mert a forráskódjuk könnyen hozzáférhető. Sőt... valahogy így született a PaleMoon. Vagy épp a Mate.

 

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Remek felsorolás. Megfogtad a lényeget és engem is.

Valóban igazad van.
Legyen nyilt forrású minden.

A néhány szoftver csak a példa kedvéért részt nem is kommentálnám.. ezek nem állami / önkormányzati / egyéb ilyen területű sw-k. (Blender és társai)

Amilyen szoftvereket én használok itthon (nem nagy titok Win10 + Office) mind megvásárolt szoftverek. A helyen ahol dolgozom csak és kizárólag hivatalosan megvásárolt sw-k vannak.
Használok opensource programokat? igen. Miért ne tenném ?

A szabványokat mint HTML kár volt ide hozni, mert az nem igazán erről szól.. vagy php.. az egy progamozási nyelv, ennyi erővel ide hozhatnád a C-t is, Fortrant, stb... Itt ezzel szerintem félrementél.

A fejlesztésről szólva. Amint kitértél webes témára.
Nézzünk egy példát, ahol _NEM_ célzott támadásról van szó. Tehát _NEM_ célzott támadás, nem kifejezetten az XY kerület hivatal weboldalára akarják felszórni a pornót.

Melyik verzió szerinted a biztonságosabb? 
a) egy drupal/wordpress/joomla alapű opensource weboldal, amit ki tudja ki készített és ki tudja ki üzemeltetni / hogy tartja karban
b) egy "closed source" weboldal, ami karban van tartva és van hozzá support, vagy akár  nincs karban tartva és nincs hozzá support. 
scriptkiddie-nek mind1. ő keresi a szokásos opensource hibákat.

Melyik lesz előbb a "pornhub*" bejegyzések áldozata? Hangsúlyozom még egyszer, _NEM_ célzott támadásról beszélek.

Visszatérve.. Mióta mondtam h ogy forráskód == adatbázis? Arra próbáltam utalni hogy a forráskódban lehetnek az adatbázisra utaló lekérdezéshez kapcsolódó történetek.. és meglepő lehetnek.

Általában az önk. iktatkó rendszerek nem véletlenül zárt rendszerúek.. Hello ASP* (és nem nem asp.net) .

Általában az Anyakönyvi rendszerek zárt rendszerűek pl.. ahol a halotti bizonyítványok, stb-k készülnek.

De MEGLEPETÉS... a választási és AK gépek is mit futtatnak? Linuxot. Hah! Tessék. Opensource. Maga a rajta futó SW persze nem az. De ebbe is kössünk bele majd.

Telefonról nem tudok nyilatkozni. Ott van egy szerződés. Asterix jah, nálunk is az van, szerinted azt kívúlről ki éri el (mmint admin vagy lekérdezés szintjén) ? Senki? senki. Ennyi erővel lehet zárt rendszer is..... 

Na mind1 is... az államigazgatási rendszerek egy saját féle fajta lófajta.. nem véletlenül és itt nem a kód minőségre utalok.

És igen hah a keepassx ami kódokat tárol nyilt forrású!!! remek! Otthon futtatod nem egy .gov környezetben.

No offense.

Remélem ezzel tisztáztam pár kérdést, vagy a lehetőség fenn áll, hogy még mindig balfasz vagyok.

 

szerk.: az a baj ezekkel a nyiltforrás huszárokkal , hogy kozelébe sem jártak egy állami intézménynek a dolgaihoz.. mind IT mind jogi téren... És osszák az észt. Ez kicsit olyan mint a vegák ... Legyen szived, egyél követ...

bullshit

egy szoftver vagy biztonsagosra van tervezve es helyesen van implementalva, vagy nem. a kulonbseg az open es closed source szoftver kozott mindossze annyi, hogy a szar open source szoftvert x ido alatt torik majd fel, a zartat meg x+y ido alatt, es ne gondold, hogy y nagysagrendileg nagyob x-nel.. Ennyi.

Ha van hibaja a szoftvernek es megeri faradtsagot, akkor meg fogjak talalni. Ezen nem valtoztat az, hogy zart vagy nyitott. A nem biztonsagos zart szoftver semmivel sem biztonsagosabb mint ha nyilt lenne. 

 

Ami a potencialis hibakat illeti:

A szar open source szoftver "ki lett rakva a dzsungelbe". Kapsz egy csomo, akar tobb szaz ingyen tesztelot, ingyen hibajelenteseket, talan meg ingyen bugfix-eket is es marha gyorsan lehet fejlodni. Rossz esetben szarra alazzak a cuccot, ha akkora foskupacrol van szo.

Ezzel ellentetben a szar zart szoftver megmarad az inkubatorban, sokszoros koltsegvetes ellenere sem lesz annyit es ugy tesztelve mint ha nyilt lenne, ezert egysegnyi ido alatt joval kevesebb hiba kerul felfedezesre. Eppen ezert meg az is lehet, hogy a zart szoftvert hamarabb megtorik mint a nyiltat.

No offense.

Hm, oké bullshit.

Végülis.

Ezzel ellentetben a szar zart szoftver megmarad az inkubatorban, sokszoros koltsegvetes ellenere sem lesz annyit es ugy tesztelve mint ha nyilt lenne, ezert egysegnyi ido alatt joval kevesebb hiba kerul felfedezesre. Eppen ezert meg az is lehet, hogy a zart szoftvert hamarabb megtorik mint a nyiltat.

Remek. 

A sokszoros költségvetést honnan vetted ?

Tudok olyan projektről ami "Drupalban" indult" sok sok pénzekért (sokszoros költségvetésért.. ahogy fogalmaztad előbb)  és az ki is lett fizetve, azt csúszott pár évet, a végén egy closed source cms cég végezte el a történetet 0 forintért.

Mesélj még.

OFF:

Erről az jutott eszembe, mikor bizonygatja a Pistike, hogy a biztonsági öv nem véd meg mert ha ő nem vágja ki a mamit az autóból akkor megfulladt volna az öv miatt. Biztos van ilyen is, csak az arányok...

ON:
Fentiekre reagálva

Üzleti környezetről beszélsz, én pedig otthoniról. Oké. Akkor legyen üzleti környezet:

-Microsoft Azure és a Linux szerver esete
RedHat, GWS, AWS, stb.
Üzleti környezetben Linuxon Docker konténer, Kubernetes... nem folytatom. Egy ilyen környezetet sajnos nem igazán lehet a jelenleg elterjedt MS szoftverekkel helyettesíteni.

A fent felsorolt rendszerek egy része fizetős és zárt. Ez a Google Androidra is igaz. De mindegyikükre jellemző, hogy már kész, mindenki számára hozzáférhető nyílt és ingyenes rendszer az alapja.

 

A programozási nyelv és a protokoll téma nem áll annyira távol ettől a történettől. Talán emlékszel még az mp3-ra. Jogdíj köteles, holott mindenki számára hozzáférhető. Hálózati protokoll esetén jó példa erre a skype protokoll. Nem nyílt, nem átjárható a legtöbb VoIp protokoll számára.
Ugyanezt elmondhatjuk a cisco CDP-ről, helyette jó választás pl. az LLDP, mely jóval részletesebb információt ad és ingyenessége révén elterjedtebb, ezért utóbbi használata esetén nagyobb eséllyel számíthatunk kompatibilitásra amennyiben a hálózatunk nem teljesen homogén hardveres szempontból.

A HTML és társai nem biztos, hogy rossz példa, volt.
Vannak proprietary programozási nyelvek. Az Oracle Javája és a Microsoft C#-ja pont a penge élén táncolnak, mert bár mindegyiknek van nyílt implementációja, de mindkettőre igaz, hogy a CLR (a runtime environment) eredetileg zárt környezet. Ez utóbbi nélkül pedig értelemszerűen használhatatlan.

Emellett a matlab, vbscript, wolfram programming language... ezek csak az ismertebb zárt fejlesztői környezetek. Emellett sok hasnoló iparági megoldás létezik ahol úgy gondolták, hogy a saját megoldás a jó választás.
De van erre ellenpélda is, az Erlang például az Ericcson saját belső programozási nyelve volt, melyet aztán közzétettek. Többek között Nintendoék is alkalmazták.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

A költő például arra gondolhatott, amiről dalolt.

A PosrtreSQL fejlesztők (és cégeik) adatbázisai nyilvánosak? Nem? Pedig a psql nyílt forráskódú! Sőt, a hűtőjük tartalma sem nyilvános, vagy az éjszakai programjaik részletes menetreyndje.

Konkrétan igen: minden program forrása (kivétel azok a részek, aminek a biztonsági szintje nem teszi lehetővé) lehet nyilvános: NAV, KAÜ, MoHu, akármi. De meg fogsz döbbenni: a KAÜ teljes protokollja nyilvános! Wow. A kód ezt fogja implementálni: nincs benne sokkal több titok mint hogy for vagy while ciklussal megy végig a cuccon. Gyakorlatilag minden SZEÜSZ protokoll nyilvánosan elérhető. (Ami tök jó, jegyzem meg bajusz alatt.)

Azt sem értem mi lenne a titok az önkori iktató rendszerének kódjában. 50 karakteres a dokumentum azonosító? Vagy hogy nincs indexelve az ügyintéző neve? Esetleg hogy lehet keresni dátum ÉS ügyfél alapján egyszerre?

A másik szál amit írsz teljesen jogos és pont alátámasztja, hogy miért kellene nyilvánosnak lennie: „Ha az kimenne nyílt forrásba, valakit ott helyben agyonlőnének”, „tökéletes lenne hibák feltárására”.  Hát pont ezért. Hogy olyan legyen a kód amitől nem hányja el magát senki és ne maradjon benne hiba vagy obfuscation „encryption”. Amúgyis ezeket a kódokat jó pénzért auditálják (már ha…), dolgozzanak felelősséggel. És persze azért, hogy ne lehessen egy óvodás szintű kódért 666 milkát kiszámlázni.

A nyílt kódnak (és a nyílt szabványoknak) nem (csak) az a lényege hogy lásd, hanem hogy fel tudd használni. Akár az egészet mint rendszert, akár részeit, mint garantáltan kompatibilis modulokat. Tudsz rá építeni.

Persze alapvetően mindez pontatlan mert általában nem az egyetlen célra készült, ultraspeciális rendszereknél merül fel a probléma, hanem pl. amikor minden egyes hivatal kifizet 700 milliót ugyanazon rendszer kifejlesztésére, mert nem kapják meg, vagy amikor külső aktorok tudnák használni a már közpénzből kifejlesztett rendszer részeit. De ennek működését több országban már meg tudod tekinteni, és az EU projektek egy részénél is már így megy.

… most people don't plan to fail - they fail to plan
---
* Origin: LifeForce WHQ (2:370/15)

árnyalnám a kérdést azzal, hogy közpénzes helyen csak nyílt forrású szoftvert lehessen használni.

nincs aláírásom

itthon az egészségügyi rendszer állami fenntartású, bár a te adódból.

Most ott is csak nyílt forrású dolgokat lehessen használni? pl leletezéshez? 

Esetleg, ha az önkormányzat kiír egy tendert valamire, akkor csak nyílt forráskódú tervezőszoftverrel beküldött terveket fogadnak el?

A börtönök zárkódja is annyira legyen nyílvános, hogy a githubon legyen is fenn?

Esetleg a teljes földnyilvántartás? adatbázisostúl?

A grippenek vezérlőszoftverét majd lecseréljük? Én tényleg egy ilyen sötétzöld világban akarok élni.

Most ott is csak nyílt forrású dolgokat lehessen használni? pl leletezéshez?

nem értem az összefüggést. a kezelt adat, és a kezelő szoftver egy és ugyan az szerinted?
nagy gondban lehet a legtöbb webes tartalomszolgáltató a nyílt forrású web sql ssh vpn ftp szerverekkel:))

A börtönök zárkódja is annyira legyen nyílvános, hogy a githubon legyen is fenn?

persze legyen :)) bár itt sem látok összefüggést. a szoftverbe be van drótozva a zárkombináció örökre?

fura egy szoftvereid lehetnek, v. te gyártasz ilyeneket?

Állami rendszerben majd speciális dolgokat csak szabad szoftverrel lehet majd csinálni nem? Tehát vásárolt, esetleg ingyenes, de nem nyílt szoftvert nem lehet majd használni állami szférában, fejlesszük ki ugyanazt milliárdokért akár úgy is, hogy országosan kell belőle 20 liszensz... (tudok ilyet)

 

A börtönök zárkódja is annyira legyen nyílvános, hogy a githubon legyen is fenn?

Rosszul tagoltam. Helyen így szól a mondat:

"A börtönök zárjának kódja"

Figyelj ide Sanya.

Én, mint Kiss Pista, rendelkezem egy számítógéppel vagy okostelefonnal, amiben van egy böngésző meg tudok használni néhány szoftvert is rajta.

Ha te, mint pl. Nagy Pista iskolaigazgató eldöntöd, hogy a te iskoládban szövegszerkesztés = Word, akkor azzal minimum két problémát gyártasz egyszerre.

1. Elméletileg a docx nyílt szabvány, de sajnos egy docx dokumentumnak vannak furcsa részei, amik a szabványtól eltérhetnek és nem mindenki tudja pontosan, hogy mi és miként.
Ha én beküldök neked egy docx dokumentumot, amit office360-ban szerkesztettem és te megnyitod a word 2016-oddal (mert az iskoláknak ez jutott), akkor még véletlenül sem úgy fog kinézni, ahogy én összeraktam... hasábpk, bekezdések, tabulátorok, stílusok ,stb... Ez nem egy k.b.szott kiadványszerkesztő. Ezt sokan nem értik, de az iskolákban kezdődik a gond. Tehát azzal, hogy ő pl. a pdf-et vagy odt-t nem fogadja el (sőt, már a doc-ot sem), így akkor is te leszel a hülye, ha szabályosan csináltad az összetett dokumentet csak másik verzióval. -> a gyerek nem a szövegszerkesztést, mint elméleti tárgyat, hanem a Word 2016 használatát fogja megtanulni. Ha meg is tanulja, ez a tudás már akkor elavult volt, amikor tanították neki. Jellemzően később még felejt is belőle, így hacsak nem kezd el önállóan gondolkodni, képtelen lesz majd később mondjuk a munkahelyén egy szóközök helyett akár térközt akár sorközt vagy tabulátort használni.
Jobb helyenek ez úgy működik, hogy van egy kész formázott szöveg és mindegy mivel, csak oldd meg a feladatot ami az, hogy a formázatlan szöveg a végére ugyanúgy nézzen ki.

2. A másik probléma az, hogy a fenti eljárással engem, kispénzű Kiss Pistát fizetős program használatára kényszerítesz. Nem tudok hozzáférni az állami szolgáltatáshoz, aminek éppenséggel rám vonatkozóan ingyen elérhetőnek kellene lennie. Persze a felsőoktatásban (de talán a középiskolákban is) az állam a diáknak állja a licenszdíjat. Ez nem megoldás. Egyrészt azért, mert pl. oviban, általános iskolában nem kapsz semmit, másrészt pedig összefügg a fenti problémával, ha képes is lesz használni a szoftvert a gyermek a későbbi élete során, akkor is hozzá kötöd mert életében nem hallott mást, nem is tudja, hogy ugyanazt a feladatot másképp is el lehet végezni. Ezért vagy letölti a torrent áruházból vagy megveszi. Jó üzlet. Itt kezdődik a fogyasztói társadalom kinevelése.
Nem az a gond, hogy fogyasztunk, hanem az, hogy mit és hogyan. Ez egy egyszerű átverés.

Természetesen indokolt esetben ha van is ingyenes vagy fizetős zárt forráskódú szoftver, akkor lehet alkalmazni. A fenti eset abszolút indokolatlan. Egyébként pedig közférában, ahol közügyeket és rengeteg személyes adatot kezelünk... legyen má' átlátható a szoftver is amivel ezt tesszük. Ha te megveszel vagy ingyen hozzájutsz egy nem nyílt szoftverhez, fogalmad sincs hogyan működik valójában. Szimplán bizalmi elven választottál és lehet, hogy újdonságot mondok ezzel, de hidd el, a mai világban nagyon sokan ki is használják ezt.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Offtopic: ismerős mesélte hogy az unokája beadta az online iskolai feladatát ODF-ben és egyest kapott rá, mert a tanár „DOC-ban várta” az (és „nem tudta megnyitni”). Én nem azt mondom, hogy fel kellene gyújtani a tanerőt, meg aki ilyet megenged, de hát de.

… most people don't plan to fail - they fail to plan
---
* Origin: LifeForce WHQ (2:370/15)

Miután informatikus (!) egyetemisták (!) képesek voltak rendszeresen úgy ZH-t beadni, hogy a "tömörítsd be a fájlokat, és Vezeteknev_NEPTUN.zip néven töltsd fel Moodle-be" utasítást szó szerint értelmezve sorban jöttek a Vezeteknev_NEPTUN (1).zip, Vezeteknev_NEPTUN (2).zip, stb. fájlok, azóta büszkén bevallom, de én is bekúrnám az egyest, ha valaki ilyen elemi utasításokat nem tud követni.

És amúgy a LibreOffice tud DOC exportot + az iskolásoknak van oktatási Office 365 előfizetésük, szóval légyszi bele se kezdjünk abba, hogy meg kell-e venni az Office-t a számtechóra miatt. :)

az iskolásoknak van oktatási Office 365 előfizetésük, szóval légyszi bele se kezdjünk abba, hogy meg kell-e venni az Office-t a számtechóra miatt

 Ez ennél azért távolabb mutat. Sajnos a mai oktatási rendszerben jellemzően nem szövegszerkesztést, hanem Word 2016 / 365 szoftver menürendszerét és használatát tanítják (amit megtalálsz a manualban is).

Tisztelet a kivételnek. Nekem szerencsére nem volt ebből problémám soha az iskolában.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

- mit kezdenének egy ÁNYK forrással az emberek ?

ez a szavazás nagyon összekeveri a dolgokat, kifejezetten káros lenne

Az én olvasatomban ez két dolgot jelenthet:
- Windows-t, MS és más kersekedelmi szoftvereket csak úgy lehetne használni, ha annak kiadják a forráskódját is (ami nem valószínű).
- Maradnak a nyílt forráskódú project-ek, amik alapból megfelelnek a feltételeknek.

Nekem ez azt jelenti, hogy nem függenénk zárt kódú programoktól/ökoszisztémáktól. Persze amikor az emberek jelentős része lesz önként és örvendezve pl. Apple "jobbágy", ez nem működhet a valóságban... :(

Dehogy van elfelejtve, tűkön ülve várom ennek az eredményét (kiemelés tőlem):

Az USA Igazságügy-minisztériumához és az ügyészi hivatalához fordultunk a Microsoft-ügyben

Az USA Igazságügy-minisztériumához és az ügyészi hivatalához fordultunk, mert szerintünk az amerikai hatóságok hathatós fellépésén múlik, hogy a Microsoft-ügyben ne maradjon büntetlen a Magyarországon elkövetett korrupció.

Kevés dolgok egyike, amiben egyetértek a TI-vel.

Mindazonáltal, nem látom még mindig, hogy hogyan kapcsolódik ez szorosan a témához.

trey @ gépház

Inkább igen, mint nem. Ha az én adómból készül egy szoftver, és ezután megismerhetem, az oké. De ekkor az "ellenség" (belföld és külföld egyaránt) is megismerheti, mi hajtja az államigazgatást, amiből baj is lehet. Tudom, hogy a "security through obscurity" nem egy jó dolog, de akkor is plusz egy támadási felület lenne. Viszont tök jó lenne, ha ezek után közösségi erővel lehetne javítani a hibákat (security - "many eyeballs", de használhatósági hibákra is gondolok). Ki kellene teregetni a projekt anyagokat, doksikat is. Talán kicsit kevesebb lenne a túlárazás és a szakmaiatlan munka. Előbbi azért, mert kiderülni, valójában mennyit dolgoztak rajta. Utóbbi azért, mert sokkal hamarabb kiderülne, ki végzett szar munkát.

Az MS jellemzően nem egyedi megoldásokat kínál, és van security csapatuk, tehát ez kevésbé gond.

De ha a Lópikula Bt. által lefejlesztett pénztárgép-online számla interfészt közzéteszik, nagyobb eséllyel fogják rommá törni, és javítás sem lesz egyhamar, sokkal nagyobb felfordulást tud okozni.

viszont ha igazad is lenne, lópikula bt nagy valószínűséggel nem fedné le az egész számlázási rendszert, már csak a bt mérete és erőforrásainak nagysága okán sem.

így aligha idézhetne elő akkora gebaszt, mint mondjuk a win7 a legutóbbi sebezhetőségével, ahol megállt fél európa egészségügyi rendszere egy smb bug miatt.
vagy dicsekedhetne azzal, hogy - a saját szar szoftvere kihasználásával létrejött - hatalmas  botnetet lőtt le.

Az MS cuccait tipikusan azért törik fel (fixme), mert maga a szoftver bináris formában elérhető bárkinek (és aki ért hozzá, annak nem akadály, hogy nincs meg a forrás). Evvel szemben szólj, ha nálad megvan pl. az online számlázással kapcsolatos olyan szerver oldali bináris, ami a NAV-nál fut. Tudom, hogy itt most össze-vissza hasonlítgatunk almát körtével (kis cég/nagy cég, szerver oldal/kliens oldal, egyedi szoftver/tömegtermék), és nem is akarok emiatt túlzottan vitába szállni. Csak azt mondom, hogy a magyar államigazgatásban futó szoftverek nagy része esetében a nyitás egy jelentős új támadási felület lenne.

ha emlékszel még az online jegyértékesítés botrányára - gondolom nem - tudhatnád, hogy szarul megírt webre dolgozó szoftvernél sem binárisra, sem forrásra nincs szükség.

hogy egy program nyílt, v. zárt forráskódú nem befolyásolja a biztonságát.
azt sem értem, hogy miből gondolod hogy az állami web szerverek zárt forrású szoftverekkel mennek, vagy a webes alkalmazások binárisokban lennének írva php, meg java, python, perl meg ilyesmi helyett? merthogy nem.

"tudhatnád, hogy szarul megírt webre dolgozó szoftvernél sem binárisra, sem forrásra nincs szükség."

Tudom, és nem is állítottam, hogy amit írtam, az szükséges feltétel.

"hogy egy program nyílt, v. zárt forráskódú nem befolyásolja a biztonságát."

Ezt írtam én is. Az viszont befolyásolja, hogy mennyire hozzáférhető. Könnyebb feltörni egy nálad futó binárist, mint egy sok tűzfal mögé eldugott zárt cuccot, már csak azért is, mert előbbinél korlátlanul, akármennyi ideig próbálkozhatsz, és könnyebben rájössz, melyik irányban érdemes tapogatózni. De egyik sem lehetetlen.

"miből gondolod hogy az állami web szerverek zárt forrású szoftverekkel mennek"

Magam is írtam egy csomó ilyet. Szerinted az online számla, az ekáer, a szüf portál polcról vett dobozos szoftver?

Az viszont befolyásolja, hogy mennyire hozzáférhető. Könnyebb feltörni egy nálad futó binárist, mint egy sok tűzfal mögé eldugott zárt cuccot, már csak azért is, mert előbbinél korlátlanul, akármennyi ideig próbálkozhatsz,

ez úgy marhaság ahogy van :) mivel a lamp szerver eleve nyílt, a te szoftvered ha zárt is, már nem oszt nem szoroz.
márpedig ma már nem használnak az államigazgatásban window$os web szervereket.

Eddig senki nem beszélt LAMP szerverről. Zárt forrású, egyedi, házi készítésű alkalmazás és szolgáltatás a téma. Ha törik a nyílt forrású részét, akkor minden törve van felette/mögötte, ez oké. De ha az épp nem sebezhető, akkor nincs támpont, hogy a saját szolgáltatást hogyan törjék. Nem fogja a scriptkiddie a vulndb-ből feltörni. Így sem lehetetlen feltörni, persze, de ahhoz sokkal több ész kell.

de azt mondod, hogy a te szoftvered zárt, így nem lehet törni, mert nem tudni mi van benne.
- édes tudatlanság -

na ez az a marhaság, ami egyszerűen megkerülhető az operációs rendszer, a kiszolgálón futó egyéb programok, szolgáltatások törésével, és máris hozzáférhető a te híres zárt programod, elemeztető, v . amit csak akarsz.
elég lehet csak bejutni a hálózatodba.

és akkor még nem beszéltünk az emberi tényezőről, a gépek/szoftverek mindenütt jelen lévő legszélesebb hátsóajtajáról.

tehát lényegtelen hogy a te híres szoftvered zárt v. nyílt forrású. jól kel megcsinálni, és akkor nincs para, hogy jajj-jajj valaki hozzáfér:))

fogtad? vetted? comprende?

"de azt mondod, hogy a te szoftvered zárt, így nem lehet törni, mert nem tudni mi van benne."

NEM azt mondom. Szövegértési gondjaid vannak. Az elejétől kezdve azt mondom, sőt kiemeltem direkt a gyengébben kedvéért, hogy nem lehetetlen törni, csak nehezebb, forrással meg könnyebb. Ennyi.

A többi hátsó ajtó így is, úgy is rendelkezésre áll, akár van forrásod/binárisod a célponthoz, akár nincs. Nem oszt, nem szoroz. Fölösleges ideráncigálni a szalmabábokat.

Ha minden más feltétel egyenlő, akkor egy rendelkezésedre álló binárist (forrással vagy anélkül) mélységeiben lehet vizsgálni, egyéb esetben pedig black box, amivel lehet próbálkozni szintén, de sokkal limitáltabban. Tehát plusz egy lehetőség, amin el lehet indulni.

De a nyílt forrás abban is segít, hogy jószándékú ember találja meg ugyanazt a hibát a kódban. White hat hacker nem fogja kéretlenül szétfuzzolni a NAV-nál futó szolgáltatásokat, mert onnan nézve az eléggé illegálisnak tűnne.

..nem lehetetlen törni, csak nehezebb..

de mitől lenne nehezebb? vagy talán a nav / tb / nyugdíjbitósító / népességnyilvántartó mind saját egyedi sql szervert használ az adattárolásra? saját egyedi csak nekik(k) készült titkosító szoftvereket használnak? többszörösen titkosított belső hálózatokon kommunikálnak titkosított e-maileken, leválasztva a felhőről?

ha a rendszer csak egyetlen darabkája hozzáférhető v. kereskedelmi forgalomban kapható akkor az már korruptnak tekinthető.
- nagyon szorosan védett esetben -

off

mikor még arra sem képesek, hogy ha lekérek egy adatot mondjuk hogy hány ledolgozott évem van, akkor ne egy nyílt e-mailben küldjék el a választ :))

vagy a nemzeti közüzemi szolgáltató vagy mifene ne nyílt e-mailben küldjön számlát névvel címmel levelezési címmel ügyfélszámmal telefonszámmal fogyasztásmérő számmal, óraállásokkal meg mindennel

minek ide zárt forrás? amikor önként ad adatokat szinte bárkiről, amit csak az nem olvas el aki nem akar.

"mind saját egyedi sql szervert használ az adattárolásra?"

Már megint olyat keversz ide, amit én nem mondtam. Én direkt az egyedileg fejlesztett szoftverek saját belső hibáiról beszélek. Természetesen mindenki használ csomó olyan komponenst, ami a támadó számára megismerhető, és ezek adnak egy eleve nagy támadási felületet bármilyen esetben. Vannak általános támadások is, pl. SQL injection, session hijacking, XSS, input validáció hiányosságok, stb., amiket black box rendszer esetén is sikerrel ki lehet próbálgatni. De az egyedi, zárt, sehol nem terjesztett szoftver mélyebb megismerése +1 támadási lehetőség.

Mondok példát. Tegyük fel, hogy az OEP rendszerében van egy backdoor, be tudsz lépni bárki nevében, ha beírod a TAJ számát, és jelszónak annyi unicode smileyt, ami a számok összege. Egy ilyen backdoor kiderítése black box esetben szinte lehetetlen, nincs semmi támpontod, azt se tudod, létezik-e ilyen backdoor, brute force esetén annyit kellene próbálkoznod, ami az idők végezetéig tart, illetve egy kő egyszerű fail2ban jellegű rendszer is megfogja azonnal. Ha megismered a binárist vagy forrást, ahol ez implementálva van, akkor rögtön triviális a támadás. Ebből érthető? Szándékos backdoor helyett gondolj véletlenül elkövetett logikai hibákra, és azt állítom, hogy ilyenek igenis léteznek.

Nekem már úgy tűnik, hogy ez a párbeszéd így néz ki:

- én: X

- hup: ez a jocó azt mondta hogy Y, mekkora marha

- én: nem ezt mondtam, hanem X

- hup: ez a jocó azt mondta hogy Z, mekkora marha

- én: loop...

értem én hogy meg vagy győződve arról, hogy az egyedi szoftver milyen biztonságos, de ez csak rendszerszinten lehetne igaz. amikor is a rendszer minden eleme egyedi. az meg lehetetlen.

ezért aztán az elképzelés is életképtelen. mint azt a számtalan híres/hírhedt valamit még több eltitkolt példa mutatja.

Amikor azt mondom, hogy nehezebb hibát találni benne, akkor azt mondom, hogy nehezebb hibát találni benne. Ennyi ¯\_(ツ)_/¯

Ez nem azt jelenti, hogy szakmai értelemben biztonságos lenne (ismerem a security through obscurity elvet). És nem is törhetetlen a többi támadási felülettel együttesen nézve (pl. lehet olyan támadás, hogy letölti valaki magának a szerver oldali binárist, és ugyanott van, mintha nyíltan kitették volna). De ha onnan nézed, hogy minden más feltétel egyenlő, és kiadod két hackernek a feladatot, hogy na most akkor nyomjátok fel az OEP-et, és indítod a stoppert, akkor a forrással rendelkező egyén várhatóan hamarabb fog nyerni, mint az, aki számára a cucc egy blackbox. Ha a kód minősége szar, és hemzseg a hibáktól, akkor főleg. De hihető, hogy előbb-utóbb mindkettő célt ér (és emiatt biztonságilag kb. egy szinten vannak). Máshonnan nézve: a kód megnyitásának napján hirtelen lenne egy csomó új 0-day, de aztán azokat ki lehet javítani, és megy tovább az élet. De ez a kezdeti káosz sokakat visszatarthat, főleg azokat, akik nem szoktak ehhez hozzá.

Máshonnan nézve: a kód megnyitásának napján hirtelen lenne egy csomó új 0-day, de aztán azokat ki lehet javítani, és megy tovább az élet. De ez a kezdeti káosz sokakat visszatarthat, főleg azokat, akik nem szoktak ehhez hozzá.

Megint máshonnan nézve: az üzembeállítás előtt (ugye, nincs visszamenőleges törvénykezés, tehát már futó rendszerekre nem vonatkozik) ki lehet adni a forrást, így aki akarja, akkor át tudja nézni (és akár lehetnek is érdekeltek ebben más cégek, mert a támogatási periódus végén tudnak pályázni a fejlesztés/üzemeltetés átvételére, hiszen már nem kizáró tényező az, hogy csak az eredeti nyertes rendelkezik a szoftver forrásával... - ismerni viszont nem árt a kódbázist, amit egy ilyen átnézés elősegíthet) és tudja jelezni a hibákat, amiket megtalált (ami egyébként jól is jöhet a következő pályázatban, ha bele tudják írni, hogy igen, 8 darab CVE 10 hibát találtunk a rendszerben, a mi fixeink miatt nem törték rommá)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

"Ez akkor igaz, ha a szoban forgo szoftver egy szarkupac."

Én azt állítom, hogy nagy része tényleg az. Egyrészt láttam már ilyet közelről (én is írtam, de persze ott próbáltam igényes lenni :D), másrészt a nagyobb fiaskók a médiában is felbukkannak.

"Security through obscurity"

Én is tudom, írtam fentebb, ne legyél write-only.

Ekozben az eszteknel (nem tudok rola tobbet mint ez amit hirtelen talaltam):

https://koodivaramu.eesti.ee/users/sign_in

https://koodivaramu.eesti.ee/explore/projects

 

Egyebkent ha tartanak tole, hogy emiatt konnyebben szereznek mas orszagok, hackerek hozzaferest a rendszerekhez, adatokhoz akkor is lehetne nem publikusan elerheto formaban. Valami minosites, titoktartasai nyilatkozat stb utan hozzaferheto adott cegeknek es akkor kevesbe lehetne az, hogy beszallitot nem valtanak meg ha rossz es draga is mert az o termeke van hasznalva es nem csak hogy ujra le kellene fejlesztetni masik ceggel de adatokat migralasa a regirol is vagyonba kerulne ezert inkabb maradunk a draga de meg mindig olcsobb megoldason. (Nem a megvasarolt dobozos termekekre ertem, mint a windows, hanem amit megrendelesre fejlesztet az allam.)

Hmm, észtek. El tudtok képzelni felénk egy ilyen elnöki beszédet? https://www.president.ee/en/official-duties/speeches/13242-president-of…

“The trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it."
"Senkit nem hagyunk az ereszcsatornán!"

Ez ilyen amcsi észjárás szerinti dolog. Úgy tudom, hogy ott az van, hogy amit közpénzből állítanak elő, azt bárki számára ingyenesen hozzáférhető.

A magyar jogrend egy kicsit másképp működik. Nálunk vannak olyan közpénzből előállított dolgok, amik bárki számára ingyenesen hozzáférhetők, vannak olyanok, amik csak díjfizetés ellenében férhetők hozzá, és bizony, vannak olyanok, amik még díjfizetés ellenében sem. Ezeknek viszont általában jó oka van (államtitok, nemzetgazdasági érdek)

Szerkesztve: 2020. 10. 26., h - 17:16

Katonai cuccokat is mind adóból fizetjük. Legyen az is mind FOSS? Rakétavezérlő, kommunikációs szoftver, minden. Jó lesz az.

 

Egyébként meg ilyen ügyviteli szirszarok esetén még egyet is értenék az alapelvvel. De ott is az a baj, hogy támadhatóbb a rendszer, ha nyílt a forráskódja, és ez számíthat egy későbbi kiberháborúban.

Nem, pár kivétel azért lehet, mint ahogy a hadititkot sem kell nyilvánosságra hozni, mikor ay adatok nyilvánosságáról van szó... 

“The trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it."
"Senkit nem hagyunk az ereszcsatornán!"

Szerkesztve: 2020. 10. 26., h - 17:57

Most milyen lenne pl. hogy egy önkormányzat lefejlesztet valami fasza weboldalat, a többi meg ingyen hozzáfér... vagy a parkolás online kezelésére készítetnek szoftvert.... vagy a tömegközlekedést segítő appot...  nem csak országos szinten lehet gondolkodni.

“The trouble with having an open mind, of course, is that people will insist on coming along and trying to put things in it."
"Senkit nem hagyunk az ereszcsatornán!"

Teljesen nyílt esetben aránytalan lenne a pozitív és negatív oldal. Kevés ember szállna be javítani, ugyanakkor ha valaki támadási felületet keres, rögtön tálcán ott van minden.

Egyébként az irány hasonló, csak korlátozott módon. Az állam számára készülő új szoftverek jórésze már az ÁAFK rendelet hatálya alá esik, azaz a forrás az állam számára elérhetővé (sőt sokszor tulajdonba kerül) válik, abból az alkalmazás reprodukálható, valamint bekerül az úgynevezett Állami Alkalmazás Katalógusba, hogy ha valaki hasonlót akar fejleszteni állami környezet számára, akkor inkább meglévőt válasszon, vagy fejlessze tovább. 

Egész jól megy nekik, én láttam egészen közelről olyan EU pályázatos szoftver projektet, aminél kritérium volt, hogy ami bemegy, az opensource (és amennyire tudom, az ilyen jellegű pályázatoknál ez norma). Meg is történt. Mondjuk, hogy mennyire lett hasznos, afelől vannak kétségeim :) Mikor hozzá kellett nyúlni az angolokhoz szakadt távol keleti doktorandusz kollegina kódjához (mert éreztem, hogy elmagyarázni nincs időm) és az IDE hosszas gondolkodás után úgy döntött, hogy mind a hatszázegynehány sort az utolsó karakterig (including whitespace) aláhúzza sárgával, már éreztem, hogy ez jó lesz :D

Az abevjava szerzőjét és fizikai elérhetőségét szeretném tudni, hogy a fejébe verjem a tananyagot, amit nem sikerült elsajátítania. 

Ha az atomerőmű tűzfaláról van szó, akkor nem 😀

A szoftver jellegétől függ. Ha lakossági felhasználásra úgy hasznos lehet, hogy az eredeti felhasználásra nem jelenthet veszélyt (nem tudnak hibát kihasználni, pl olcsó jegy a BKV-nál) csak akkor igen.

Mondjuk a mission-critical dolgok nyílt forráskódúvá tételét én sem támogatnám, Pl. energiaellátás, erőművek, különös tekintettel Paks, aztán Pl. a 4-es metrót irányító szoftver / architektúra nyílttá tételét sem tartanám jó ötletnek.

Az a baj, hogy ezzel kizárjuk azt, hogy jóindulatú hackerek találjanak hibát, és jelentsék, de közben azért a KGB-nek (vagy az utódjának) meg megvan a kód (mert ellopta), és ha kell, fel is használja. Mission-critical dolgokat nem a kód titkolásával kellene biztonságossá tenni, hanem a kód minőségével.

mar parszor leiratak hogy akinek ez a munkaja, az a binaris fajlt is ugy olvassa mint a a forraskodot. idapro meg c forrast is general, ha akarod. viszont az ilyen zart cuccok melegagya a "jolvanazugy, ugyse latja senki" megoldasoknak, ami minden csak nem a biztonsag novelese

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Bizonyos korlátozásokkal egyetértek.

a. Egyrészt nem hiszem, hogy haditechnikai célú szoftverekre is alkalmazni kellene (nem mindenkinek kell odaadni a rakéta-célbajuttató kódot). De ide keveset sorolnék (pl. titkosítást nem), a security by obscurity itt baromság, mert egy nagyobb állam komolyabb kágébével ellophatja a kódot, az nem lehet csak attól "biztonságos", hogy mások nem ismerik a hibáit.

b. Másrészt, meg kellene különböztetni azt, amikor a pénzt a szoftverért kapták, és azt, amikor pl. a pénzt kutatásra kapták (és az eredmény pl. egy algoritmus publikációja), és a szoftver "melléktermék" (pl. proof of concept). Mivel egy kutató kevesebbet keres, mint egy szoftverfejlesztő, itt nem tartom jogosnak, hogy az állam megkapja a kódot (a cikket viszont igen!). A spinoffok lehetőségét is érdemes meghagyni, különben túl sok olyan eset lesz, mint amikor inkább gyorsan felmond egy kutató az egyetemen, ha van egy jövedelmezőnek ígérkező ötlete (ld. Clive Moler, MATLAB), vagy amikor az állam megkapja a kódot, eladja valakinek (nem annak, aki csinálta, mert az jogtalan előny lenne, más többet ajánlott), és azok jól csődbemenedzselik, és a vége az, hogy senki sem használja (ld. a MACSYMA sztorit, ott évekkel később nagy nehezen sikerült megmenteni).

Disclaimer: Nem olvastam el minden hozzászólást.

Arra szavaztam hogy "igen, egyetértek".

És tényleg, tiszta szívemből egyetértek, mindigis a nyílt forrást pártoltam.

Mindazonáltal, szerintem - bár ez jó kezdeményezés - de sokkal fontosabb lépés lenne (azaz, a szememben prioritást kéne élvezzen) azért harcolni, hogy állami intézményekben, iskolákban, közintézményekben, whatever, LINUXOT (tágabb értelemben: opensource operációs rendszert) és LibreOffice-ot (tágabb értelemben bármi opensource irodai programot), általában véve

NYÍLT FORRÁSKÓDÚ ___ÉS INGYENES___

programokat szabadjon csak használni, mármint, alapértelmezetten!

Az belefér hogy néha, némely speciális esetben mégsem, de akkor erről ne az adott intézmény dönthessen, hanem egy külön bizottság. AMIBEN SZAKEMBEREK ÜLNEK, s akik majd eldöntik az adott speciális igény tényleg olyasmi-e ami igényli hogy AZ ADÓFIZETŐK PÉNZÉBŐL rááldozzanak arra, hogy ez az igény kielégíttessék azáltal hogy a Microsoftot vagy más zárt forráskódú szutykot előállító multit tömünk azzal a pénzzel!

Bár nincs illúzióm, úgyis lenne sok megvesztegetés és mutyi, de legalább az esetek jelentős részében javulás állna be mert Nevenincs Micikének nem vennének mégse Windowst meg Wordot csak azért, hogy abban írjon meg naponta 3 levelet. Amiből 2 úgyis felesleges. És CorelDrawot se kapna csak azért, hogy abban írjon rá a kutyuskás képe alá annyit, hogy "Ugye milyen cuki vagyok".

Azt is tudom, az így megspórolt pénz nagy részét is ellopnák Kedves Vezetőink, másik részét meg hülyeségre költenék, például újabb stadionra. Mégis megérné, mert bármennyire utálom is a stadionokat, de az legalább az országon belül épül, ott marad a „magyaroknak”, még legrosszabb esetben is szét lehet hordani az anyagát hogy a környéken más akármik épüljenek belőle (láttam már bakterházat ami így tűnt el, komolyan!), szóval annak valahol mégis több a haszna mintha egy külföldi multi kapja meg a pénzt.

Olvasgatom itt a szálakat, s látom a vita nagyon elment abba az irányba, hogy vajon az opensource szoftver-e a biztonságosabb vagy a closedsource.

És egyszerűen nem értem, hogy jön ide ez a kérdés. A szememben semmi köze ahhoz, amiről a szavazás szól.

Ugyanis a szavazás a szememben egy IDEOLÓGIAI kérdést vetett fel. Ilyen értelemben pedig a válasz pofonegyszerű rá:

IGEN, legyen opensource, egyszerűen azért, mert AMI KÖZPÉNZBŐL LETT FIZETVE, AZ ___MINDENKIÉ___.

És kész, pont.

Teljesen mindegy, mennyire biztonságos. MINDENKIÉ. Mindenkinek joga van hozzá. Ha kiderül hogy nem elég biztonságos, akkor jól szét kell baszni a szoftverfejlesztők valagát egy gőzkalapáccsal hogy az emlék maradandó legyen, visszaszedni tőlük a jogtalanul felvett pénzt, aztán megbízni a melóval egy hozzáértőbb céget. És kész, ennyi!

Ennek azonban semmi köze ahhoz az ELVI, sőt ERKÖLCSI kérdéshez, hogy AMI KÖZPÉNZBŐL LETT, AZ MINDENKIÉ.