Erre mondjak, h okosabb lett volna, ha csondben marad?:)
- tompos blogja
- A hozzászóláshoz be kell jelentkezni
- 1700 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
> képünk nem illusztráció
Zseniális. Az indexes újságíróknak küldeném tisztelettel a http://bing.com/translator/ automata cikkíró segédprogramot.
- A hozzászóláshoz be kell jelentkezni
"A fizetos szoftver szinte majdnem mindig jobb, mert tobbnyire jar hozza ajandek kemszoftver is!"
- A hozzászóláshoz be kell jelentkezni
*sóhaj*
- A hozzászóláshoz be kell jelentkezni
Tetszik vagy sem, valos problema. Igy a sohajtozas keves. Tettek kellenek, amelyek folyamatkent garantaljak, hogy senki keresere vagy parancsara ne lehessen trojai falo egy uzleti szoftverbol.
- A hozzászóláshoz be kell jelentkezni
/o\
________________________________________________
http://kronosz.krocomp.hu
- A hozzászóláshoz be kell jelentkezni
El tudnád mondani, hogy egy nyílt forráskódú szoftvernél ki fogja garantálni, hogy nem lesz benne _elrejtett_ backdoor?
A manyeyeballs-t nem hoznám fel érvnek az OpenSSL és hasonló fiaskók után.
- A hozzászóláshoz be kell jelentkezni
Terjunk vissza az eredeti kerdeshez:
"folyamatkent garantaljak, hogy senki keresere vagy parancsara ne lehessen trojai falo egy uzleti szoftverbol"
Az elrejtett backdoor egy szelete (bar ketsegkivul nem elhanyagolhato) a fenti felvetesnek.
Ha ezt a folyamatot a gyarton kivul mas is kieepitheti, a sajat kockazatkezelesenek megfeleloen, egy kicsit nehezebb mas keresere vagy parancsara trojai falot kesziteni egy szoftverbol.
- A hozzászóláshoz be kell jelentkezni
Na igen, de az open source világban kvázi nem létező fogalom a quality assurance. Magyarul hiába van egy biztonságos szoftvered, ha jön valami idióta packager, aki szó szerint kidob részleteket a kódból, mondván, hogy az úgyis felesleges - ezzel előidézve egy "kisebb" bakit.
- A hozzászóláshoz be kell jelentkezni
Olvasd el megegyszer mit irtam:
"a folyamatot a gyarton kivul mas is kieepitheti, a sajat kockazatkezelesenek megfeleloen"
A sajat kockazatkezelesbe beletartozik az is, hogy megvalositsa a sajat minosegbiztositast, es profik dolgozzanak a package keszitesen. Sot akar tobb szereplo biztositas jelleggel kockazatkozosseget is csinalhat.
Ez mar az adott szereplo felelossege lesz, csak magara vethet a trehanysagaert.
Visszaterve az eredeti temara: uzleti szoftvereknel milyen folyamatok garantaljak, hogy senki keresere vagy parancsara nem lesz trojai falo az uzleti szoftver?
- A hozzászóláshoz be kell jelentkezni
> uzleti szoftvereknel milyen folyamatok garantaljak, hogy senki keresere vagy parancsara nem lesz trojai falo az uzleti szoftver?
Semmi, ezt magyarázom, hogy a kettő közt elvi szinten van csak különbség, gyakorlatilag viszont egyik tizenkilenc, a másik egy híján húsz.
- A hozzászóláshoz be kell jelentkezni
Pont ezen az "apro" elven bukik a dolog, az ocean tulpartjan hatalyos torvenyek (patriot act, national security letters, stb) ugyanis "zsarolhatova" teszik a gyartok. A trojai falo attol meg trojai falo, hogy a gyarto onkent, plusz penzert, vagy kenyszerbol kerult bele.
Egy szervezet, amelynel nincs meg ez a zsarolhatosag, sot teljesen ellenerdekelt benne, mar egeszen mas donteseket hoz es tesz.
Tehat a keres tovabbra is fennal:
"uzleti szoftvereknel milyen folyamatok garantaljak, hogy senki keresere vagy parancsara nem lesz trojai falo az uzleti szoftver?"
- A hozzászóláshoz be kell jelentkezni
Megválaszoltam már, de akkor leírom még egyszer, végül is ismétlés a tudás anyja.
Zárt szoftvereknél sem garantálja semmi a backdoor-mentességet, pontosan ahogy nyílt szoftvereknél sem garantálja semmi a backdoor-mentességet, lásd a feltételezett TrueCrypt-takedown esetét. Mindkét esetben meg kell bíznod a gyártóban/packagerben/akárkiben.
Foglalkoztam információbiztonsággal, ugyan csak érintőlegesen, de annyit tudok róla, hogy ezek az online fórumos "áá, biztos nincs benne" vagy "átnézhetnéd a kódot, ha lenne rá ezer embernapod", és hasonló szövegek nem bizonyítanak semmit.
- A hozzászóláshoz be kell jelentkezni
Nem a kerdesre valaszoltal, teljesen irrelevans. Sem nekem sem egy masik szervezetnek nem kell megbiznia senkiben - csak a sajat kockazatkezeleseben, es az ez alapjan felepitett folyamataiban (ennek resze lehet a felepitett folyamatok teljessegenek, helyessegenek, stb. formalis bizonyitas is).
"Tetszik vagy sem, valos problema. Igy a sohajtozas keves. Tettek kellenek, amelyek folyamatkent garantaljak, hogy senki keresere vagy parancsara ne lehessen trojai falo egy uzleti szoftverbol."
- A hozzászóláshoz be kell jelentkezni
Fordítsuk meg a kérdést, hátha akkor jobban megértem.
A vállalatod le akarja cserélni a [Windows, BitLocker, AD, Office, SharePoint, Exchange] kombinációt egy FOSS csomagra, mondjuk [RHEL, TrueCrypt, ???, LibeOffice, ???, ???].
A realitások talaján maradva (tehát véges erőforrás felhasználásával, a való életben is elfogadható költségek vállalásával, tfh. SME-szektorban, mint egy átlagos cég) hogyan garantálnád folyamatként, hogy senki kérésére vagy parancsára nem lesz backdoor az üzleti szoftverben?
- A hozzászóláshoz be kell jelentkezni
Nem forditjuk meg a kerdest, es nem szukitjuk a kiterjedeset a kerdesnek:
egy szervezet olyan szoftvert/szoftvercsomagot szeretne hasznalni, amelynel folyamat szinten garantalhato, hogy nincs trojai falo. Ez lehet akar uzleti vagy akar foss, a lenyeg, hogy folyamat szinten garantalhato a fenti kovetelmeny.
Ez a "szervezet" lehet akar egy ceg (barmilyen merettel), vagy akar maga az allam is, vagy ezek barmelyik resze illetve reszek altal szervezett (erdek)kozossege.
A problema reszben technikai, reszben szervezesi, reszben jogi, ahogy korabban is irtam:
"az ocean tulpartjan hatalyos torvenyek (patriot act, national security letters, stb) ugyanis "zsarolhatova" teszik a gyartok. A trojai falo attol meg trojai falo, hogy a gyarto onkent, plusz penzert, vagy kenyszerbol kerult bele."
A folyamatokat lehetne kezdeni ezen "zsarolasi" potencial (kenyszer) megszuntetesevel, aztan minden olyan "erdek" felszamolasaval (es az arra vezeto ut elaknasitasaval), amely a trojai falo mukodesre egyaltalan lehetoseget teremt ...
- A hozzászóláshoz be kell jelentkezni
Amirol itt beszelsz, az gyakorlatilag a proof carrying code - es igazabol teljesen igazad van, de ez meg nagyon messze van a realistol. Viszont ha sikerulne osszeraknod tenylegesen hasznalhatora, akkor betegre kereshetned magad. :)
- A hozzászóláshoz be kell jelentkezni
Azert annyira a rettento tavoli jovoben sincs mar, legalabb a reszletes alkalmazasa. A kockazat egyre magasabb, es (bizonyithato) garanciakat szeretne minden szereplo.
https://cakeml.org/
http://research.microsoft.com/en-us/projects/fstar/
http://www.cl.cam.ac.uk/research/security/ctsrd/
http://www.iaik.tugraz.at/content/about_iaik/events/ETISS_INTRUST_2013/…
http://research.microsoft.com/en-US/events/seifday2014/ball_seif2014.pdf
- A hozzászóláshoz be kell jelentkezni
El tudnád mondani, hogy egy nyílt forráskódú szoftvernél ki fogja garantálni, hogy nem lesz benne _elrejtett_ backdoor?
en. Te megmondod, hogy melyik nyilt forraskodu projekt erdekel, en meg kijelentem, hogy nincs benne _elrejtett_ backdoor. Ha nekem nem hiszel, akkor meg mindig eloveheted a forraskodot, es auditalod, hogy nincs-e benne disznosag. Namost zart forraskodnal erre eselyed nincs. Mokas is, ahogy az apple ios-nek csufolt os-eben az apple szerint diagnosztikai funkciok vannak, mig a kutatok szerint meg backdoor az apple-nek, meg a 3 betus kemszervezeteknek, ezekrol tudunk. Es ki tudja, ezen felul meg mi van benne?
A manyeyeballs-t nem hoznám fel érvnek az OpenSSL és hasonló fiaskók után.
miert, hogy is fedeztek fel ezeket?
--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)
- A hozzászóláshoz be kell jelentkezni
/o\
> en meg kijelentem, hogy nincs benne _elrejtett_ backdoor.
Ugyan kijelentheted, csak semmi alapod nem lesz rá, miután nem nézted át a kódot.
> eloveheted a forraskodot, es auditalod, hogy nincs-e benne disznosag
Generic manyeyeballs bullshit. Nem veszed elő, mert nem értesz az összes lehetséges programnyelvhez és technológiához, amit alkalmaznak. Nincs végtelen időd és erőforrásod, stb.
> Namost zart forraskodnal erre eselyed nincs
Technikailag igazad van, de mint látod, ez csak hipotetikus kérdés, mert az open source cuccok túlnyomó része sincs auditálva, még ha az elvi lehetőség meg is van.
De tudod mit, mondok egyet. TrueCrypt. Kérlek, adj garanciát arra, hogy nincs benne semmilyen backdoor.
- A hozzászóláshoz be kell jelentkezni
nem kell konkretan neked atnyalaznod csillio loc-ot, vannak olyan cegek, amelyek ertenek hozza, ez a munkajuk (resze). Tehat ha neked papir kell az x termekrol, akkor vannak opcioid.
Az meg ne zavarjon meg, hogy csillio floss termeket senki nem nez at ebbol a szempontbol, mert ez csak annyit jelent, hogy a juzereket ez a szempont nem erdekli (annyira, hogy aldozzanak is ra idot/penzt/...). Tovabba, ha engem erdekel is a floss projektek backdoor affinitasa, nyilvan csak azokat a kritikus projekteket fogom audital(tat)ni, amelyeket hasznalok is. Ha pedig a kezedben a forraskod, akkor valoszinuleg effektivebb lehet a backdoor kutakodasod is.
Szoval mondom, egy floss termeknel vannak opcioid, mig egy zart forrasu termeknel zero, es jobb ha az EULA-ban megkeresed azt is, hogy nem-e szegsz szerzodest, ha pl. benchmark eredmenyeket, vagy barmit is publikalsz az y zart forrasu termekrol.
--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)
- A hozzászóláshoz be kell jelentkezni
Tehát nem tudtál garanciát adni a TrueCrypt backdoor-mentességére.
Innentől szerintem hanyagoljuk a vitát, mert úgyis parttalan. Azt mondtad, kijelented bármelyik FOSS projektről, hogy nincs benne backdoor. Úgy néz ki, mégsem ilyen egyszerű.
- A hozzászóláshoz be kell jelentkezni
Nem ugyanaz - a folyamatot kell garantalni! Semmi nem tokeletes, sem a Truecrypt, sem az Microsoft termekei, sem mas cegek termeke. Pont ezert csak egy dolog szamit: a folyamatok, amelyek azt garantaljak, hogy a megfelelo iranyba halad!
"folyamatkent garantaljak, hogy senki keresere vagy parancsara ne lehessen trojai falo egy uzleti szoftverbol.
- A hozzászóláshoz be kell jelentkezni
Nem nem, ő konkrétan azt ajánlotta, hogy "megmondod, hogy melyik nyilt forraskodu projekt erdekel, en meg kijelentem, hogy nincs benne _elrejtett_ backdoor."
(Ebben a threadben) nem volt szó folyamatokról, sj konkrétan azt a kihívást dobta fel, hogy ő kijelenti hogy nincs backdoor egy adott FOSS projektben. Érted, még bizonyítani sem igazán kellett volna, elég lett volna simán kijelenteni, de az sem sikerült. :)
- A hozzászóláshoz be kell jelentkezni
Esetleg nezd meg a thread elejet, mire kerdeztem ra...
- A hozzászóláshoz be kell jelentkezni
Itt kettőtökkel vitatkozom (veled és sjvel), ráadásul nem is ugyanarról. Ami nem baj, de attól, hogy beposztolod ugyanazt az sj-vel folytatott beszélgetés alá is, még nem fogok mást írni, mint amit eddig is. Neked is válaszoltam, és fogok is, a megfelelő threadben.
- A hozzászóláshoz be kell jelentkezni
"Namost zart forraskodnal erre (auditalasra) eselyed nincs."
"az apple ios-nek csufolt os-eben az apple szerint diagnosztikai funkciok vannak, mig a kutatok szerint meg backdoor"
Navarj, akkor most van esely vagy nincs?
- A hozzászóláshoz be kell jelentkezni
Általában a backdoor-t nem úgy rakják be a szoftverbe, hogy
void backdoorCommands(String tcpInput)
{
if( "TakeControlOverTheComputer".equals( tcpInput ) )
takeControlOvertTheComputer();
}
Magyarul nem elég a forráskódot látni, a hálózati kommunikációt is figyelni kell, hogy lássák milyen kérések jönnek és mennek. Egy biztos: könnyen és jól olvasható backdoor-t nem fogsz semmilyen kódban találni.
- A hozzászóláshoz be kell jelentkezni
Nem erolkodni kell, hanem folyamat szinten megszuntetni a lehetoseget a hibazasra, majd konnyen ellenorizhetove tenni (masok szamara is), indulasnak:
http://www.combex.com/papers/darpa-report/html/
Nehany dicseretes MSR (vagy azon alapulo) kezdemenyezes:
http://research.microsoft.com/en-us/projects/fstar/
http://www.mitls.org/wsgi/home
http://research.microsoft.com/en-US/events/seifday2014/ball_seif2014.pdf
- A hozzászóláshoz be kell jelentkezni
szerintem arra gondolt, hogy a torrentröl letöltött (tehat ingyenes) windows isokban sokszor van valami huncutsag!
- A hozzászóláshoz be kell jelentkezni
de az max. ugy szabad szoftver, hogy szabad (sic!) letolteni...
--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)
- A hozzászóláshoz be kell jelentkezni
szabad != lehet
- A hozzászóláshoz be kell jelentkezni
ingyenes vagy nem?
- A hozzászóláshoz be kell jelentkezni
Azt vedd figyelembe, hogy írásban nem jön át a cinikus hangnem. :) (Vagy komolyan gondoltad, amit írtál?)
- A hozzászóláshoz be kell jelentkezni
/o\
Jajjaj, ez most szarkazmus volt?
- A hozzászóláshoz be kell jelentkezni
:))
Másrészt nyitott kapukat dönget az LMP, mert ugye elindult egy nem kis volumenű migráció szabad szoftverekre. Vagy ők úgy gondolják, hogy 2 hónap alatt le lehet zavarni azt' kész?
- A hozzászóláshoz be kell jelentkezni
Valamit márpedig nyilatkozni kellett, mert ott figyelt a tévériporter.
Más kérdés, hogy amikor egyszer nekem kellett volna a tévének nyilatkozni, akkor elpasszoltam a lehetőséget, mert (egyébként más témában, nyilván) én is csak valami ökörséget tudtam volna mondani.
- A hozzászóláshoz be kell jelentkezni
Ők szakértők, és értenek hozzá. Meg hát valamit mondani kellett, mivel erről Juliska néni a kis padon, meg Jocó a kocsmában nem tud, így náluk be kell vágódni, nehogy a következő választásig eltűnjenek a süllyesztőben.
- A hozzászóláshoz be kell jelentkezni
Úgy tűnik nekik is feltűnt a baki, jóvátették: http://index.hu/tech/2014/10/30/jo_a_szabad_szoftver_csak_nem_sok_koze_…
- A hozzászóláshoz be kell jelentkezni