Простите, мы говорим о том же Майкрософте который принудительно обновлял машины пользователей без уведомлений? Или у вас свой, сферический Майкрософт с блэкджеком? Или о тех компаниях, продукты которых требуют рутовых/админских прав якобы «для обеспечения нормальной работы приложения и защиты от несанкционированного использования»?

>И МС придется оправдываться, почему у них так.

не придется. Если проблемы в коде из «неофициальных источников», то проблемы не «у них», а у источников. Или придется доказать, что это тот же самый код.

> Вот именно. Кто способен дать гарантию, что система аудита кода в Дебиане предотвращает попадание закладок в апстрим? При их огромной пакетной базе, кто-то постоянно проверяет все миллионы строк кода?

Напоминаю историю с «трояном» в micq: http://lwn.net/Articles/22991/

Т.е. аудит проводится пост-фактум.

>Но чтобы их отбить, они хотят ущемить мои права - право получить качественный и безопасный продукт. Это печально.

Купи исходники. Или доработай исходные тексты под BSDL. Тебе никто ничего не должен. В т.ч. качественный и безопасный код, если ты не заплатил или не написал его сам.

В конечном счете получается, что я не могу поиметь результаты труда bsd-разработчиков, потому что они этого не хотят. Ведь если бы не было исходного bsd-продукта, не появился бы производный проприетарный проект.

В конечном счёте на улице хотят тебя ограбить, имеют права, а ты не даёшь это сделать. Ты нарушаешь права грабителей.

BSDL код открыт бери и пользуйся. Хочешь пропиетарного кода --- плати бабки.

Регулярно критикуемые иксы - отличный пример работы bsd-like лицензии.

Не вижу столманоугодного форка. Более того не вижу что бы FSF спонсировала разработку xorg. А не платите денег, жрите что вам дают.

Есть и те, которые дорожат своей репутацией.

Запомни, все поступают так как им это выгодно. Если им выгодно будет поступать честно отностительно тебя они будут это делать. А если нет то нет. // K.O.

И вообще слова репутация и проч придуманы маркетоидами для хомячков что бы прикрыть всю лицемерность бизнеса.

Монополисту на репутацию плевать.

Монополист = корпорация.

>И что?

Ты тупой тролль?! По условиям GPL код линкующийся с кодом под GPL должен быть открыт под GPL.

> За всю историю Линукса был только один анонимный патч (на wait4()), но его оперативно нашли и выкинули, так что ни в один релиз он не попал.

А теперь посчитай в ядре количество патчей от Василия Пупкина. Не ноль.

и то, потому что этот бэкдор никто не прятал, скорее даже наоборот. Если бы он явно себя не проявлял, то быть ему там еще неизвестное количество времени.

>Купи исходники. Или доработай исходные тексты под BSDL. Тебе никто ничего не должен. В т.ч. качественный и безопасный код, если ты не заплатил или не написал его сам.

Ага, в мире bsd юзер - говно, и ни на что он права не имеет. Зато при этом обязан платить и страдать.

В конечном счёте на улице хотят тебя ограбить, имеют права, а ты не даёшь это сделать. Ты нарушаешь права грабителей.

Вот это уже «фашистская» gpl. Корпорации хотели бы ограбить юзеров, сдирая бабки за воздух - а нет, фашист Столман тут как тут.

Не вижу столманоугодного форка.

Wayland же :-)

Запомни, все поступают так как им это выгодно. Если им выгодно будет поступать честно отностительно тебя они будут это делать. А если нет то нет.

Редхату, например, выгодно поступать честно, иначе он потеряет сообщество, дающее ощутимый вклад в разработку и тестирование.

M$ невыгодно поступать честно, потому что на репутацию монополиста всем пофиг, а на нечестной игре можно больше наварить.

Монополист = корпорация.

Хо-хо. И на каком же рынке является монополистом тот же редхат?

>Ты тупой тролль?! По условиям GPL код линкующийся с кодом под GPL должен быть открыт под GPL.

Не просто линкующийся, а лникующийся и распространающийся с gpl-кодом. С каких пор проприетарные блобы включают в официальные тарболы kernel.org?

>Ага, в мире bsd юзер - говно, и ни на что он права не имеет. Зато при этом обязан платить и страдать.

Любой имеет право на то за что платит, заплатил налогами получи код под BSDL. Хочешь больше плати.

Wayland же :-)

У тебя оно?:)

Редхату, например, выгодно поступать честно, иначе он потеряет сообщество, дающее ощутимый вклад в разработку и тестирование.

Фкурсе что в RHEL тонна прог и драйверов пропиетарных?

А на сабж уже можно водрузить какую-нибудь реализацию CL серьезнее Clisp?

>Не просто линкующийся

Просто линкуются. либо пруф.

>>Не передергивай. Не делай вид, что не видишь разницы между уязвимостями, обнаруженными хацкерами и закладок от разработчиков.

В винде есть и то и другое, все это знают. Так в чем значимость этой разницы в данном контексте?

Значимость в том, что очередным аргументом Линукса против Винды вида «у нас нет закладок» стало меньше.

Ага, ну поди посудись. «Это не мы писали, это Вася-студент. Чем докажете, что именно мы эту часть писали?

Достаточно того, что они гарантировали безопасность продукта в целом - тогда они отвечают за безопасность каждой строки кода.

Да ну! Правда что ли? Не думаю, что лицензия на корпоратвиную Шляпу отличается по ответственности от лицензии Винды. Как там в Винде? Ответственность перед убытками в виде 50 баксов, да? Наверняка тоже самое и в Красношляпе. Но в Винде есть кому что предъявить - одна компания код писала, а тут вообще некому.

О, так значит, я могу воспользоваться всем обилием gpl библиотек без каких-либо затруднений - просто завернув свою программу в пакет с соответствующими зависимостями?

Забавно... Недавно на technet.microsoft.com участвовал в дискуссии на ту же тему (собственно она ещё продолжается), можно посмотреть в разделе http://social.technet.microsoft.com/Forums/ru-ru/itru/threads в теме «Привет всем. Что вы думаете о принудительном переходе гос учереждений на Свободное ПО ?». Речь как раз шла о том, что в коде разных систем могут быть закладки... Активная дискуссия по этому направлению начинается с моего письма от 14 декабря 2010 г. 10:39, которое было ответом на письмо некоего Sergey2005 от 13 декабря 2010 г. 18:42. Интересно, это совпадение, или может кто-то из фанатов Microsoft зашёл на свой любимый форум, увидел то письмо, и организовал провокацию? Письмо Theo de Raadt датируется Tue, 14 Dec 2010 15:24:39 -0700, то есть уже после начала дискуссии, хотя с другой стороны он цитирует письмо, в котором стоит дата Sat, 11 Dec 2010 23:55:25 +0000, то есть - ещё до начала той дискуссии, если дата корректна (если письмо не было отправлено с датой за несколько дней в прошлом), то получается, что совпадение.

Эпичненький фэйл, да.

Погугли, например, по словам «microsoft coffee».

Дык это же вроде просто набор утилит которые фомируют отчет о системе. Дабы упростить жизнь хомячкам из органов. Не?

РЕШЕТО!!! то же мне тут OpenBSD то, OpenBSD сё

> Поверь, если найдут закладки, то МС будет не до судов за клевету. Они просто обанкротятся.

Так находили же уже лет 10 назад. google:// Microsoft NSA key.

Так что нет там закладок. Посоны за базар отвечают.

Типа один раз - не пи^W^W эээ ничего не значит?

Это вам не Линукс, где всегда можно сказать: «Это опенсорс - тебе никто ничего не должен, иди в эротическое путешествие». Даже судится за закладки не с кем.

Судиться за закладки спецслужб всё равно не с кем. Хотя даже и Микрософтом никто не стал судиться: по их официальной версии ключ только назывался NSA, а на самом деле был их собственным и к АНБ отношения не имел.

Чтобы судиться, надо доказать факт, что ты понёс ущерб от того что у тебя что-то украли, что сложно само по-себе, а во-вторых, какая корпорация признает, что у неё стырили важные данные.

ФБР разработала ряд бэкдоров и механизмов утечки ключей в подсистеме шифрования OpenBSD

ФБР

Большой брат и тут не даёт спуску :(

>О, так значит, я могу воспользоваться всем обилием gpl библиотек без каких-либо затруднений - просто завернув свою программу в пакет с соответствующими зависимостями?

Можешь. См. скайп http://www.google.com/#sclient=psy&hl=en&q=skype+dependencies&aq=0&aqi=g1g-v3...

на netbsd давно можно собрать sbcl

> практически полное отсутствие вменяемого аудита кода.

ты говоришь о том, о чем не знаешь и делаешь выводы на основе новости на лоре. так вот аудит кода как-раз является основной практикой в опене, на нее тратится очень много ресурсов. можешь погуглить доклады Тео на эту тему. каждый коммит должен получить не меньше двух аппрувов (часто - больше). я честно говоря не ожидал от тебя таких заявлений.

> A теперь вопрос, какой IPSEC-стек используется в других бсдишках, в частности, во фри?

опенбсдшный, конечно. он, кстати, вообще весьма популярен, разошелся и по многим коммерческим продуктам.

> в заголовках рассылки freebsd-announce, станет понятно, что они юзают. В OpenBSD, полагаю, все точно так же.

что-то я ни на одной встрече опенбсдшников не видел никого с другой ОС кроме Опена. короче, перестань брызгать слюной и 4.2чить, некрасиво.

Здесь тоже интересно написано: http://blogs.csoonline.com/1296/an_fbi_backdoor_in_openbsd

>OBSD дапра не спонсировала.

У Дарпы был совместный проект с университетом Пенсильвании, в рамках которого был выделен гранд на разработку Опена.

Абсолютно не обязательно встраивать лазейки. В любом крупном прожекте их и так хватает. И не все орут о них если обнаружат...

качай версию 0.01 там нет закладок. Инфа 100%

Ну мне кажется,что закладки должны быть именно в ядре,а не в одном из приложений из пакетной базы.

Нужна же гарантия,что у каждого эта закладка будет.

Сдаётся мне,что сообщество у Дениана довольно пытливое и иногда,но просматривают код.

Хотелось бы надеятся.

Куда страшнее за код SELinux, не думаю, что RedHat не пошло на сотрудничество с ФБР, скорее они - за.

Тут можно поспорить.

С одной стороны-крупнейший поставщик серверного дистра всем.

С другой,поставки шапки на биржи.Биржевики почему-то не выбрали самую безопасную систему в мире,а Шапку.

Или у шапки тоже разные ядра?

ядра то тоже разные бывают. Каждый патч что-то чинит, что-то ломает. В том же дебиане ядро ведь не ванильное? да и достаточно включить в какой-нить mysql или подобный распространенный сетевой пакет.

дело в том, что нужен очень нехилый скилл, чтобы обнаружить нормальный бэкдор, и времени потратить немало. этим должны целенаправленно заниматься профессионалы, часто по многу месяцев. глупо надеятся на мейнтейнера из демьяна.

> Лол ты не знаешь мат части. Они линкуются с GPL кодом в случае линакса.
Не линкуются. Ядерная часть драйверов Fgrlx и Nvidia открыта, а иксовая часть линкуется с X.org, если я правильно понимаю.
А может и линкуется, но Линусу пофиг.

>Ядерная часть драйверов Fgrlx и Nvidia открыта

Быстро и решительно исходники nvidia.ko фстудию!

А может и линкуется, но Линусу пофиг.

Ага типичный пример лицемерия лидеров GPL движения.

И шо теперь делать-то?!!!

О Бооожеее...

MenuetOS ?

типа там не люди кодят...

Бугого

Опенсорс такой опенсорс

>Даю 100 пудов, что после этого сообщение овер9000 кинутся проверять код, но так ничего и не найдут. Ибо все уже давно выпилили.

Будут искать в старых версиях. История-то коммитов есть

Экскурс в прошлое

один из известнейших криптографов и специалистов по проектированию безопасных систем, David Wagner как-то упомянул о том, что и лично он и даже большое криптосообщество может быть бессильно перед закладками в ОТКРЫТЫХ исходниках. По его оценкам грамотный, подготовленный злоумышленник, внедрившийся в комманду разработчиков, например GPG, может внедрить уязвимость, которая полностью позволит раскрывать весь шифрованный траффик и остаться незамеченной в течении по крайней мере двух лет. В случае обнаружения, уязвимость будет выглядеть как ошибка, а не злонамеренный код.

Теперь вспомним сколько «ошибок» принес этот год. С таким ахтунгом Ъ параноики должны юзать олд-стэйбл!

> А получаемые бинарники строго идентичны тем, которые распространяются M$ в коробочках с надписью Windows?

Вы идею не поняли. Надо и использовать *собранное* ядро, разумеется.

Если нет - значит, сорцы левые.

Что значит буква R в WRK, подсказать?

В конце концов, если так страшно жить, как в данном треде стонут, найдите самую редкоиспользуемую ОС и используйте ее - какую-нить Амебу :) Даже если там будут закладки ФБР, велик шанс что ими не воспользуются из-за того что данной ОС будут пользоваться 0,035 анонимуса :)

>>дело в том, что нужен очень нехилый скилл, чтобы обнаружить нормальный бэкдор

А с чего взяли что бэкдор именно программерского характера? Иметь математическую отмычку может сам криптографический алгоритм, лежащий у всех на виду, и знать об отмычке во всем мире могут только сами авторы математики-гении и нанявшее их ФБР.

Да ведь это же пиар братцы. Видимо всё плохо у опенБСД.

http://marc.info/?l=openbsd-tech&m=129244045916861&w=2 Всё переставайте дискутировать.

какие люди!

Опенсорс такой опенсорс

ну да, в клозет- сорце такого просто быть не может! Откуда это известно? Но ведь мы ничего такого про клозетсщц и не слыхали, правда? Постой-ка, или было, просто нам не доложили? Вот же разгильдяи, ну что сними делать?..

> С таким ахтунгом Ъ параноики должны юзать олд-стэйбл!

Параноики-то как раз юзают НЕПРЕРЫВНО изменяющееся -STABLE.

С одной стороны: в отличие от -CURRENT, острия разработки, есть некий уровень стабильности, позволяющий довольно продуктивно жить и работать; с другой стороны «ломающийся» код довольно быстро обнаруживает в себе изъяны и оперативно исправляется. В изменчивом мире со временем меняется буквально всё. И «закладкам», если они встроены давно с прицелом на будущее, тоже придётся изменяться вместе с легальным кодом, чтобы работать в новых условиях и не обнаруживать себя.

> Energizer

Ба! Сколько лет, сколько зим. Надолго в наши края?

Вот вам и ОпенСорс, господа присяжные. А кто там пускал трех метровую струю, что открытый код мониторят миллионы глаз и такое невозможно впринципи? Оказывается возможно.

Ну да, ну да. Как там эта дырка в ядре, я уж запамятовал, сколько, 10 лет лежала, пока не выложили сплоит и не доказали что она рабочая. А бага в реализации openssl из-за которой обновлялось все, включая torproject, в дебиане их за год вроде 2 было. Так, что да, согласен с стабильной веткой, но то что в нее занесли «вчера» могут откопать аккурат к 2012-му.