[Open Source][Security] Две разных позиции

http://en.wikipedia.org/wiki/Security_through_obscurity#Viewpoints

Сообственно интересно было-бы начать холивар по поводу того, какая позиция верная:

//fixed

Не, холливар не нужен, просто своё мнение и всё.

Как правило:
Проприетарное - оно более проприетарное, закрытое, красивое.
Открытое - оно более костылеобразное, открытое, уродливое.
(поскольку проприетарное обычно берут с торрентов, самое лучшее; а открытое - из того, что раздают всем)

открытость всегда позитивно влияет на безопасность. Читай классику что ли - Брюс Шнайер еще это писал. Безопасность должна гарантироваться математикой.

Я за закрытый код, но открытый (то бишь доступный всем) баг-трекер.

Тут есть еще два важных фактора:

а) Принцип Неуловимого Джо

б) кто ищет, тот всегда найдет.

И как показывает практика, безопасность кода в первую очередь зависит от квалификации разработчиков а не от лицензии.

++

+1.

К тому же, ))) уже поработав с проприетарным кодом немного, скажу вам, что особой разницы в разработке нет. И пожалуй один плюс - в свободном софте ГОРАЗДО меньше решений на один раз. Типа, чтоб щас вот работало, а потом хоть трава не расти.

потому-что

было-бы

Оба в школу, быстро. Споруны тут нашлись.

1) Если кому-нибудь будет очень нужно он декомпилирует любой проприретарный код, какие бы совершенные защиты не ставились. Даже Skype с его мега-крутой защитой от отладки и анализа уже почти поломали.

2) Когда человек пишет открытый код он понимает, что его код будет доступен всем. А значит не может себе позволить «а всё равно никто не узнает, что я значение XXX не фильтрую на входе - зачем волноваться то» и заведомо старается писать код без явных дыр.

Надо помнить, что будет сломано ВСЁ, что чисто физически можно сломать, если это кому-то будет нужно. Гарантию даёт лишь математическое доказательство, но никак не секретность механизмов работы приложения.

Поддерживаю

значок цитаты ты не заметил, сынок? быстро с лора нафиг свалил

проприетарное, закрытое, красивое

Лолшто?

А ты много чужих продуктов видел в исходниках?
Оно там красивое, да?

Я просто сидел кучу проприетарныз библиотек которые продаются строго в руки и стоят очень дорого, и почти всегда код был редкостным шлаком.
При том что это софт с сорцами «на продажу», что в остальном софте мне подумать страшно.
Единственный плюс - почти всегда есть документация, в отличии от опенсорца где часто надо до разработчиков в рассылке домогаться о том, что и как.

Ага, для безопасности просто супер.
Вася пупкин репортит сегфолт, и тут дружная толпа кулхацкеров делает эксплоит и ломает кучу компов.

А ты много чужих продуктов видел в исходниках?

Видел. Причем, за деньги люди стараются. Код на уровне. Впрочем, попадался и шлак.
А открывают только то, что не жалко, обычно.

Ну... он же не видит, что там в исходниках творится. А снаружи да, всё красиво, все костыли аккуратненько приставлены, где надо.

Все одинаково кривое. Дыры находят одинаково хорошо в открытом и закрытом софте, все зависит от его популярности.

Секурность состоит не в закрытости или открытости софта, а в том насколько быстро дыры закрываются. А это от открытости или закрытости не зависит.

С меня хватило нескольких месяцев общения с OracleDB, чтобы развилось стойкое отвращение к проприетарщине.

Да, тем кто считает, что в открытом коде проще дыры искать - ищите дыры в Chromium, и браузер лучше станет и денег гугл за это отваливает неплохо для наших краев.

Разумеется, в среде разработки/языке/фреймвёрке костыли слишком трудно спрятать. Но тот кто знаком лишь с пользовательскими приложениями (и то не очень глубоко) вполне может сказать, что проприретарщина «красивая». Только тольку от такой красоты не много.

С меня хватило нескольких месяцев общения с OracleDB, чтобы развилось стойкое отвращение к проприетарщине.

хихи. Оракл используется в 98% компаний из FORTUNE 500, а тут, значит, пришел русский дядя Вася и заявляет, что у него отвращение к бд Oracle. Ну не смешно ли?

Видел. Причем, за деньги люди стараются. Код на уровне. Впрочем, попадался и шлак.

В том коде который видел я проблема не совсем в людях.
А в том что в процессе развития продукта обычно меняется куча людей его разрабатывающих, и в итоге всякое legacy остается по принципу «работает не трожь».
Часто остаются куски с совершенно неактуальными комментариями или проверками.

Не говорю о каких то там офисах и подобному крупному софту, но вот в средний и мелкий я видел.
Может быть во всяких корпорациях есть стандарты и отлаженная схема проверки, но в большинстве средних и мелких контор все именно так.

А открывают только то, что не жалко, обычно.

Ну в открытом софте есть плюс в том, что большинство проектов большую часть своего жизненного цикла ведется одним разработчиком или группой разработчиков.
А в проприетарщине текучка большая, а потому каждый ведущий программист оставит обязательно что то от себя.

В коде всяких игр (автоматов, лохотронов и прочих встроенных лотерей) все вообще плохо.
Некоторые игры написаны вообще хрен знает когда, с ассемблерными вставками, конфигами в коде и при этом продаются за кучу кучу бабла.
А ещё к одной проприетарщине любят цеплять другую, и она уже обычно идет без сорцов из за чего приходится собирать это добро на старой винде в старой визуал студии и молиться чтобы оно заработало.
Какая нибудь там библиотека для работы с сетью, фирма которая её написала уже разорилась 3 года назад.

Ну уж лучше сидеть и искать в каком нибудь серверном ПО, ftp, apache или ещё в чем.
С этого профита больше :)

А еще на сиплюсплюсе пишут более 9000 высокооплачиваемых быдлокодеров, что не мешает мне питать отвращение и к нему.

хихи. Оракл используется в 98% компаний из FORTUNE 500, а тут, значит, пришел русский дядя Вася и заявляет, что у него отвращение к бд Oracle. Ну не смешно ли?

Нет, в использовании ПонтыDB ничего смешного нет.

Я скажу одно - openssh.

ясен пень, открытый код безопаснее

А теперь возьми и спроси тоже самое на ресурсе поклонения какой-то проприетарщине =)

в топике неправильные формулировки, неверные выводы, путанные понятия, так что вдоль.

автору, к сведению : проприетарный!=закрытый и свободный!=открытый.

de-facto если у системы закрыты исходники, то нарушитель имеет преимущества.

1. Безопасность - это процесс, а не готовый продукт.

2. Согласен с DNA_Seq в данном вопросе:

И как показывает практика, безопасность кода в первую очередь зависит от квалификации разработчиков а не от лицензии.

3. Кто не платит за безопасность, тот впоследствии вынужден расплачиваться за ее отсутствие.

Подразумевается идеальная проприетарщина, и идеальный опенсорс, т.е. например не учитывается вариант, что сорцы проприетарного продукта как-то утекут куда-то.

Вообще-то дыры в безопасности проистекают из неидеальности ситуации.

- Проприетарные продукты более безопасные, потому-что никто, кроме девелоперов, не видит сорцов.
- Свободные продукты более безопасные, потому-что сорцы видят все кто хотят, и залатывают дыры тоже всем миром.

Не так: - Проприетарное - если нашли дыру, ждите десять лет, пока автор соизволит её залатать. В противовес открытое: - Дыру залатают быстро. А даже если не залатают, то есть возможность залатать самому.

Короче говоря в двух случаях всё сводится к активности разработчиков или комьюнити. Но во втором случае всегда есть возможность взять дело в свои руки(для себя пару раз патчил по мелочи... хоть и не дыры, но баги) :)

лол. Я поработал год с ораклом и мне она очень понравилась. Не знаю откуда там отвращению взяться. Ну, не считая sqlplus без readline :(

Возможно, это просто отвращение к SQL бд :D

Ну... он же не видит, что там в исходниках творится.

Ошибки преобразования типов, форматирования строк и прочее великолепно ищутся на уровне бинариков, даже проще чем в исходниках.

Вы так говорите, как будто я прямо любитель проприретарщины и активно её защищаю. Я лишь пытаюсь объяснить позицию юзеров, которые утверждают, что проприретарщина красивая. Залезть в код - нет возможности (исходники закрыты), залезть в бинарник - знаний не хватает, увидеть фееричные глюки и нелогичности интерфейса - привычка не позволяет («я уже привык, что это кнопка здесь. ну и что, что она вообще к другому окну относится! она здесь и мне так привычно и очень удобно!»).

ну я даже не знаю откуда это отвращение. :) SQL очень полезная штука. Без него в некоторых задачах никуда.

все зависит от того, какая проприетарщина. Есть серьезные интерпрайз вещи, которые работают или идут с серьезным 24x7 суппортом, а есть говно, в котором проблемы вылезают на этапе ввода регистрационного кода и поддержкой типа «когда не забыл включить ливчат». Тут да, говно дело.