» »

Kritična ranljivost v GnuTLS neodkrita skoraj devet let

1
2
3

Poldi112 ::

>Jype - ne blodi desetletje ste živeli z varnostno luknjo na odprti kodi, zdaj pa modruješ čez Microsoft, ki jih dokaj redno sproti krpa.

Na eni luknji delaš zaključke? A ni to malo, ne vem, smešno?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Poldi112 je izjavil:

>Jype - ne blodi desetletje ste živeli z varnostno luknjo na odprti kodi, zdaj pa modruješ čez Microsoft, ki jih dokaj redno sproti krpa.

Na eni luknji delaš zaključke? A ni to malo, ne vem, smešno?

Ne na eni luknji - imam stranko, ki uporablja 'open source' ssh server na Windows-ih, ki odkar je bil napisan pred 10+ leti ni doživel enega samega update-a.
Pri tem vsi vemo, da je na ssh bilo odkritih in odpravljenih vrsta varnostnih lukenj samo v zadnjih parih letih.

Potem se rabimo samo še vprašati, koliko je tega, kar si uporabniki zvlečejo z neta, ne da bi vedeli, kdaj je bilo napisano, kdaj se je nazadnje posodobilo in če zadevo sploh še kdo vzdržuje. Da o tem, koliko varnostnih lukenj zadeva skriva, sploh ne govorimo.

Ko govorite o odprti kodi, je vedno govora o samem core Linuxu, ki je še kolikortoliko vzdrževan s strani podjetij, ki izdelujejo distribucije. Pozabljate pa na nešteta odprtokodna orodja, ki niso del nobene distribucije, ki jih nihče ne nadzira, v katerih je lahko dobesedno 'karkoli' skrito.

jype ::

SeMiNeSanja> Ampak res čudno, da po xx letih uporabe Microsofta, kot napredni uporabnik nisem imel z njim popolnoma nič več težav, kot z opevano odprto kodo.

Ni čudno, da po xx letih uporabe Microsofta še vedno ne veš, kdo vse je in your code, pwning all your base. Ni čudno, ker ne samo, da ne moreš - ni ti dovoljeno vedeti.

SeMiNeSanja> Ne na eni luknji - imam stranko, ki uporablja 'open source' ssh server na Windows-ih, ki odkar je bil napisan pred 10+ leti ni doživel enega samega update-a.

To praktično dokazuje, kako zanič je prosto programje. Nekdo nekaj napiše, potem pa kar pozabi na to.

Pri zaprtem programju se kaj takega, da se reči ne bi posodabljale, nikoli ne zgodi.

SeMiNeSanja> Pozabljate pa na nešteta odprtokodna orodja, ki niso del nobene distribucije, ki jih nihče ne nadzira, v katerih je lahko dobesedno 'karkoli' skrito.

Ti pa pozabljaš na nešteta zaprtokodna orodja, v katerih _JE_ skrito karkoli, pa nikoli nihče ne bo izvedel, ker ne samo da je znatno bolj zajebano - nedovoljeno je.

Pozabljaš na neštete oblike zapisov, ki jih uporabniki ne morejo prebrat, ker jim je ponudnik zapisa, ki si lasti vse pravice do njegove uporabe, preprosto rekel, da naj odjebejo.

Pozabljaš tudi na to, da Linux teče na 90% vseh računalnikov in da Microsoft, velik kakor je, ne more ponuditi niti ene konkurenčne prednosti, hkrati je pa z zakonodajo prisiljen storiti praktično karkoli določena država od njega zahteva.

SeMiNeSanja> Potem se rabimo samo še vprašati, koliko je tega, kar si uporabniki zvlečejo z neta, ne da bi vedeli, kdaj je bilo napisano, kdaj se je nazadnje posodobilo in če zadevo sploh še kdo vzdržuje. Da o tem, koliko varnostnih lukenj zadeva skriva, sploh ne govorimo.

Skratka, tebi se zdi, da je obskurno orodje, potegnjeno z interneta, nevarnejše, če je zanj na voljo tudi izvorna koda?

Pavliha.

Looooooka ::

Bolje bi vedel, kaj uporabljaš in kaj plačaš in zakaj in manj bi bilo napihovanja. Pa imeli bi nekaj, kar je pri zaprti kodi po definiciji neizvedljivo.

Razen če si država oziroma dovolj velik, da se jim splača dokazati, da koda dela.
To, da Microsoft nikomur ne kaže kode je en velik mit :)
Grejo velikrat čez več testiranja kot večina odprte kode.
Point je bolj v tem, da je problematično to, da nihče za nič nikoli ne odgovarja...kljub temu, da se vsiljuje na razpise.
Pozabljaš tudi na to, da Linux teče na 90% vseh računalnikov in da Microsoft, velik kakor je, ne more ponuditi niti ene konkurenčne prednosti, hkrati je pa z zakonodajo prisiljen storiti praktično karkoli določena država od njega zahteva.

Razen tega, da dela in da ma za sabo goro programerjev, ki se bodo na koncu potolkli med sabo in ti hitreje/ceneje razvili željeno programsko rešitev?
Res nimajo nobene prednosti.
Pozabljaš tudi na to, da Linux teče na 90% vseh računalnikov in da Microsoft, velik kakor je, ne more ponuditi niti ene konkurenčne prednosti, hkrati je pa z zakonodajo prisiljen storiti praktično karkoli določena država od njega zahteva.

Kdor hoče delat za državo je prisiljen v isto. Linux ni tle nobena izjema.

Razlika je zgolj v tem, da mora država prej par papirjev podpisat, da jih lahko Microsoft toži če koda koda "pobegne" na internet.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

jype ::

Looooooka> Razen če si država oziroma dovolj velik, da se jim splača dokazati, da koda dela.

Nehajte se tolažit s tem - odkar je Snowden pobegnil v civilizacijo je več kot očitno, da je to bullshit.

Looooooka> To, da Microsoft nikomur ne kaže kode je en velik mit :)

To, da komurkoli kaže kodo, ki se potem dejansko izvaja, je pa slaba šala.

Looooooka> Grejo velikrat čez več testiranja kot večina odprte kode.

Ta šala je še slabša.

Looooooka> Razen tega, da dela in da ma za sabo goro programerjev, ki se bodo na koncu potolkli med sabo in ti hitreje/ceneje razvili željeno programsko rešitev?

Tej gori programerjev zelo slabo uspeva narediti karkoli uporabnega, sicer bi za resen biznis uporabljali Windows - pa ga nihče ne.

Looooooka> Kdor hoče delat za državo je prisiljen v isto. Linux ni tle nobena izjema.

Ja, je. Če ti ne razumeš, zakaj je izjema, to ne spreminja ničesar.

Looooooka ::

Kar se pa varnosti tiče...se pa vprašajmo samo to, koliko % uporabnikov skompajla gcc na roko. Ker točno toliko jih je lahko prepričanih, da vejo, kaj se dogaja z njihovo kodo.
Ostali lahko vse ostalo skompajlajo direkt iz sourca pa še vedno živijo v istem svetu kot folk na zaprtih sistemih.
Preprosto zaupajo, da je zadeva narejena korektno.
Tej gori programerjev zelo slabo uspeva narediti karkoli uporabnega, sicer bi za resen biznis uporabljali Windows - pa ga nihče ne.

In tvoja definicija resnega biznisa je?
Ker a veš če so programerji potem so očitno plačani za svoje delo. Torej nekdo to celo uporablja :)

Ta šala je še slabša.

Ker ni šala.

Zgodovina sprememb…

  • spremenilo: Looooooka ()

jype ::

Looooooka> Kar se pa varnosti tiče...se pa vprašajmo samo to, koliko % uporabnikov skompajla gcc na roko. Ker točno toliko jih je lahko prepričanih, da vejo, kaj se dogaja z njihovo kodo.

O varnosti "zaprtokodniki" očitno nimate najmanjšega pojma. Ni vam jasna razlika med hierarhijo in omrežjem zaupanja, skratka - ne poznate niti osnov.

Looooooka> Preprosto zaupajo, da je zadeva narejena korektno.

Zaupajo tisočem nepovezanih ljudi, ne pa enemu podjetju, katerega edini namen je ustvarjanje dobička.

Looooooka> In tvoja definicija resnega biznisa je?

Ah, ne vem, recimo Gazprom, Siemens, General Electric, razne banke, borze...

Looooooka> Ker ni šala.

O ja, pa je.

Looooooka> Ker a veš če so programerji potem so očitno plačani za svoje delo. Torej nekdo to celo uporablja :)

Mhm, ampak tako kot se vojska ne vozi naokrog v kliotih se nobena resna firma ne šlepa na Windows.

SeMiNeSanja ::

Jype tvoji komentarji postajajo vse bolj brezsmiselni.

Debata je bila o nevarnostih, ki SO v odprti kodi in ne o kakršnikoli primerjavi z Windows in ostalo zaprto kodo.

Če teb država naroči, da naj sprogramiraš neko odprtokodno solato, tu ni prav nobene verige zaupanja - tebi zaupati, da ne boš podlegel skušnjavi, pa od kakšnega velikega brata pobasal kovček denarja v zameno za peščico vrstic, ki jih boš skril v kodo, je definitivno težje, koz zaupati moji babici, da bo pravočasno vzela potico iz pečice!

Tudi če TI napišeš popolnoma čisto in brezhibno kodo - ravno zato ker je na voljo izvorna koda, lahko kdorkoli v verigi podleže skušnjavi in pred prevajanjem v izvršljivo kodo doda nekaj 'dobrot' - ki na koncu pristanejo na desktopih ali celo mobitelih celotne državne uprave. Kakor se malomarno dela, kaj takega sploh nebi bilo teško in verjetno še naslednjih deset let nebi nihče odkril.

Torej kje je potem prednost odprte kode? Janezek bo dodal par vrstic za 100.000€...pri Microsoftu bi to stalo znesek z najmanj sedmimi ciframi, pa še nezaupljivo bi gledali, kaj so dostavili.

Še en dokaz, da je open source cenejši...?
Če bi jaz bil NSA, bi točno vedel, kje je treba vsaditi bug - in se sploh nebi mučil z Microsoftom, dokler imaš na voljo razne Jype-te, ki jih lahko z enim kufrom kupiš.

jype ::

SeMiNeSanja> Debata je bila o nevarnostih, ki SO v odprti kodi in ne o kakršnikoli primerjavi z Windows in ostalo zaprto kodo.

Ne. Debata je bila o nevarnostih v _vsaki_ kodi, dokler ni nekdo (ki ni bil jype) načel debate o tem, ali je upravičeno trditi, da je odprta koda varnejša. Statistika jasno kaže, da je, ampak ker je to za nekatere ideološka tema, si niso mogli pomagat, da ne bi začeli stresat neumnosti.

SeMiNeSanja> Tudi če TI napišeš popolnoma čisto in brezhibno kodo - ravno zato ker je na voljo izvorna koda, lahko kdorkoli v verigi podleže skušnjavi in pred prevajanjem v izvršljivo kodo doda nekaj 'dobrot' - ki na koncu pristanejo na desktopih ali celo mobitelih celotne državne uprave. Kakor se malomarno dela, kaj takega sploh nebi bilo teško in verjetno še naslednjih deset let nebi nihče odkril.

Tako je. Hkrati pa drži, da je to pri zaprti kodi narediti bistveno lažje, saj je tam treba podkupiti samo enega človeka, medtem ko jih je pri odprtokodni skupnosti treba podkupiti nekaj sto.

SeMiNeSanja> Torej kje je potem prednost odprte kode?

Če očitno ne poznaš niti osnov, kako naj ti sploh razložim? Odprte kode ne prevaja v binarno obliko en sam človek na svojem računalniku v kleti - prevaja jih na tisoče, za vsako resno distribucijo vsaj par sto.

SeMiNeSanja> Če bi jaz bil NSA, bi točno vedel, kje je treba vsaditi bug - in se sploh nebi mučil z Microsoftom, dokler imaš na voljo razne Jype-te, ki jih lahko z enim kufrom kupiš.

Na tisoče kufrov in nobenega Snowdena? OK, če bi Linux samo ameriški patrioti razvijali, bi to kupil - pa ga ne.

Brane22 ::


Če teb država naroči, da naj sprogramiraš neko odprtokodno solato, tu ni prav nobene verige zaupanja


V bistvu je. Veriga z enim členom. Na eni strani država, ki zaupa izvajalcu, na drugi pa izvajalec.
S tem, da pri odprti kodi lahko to verigo obe strani po želji prepredeta in podaljšata.


Tudi če TI napišeš popolnoma čisto in brezhibno kodo - ravno zato ker je na voljo izvorna koda, lahko kdorkoli v verigi podleže skušnjavi in pred prevajanjem v izvršljivo kodo doda nekaj 'dobrot' - ki na koncu pristanejo na desktopih ali celo mobitelih celotne državne uprave.


Ne vidim, kako je to mišljeno. Ti daš od sebe kodo, ki je zazipana in podpisana. In kako potem se dodajo "dobrote", ki naj jih nihče ne bi opazil ?


Če bi jaz bil NSA, bi točno vedel, kje je treba vsaditi bug - in se sploh nebi mučil z Microsoftom, dokler imaš na voljo razne Jype-te, ki jih lahko z enim kufrom kupiš.


V bistvu je ravno NSAju pri zaprtokodnikih daleč lažje. Oni imajo dostop, ti ga nimaš. Nobenega kufra ni treba.
Pa vpleteni morajo biti tiho ko riti - sploh ne smejo reč, da se kaj dogaja.

darkolord ::

jype> Siemens

Vsaj Siemensa si verjetno po pomoti vtaknil tja, glede na to, da software za njihove industrijske krmilnike, ki furajo vse od vlakov do največjih tovarn in jedrskih elektrarn laufa skoraj izključno na Win. Pa kakšni CTji, MRIji pa podobne neresne stvari.

SeMiNeSanja ::

En banalen primer.....

Jype kot velestrokovnjak, ker pač drugega dovolj 'pametnega' niso našli, najamejo da 'popravi' gnil gonilnik za nek NAS, da bo zadeva končno delovala kot treba.

Big brother za to izve in Jype-u naredi ponudbo, ki jo ne more zavrniti (pri njemu bi morda že nov bicikl z ekstra natančnim GPS in hyper-fancy kamero zadoščal).

Jype zaviha rokave in gonilnik 'upedena' da ne piše samo na diske, ampak preko p2p pošlje še kopijo vsega zapisanega k velikemu bratu. Ali bo kdo vprašal Jype-a da naj pokaže kodo? Malo morgen - takointako jo nebi nihče razumel, poleg tega pa bi se source kmalu nekje 'izgubil' in nihče nebi vedel, kaj dejansko je v tisti izvršljivi kodi.

In če že ravno kdo kaj bluzi, se bo pa Jype zgovarjal, da je pisal 'ODPRTO kodo', ki jo pregledajo tisoči....? Dej nehaj ga srat Jype - toliko vrstic je v neštetih programih, ki si jih ni ogledal prav nihče drug, kot avtor sam. Če pa še pišeš namerno grdo kodo, pa si lahko prepričan, da bo minilo veselje do gledanja vanjo še tistemu največjemu paranoiku - ta bo potem raje šel sam vse skupaj na novo napisati.

Skratka ne blodi, da je vsa odprta koda 1000x pregledana, ker to velja izključno za vrh ledene gore. Če bi naročniki tvojih izdelkov znali prebirati in razumeti kaj piše v tvoji kodi, potem tebe nebi rabili, ampak bi stvar sami sprogramirali. Da pa bi najemali nekoga, da bi preverjal tvojo kodo, je pa tudi utopija, saj bi pregled stal najmanj toliko, kot samo programiranje.

Brane22 ::

SeMiNeSanja je izjavil:

Ali bo kdo vprašal Jype-a da naj pokaže kodo? Malo morgen - takointako jo nebi nihče razumel, poleg tega pa bi se source kmalu nekje 'izgubil' in nihče nebi vedel, kaj dejansko je v tisti izvršljivi kodi.


Tle bluziš 100 na uro. Ni treba nabijat brezveze. Če stranka hoče odprto kodo, jo ponavadi hoče z razlogom.
In ni mi jasno, zakaj naj bi se source "izgubil". Al to hočeš reč, da ima vsak jype pomagača v firmi pri stranki ?

SeMiNeSanja ::

Hočem reči, da ČE bi znali brati kodo, da Jype-te nebi rabili!
Tako bi jim lahko pod nos pomolil source od tetrisa, inštaliral pa kodo od trojanca in NIHČE nebi ničesar posumil.

Pa kaj misliš, da ima kar vsako podjetje programerje, ki bodo šli gledat kodo?
Ponavadi imajo enega admina, ki nima pojma o programiranju in mu je glavna preokupacija menjavanje tonerjev v tiskalnikih. 'Open Source' tu igra zgolj vlogo prestiža, tako, kot se bolj ali manj iz prestiža kupuje čim bolj zelene proizvode in čim bolj Bio živila.

Uporabnik na koncu pa lih ene toliko ve, kaj je v tisti njegovi kodi, kot ti veš, kaj je v onem Bio korenčku. Lahko ti podtaknejo bilokaj, bolj, ko bo zgledalo nemarno, bolj bo Bio (ali Open Source). Taka je realnost! Če trdiš karkoli drugega, sam sebe slepiš!

Brane22 ::

Ni res. jaz znam brat kodo, pa mi je to bistveno lažje, kot če bi jo šel pisat.

Pa kaj misliš, da ima kar vsako podjetje programerje, ki bodo šli gledat kodo?


Pa saj vsako podjetje tudi ne naroča pisanja programa. Tisto, ki ga, se lahko komot odloči za to opcijo.

Niti ni treba, da imajo težkega programerja. Tudi nekdo, ki tako malo pošpega v source lahko vidi marsikaj.

Uporabnik na koncu pa lih ene toliko ve, kaj je v tisti njegovi kodi, kot ti veš, kaj je v onem Bio korenčku.


Ni čisto res. Gentoojev folk se kar precej ukvarja z zadevami. Domnevam da niso edini in še zdaleč ne največji.

Mislim saj je fajn da poskušaš kritizirat, ampak za to moraš pa nekaj že vedeti.

Pogoj da se sploh lahko motiš, je da nekaj veš.

SeMiNeSanja ::

Lej, k se še kar izmikaš tistemu, o čemur govorim in skos zavijaš čisto drugam!

Govorim o bilokaterem programu, ki ga naročiš, da ti ga nek Jype izdela. Ti programi ne gredo nikamor na noben 'Gentoo' v kakšno presojo, ampak ti Jype-ti namestijo izvršljivo kodo, tebi pa v roke stisnejo en CD, s katerim si domišljaš, da si boš lahko mogoče kdaj kaj pomagal, če Jype-ta ne boš mogel našponat, da ti še kakšen popravek naredi (recimo, da ni bil happy s tvojo plačilno disciplino).

Ti pa stalno o programih iz nekih repozitorijev, distribucij,... - pusti to, ker imaš vseh sort programov, ki nimajo čisto nobene veze s tem.

Torej - kaj Jype-tu brani, da v kodi vpiše tempirano bombo, ki ti bo sesula mašino, če ne boš točno na dan xy poravnal svojih obveznosti do njega? Odprta koda? Aleluja - pa ja ne misliš, da boš prebrskal stotisoče vrstic kode (ob tem, da sploh ne veš, če je izvršljiva koda bazirana na tisti, ki si jo dobil na CD-ju!). Tudi če je, se da zlonamerno kodo tako skriti, da jo ne boš nikoli odkril, pa če dan in noč bediš nad kodo. Malo obfuskacije, malo po tabelah,.... nekaj čudnih spremenljivk....kvazi visoka umetnost programiranja, ki te lahko samo pusti ugibat, čemu vsa tista solata služi. In zdaj naj to dešifrira Lojze, za katerega je že višek znanosti nastaviti IP naslov na novem laserskem tiskalniku?

Ampak ja...glavno da na CD-ju piše 'Open Source'....c c c

Zgodovina sprememb…

jype ::

darkolord> Vsaj Siemensa si verjetno po pomoti vtaknil tja, glede na to, da software za njihove industrijske krmilnike, ki furajo vse od vlakov do največjih tovarn in jedrskih elektrarn laufa skoraj izključno na Win. Pa kakšni CTji, MRIji pa podobne neresne stvari.

Mogoče si se zmotil in si gledal samo konzole za to mašinerijo, ki tečejo na Windows.

SeMiNeSanja> Ampak ja...glavno da na CD-ju piše 'Open Source'....c c c

Ti si zdaj povedal, da v resnici je vse tisto, kar ni open source, v resnici sranje.

SeMiNeSanja ::

Ne - povedal sem, da ni čisto nobene razlike, ali imaš open source ali ne - vse ti je isto sranje, razen če nisi sam napisal, kar uporabljaš!

In res mi ni jasno, zakaj takoj podtikaš trditev, da hočem reči, da je open source zanič! (mogoče sam ne verjameš vanj?)

Samo da se nekdo obregne ob to, da Open Source ni 'superioren', neki kao totalno varnega, skoraj pravlično bitje, pa začnete s to svojo kampanjo.

Ne gre se za nič drugega, kot za kodo programja, ki je točno toliko dobra in poštena, kot je njen avtor.
Da je neka koda deklarirana kot 'Open' pa še nikjer ne pomeni, da jo je sploh še kdo razen avtorja kdaj pogledal - vi pa to neprestano trdite in grdo zavajate s to trditvijo.

Zgodovina sprememb…

jype ::

SeMiNeSanja> Ne - povedal sem, da ni čisto nobene razlike, ali imaš open source ali ne - vse ti je isto sranje, razen če nisi sam napisal, kar uporabljaš!

To ne drži - ampak ti veš bolje.

SeMiNeSanja> In res mi ni jasno, zakaj takoj podtikaš trditev, da hočem reči, da je open source zanič! (mogoče sam ne verjameš vanj?)

Nisi me razumel - praviš, da je zanič vse, kar _ni_ prosto programje. Predstavil si primer _zaprtega lastniškega programja_, le da si na CD nalepil "open source".

SeMiNeSanja> Da je neka koda deklarirana kot 'Open' pa še nikjer ne pomeni, da jo je sploh še kdo razen avtorja kdaj pogledal - vi pa to neprestano trdite in grdo zavajate s to trditvijo.

Ti pa ne veš niti tega, kaj prosto programje pomeni, kaj šele, da bi razumel postopke, ki pri prostem programju zagotavljajo varnost.

SeMiNeSanja ::

Daj razsvetli me! V Wikipediji je Open-Source definiran tako: Open-source software (OSS) is computer software with its source code made available and licensed with a license in which the copyright holder provides the rights to study, change and distribute the software to anyone and for any purpose.

Torej - kje piše, da ne morem mojo izvorno kodo zapeči na CD in napisati gor, da je 'Open Source'? Nikjer ne piše, KAKO mora biti koda biti dostopna, niti KOMU - zgolj in izključno, da mora biti dostopna - pa tudi če zgolj naročniku, ki se potem odloči sam, kaj bo počel z njo - torej jo študiral, modificiral, redistribuiral.

Daj končno nehaj že zavajati vse okrog sebe.

Res je, da obstajajo MOŽNOSTI, da se Open Source programi tudi certificirajo - ni pa to nikakor tudi pogoj!

Ales ::

Podjetja, ki nimajo internega znanja za vsaj splošen pregled kode, niti v življenju še niso slišala za zunanji audit kode, kar naenkrat veselo naročajo po meri narejen nekaj 100.000 vrstični odprtokodni softver...

Med ostalimi novicami pa poročajo o jati besnih jogurtov, ki je pristala na Brniškem vesoljskem iztrelišču in že četrtič ta teden preprečila pravočasen polet KamBusa na Mars.

Strokovnjaki zdaj menijo, da je vir težave AI virus, ki se je iz GnuTLS preko lopatke za mešanje mleka prenesel na nič hudega slutečo jogurtno kulturo. Red Bull je že pred tem zanikal vmešanost v afero.

Ampak, resno:

... Nikjer ne piše, KAKO mora biti koda biti dostopna, niti KOMU ...


Moraš vsaj približno vedeti o čem se pogovarjaš, sicer nima smisla. Ti pa žal ne izkazuješ tega.

SeMiNeSanja ::

Ne - vi zavajate izključno z določenim tipom odprtokodnega programja in se delate, kot da vsega ostalega sploh ni!

Zelo rad bi rekel, da se vam še sanja ne, koliko 'odprte kode' se programira mimo raznih 'community projektov', kjer eden sam entuzijast svoje znanje in prosti čas posveti izdelavi enega samega utility-ja. Žal pa to preklemansko dobro veste, da je tega kolikor hočeš in gre povsem mimo vseh tistih kontrol, ki so v velikih projektih. Kljub temu, pa en mali utility lahko naredi celo štalo.

Ko greš sneti tako odprtokodno reč z neta, ti nikjer ne piše, ali je to kodo še kdo pogledal. Lahko se zaneseš kvečjemu na priporočila na raznih forumih, pa še ta se nanašajo zgolj na uporabniško izkušnjo in funkcionalnost, ne pa na neke pregelede same izvorne kode.

Ker to preklemansko dobro veste, mi ni jasno, zakaj zavajate in trdite, da je vsa odprta koda pregledana in varna, ker temu definitivno ni tako!

Ali pa to potem po vašem ni 'Odprta Koda' in še ne vestem kako bi jo poimenovali?

Ales ::

SeMiNeSanja je izjavil:

... kjer eden sam entuzijast svoje znanje in prosti čas posveti izdelavi enega samega utility-ja ...
In taka koda se potem uporabi za ..? Za kaj? A se sploh uporabi za karkoli vsaj približno važnega?

Običajen zdrav razum pomaga pri tem, da na človeka ne pade klavir iz tretjega štuka ali da ne uporabi kode od sosedovega sedemletnega froca za krmiljenje zavor v avtu. Če pa že hodiš pod visečim klavirjem, pa se najbrž prepričaš v sorazmerno varnost takega početja. No, enako je tudi s kodo.

... zakaj zavajate in trdite, da je vsa odprta koda pregledana in varna ...
Ne vem no. Meni besne jate letečih jogurtov še vedno zvenijo bolj normalno od tega, kar ti trdiš. Zakaj? Ker je oboje izmišljeno, jogurti me pa vsaj zabavajo. In to ni prva tema, v kateri izmišljaš trdive nekih imaginarnih odprtokodnikov...

Ali pa to potem po vašem ni 'Odprta Koda' in še ne vestem kako bi jo poimenovali?
Obstaja dobro napisana in slabo napisana koda. In potem še vse to, kar je vmes med skrajnostima. Zakaj si se ti zapičil v slabo napisano odprto kodo, je samo tebi jasno. A če bi bila točno ta koda zaprta, bi postala kar naenkrat dobra? Odprto kodo lahko vsaj pogledaš ali pa rečeš nekomu, naj jo pogleda zate. Kaj boš pa naredil s slabo napisano zaprto kodo?

Hint: pravilen odgovor na zadnje vprašanje je: poimenuješ jo Internet Explorer 6 in objaviš celemu svetu... :))

Brane22 ::



Govorim o bilokaterem programu, ki ga naročiš, da ti ga nek Jype izdela. Ti programi ne gredo nikamor na noben 'Gentoo' v kakšno presojo, ampak ti Jype-ti namestijo izvršljivo kodo, tebi pa v roke stisnejo en CD, s katerim si domišljaš, da si boš lahko mogoče kdaj kaj pomagal, če Jype-ta ne boš mogel našponat, da ti še kakšen popravek naredi (recimo, da ni bil happy s tvojo plačilno disciplino).


OK. Se pravi, govoriš o one-off programu enega izvajalca za eno stranko. ne o tem gnuTLS primeru ali o čemerkoli kakorkoli javnem torej ?


Torej - kaj Jype-tu brani, da v kodi vpiše tempirano bombo, ki ti bo sesula mašino, če ne boš točno na dan xy poravnal svojih obveznosti do njega?


Zakon.


Odprta koda? Aleluja


Odprta koda bi v tem primeru bistveno olajšala aplikacijo ustreznih zakonskih določil,


- pa ja ne misliš, da boš prebrskal stotisoče vrstic kode


V bistvu bi jo lahko. Linux kernel je ogromen, pa v njem ponavadi najdem, kar iščem. Pa gre za _bistveno_ več kot stotisoče vrrstic sourcea.



(ob tem, da sploh ne veš, če je izvršljiva koda bazirana na tisti, ki si jo dobil na CD-ju!).


1. Easily solved. Ti lahko zavedeš tako source kot končni produkt ali pa celo vpelješ opcijo,d a ti dostaviš vsek, stranka pa samo flipne zadnji svič, ko njegov compiler prevede zadeve in sproducira binary.

2. V njegovem interesu je, da je. On je tisti, po katerem potem lahko skačeš, da hočeš source.


Tudi če je, se da zlonamerno kodo tako skriti, da jo ne boš nikoli odkril, pa če dan in noč bediš nad kodo. Malo obfuskacije, malo po tabelah,.... nekaj čudnih spremenljivk....kvazi visoka umetnost programiranja, ki te lahko samo pusti ugibat, čemu vsa tista solata služi.


Če ne boš jedel kruha ki vsebuje podganje kakce, zakaj bi kupil source z drekom autorja ?

Ti imaš komot zahtev po določeni kakovosti sourcea. Kot jo ima recimo kernel, pa še mnogi drugi.



In zdaj naj to dešifrira Lojze, za katerega je že višek znanosti nastaviti IP naslov na novem laserskem tiskalniku?


V katerem vesolju je tak lojze tipičen uporabnik, ki pa hkrati zahteva svojega programerja in ima projekte od stostisočev vrstic ?

chironex10 ::

Source je rezultat dolgoletnega nabiranja znanja nekega developerja in poraja se mi vprasanje, ce tile (oprostite izrazu ampak to je dejstvo) izkoriščevalci, ki zahtevajo od developerja (zabitega, ce jim source res da, vec boste to poceli, manj bo vredno vaše delo) vse njegovo znanje, ali so tako striktni tudi ko pridejo v lekarno po tablete? Ali zahtevate od farmacevtske industrije, da vam izda vse postopke in kemikalije uporabljene pri izdelavi tablete, zato, da bi videli, da je varna, sicer je pa ne boste jedli? Ali pa bi jo morda dali za dodelati konkurencni firmi. Seveda ne.

(Joj, zdaj ste mi pa minirali presenečenje za OS pridigarje, ki sem ga imel pripravljenega ko bodo spet začeli tuliti o varnosti odprte kode. No ja, pa drugič.)

Zgodovina sprememb…

chironex10 ::

Poldi112 je izjavil:

>Jype - ne blodi desetletje ste živeli z varnostno luknjo na odprti kodi, zdaj pa modruješ čez Microsoft, ki jih dokaj redno sproti krpa.

Na eni luknji delaš zaključke? A ni to malo, ne vem, smešno?


Eni??? Lol poldi... daj pojdi si malo bugtraq pogledat no.

Aja pa da ne pozabim povedati, ce se kdo ni videl: od open sourca nimajo programerji prakticno nic napram zasluzkom, ki jih kujejo na njemu razni kustumizatorji, sistemci itd.

Zgodovina sprememb…

SeMiNeSanja ::

OpenSource advokati se pa znate tako sprenevedati, da kar glava boli.

Pa kaj vi ne živijo na istem planetu kot jaz? Programirate izključno za banke, kjer mogoče še kdaj kdo pogleda kakšno vrstico predane kode?

Dajte se malo nagniti skozi okno in pogledati realnosti v oči!

Pridigate, da naj si vsakdo navleče OpenSource do zadnje pore. 'Vsakdo' pomeni tudi vsaka trgovinica, vsako mikro podjetje, podjetja, ki z programiranjem nimajo ama nič skupnega, kot npr. neko pasje zavetišče.

Če zdaj direktor pasjega zavetišča najame neke Jype-te, da mu 'poštimajo' nek 'Open source' ERP, bo zagotovo šel sam prevajati vso godljo, preden jo bo namestil na svojem strežniku, pred tem pa še preveril vsako knjižnico posebej, da je res nespremenjena, prebral vso silno kodo ERP programja, da mu pri 'prilagajanju' niso kaj preveč 'prilagodili'?

Točno tako namreč namigujete v zgornjih postih - totalno zblojeno in nerealno farbanje raje!

Čisto vseeno je, ali je software Open ali Legacy - če si pasje zavetišče, lahko samo slepo verjameš, da bo zadeva delala tisto, kar pričakuješ od nje. Popolnoma nobene dodatne varnosti ti ne nudi ne ena, ne druga varianta.

Glede tega, da baje zakon preprečuje, da bi nek Jype vgradil tempirano bombo v software - tudi to ni res!
Zakon ne preprečuje ničesar - zakon zgolj sankcionira - pa še to samo pod pogojem, da boš uspel Jype-tu dokazati, da je res imel tempirano bombo ravno ON v svoji kodi. Ker pa si pasje zavetišče in ti še na kraj pameti ne pada, da bi sam prevajal kodo, bo edini dokaz CD s kodo, ki si jo dobil od Jype-ta - ki pa je lahko čista kot solza. Ker si zgolj 'pasje zavetišče', zagotovo ne boš ob crashu najprej šel klicati neke računalniške forenzike, ampak bo spet dežurni Jype tisti, ki ga boš klical in ga moledoval, da naj 'nekaj naredi'. Jasno, da bo pri tem odstranil lahko še zadnje sledove lastne krivde pri crashu.

Skratka, nehajte pridigati, da je OpenSource varen že samo zato, ker je OpenSource. Tudi Mercedes ni varen in zanesljiv zgolj zato, ker je Marcedes - tudi ta ti bo crknil, če ti bo nekdo natresel sladkor v rezervar!

Brane22 ::

@SeMiNeSanja:

ne razumem več kaj bluziš. Najprej je blo o userju ki naroča projekt od 100k+ linij in je ob tem totalen kreten, v bistvu skoraj opravilno nesposoben. Sedaj govoriš o nekih trgovinah itd.

LightBit ::

chironex10 je izjavil:

Ali zahtevate od farmacevtske industrije, da vam izda vse postopke in kemikalije uporabljene pri izdelavi tablete, zato, da bi videli, da je varna, sicer je pa ne boste jedli? Ali pa bi jo morda dali za dodelati konkurencni firmi. Seveda ne.)

Dobra ideja. Pa še zdravila bi se pocenila.

Brane22 ::

In BTW, na Linuxu imam kar nekaj zaprtokodnega programja.

Nimam problemov s tem. Dokler pač skrbijo da dela na mašini, OK.

Raje bi videl odprto rešitev a če te ni, fajn.

BigWhale ::

SeMiNeSanja je izjavil:

OpenSource advokati se pa znate tako sprenevedati, da kar glava boli.


A dej no nehaj! Nabijas ze cel dan tle, cist za brez veze. Mene pa glava boli. Nihce ni nikjer trdil, da pa s tem bugom ni nic narobe.

Bug se je nasel in se je popravil. Ker je stvar open source se lahko drzimo za glavo, da je toliko casa trajalo. Smo pa veseli, da se je stvar popravila.

Derailment celotne teme na prepucavanje o open vs. closed source se je pa zacel z MrSteinovim postom (presenetljivo, a ne? ;>) https://slo-tech.com/forum/t603012/p435...

Povsem brez potrebe. Nikjer nihce ne trdi, da je open source neka garancija za dobro napisano kodo. Kar je Jype hotel povedati, je samo to, da se tak bug v open source zadevi lazje najde (pa cetudi traja deset let) kot v closed source zadevi. In to je povsem res.

In kakor je debilno trditi, da je open source varen zgolj samo zaradi tega ker je open, je se bolj debilno trditi, da je pa closed source varen zato ker je closed.

Tvojih 0.0001% (al kolk ze) programerjev, ki znajo najti in popraviti taksno luknjo, closed source stvari sploh pogledati ne morejo. Poleg tega pa prav tako nimas nobene garancije, da je eden izmed tistih 0.0001% programerjev zaposlen v firmi, ki je naredila closed source resitev. Kaj pa ce ni? Kdo pa potem pregleda tisto kodo?

Ne closed source in ne open source ne dajeta neke magicne garancije, da je koda dobra. Kaj sele, da bi dajala kaksno magicno odskodninsko garancijo. Ce ti crkne closed source software, potem avtorja ne mores toziti za izgubo podatkov in isto je z open source.

Invictus ::

Kako star bug se odkrije, niti ni pomembno. Večina starih bugov je tako ali tako precej obskurna in za povprečnega uporabnika neškodljiva.

Kar se tiče bugov, je razlika med odprto in zaprto kodo sledeča ...

Pri odprti kodi se vedno najde nekdo, ki mu je izziv odpraviti bug. Tako se lahko bug, če ni preveč zafrknjen in ne zahteva preveč popravkov na različnih delih, odpravljen tudi v enem dnevu.

Zaprto kodo si lasti podjetje. Minornih bugov, ki so ponavadi najbolj tečni, saj se prikazujejo na GUIju, nihče ne odpravlja. Tako da si stranke same naredijo razne workarounde. Večje buge odpravljajo pa skoraj na zahtevo, pri čemer je pogoj velikost stranke.

Sem tudi doživel da je IBM rešil PMR v 3 dneh. Sicer ni odpravil buga, ampak vsaj poskusili so :D. Drugače to lahko traja do naslednjega fix packa, ki je izdan vsake 3-4 mesece, ali pa še z manjšo frekvenco. Malo zoprno če ti ravno nek bug onemogoča implementacijo, ki bi po dokumentaciji morala lepo iti skozi ... Drugi vendorji pa niso nič kaj boljši. No, MS ima 14 dnevno izdajo popravkov, kar za veliko firmo sploh ni slabo.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

BigWhale - točno to si ponovil, kar že ves čas skušam dopovedati Jype-tom, ki ves čas vpijejo "OpenSource über alles!". It's all the same bullshit for an enduser!

Vse skupaj je tako, kot bi trdil, da je eden bog boljši od drugega.
Moti pa me, če Jype-ti potem tu trosijo izmišljene podatke in trditve, ki z realnim vsakdanom povprečnega podjetja/uporabnika nimajo popolnoma nič skupnega.

Moti me, da vsi Jype-ti vpijejo, da LAHKO preveriš vsako vrstico odprte kode - sami pa dobro vedo, da se jo lotijo brati izključno takrat, ko ima bug ali pomanjkljivost, katero skušajo odpraviti - kar pa nima nič skupnega s samo varnostjo kode in odkrivanjem lukenj v njej.
Ravno tako še nisem videl nikogar, ki bi si buildal kompletno Linux distribucijo iz izvorne kode - namestiš to, kar dobiš že prevedeno, prevajaš pa zgolj tisto, kar res moraš.

Jype-ti se obnašajo, kot da ga ni področja programiranja, kjer nebi bili eksperti - kar me potem čudi, da naši Jype-ti niso zgoraj navedene luknje odkrili že pred desetimi leti, ko se tako zelo na vse razumejo in vsako vrstico kode, ki jo namestijo vestno preberejo.

Moti me, da se potem končne uporabnike proglaša za 'opravilno nesposobne', če ne preverjajo checksume oz. hash source kode in jo sami ne prevedejo - kot to še celo Jype-ti sami ne počno.

Eno samo farbanje in svetohlinčenje, ki s samo realnostjo vsakdana v pasjem zavetišču nima popolnoma nič skupnega!

Brane22 ::

SeMiNeSanja je izjavil:


Moti me, da vsi Jype-ti vpijejo, da LAHKO preveriš vsako vrstico odprte kode - sami pa dobro vedo, da se jo lotijo brati izključno takrat, ko ima bug ali pomanjkljivost, katero skušajo odpraviti - kar pa nima nič skupnega s samo varnostjo kode in odkrivanjem lukenj v njej.



Pa saj ni treba da se vsak user ukvarja z vsako vrtico vse kode. precej pomeni to, da se mnogi ukvarjajo z veliko vrsticami kode v svojih projektih in da imaš tudi ti to možnost.Vedno imaš nek "web of trust". Ni pa vseeno kako ta web zgleda in kakšne so možnosti kontrole.

Ko je prišel tanov gcc v seriji, ki me zanima, sem si ga scompilal sam. No, potweakal recept zanj.
Na Gentooju ga ni bilo še nekaj časa, ker je del teama, ki se ukvarja s tem, čakal na neke patche.

Se pravi, ni čisto tako da folk pač samo pograbi kar pade pod roko.


Ravno tako še nisem videl nikogar, ki bi si buildal kompletno Linux distribucijo iz izvorne kode - namestiš to, kar dobiš že prevedeno, prevajaš pa zgolj tisto, kar res moraš.


Jaz si jo vedno. Scompilam kernel in vse ostalo.


Moti me, da se potem končne uporabnike proglaša za 'opravilno nesposobne', če ne preverjajo checksume oz. hash source kode in jo sami ne prevedejo - kot to še celo Jype-ti sami ne počno.


Gentoojev portage to počne sam. Kaj si hotel, da na roko preštevam bitke in abakusom na kroglice preverjam pravilnost binarnih kalkulacij ?

jype ::

SeMiNeSanja> It's all the same bullshit for an enduser!

Ne, ni.

SeMiNeSanja> LAHKO preveriš vsako vrstico odprte kode - sami pa dobro vedo, da se jo lotijo brati izključno takrat, ko ima bug ali pomanjkljivost, katero skušajo odpraviti

To ni res. GnuTLS ranljivost se je ugotovila, preden se je za ta bug vedelo, kar meni očitno pravi, da lažeš. V resnici se velika večina varnostnih težav z odprtim in prostim programjem reši zaradi pregledovanja izvorne kode, ne zaradi krpanja že zlorabljenih ranljivosti.

SeMiNeSanja> Ravno tako še nisem videl nikogar, ki bi si buildal kompletno Linux distribucijo iz izvorne kode - namestiš to, kar dobiš že prevedeno, prevajaš pa zgolj tisto, kar res moraš.

Tudi to ni res, hkrati je pa tudi praktično vsaka vsaj približno resna že prevedena distribucija avtomatično poskrbi za to, da je nameščeno programje resnično prevedeno iz objavljene izvorne kode.

SeMiNeSanja> Moti me, da se potem končne uporabnike proglaša za 'opravilno nesposobne', če ne preverjajo checksume oz. hash source kode in jo sami ne prevedejo - kot to še celo Jype-ti sami ne počno.

Seveda počnemo to. Približno 10 let po tem, ko je vsaka resna odprtokodna distribucija to počela avtomatično, je to začel početi tudi Microsoft, si moreš misliti - le da je v njegovem primeru zaupanje stvar enega samega podjetja, ki lahko kakor mu drago in ki mora kakor žvižga NSA.

SeMiNeSanja ::

@Brane22 - Razumi, da TI nisi END-USER!

END USER je pasje zavetišče, vrtec za vogalom, trafika na koncu ulice, avtomehanik v sosednji vasi, pek ob glavni cesti,............

NIHČE od teh ne bo prevajal in gledal kode, tako kot to tudi ne bo počela tvoja mama ali staramama.

Kar se pa programerjev tiče, sem jih že toliko malomarnih videl, ki niso imeli tri čiste, kar se tiče varnosti, da je vsa ta debata prav smešna. Mogoče v velikih programerskih hišah še nekako uspete vzdrževati nek red in nadzor nad tem kar se dela - ampak dajte pogledat malo čez plot, pa povejte koliko je tistih 'freelancer-jev' in 'one-man band-ov', ki stranke nategujejo, kaj da so neki hudi programerji, v resnici pa pogosto sami ne vedo, kaj počno.

Spari takega 'genijalca' s pasjim zavetiščem, vrtcem, trafiko, pekom,...., pa imaš varnostno luknjo, da lepšo ne moreš imeti - pa nima veze, ali je koda odprta ali ne. In ravno takih uporabnikov je največ - vi pa filozoforate, kot da ima vsako podjetje nekega programerja, eksperta za inf. varnost in ne vem kaj še.

jype ::

SeMiNeSanja> Spari takega 'genijalca' s pasjim zavetiščem, vrtcem, trafiko, pekom,...., pa imaš varnostno luknjo, da lepšo ne moreš imeti - pa nima veze, ali je koda odprta ali ne. In ravno takih uporabnikov je največ - vi pa filozoforate, kot da ima vsako podjetje nekega programerja, eksperta za inf. varnost in ne vem kaj še.

No, zdaj pa izračunaj, kolikšen delež programja je kompromitiran v tem svetu, v primerjavi s tistim, v katerem živiš ti - kjer imate poleg običajnih lukenj zaradi nesposobnosti programerjev, ki jih lahko odkrijejo samo strokovnjaki za pregledovanje strojne kode, ki jih je zagotovo manj kot tistih, ki znajo brati izvorno kodo, po državni dolžnosti nameščeno še dodatno luknjo popolnoma vsi, brez izjem.

Zgodovina sprememb…

  • spremenilo: jype ()

Brane22 ::

END USER je pasje zavetišče, vrtec za vogalom, trafika na koncu ulice, avtomehanik v sosednji vasi, pek ob glavni cesti,............

NIHČE od teh ne bo prevajal in gledal kode, tako kot to tudi ne bo počela tvoja mama ali staramama.


In taki bodo morali zaupati izvajalcu. Če je ta odprtokoden, potem je ta prevedel kodo. So what ?

BigWhale ::

SeMiNeSanja je izjavil:

BigWhale - točno to si ponovil, kar že ves čas skušam dopovedati Jype-tom, ki ves čas vpijejo "OpenSource über alles!". It's all the same bullshit for an enduser!


No, jaz vseeno pravim, da imas pri open source eno moznost vec, ki je pri closed source ni. :) In to je dovolj velik razlog, da dobi open source resitev nek 'edge' pred closed source resitvijo.

Sam sem sicer zagovornik tega, da uporabis whatever gets the job done. Ce pa imas dva enaka orodja, pa uporabis open source.

V nekaterih primerih, pa je open source, tudi ce je funkcionalno morda malenkost bolj inferiorna zadeva, vseeno boljsa izbira.

jype ::

Pri prostem programju se takele neumnosti ne dogajajo:

https://slo-tech.com/clanki/var01/var01...

Invictus ::

jype je izjavil:

Pri prostem programju se takele neumnosti ne dogajajo:

https://slo-tech.com/clanki/var01/var01...

Odprta koda vsaj ne povzroča samomorov ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

MrStein ::

Poldi112 je izjavil:

MrStein je izjavil:

MrStein je izjavil:

Taki bug se drugim ne more zgoditi.


Ups!

PS: Kako se je lahko zgodil, če pa je open source?

(ni kaj za dodat)


Glede na to, da je že to, kar si "dodal" 10x preveč, se bi kar strinjal.

EDIT: prevod za neposvečene: A lahko prosim dežurni krivci nehate svinjat resne teme s svojimi "omg, bug so našli, kako je to mogoče" izpadi?

prevod za neposvečene: V temo o podobnem bugu v Apple-jevem SW so eni, kako bi jih imenoval... aha: dežurni krivci trolali, "Apple bad" , "linux rewls" in podobno, na kar sem napisal svoj zgoraj citiram komentar.
Tu pa sem ga ponovil, ker se je izkazal za tako resničnega. Zadel žebljico na glavo. (pa tudi "stopil nekaterim mačkam na rep" zgleda)

And back to the regular program (ki je spet vrhunski, sklepam po številu komentarjev, prebrat jih še nisem imel časa).
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

jype ::

MrStein> V temo o podobnem bugu v Apple-jevem SW so eni, kako bi jih imenoval... aha: dežurni krivci trolali, "Apple bad" , "linux rewls" in podobno, na kar sem napisal svoj zgoraj citiram komentar.

Kdo pa je trolal? Ker jaz nisem, pa napaka, ki so jo odkrili, je bila odkrita s pregledovanjem izvorne kode - torej prej, kot če koda ne bi bila dostopna.

MrStein ::

Zanimivo, da si se prepoznal v opisu... >:D

Saj to je poanta. Apple koda je tudi dostopna.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

jype ::

MrStein> Saj to je poanta. Apple koda je tudi dostopna.

Ja, saj so našli napako. Če koda ne bi bila dostopna, bi jo težje.

Popravili je pa niso, ker koda, čeprav odprta, ni prosta.

BigWhale ::

jype je izjavil:

MrStein> Saj to je poanta. Apple koda je tudi dostopna.

Ja, saj so našli napako. Če koda ne bi bila dostopna, bi jo težje.

Popravili je pa niso, ker koda, čeprav odprta, ni prosta.


Hecna stvar pri vsem tem je, da niso bili Applovi ljudje tisti, ki so nasli napako. :)

Ales ::

SeMiNeSanja je izjavil:

END USER je pasje zavetišče, vrtec za vogalom, trafika na koncu ulice, avtomehanik v sosednji vasi, pek ob glavni cesti,............

NIHČE od teh ne bo prevajal in gledal kode, tako kot to tudi ne bo počela tvoja mama ali staramama.
Namesto njih to naredi linux distribucija. Poglej si vsaj, kako poteka izdelava paketov v Debianu ali Fedori. Vse od checksumov virov, podpisovanja paketov, itd. Vpogled je javen, katerikoli proces lahko sam ponoviš in preveriš, ali boš dobil isti rezultat.

Ti bluziš o stvareh, v katere je bila vložena gora časa s strani ljudi, ki imajo dejansko nekaj pojma o problematiki.

Če pa ubogo pasje zavetišče izbere nekega levega "programerja", ki jim napaca nekaj skupaj, pa to nima nobene veze z odprto kodo ali zaprto kodo. Ista stvar, kot če bi najeli zidarja, ki bi jim zgradil postrani zid. Moraš pač imeti nekaj možgan, da ne pade klavir nate, pa če si direktor zavetišča ali pa stara mama.

Ampak po mojih izkušnjah so lastniki pasjih zavetišč dovolj pametni za marsikaj, stare mame pa še posebej. Ne podcenjuj ljudi.

Zgodovina sprememb…

  • spremenil: Ales ()

chironex10 ::

jype je izjavil:

MrStein> V temo o podobnem bugu v Apple-jevem SW so eni, kako bi jih imenoval... aha: dežurni krivci trolali, "Apple bad" , "linux rewls" in podobno, na kar sem napisal svoj zgoraj citiram komentar.

Kdo pa je trolal? Ker jaz nisem, pa napaka, ki so jo odkrili, je bila odkrita s pregledovanjem izvorne kode - torej prej, kot če koda ne bi bila dostopna.


Med tem pa jo je 8 let zlorabljal nekdo, ki je ravno tako pregledoval izvorno kodo in ki sicer pri strojni kodi ne bi prisel nikamor zaradi preobilja informacij. Jype, da si ne bos nekoc ranil grla, ko se ti bo zlica med jedjo *puf* spremenila v vilico (ce bo ploscato bo lopata, ce bo spicasto bodo vile).

Vsa klobasa okrog varnosti odprte kode je eno navadno sranje, dejansko se gre Jypu in ostalim zagovornikom samo za eno stvar: tlaciti v svoj zep denarce za prirejanje sourcov, ki jih je spisal nekdo drug in jih sami niti nimajo interesa/znanja, kaksen if pa bodo ze znali popraviti, ce pa je problem trivialen in ima zakompliciran config file pa se toliko bolje, lahko zaracunajo vec za se manj dela. Na taksen preprost nacin pa sluzijo vec denarja kot avtorji. Tako zelo slovensko, da ze kar boli. Ker pa se danes tako ali tako meri kaj znas(/koliko si lep/koliko imas dolgega/...) po kolicini denarja, ki ga imas, dobijo pa taksni se neko umetno tezo, da lahko ""utemeljeno"" solijo pamet vsem po vrsti. Potem gre pa tako ali tako po poti snezene kepe, nalagajo se sloji in slopi hlapov v drugem agregatnem stanju in svet se vrti na nakladacih.

Zgodovina sprememb…

chironex10 ::

Aha sem nasel, tole je malo krozilo po emailih, lahko si pogledate celega ker je odlicen ampak bistvo je pa tule:


(mimogrede, tole je linuxaš (normalen za razliko od teh nasih tule), ki predava linuxasem na linuxaski konferenci in zadane BISTVO, ko neha govoriti o igrah si lahko ogledate še donacije ko zadeva postane open source)

Zgodovina sprememb…

chironex10 ::

Pa še touche de grace za linux administratorske zajedalce, dokazuje točno to kar vam mečem v obraz že več kot eno leto (pod različnimi nicki, da se ne boste matrali)

na 32:52:



sicer je pa tole njegov website: http://lunduke.com/

Zgodovina sprememb…

1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev (strani: 1 2 )

Oddelek: Novice / Varnost
7921813 (15462) Isotropic
»

Kitajski operacijski sistem že oktobra

Oddelek: Novice / Operacijski sistemi
3013235 (11292) Zvezdica27
»

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )

Oddelek: Novice / Varnost
5324861 (21863) bobby
»

Kritična ranljivost v GnuTLS neodkrita skoraj devet let (strani: 1 2 3 )

Oddelek: Novice / Varnost
13427673 (23231) jype
»

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Oddelek: Novice / Varnost
415928 (4306) McMallar

Več podobnih tem