TIP: Přetáhni ikonu na hlavní panel pro připnutí webu
Názory ke článku Je open source opravdu bezpečný?
Tak dúfam že to neplatí pre všetky open source aplikácie pretože 100% toho čo v pc mám je open source :D
Onsi píše:
Tak dúfam že to neplatí pre všetky open source aplikácie pretože 100% toho čo v pc mám je open source :D
To sa neboj. Z 11 open-source projektov sa nedaju vyvodzovat vseobecne zavery :D
Co to porovnat naopak s Windows "předraženými" softwary? A jejich bezpečností? Co třeba hned Vista? Hned v prvních několika dnech se našli velice závažné bezpečnostní chyby. Ale o tom tady není zmínka, je tedy lepší investovat drahé peníze do Visty? Nebo raději vyzkoušet nějaký open source, který bude mít podobné bezpečnostní chyby, ale bude zadarmo? :D Zkuste nad tím zapřemýšlet. Ovšem nenamítám, že open source programy jsou bezchybné... ...každý chybujeme (ale Vista víc :D).
Reagoval na komentář od uživatele DarkLifeCZ : Já jsem s Windows Vista spokojený, neměl jsem zatím žádné problémy. Používám je od prvopočátku. Antivir nemám, pouze firewall.
Reagoval na komentář od uživatele DarkLifeCZ :
Přidávám se k Frostymu. Vistu mám už rok a žádný problém. V pozadí běhá jen firewall a ten MS Defender (anti-mallware)
Reagoval na komentář od uživatele DarkLifeCZ : No jistě, ale jak dlouho trvalo je opravit? A tyto opensource jsou "na trhu" už velmi dlouhou dobu a chyba typu SQL Injection je opravdu katastrofální.
Navíc. Odladit OS dá mnohem větší práci, než odladit jakoukoliv PHP app.
Používat absolutní počet chyb jako nějakou směrodatnou jednotku, zvláště v tomto případě, kdy od každého projektu stáhli a testovali, jak se ve zprávě píše, dvě až čtyři verze, se mi zdá naprosto mimo mísu.
Když se člověk podívá na ty statistiky, je vidno, že projekt Hipergate jasně v počtu problémů vede (Tabulka III) a obsahuje přibližně 30krát! více chyb než ostaní projekty. Tento efekt Fortify umocnili tím, že do průzkumu zařadily tři verze tohoto projektu, přičemž dvě jdoucí za sebou (3.0.26 a 3.0.30). Jestli se Hipergate řidí heslem "release early, release often", je velice pravděpodobné, že 3.0.30 vyšla za krátkou dobu po 3.0.26, a proto opravuje jen málo problémů (nejspíš dva, i když samozřejmě mohly ještě některé nové přibýt). Když si odečteme od celkového počtu problémů (Tabulka V) právě ty od Hipergate, zbyde nám z celkového množství 44233 problémů pouze nějakých 4651. Dostaneme se tedy na desetinu celkového počtu chyb. To se mi zdá jako znatelný úbytek.
Z těchto statistik se dá usuzovat jediné -- projekt Hipergate není ještě připraven k běžnému použití --, ale rozhodně bych to nezobecňoval na všechny open-source projekty.
Zajímavější by opravdu bylo srovnání s closed-source věcmi. Navíc pokud v závěrech stojí, že by se open-source měl v řešení chyb učit od nich.
Dávat takováto čísla v pléno je opravdu bezpředmětné, alespoň bez porovnání s klasickými uzavřenými aplikacemi. I tak by zde bylo dost místa na manipulace. Navíc každý, kdo se někdy pokusil udělat byť jen HTML/PHP stánku o několika desítkách řádek, ví, že i v něčem tak krátkém a jednoduchém lze nasekat desítky chyb.
Motto na závěr: "101% statistik je zfalšovaných."
DarkLifeCZ píše:
Co to porovnat naopak s Windows "předraženými" softwary?
Kvalita obyčejně nebývá zadarmo ;)
28. 7. 2008
Nemyslim si, ze by se z takoveho testu daly vyvozovat nejake zavery. Mozna o tech projektech samotnych, pripadne nekterych jejich vyvojarich. Nechapu proc zvolili zrovna tyto projekty a proc vysledky neporovnali s jinymi srovnatelnymi projekty. Nejspis jde jednoduse o test, ktery se jim "hodil do kramu".
28. 7. 2008
Tomáš Neumaier: SQL injection je vcelku velká chyba která hlavně vzniká z lenosti programátora...ostatně každá chyba v systému je nebezpečná
btw: tyhle testy/statistiky/výzkumy nebo jak to nazval jsou stejně o ničem...chybu člověk najde snad v každém SW(ať už open nebo closed source) jen closed source dává pocit falešnýho bezpečí což se mi zdá malinko horší
Reagoval na komentář od uživatele luky :
Souhlasím. Ani o jedné z těch aplikací jsem nikdy neslyšel, takže výběr programů také vypadá samoúčelně.
Reagoval na komentář od uživatele Zdeněk Večeřa :
Vistu nepoužívám, ale na XP jsem nedávno vyháněl suspenzorPC :-) ty wokna :)
Reagoval na komentář od uživatele Zdeněk Večeřa :
Opravdu si myslis, ze clovek, ktery programuje pro penize a nejradeji by delal uplne neco jineho, odvede kvalitnejsi praci, nez nadsenec, ktery by byl za svuj projekt ochotny "polozit zivot"?
1) Vista? Predrazene? Vzdyt Home Premium stoji neco malo pres 2000 Kc.
2) Mnozstvi SQL injection chyb me dost zarazi. Vzyt je to to nejjednoduseji opreavitelne co je...pri alespon trochu zodpovednem pristupu programatora tato chyba ani nemuze vzniknout. A desitky tisic jich? No fuj. (ni proti opensource jako celku)
3) Doufam ze udelaji nejaky test i desktopych aplikaci
4) Chyby typu sql injection jsou v open source jeste podstatne nebezpecnejsi - hacker pak primo vi, kam uderit.
5) Myslim, ze weby postavene na techo produktech ted cekaji krusne chvilky :)
Reagoval na komentář od uživatele CommanderZ :
1) A Ubuntu, lebo openSuse, ktore maju porovnatelne kvality ako Vista su zadarmo. Tak nie je to potom predrazene? ;)
2) Ber to s rezervou. Tieto projekty nie su velmi zname a casto nasadzovane. Skor mam pocit, ze autori tejto statistiky schvalne pouzili tie najderavejsie projekty
3) Aj ja dufam
5) Myslim, ze vela ich nebude :) V kurze su kvalitnejsie, preverene projekty.
Reagoval na komentář od uživatele Smokie :
1) Není to předražené, protože Windows není Linux a Linux není Windows zadarmo. Proto to nelze kvalitativně ani cenově srovnávat.
Reagoval na komentář od uživatele Smokie : Tak proc potom existuje komercni software, kdyz ani OS neni neco, za co by uzivatele meli par korun zaplatit?
28. 7. 2008
Reagoval na komentář od uživatele Podhy :
Někde jsem četl, že se někdo pomocí SQL injection naboural na anglický web Microsoftu :-)
Ondřej Šplíchal píše:
Reagoval na komentář od uživatele Zdeněk Večeřa :
Opravdu si myslis, ze clovek, ktery programuje pro penize a nejradeji by delal uplne neco jineho, odvede kvalitnejsi praci, nez nadsenec, ktery by byl za svuj projekt ochotny "polozit zivot"?
Ale existuje i skupina, která programuje za peníze a současně to je hobby. Je fakt, že u open-source je obvykle nadšení větší, ale i takový člověk má rodinu, hypotéku a potřebuje jíst. Časem ho to přestane bavit (anebo nebude mít podmínky). Ve vývoji pak (možná) pokračuje jiný nadšenec, kód se bastlí a bastlí... Nicméně, samozřejmě existuje i kvalitní open-source.
Zdeněk Večeřa píše:
Ondřej Šplíchal píše:
Reagoval na komentář od uživatele Zdeněk Večeřa :
Opravdu si myslis, ze clovek, ktery programuje pro penize a nejradeji by delal uplne neco jineho, odvede kvalitnejsi praci, nez nadsenec, ktery by byl za svuj projekt ochotny "polozit zivot"?
Ale existuje i skupina, která programuje za peníze a současně to je hobby. Je fakt, že u open-source je obvykle nadšení větší, ale i takový člověk má rodinu, hypotéku a potřebuje jíst. Časem ho to přestane bavit (anebo nebude mít podmínky). Ve vývoji pak (možná) pokračuje jiný nadšenec, kód se bastlí a bastlí... Nicméně, samozřejmě existuje i kvalitní open-source.
A hlavně existuje skupina, která programuje OpenSource projekty a je za to normálně placená (skrz nadace, sponzory, atp.). Případně spousta firem uvolňuje své projekty jako OpenSource.
Architekt píše:
...Případně spousta firem uvolňuje své projekty jako OpenSource...
Přesně tak, IMHO se tak 75% projektů otevře až ve chvíli kdy je program aspoň stabilní.
Reagoval na komentář od uživatele Jan Sedlák : Tak o tom dost pochybuju, ale je možný, že 75% stabilních projektů se otevřelo až když byly stabilní.
29. 7. 2008
hmm, necital som celu diskusiu, ale moj skromny nazor je: tvrdia ze OpenSource je nebezpecny, ale, do OpenSource moze zasahovat kdo chce, a teda je to urcite vacsi pocet developerov nez v uzavretej firme, z toho logicky vyplyva ze v OpenSource SW sa chyby odstrania skor (nez vo firme kde je v podstate rovnaky pocet ludi). Ak sa aj nahodou chyby neodstrania, stale bude mat developer plnu moc a silu zmenit to, co chce :)
Reagoval na komentář od uživatele FFF : A také z toho logicky vyplývá, že je pro každého, kdo rozumí programovému kódu daleko jednodušší chybu zneužít. Každá mince má dvě strany.
3. 8. 2008
Reagoval na komentář od uživatele Zdeněk Večeřa :
Idealisto. Firmy vyvíjející celosvětové komerční projekty si aspoň hlídají, kdo se na nich podílí a kdo za ně "pokládá život". To, že v open source projektech našli tolik SQL injections, svědčí akorát a jen o tom, že ti, kteří tam tyhle chyby zanesli, jsou naprostí diletanti, kteří pořádně programovat neumí (a se kterými by z firmy vyběhli), a druhak o tom, že open source projekty všichni používají, ale málokdo do nich přispívá a chyby v nich opravuje. Navíc firma s komerčním projektem se o něj musí starat a chyby opravovat, u open source je to jedno. Vyswmějou se ti a řeknou: "Máš to zadarmo, tak neřvi a dobastli si to sám." Osobně neznám mnoho open source projektů, které by mohly těm komerčním konkurovat. Pár výjimek je, ale jako šafránu.
Absolutní počty chyb v projektech o ničem nevypovídají, důležité je, aby tam těch chyb vzhledem k rozsáhlosti projektu nebylo moc, a aby se o projekt někdo staral, byla tam nějaká koncepce do budoucna, a hlavně aby se na chyby v rozumném čase vydávaly záplaty. Nadávat umí každý, vyvíjet kvalitní software neumí skoro nikdo.
6. 8. 2008
Osobně neznám mnoho komerčních projektů, které by mohly těm Open Source konkurovat.
Navíc firma s OpenSource projektem se o něj musí starat a chyby opravovat, u komerčního projektu je to jedno. Vysmějou se ti a řeknou: "Máš si koupit Vista, tak neřvi a starej se sám."
Reagoval na komentář od uživatele ... : Tak to toho opravdu moc neznáš.
10. 8. 2008
uz to tu bolo parkrat povedane tie cisla o nicom nevypovedaju. maximalne o pricine konania celeho prieskumu.
pochopil som to tak ze aplikacia ma x miest odkial je moze podat injection. v praxi to bude asi tak ze zranitelna je jedna dve triedy dohromady par chyb za ktore je zodpovednych par programatorov.
o co inak by vyzerala statistika keby povedala ze projekt xy ma zranitelnu jednu triedu a kod obsahuje 5 zranitelnych miest.
15. 8. 2008
vistu používam tiež, dokonca 64bit ale tento článok mi príde dosť hustý. Neviem nakoľko je to pravda, ale čítal som to už z viacerých dôveryhodných zdrojov. http://pocitace.sme.sk/c/4014751/bezpecnost-visty-je-na-lopatkach.html
15. 8. 2008
rovnako ako každá automatizovaná činnsoť závislá na ľudskom faktore (programátor) je náchylná na chyby, neexistuje bezchybná aplikácia. Čo sa týka opensource, ide o to, aký. Sú projekty, ktoré sú navrhnuté vynikajúco, majú čistý kód a prípadné chyby sú opravované takmer okamžite. na druhej strane sú projekty, kde je kód jeden veľký bordel a nevyzná sa v ňom už pomaly ani sám autor. Najčastejšie webové aplikácie v php, ktoré už pomaly píše a zverejňuje každý začiatočník.
Uzatvorené aplikácie sú na tom ale častokrát ešte horšie, len o tom z dôvodu uzatvoreného kódu nevie každý, ale výhradne tí, ktorý to zneužívajú ;-)
15. 8. 2008
Reagoval na komentář od uživatele Jakub Kulhan :
pod toto sa môžem rovno pdpísať!
Nejhorsi je Apple, Joomla, Microsoft...
http://www.swmag.cz/novinka/12/bezpecnostni-chyby-kralem-je-apple/
20. 8. 2008
Co se bezpečnosti open source projektů týče, co třeba počet kritických chyb v projektu OpenBSD? Se Solarisem je to nejbezpečnější operační systém. Jsou projekty a projekty, také si nekoupíte každý closed source program, na který narazíte.
Pokud jde o finance, většina větších a nějak významných projektů má za sebou nějakou velkou korporaci nebo nadaci, která jej financuje. Hlavní vývojáři bývají pak zaměstnanci této společnosti. Příkladem může být například Linux, kdy většina vývojářů jádra jsou zaměstnanci mezinárodních korporací jako je IBM. Tuším, že do roku 2004 IBM investovala do Linuxu 2 miliardy amerických dolarů. Zdá se vám tedy, že tito lidé strádají? Víte proč dříve Linux nechodil dobře na desktopu? Protože když reportovali chybu, která se děla na desktopu, vývojáři ji nebyli schopni opravit, jelikož měli ty nejlepší pracovní stanice, které se dali pořídit. Sponzorský dar. Na čem si myslíte, že tyto projekty testují? To mají snad tolik peněz, aby kupovali různé servery? Ne, to jim výrobci dávají HW zadarmo, aby si zajistili hladký chod tohoto SW na svém HW.
A pokud jde o rychlost využití chyby... Je dávno známo, že útočníci chyby nehledají, ale píší nebo aplikují postupy na chyby nalezené. Takže když někdo najde chybu v closed source programu, jen o tom napíše a útočník ji pravděpodobně zneužije dříve, než je vydána záplata. Ale pokud jde o open source, tak většinou spolu s popisem chyby napíše i záplatu, takže útočník už nemá co zneužívat v aktualizovaných systémech.
Já používám mimo jiné taky Visty 64 bit, ale rozhodně bych u nich neseděl jen s tou děravou havětí od MS, která jen předstírá, že něco dělá. Četli jste někdy testy antivirů nebo antimallware programů? Strašný propadák. Já sedím za Symantecem NIS, personálním firewallem Outpost a firewallem na gatewayi, což je OpenBSD. Nechápu, jak se někdo může považovat za odborníka a pak mít holé Visty s Defenderem...
2. 6. 2011
Reagoval na komentář od uživatele Martin T. :
Já nevim no, ale mám neaktualizovaný XP bez antivira a bez firewallu (maximálně NAT na modemu teda) Již několik let (třešnička na dortu, na FAT32 ještě :) a nemám bezpečnostní problémy... Pak ještě používám IE (pravda, bez aktivního skriptování takže mi ani warez sites nijak neublížej) a že bych byl úplná lama si zase nemyslim :)
