OpenSource=безопасность (так ли это?)

[Poor Fred]

У меня давно возник этот вопрос. Создать же тему подвигла статья Криса Касперски в октябрьском "Системном администраторе". Итак, к делу.

Мы все упрекаем Микрософт и других производителей софта в отказе открыть исходные коды. Одним из аргументов "вредности" закрытых кодов является невозможность проверить код на "чистоту" от "закладок", скрытых возможностей и просто вредоносного кода. Но скажите мне, о славные никсоиды, кто из вас проводит аудит кода программы, прежде чем собрать ее? И сколько из вас обладает компетенцией это код обнаружить и обезвредить? Особенно, если учесть что вредная функция, отсылающая, к примеру, все ваши пароли или еще что производителю, может быть "размазана" по десяткам включаемых файлов и иметь совсем безобидное имя?
Разумеется, можно рассчитывать на то, одна такая случайно найденная "закладка" может серьезно подмочить репутацию ее автора. Но кто из вас может перечислить всех авторов всех программ, установленных на вашем компьютере, чтобы оградить себя от скомпрометированного программиста? Да никто, думаю.
Другими словами, мы, приверженцы Open Source, исходим из посылки, что весь мир, а особенно опенсорсный, состоит заведомо только из хороших людей. А также, что уж если не я, то другие люди этот код наверняка проверили и "закладок" там быть не может в принципе. То есть, опять-таки расчет на хороших людей, которые оградят вас от супостатов.

Насколько уверенность в своей безопасности оправдана и действительно ли мы ограждены от от нечистоплотных кодеров больше, чем виндопользователи?

[elide]

Насколько уверенность в своей безопасности оправдана

уверенность в своей безопасности не бывает оправдана никогда. ты никогда не бываешь в безопасности. вокруг тебя нет людей, которым можно доверять. вокруг тебя нет техники, которой можно доверять. программу, которой можно будет доверять, невозможно написать даже теоретически.

действительно ли мы ограждены от от нечистоплотных кодеров больше, чем виндопользователи

действительно. но это ничего не меняет. уродов тут действительно меньше. просто потому, что уродские программы никогда не становятся достаточно популярными. а кроме популярности у OS вообще ничего нет.
но если тебе хоть когда-нибудь покажется, что ты в безопасности - прочитай это сообщение с начала.

[Poor Fred]

уродов тут действительно меньше. просто потому, что уродские программы никогда не становятся достаточно популярными. а кроме популярности у OS вообще ничего нет.

Опять же - вера в то, что уродов меньше или нет вообще. Кроме того, это может быть вовсе не уродская программа, а очень даже полезная. Но только вот с ма-а-аленьким таким довесочком...

[elide]

это может быть вовсе не уродская программа

вообще, наверное, может.
но дибилам, которые развлекаются созданием троянов и прочей фигни никогда не написать большую очень полезную программу. это не вера - это опыт.
т.е. вообще они, наверное, могут, но никто еще с таким не сталкивался. просто как-то повелось так, что серьезные дядьки закладками не занимаются, а несерьезные - не пишут серьезных полезных программ....
но, как я уже говорил, это ничего не меняет. в любом случае.

[Mixer[MsK]]

По крайней мере в OpenSource - продукте "закладку" есть возможность найти. Да, я искренне верю, что их там нет. Хотя бы потому, что решение такого рода вопросов в OS решается примерно так - "Не уверен?Ищи!". Да, я не мега-программер, который сможет перелопатить 20 Мб исходного кода и найти что-нибудь, но уже сам факт того, что в случае неуверенности будет возможность попробовать - не может не радовать.

[Poor Fred]

Да, я не мега-программер, который сможет перелопатить 20 Мб исходного кода и найти что-нибудь, но уже сам факт того, что в случае неуверенности будет возможность попробовать - не может не радовать.

Да-да. Сам факт возможности кем-либо проверить код греет и успокаивает.

[heil0]

После исправления мале-енького ворнинга программка убила мне udev... Поэтому в чём-то Бедный_Фред прав. Но возможность греет душу.

[Denjs]

Мы все упрекаем Микрософт и других производителей софта в отказе открыть исходные коды. Одним из аргументов "вредности" закрытых кодов является невозможность проверить код на "чистоту" от "закладок", скрытых возможностей и просто вредоносного кода.

Много буков... не осилил мысль аффтара... но разве для того чтобы найти закладку или "тому подобное" - для этого, что? - нужна СВЕРХ компетенция?! аффтор жжот неподеццки. имхо.

да, я не проверяю каждую программу... но язнаю что такие "маньяки" есть. более того - именно потму что такие маньяки хоть и единичны но есть и могут появляться самопроизвольно - производитель НЕ БУДЕТ закладывать в ОС -программу закладок - потому что их "очень-просто" обнаружить.

Я не считаю себя сверх-компетентным в C|C++. Более того - утверждаю что "программирование на 1С" вообще исполртило мой образ мышления и подход к написанию программ. но когда у меня сканер штрих кода работыл "не так" как мне надо в rdesktop (линукс-клиент терминальных служб виндоус) - я за 3 дня разобрался, внес нужные изменения в программу и перекомпилил rdesktop так что он заработал так как мне надо. я не считаю сто тут нужно что-то больше кроме институтского курса с++ и года работы "по специальности" (только ради того чтобы прописатья реалиями после теории института). КТО из тех кто читает эти строки не имеет подобного?

потому касперски взывает ..к кому? к "идиотам и лентяям", или к людям не имеющим никакого отношения к компьютерам вообще. с первыми все понятно, а последние так или иначе пойдут к "спецам" - к нам с вами. и "будут хавать" то что мы - сисадмины-эникейщики и "другие типа" будем предлагать.
Такими заявлениями - он пытается сменить "их мнение". изменить мнение людей "непонимающих ни-на-зги". и не более. дял того что бы самому не остаться без работы с минимальными телодвижениями.

делаю вывод - его статься не более чем очердная капля в пиаре. пиаре, направленом на спасение собственного бизнеса, стези, отрасли в которой он сейчас работает. и не более того. потому что если будут линуксы - много азных линуксов... он - касперский будет на грани банкотства.

По поводу доводов про безопасность и про то что никто не обнаруживает закладок потому что не ищет - читай первый абзац - производитель не будет этого делать потому что его в этом слишком легко уличить, а маньяки которые будет ковырять его код есть всегда. 2-х или 5-и " анонимных идиотов = маньяков" или несколько "хакерских групп", способных указать на строчки кода в исходнике - вполне достаточно на несколько коопрораций.

УГРОЗА - ХЛЕЩЕ НАПАДЕНИЯ

[Poor Fred]

Много буков... не осилил мысль аффтара... но разве для того чтобы найти закладку или "тому подобное" - для этого, что? - нужна СВЕРХ компетенция?! аффтор жжот неподеццки. имхо.

От помоев мозги бы очистил, может и осилил бы.

да, я не проверяю каждую программу... но язнаю что такие "маньяки" есть. более того - именно потму что такие маньяки хоть и единичны но есть и могут появляться самопроизвольно - производитель НЕ БУДЕТ закладывать в ОС -программу закладок - потому что их "очень-просто" обнаружить.

Очень-очень просто? Наверное потенциальные злоумышленники все сплошь такие идиоты, что в самом видном месте пишут:

Код: Выделить всё

function SendMeAllPasswords()

Сам-то пробовал разобрать какую-нибудь программу по "косточкам"? Или просто веришь?

[n2j2r]

Poor Fred
гм... а в какой программе например вы бы усомнились?
или же здесь предлагают вообще весь софт лопатить?

[heil0]

Poor Fred
гм... а в какой программе например вы бы усомнились?
или же здесь предлагают вообще весь софт лопатить?

Poor Fred абсолютно прав. В коде каких-нибудь монстриков скоро уже и не разобраться будет...
Опен-сурс на доверии.
Тем не менее, это лучше клятвенных обещаний сами знаете кого об отсутствии закладок...

[snake]

Poor Fred абсолютно прав. В коде каких-нибудь монстриков скоро уже и не разобраться будет...

↑

Тем не менее находят же уязвимости ядра, апача, сквида и прочих. Вы думаете что непреднамеренную ошибку ведущую к уязвимости найти много проще, чем закладку?

[Trueash]

Poor Fred
гм... а в какой программе например вы бы усомнились?
или же здесь предлагают вообще весь софт лопатить?

Poor Fred абсолютно прав. В коде каких-нибудь монстриков скоро уже и не разобраться будет...
Опен-сурс на доверии.
Тем не менее, это лучше клятвенных обещаний сами знаете кого об отсутствии закладок...

А они и не клянутся... так, отводят немножко глаза в сторону и говорят: "в некоторых первых версиях Windows были такие модули, которые собирали информацию о том, где она используется". Это, мол, компании было интересно узнать, как быстро и куда именно винда распространяется. Лично слышал от г-на Лановенко (он какой-то там пуриц в Майкрософт-Украина - то ли главный по ПР, то ли уже что-то покруче).

[diesel]

Речь идет скорее не о чистоплотности конкретного кодера, а о чистоплотности системы как таковой. Создавая свою программу вы в нее можете заложить огромное колличество закладок, только выкладывая ее на всеобщее обозрение со всеми потрохами, вы уже не застрахованы от того что кто-либо при каком-нить глюке не полезет копаться в исходный код, что для того чтобы добавить какую-либо функциональность кто-то не полезет копаться в исходный код(Я плохо знаю С, С++ и практически не копался в исходниках, в исходниках perl'овых модулей которые доводилось использовать - копался, дабы разобраться что оно от меня хотит И так в своей области делают очень многие.) ... и если он там ненароком обнаружит что-то непотребное новость быстро разнесется. Вы вспомните насколько быстро каждый из нас узнает о новых релизах софта, хотя об этом не пишут в газетах и не показывают по телевизору(например новость о выходе ИЕ7 я узнал из программы новостей (: )... сообщения об ошибках тоже очень быстро распространяются... если конечно вас это интересует.

С другой стороны, обеспечение безопасности само по себе это процесс... и просто установить Linux и думать что теперь я навсегда защищен от всех невзгод глупо

[Denjs]

Много буков... не осилил мысль аффтара... но разве для того чтобы найти закладку или "тому подобное" - для этого, что? - нужна СВЕРХ компетенция?! аффтор жжот неподеццки. имхо.

От помоев мозги бы очистил, может и осилил бы.

Уважаемый автор, я надеюсь вы таки правильно поняли мою мысль в отношении аффтарской стаьи которую вы процитировали.

Впрочем если "это наезд" и вы хотите померятся пиписками.. всегда пожалуйста.
"Хороший спор - дороже денег"

да, я не проверяю каждую программу... но язнаю что такие "маньяки" есть. более того - именно потму что такие маньяки хоть и единичны но есть и могут появляться самопроизвольно - производитель НЕ БУДЕТ закладывать в ОС -программу закладок - потому что их "очень-просто" обнаружить.

Очень-очень просто? Наверное потенциальные злоумышленники все сплошь такие идиоты, что в самом видном месте пишут:

Код: Выделить всё

function SendMeAllPasswords()

Сам-то пробовал разобрать какую-нибудь программу по "косточкам"? Или просто веришь?

Я может и не так крут , но... у меня к вам 2 вопроса почти "про опен соурс". скажите мне для начала...:

1) Вы когданибудь ковыряли "исходники типовых конфигураций 1С" ? ну там "Торговлю" или "Зарплату"? а типовые конфигурации от партнеров-франчайзи 1С ? вы когда нибудь пробовали разобраться с тем как формируется регламентная отчетность в Бухгалтерии? вот поковыряйтесь в этой "лапше" с полгодика, поразбирайте то как именуют функции наши доморощенные "1с-программеры", поймите недокументироыванный и НЕ структурированный код отчета или модуля по списанию себестоимости, поймите как строил работу системы давно уволившийся "недо-1с-программист" - а потом я посмотрю на то, будете ли вы бояться разбирать код какойнить программы на C/C++ в поисках закладки или в посиках "того почему оно работает не так как вам надо".

а мне приходится этим заниматься. таковы уж мои обязанности по работе.

и ещё -
2) Вы когданибудь пробовали заложить "закладку" в 1С-бухгалтерии? попробуйте заложить её так что бы я её не нашел... я вам ящик пива поставлю. и ещё спасибо скажу когда вы покажите мне КАК ЭТО МОЖНО СДЕЛАТЬ. потому как это будет "золотая идея" которую я смогу продать. или "очень хорошо" её использовать. не однопоколение франчази не один год над этим билось и ничего кроме "внешних компонент с закрытым исходником и лицензионных ограничений не нашли". Вы сможете?

Я надесюсь вышеперчисленного уже достаточно для того чтобы сказать что я знаю о чем говорю? по крайней мере в первом приближении?

--------------------------------------------------------------
А вы сами? вы что делали ? или только пугаетесь серьезной работы и других страшите?


Ещё раз повторю : НЕТ с ОС-системами той проблемы о которой подозревается в топике. просто нет. есть коммерческий интерес фирм которым это "ненаруку". и все.

Если возникнет подозрение на точто есть закладка - в ОС систьеме её найдут максимум в течении недели. и опубликуют "на всеобщее обозрение". не я найду - так вы, или сосед-по-чату, или одна из хакерских групп или студент-фанатик из зимбабве-папуа-новая-гвинея. на мудреца - довольно простоты - будьте уверены - закладку найдут. Это главный "домоклов мечь" висящий над "любителями закладок"

кукисы и уязвимости находят в бинарниках наплевав на запрет "о декомпилации виндоус" . извините меня - но не не найти их после этого в исходнике ....


--------------------------------------------------------------
ps: "Ты Ваську Хромого знаешь? а Петьку Золотозуба? ну а хрена ты меня тогда свокей братвой пугаешь - Шопенгаурамии и Пушкиными?"
--------------------------------------------------------------
pps:имхо: MS не открывает исходники по одной простой причине. это будет "виндузовый холокост ".
Если "оно" и с закрытым кодом всплывает регулярно ( secunia.com тому пример и доказательство) то после открытия исходников - столько гавна всплывет - что мама не горюй.

[Denjs]

поофтопили немного... по топику

Насколько уверенность в своей безопасности оправдана и действительно ли мы ограждены от от нечистоплотных кодеров больше, чем виндопользователи?

Предлагаю рассматривать в качестве "живой и действующей модели маленького опенсорса" - 1С.
Коммерческого опенсорса и не только.
Достоинство этой модели в том, что она _уже_работает_, и многие принципы можно рассмотреть "так сказать в действии".

Конфигурация 1с - это самый что ни на есть опенсорс.
распространяется в открытом виде - все исходники доступны - любой студент может все что угодно изменить "на территории заказчика".
А сложность современных конфигураций 1С _сопоставима_ со сложностью большей части программных продуктов и подсистем которые установлены на вашем компьютере. (это конечно можно оспорить... но всех оспаривающих призываю поковырять самолично 1с-конфигурации типа "комплексная")

Теперь давайте посмотрим на сегодняшние реалии и попробуем ответить на вопросы топика.

1) действительно практически никто не проверяет самолично конфигурции 1С на наличие закладок. Будь то конфигурация 1С или конфигурация от многочиталенных партнеров. (сборник "типовых" конфигураций партнеров - это такая нехреновая книжетца.. томик в котором на одну конфу уделено не более 2-х абзацев).
Но! есть ли хоть в одной конфигцурации хоть одна "закладка" ? нет. потому что никому не охота позориться.
Любая закладка будет благополучно найдена и удалена на территории заказчика за символическую сумму от $20.00 до $100.00.

2)застрахованы мы или нет от нечистоплотных программеров? конечно нет ) слишком обширный спрос рождает нечистоплотное предложение.
но! мы как минимум можем нанаять 2-х программеров проверять код друг друга. и _любая_ нечистоплотность будет выявлена.
да и то - такая ситуация возможна только на уровне "мелких одиноких волков" - ни одна серьезная контора франчайзи не будет сознательно опукаться до создания "нечистого кода" - её "слишком легко" проверить.

Да, мы имеем факт что более 60% тех кто называет себя "1С-программистами" не обладают необходимой компетенцией... но оставшихся .. даже 20% .. с лихвой хватает для того чтобы не давать спуску "нечистоплотным любителям".

Вот и получаестя, что утверждение типа "расчет на хороших людей, которые оградят вас от супостатов" - это не более чем просто "предположение". не выдерживающее критического рассмотрения и простой практической проверки.

Делать закладки становится коммерчески не выгодным. имхо, конечно, но по факту же так?

-------------------------------
ps: я извиняюсь что спутал Криса Касперски и производителя "Антивируса Касперского" ... в пылу так сказать...

[BaBL]

Прошу прощения, если со своими граблями в чужой огород лезу, но мне кажется, Poor Fred не совсем понимает процесс разработки ОпенСорц ПО.

Poor Fred, Вы крайне не уверены в самих мейнтейнерах программы? Та же злобная Мозилла спит и видит как огненное пламя с неба лисьего хвоста мочит жителей ЮАР? Или же в тех людях, кто дополняет этот код, патчит, вносит коррективы, но сторонних от самой компании разработчика программы? (третьи лица, в общем). Если от вторых - то здесь многие люди сильно заблуждаются, думая: "Вот он я, супер программист, сейчас троянов напишу и раскидаю в новый билд фаерфокса, а люди накачают и мне покорятся!", так как Ваши трояны туда ЕЩЕ НИКТО И НЕ ПРОПУСТИТ! Патченный код отнюдь не сразу попадает в основную программу или даже CVS/SVN, он проходит ревизию и только тогда уже, если не обнаруживается там "закладок", его допускают к работе. При таком подходе вовсе не обязательно лезть и листать в течение недели всю программу. Если Вы доверяете мейнтейнерам, то они с самого начала разработки это делают "по кусочкам" и "без особого напряга". А отдельные личности даже паспортные данные требуют у людей, вносящих новый код (Разработка ядра, там записаны данные каждого из тех 100000000 человек, что когда-либо в коде что-то меняли, иначе код просто не примут, даже если Вы знамениты на весь мир своим никнеймом и не вызываете недоверия). Ну а если недоверие идет уже к самим мейнтейнерам, то тут снова 2 проблемы:
1. код мейнтейнеров постоянно анализируется психами-программерами и другими людьми, вносящими изменения. И если там всплывет что-то компрометирующее мейнтейнера, то Firefox уже завтра засудят на форумах/блогах/новостях так, что IceWeasel через неделю займет его место.
2. А зачем Вы вообще используете эту программу, если не доверяете мейнтейнеру?

И отсюда же следует, почему ОпенСорц безопаснее чем клоз. И дело даже не в количестве дырок программы и не в количестве тестеров (по этому критерию оно еще может быть опаснее, не спорю), а в том, что СПЕЦИАЛЬНО внести вредоносный код в программу - очень сложно, если вообще возможно (практически имеется ввиду, а не теоретически). Я вспоминаю историю где-то 2-3 летней давности, когда один из наших программистов внес в какой-то мелкий и довольно посредственный файл комментарий "#а если бы я разместил здесь свой вредоносный код, когда бы вы его заметили? Как заметите, писать туда-то". Через час уже новость о предприимчивом тестере разлетелась по всему рунету как минимум.

[Poor Fred]

Прошу прощения, если со своими граблями в чужой огород лезу, но мне кажется, Poor Fred не совсем понимает процесс разработки ОпенСорц ПО.

Я задал вопрос для обсуждения и личные выпады тут совсем не к месту.

[BaBL]

Прошу прощения, если со своими граблями в чужой огород лезу, но мне кажется, Poor Fred не совсем понимает процесс разработки ОпенСорц ПО.

Я задал вопрос для обсуждения и личные выпады тут совсем не к месту.

Личных выпадов тут и не было

[rolano]

2 Poor Fred
В нашем мире доверять на 100% нельзя никому, даже себе любимому. ОпенСорс - не исключение. На такие случаи есть практика лицензирования. Надо Вам быть уверенным в безопасности Ваших данных при передаче по открытым каналам связи - купите лицензированные ФСБ криптомодули. Если, конечно, Вы доверяете ФСБ Если данные настолько секретны и ценны, то обзаведитесь специальной командой фельдегерей - слежение за ними с собственного спутника, вшиваемые в почку ампулы с азотной кислотой, заминированные кейсы и т.д. Уверенность в безопасности стоит очень немалых денег. Пока Ваши пароли никому не нужны - их защиту можно не делать параноидальной. Если же Вы на компе храните номер и пароль для счета до вотсребования, где лежит золото партии, то имеет смысл потратиться на создание "читальни" (комната без окон внутри посольства, где можно работать с секретными документами). Такая же фигня и с ОпенСорсом. Если есть маниакальная потребность в проверке кода, то можно потратить полгода на анализ почтаря, но потом быть уверенным, что это почтарь - и ничего более. Вопрос только в том, насколько действительно Вам важна уверенность в безопасности.

[alv]

В нашем мире доверять на 100% нельзя никому, даже себе любимому.

↑

... мне - можно
(с) Старый папаша Мюллер из гестапо

PS кстати, любые криптографические системы легко вскрываются посредством одного из двух универсальных ключей: паяльника в ж...пе или пачки баксов на кармане

[rolano]

кстати, любые криптографические системы легко вскрываются посредством одного из двух универсальных ключей: паяльника в ж...пе или пачки баксов на кармане

↑

Еслиу человека нету секретного ключа RSA, то можно его всего обтыкать паяльниками и завалить баксами - легче не станет.

[alv]

Еслиу человека нету секретного ключа RS

↑

А зачем секретный ключ? Главное - нужного человека найти, а там он сам расскажет, что зашифровали

PS кадры решают все, как говорил товарищ Сталин

[heil0]

А зачем секретный ключ? Главное - нужного человека найти, а там он сам расскажет, что зашифровали

PS кадры решают все, как говорил товарищ Сталин

Ваша уверенность меня просто из себя выводит...Человека, которы всё-всё знает, по рецепту товарища Сталина надо аккуратно убрать. Необязательно даже убивать.

[Poor Fred]

PS кстати, любые криптографические системы легко вскрываются посредством одного из двух универсальных ключей: паяльника в ж...пе или пачки баксов на кармане

Ой, ну я вас умоляю! Все вокруг только и твердят что о паяльнике, да термопрактокриптологии (или как там?). Такое ощущение, что в ФСБ и МВД это единственный иструмент допроса и добычи паролей. Или это просто стандартная страшилка - себя попугать?

Вопрос только в том, насколько действительно Вам важна уверенность в безопасности.

Тогда мне очень странно слышать нападки на Микрософт в связи с невозможностью проверить ее код и почти уверенностью, что там зашито невесть что и что сам Билл Гейтс - какой-то паук и змей многоголовый, уже давно накрывший всех колпаком.

[elide]

мне очень странно слышать нападки на Микрософт в связи с невозможностью проверить ее код и почти уверенностью, что там зашито невесть что

хм.. что значит с "почти уверенностью"? микрософт неоднократно ловили на этом, да они и сами признавались, что они собирают информацию с пользовательских машин... какая тут может быть "почти" уверенность?
достоверно известно, что подобный код в винде есть. неуверенность возникает именно в объеме и детализаци собираемой информации...

[alv]

2 heil0 и Poor Fred
отвечу гуртом обоим

Ваша уверенность меня просто из себя выводит...

↑

Это не уверенность, а просто знание российской бизнес-практики начала 90-х
сейчас обходятся без паяльников - метод баксов действенней, но принцип не изменился
не нужно искать человека, который знает ВСЕ
нужно найти того, кто знает достаточно, и к которому можно приложить рычаги воздействия

Или это просто стандартная страшилка - себя попугать?

↑

Нет, это не страшилка, а предложение понять: никакие _чисто технологические_ меры в критической ситуации не помогут
впрочем, я уже об этом писал лет 5 назад в Компьютерре
А

ФСБ и МВД

↑

тут вообще ни при чем - это государственные структуры, и если государству потребуется Вас крепко уконтропупить, оно найдет массу способов это сделать, не прибегая к паяльникам и взломам паролей
Был бы человек конкретный...
А способ найдется

[VladimirP]

скажите мне, о славные никсоиды, кто из вас проводит аудит кода программы, прежде чем собрать ее? И сколько из вас обладает компетенцией это код обнаружить и обезвредить?

Если ты не обладаешь нужной квалификацией, то можешь нанять специалистов, пусть произведут анализ кода подозрительной программы. Благо, исходники открыты. Неужели ты до сих пор считаешь, что открытые исходники -- значит, по определению, сделай сам, бесплатно, и непременно по вечерам в качестве хобби? Это давно уже не так.

[rolano]

2 Poor Fred
А на фига пользователю в массе проводить аудит кода? Здесь вопрос веры - верит он производителю или нет. Мелкософту не верят, потому что они сами обосрали себе репутацию. При Вашем подходе пользователю было бы неплохо и самому антивирь писать - а то вдруг что интересное пропустят? Пользователь платит за продукт, в который до определенной степени верит. Если доверие к антивирю на уровне 90% - это одна цена, если на уровне 99% - уже много выше. Ну а если Вам надо 99,(9)? Для этого надо найти настолько авторитетный продукт, который по независимым тестам (в т.ч. - и Вашим собственным), действительно пропускает 1 вирус из миллиарда (или сколько Вам надо). Эти проценты зарабатываются годами упорного труда. Наверняка, есть решения на несколько "девяток", но стоят они космически дорого. Точно также можно говорить, что 100МБит Эзернет - это фуфло. Типа локальные сети можно бы и на волокне делать, и что-то типа FDDI. Это реально надежнее, производительнее - но тоже безумно дорого. Рациональность предполагает не абсолютизацию одного критерия, а нахождение оптимального сочетания. В вопросе качества софта можно только сравнить - чего будет стоить Вам украденный пароль или упавшая БД. И если цена действительно высока, то вполне возможен вариант, когда Вы откажетесь от Оракла в пользу чего-то самописного, когда за каждым программером будет смотреть эксперт и анализировать его код, когда каждое тестирование продукта будет проходить по полгода с привлечением профессиональных хакеров для выявления уязвимостей. Да, это фантастически дорого, но это может быть оправдано.

[heil0]

А на фига пользователю в массе проводить аудит кода? Здесь вопрос веры - верит он производителю или нет.

О вере: регулярно у знакомых мастдаян Касперский пропускает вирусы, регулярно они преставляют свои Оси и опять же регулярно ставят тот же Касперский...Это фанатизмь уже. (Люди все в среднем не из танка)