Открытый код и безопастность

[bluesman]

Объясните пожайлуста мне, как Линукс являясь открытой системой может быть безопасной? Вопрос не ставит под сомнение безопастность системы. Просто я не программист и не могу это понять. Ведь код открыт, как тогда мы имеем самую безопасную операционную систему?

Еще интересует, как проекты с открытым кодом, различные контенты для сайтов опять же с открытым кодом, поддерживают безопастность.

[KaKTyCc]

а как закрытая система может быть безопасной, где очень большое количество дыр, узнаётся путем дезассемблирования заплатки?

Сегодня самое главное в безопасности - это оперативный выход обновлений, исправляющих брешь, очевидно что в открытой системе это происходит намного быстрее.

[Uncle_Theodore]

Объясните пожайлуста мне, как Линукс являясь открытой системой может быть безопасной? Вопрос не ставит под сомнение безопастность системы. Просто я не программист и не могу это понять. Ведь код открыт, как тогда мы имеем самую безопасную операционную систему?

Еще интересует, как проекты с открытым кодом, различные контенты для сайтов опять же с открытым кодом, поддерживают безопастность.

Стоят два дома. В стене одного есть дырка, но хитрые строители посадили вдоль стены елочки, так что на первый взгляд дырки не видно.
Второй стоит у всех на виду. Каждый может пройтись вдоль стен, попинать их и убедиться, что сквозь стену пройти не удастся.
Какой из домов безопаснее? Особенно если учесть, что про дыру в первом доме даже не сообщили его жильцам?

[Denjs]

а почему открытый код должен не быть безопасным?

"безопасность программы" - прямо зависит от качества кода. согласны?
Качество кода в первую очередь оценивается количеством наличиствующих в нем "ошибок". т.е. мест которые работают "не так как нам надо". ("вообще" или "при определенных условиях".)

Выявляют и исправляют ошибки кто? программисты.
Чем больше программистов "проверит" код - тем больше вероятность что будет найдено максимальное число ошибок. (все наверное нетвозможности найти, но приблизиься к этому числу можно)

Значит, отметим первый вывод: чем больше программистов просматривает код - тем больше ошибок всплывает.

далее совместим это с тем фактом, что "открытый код" способствует свободному доступу к нему, а "свободный" - увеличивает число програмистов до максимально возможного (в идеале - все "программисты планеты в данной области").
Вывод: с открытым кодом скорее всего ознакомятся и проверят в тестах не только наши программитсы "на фирме", но и "тысяча-прогеров", причем в совершенно "немыслимых и невоссоздаваемых в условиях фирмы условиях".

И уж никто не объявляет продукт "стабильным" пока число обнаруживаемый "этой толпой" ошибок не упадет до единичных случаев.

Резюме:
В результате того, что к исходнику имеет доступ максимально возможное число людей, получается, что как скоростть отлова ошибок и так и "эффективность" - максимальны. Время до получения стабильного кода - минимально.
В момент когда уже "никто из гениальных" не способен найти новые проблемы - код объявляется "стабильным" и отправляется к обычным пользователям.
А что ловить "гениальному хакеру" в коде, который уже проверен до него "его-же гениальными коллегами" много раз? тем более когда он же сам его "протестил" полгода назад?

__________________________________________________________

Почему современные системы не могут хорошо жить без "модульности" и "открытости" - потому что объем программ - в частности ОС - настолько большой, что ограниченная группа программистов не в состоянии отловить в нем все ошибки за ограниченное время.
опять вспомним про оффтопик: а сколько тысяч программистов у майкрософт? а сколько десятков_тысяч людей отлаживало код для линукс?

Майкрософт наполовину правы говоря о том, что открытый код способствует обнаружению новых уязвимостей. Они лукавят, намекая что нестабильный код должен выпускаться как коробочный продукт.
Закрывать с целью "повышения неуязвимости" надо глючную и нестабильную систему - чтобы затруднить поиск багов в ней сторонними программистами.
В открытой же стабильной системе - искать нечего - все уже найдено.

[Denjs]

Опять, же - система с открытым кодом позволяет мне-на-месте оперативно вносить изменения и собирать стабильную систему по мере поступления информации, а не по мере того как ограниченная по численности фирма сможет выпустить заплатку.

[bluesman]

2 ALL

Знаю я в чем соль открытого программирования, книгу Торвальдса два раза читал, там все понятно написано. И про то что чем больше людей видят код, тем больше ошибок исправляют.
Меня интересует техническая сторона, как это все работает на деле.
То что линукс самая безопасная ос, это сто процентов, по крайней мере мое ИМХО, просто я не разбираюсь в технических аспектах. И кажется что если мол программу можно разложить по винтикам, то ведь и пройти сквозь нее как-то можно. Или раз там мало дыр и вновь увиденные быстро латаются никто и не пройдет?

А как же всякие части системы работающие с приватной информацией? Если допустим создается программа хранящую инфу, тогда просто закрывается база данных?

[Uncle_Theodore]

2 ALL

Знаю я в чем соль открытого программирования, книгу Торвальдса два раза читал, там все понятно написано. И про то что чем больше людей видят код, тем больше ошибок исправляют.
Меня интересует техническая сторона, как это все работает на деле.
То что линукс самая безопасная ос, это сто процентов, по крайней мере мое ИМХО, просто я не разбираюсь в технических аспектах. И кажется что если мол программу можно разложить по винтикам, то ведь и пройти сквозь нее как-то можно. Или раз там мало дыр и вновь увиденные быстро латаются никто и не пройдет?
А как же всякие части системы работающие с приватной информацией?

Техническая сторона -- исходник распространяется вместе с бинарником.
Сквозь бетонную стену не пройти, даже если Вы точно знаете все спецификации бетона и чертежи ее постройки.
Приватная-то информация, а не части системы. Вот сейф для документов. Про сейф Вам все расскажут. Но не про документы...

[Denjs]

попробую тогда так...

попробую проблема не в том "есть ошибка или нет". она есть. всегда.
вопрос в том сможет её кто-либо обнаружить в данной человеко-группе или нет.
Хватит ли у человаека ума(внимательности, соображения, гениальности?) чтобы _понять_ что с этим потоком бит программу будет выдвать ошибку.
Т.е. проблема в способности "проанализировать этот громадный и запутанный алгоритм".

Получается, что большую систему практически невозможно "разложить по винтикам".
никто не способен понять большую систему.

но если напустить в неё десяток тысяч программистов - система обживется быстрее.

но дырки останутся. или настолько малые что их незаметят, или "настолько хитрые", что мы не увидим их. "ЮриспорЮденция, "лазейки в законах" - вот это наиболее близкая аналогия".
Программа - это такой же закон для обработки данных. а программиста - матьеё-юристы-адвокаты-прокуроры ))))

Как "на деле" чувака "отмызывают от срока"? вот и хакер аналогично отмазывает данные от положенной обработки ))


Хакерство - это не "проламывание бетонной стены" - это "попытка уговорить сидящего за бетонной стеной человека сделать харакири". имхо.
отсюда и суть проблем с безопасностью.
и более верное понимание их сути.

__________________________________________
или ещё раз перефразируйте вопрос? что вы хотите услышать?

[bluesman]

А как дела обстоят с бинарниками, они закрыты?

[Лис]

А как дела обстоят с бинарниками, они закрыты?

В смысле закрыты? Они и не могут быть открыты - они бинарники. Если с ними идут исходники, то, получается, что открыты, если нет - то нет.

[Denjs]

А как дела обстоят с бинарниками, они закрыты?

гм... термин "открытый" по моему можно применять "к программе", а не к конкретной её форме...
причем открытый подразумевает что можно получить доступ к исходникам программы.

Впрочем, думаю, бинарники "открытых" программ отличаются от прочих тем, что первые можно вполне законно не нарушая лицензий декомпилировать при острых случаях мазохизма )