Vlákno názorů k článku Linux v Mnichově prý nefunguje, opět se uvažuje o Windows od trko - Spousta z vás tady řeší cenu za licence...
-
Článek je starý, nové názory již nelze přidávat.
-
trko (neregistrovaný)
Spousta z vás tady řeší cenu za licence apodob. To by mělo být až na posledním místě. V prvé řadě bych řešil skutečnost, že by snad uživatel (státní instituce) měl mít plnou kontrolu na SW, který používá. Zvláště po Snowdenových odhaleních a dalších únicích je to aktuálnější než kdy dříve. Už to nejsou jen hloupé konspirace a paranoia. Takže ve chvíli, kdy Německo a ostatní státy vystřízlivěly a zjistili, že je společnosti vlastní skrze SW bych čekal, že se podle toho uzpůsobí. Tedy absolutní kontrola a bezpečnost informačních systémů především. A to splňuje pouze open-source SW. Výhodou pak je, že se může udělat celostátní řešení (za jedny peníze) a to používat kdekoliv.
-
j (neregistrovaný)
Mno ... kdyby mel stat resit tohle, tak musi zakonem widle ve statni sprave rovnou natvrdo a okamzite zakazat. A pak by je musel zakazat i privatnimu sektoru - minimalne vsem, co zpracovavaj jakykoli data o ovcanech, coz sou defakto vsichni.
A stejne tak by ale musel zakazat android, masox, ios, atd atd.
-
Lael Ophir (neregistrovaný)
Ad to splňuje pouze open-source SW - a pak zjistíte, že heslo v Grubu nebo LUKS se dá obejít opakovaným stisknutím klávesy backspace, případně zadáním 30 špatných hesel.
https://www.root.cz/zpravicky/novy-bezpecnostni-problem-v-linuxu-pri-pouziti-luks/Mimochodem do open source projektu může přispívat prakticky kdokoliv. Ať se bojíte Číňanů nebo NSA, tak kdokoliv z nich může začít přispívat pod nějakým jménem třeba do kernelu, a po pár commitech se "uklepnout". Vývojáře na open source projektech nikdo neprověřuje, a jazyk C je tak kryptický, že se dokonce vyhlašují soutěže o nejzákeřněji skrytou funkcionalitu.
http://www.ioccc.org/years.html#2014A jestli jste opravdu paranoidní: nemyslíte že k výše popsanému už dávno došlo, a možná opakovaně? Jeden příklad za všechny:
https://wiki.debian.org/SSLkeys#End_User_Summary -
tzn (neregistrovaný)
Furt je to lepší jak používat binárku, u které ani nelze bez reverzního inženýrství zjistit, co vlastně dělá.
A pro vaši informaci, opensource neznamená, že může do projektu přispívat každý! Bezpečnostní chyby jsou u opensource více vidět, protože se o nich veřejně diskutuje. Uzavřený SW bude možná někdy opraven a ani nezkontrolujete, jestli opraven byl. Do uzavřeného SW může přispívat i sám satan a může být v klidu, pokud ho někdo kompetentní nepráskne. A pokud to praskne, tak se to schová za "zlepšení uživatelské zkušenosti". Pořád mi z toho vychází lépe opensource. -
Lael Ophir (neregistrovaný)
Ad lepší jak používat binárku, u které ani nelze bez reverzního inženýrství zjistit, co vlastně dělá - když si nainstalujete Ubuntu, tak ani nevíte jestli ty binárky sedí se zdrojáky. Když si nainstalujete RHEL, tak to ani nezjistíte, protože Red Hat dá ty zdrojáky k dispozici se zpožděním. U klasického SW si můžete domluvit přístup ke zdrojáku, případně audit. Například MS umožňuje přístup ke zdrojákům svých produktů vládním zákazníkům, velkým výrobcům HW, a částečně i univerzitám.
Ad opensource neznamená, že může do projektu přispívat každý - souhlas že tak nevypadá definice open source. Ale projekty takhle v praxi fungují. Prostě přispějete nějakým bugfixem, později kouskem kódu... Nikdo nechce vidět CV, nikdo neprověřuje jestli přispěvatel existuje, a většinu z nich ostatní přispěvatelé nikdy nevidí fyzicky.
Ad Bezpečnostní chyby jsou u opensource více vidět, protože se o nich veřejně diskutuje - k takovému tvrzení chybí data, která by ho podložila. Svého času příznivci open source tvrdili, že open source je kvalitnější, protože se do kódu všichni dívají a kontrolují ho. Jak se opakovaně ukazuje, je to nesmysl, protože se ve skutečnosti do kódu dívá zatraceně málo lidí. A těch lidí, kteří kódu opravdu rozumí a dělají systematicky jeho audit, je ještě výrazně méně.
Ad Uzavřený SW bude možná někdy opraven a ani nezkontrolujete, jestli opraven byl - máte k dispozici smlouvy o podpoře, a můžete si sjednat přístup ke zdrojákům.
Ad Do uzavřeného SW může přispívat i sám satan a může být v klidu, pokud ho někdo kompetentní nepráskne - každá soudná firma svoje zaměstnance prověřuje. Představte si, že by do Windows psali kód vývojáři kteří se prostě přihlásili emailem, nikdo neviděl jejich CV, nikdo nevěděl pro koho vlastně pracují, nikdo je neviděl fyzicky a ani nikdo nevěděl, jestli fyzicky existují. Přesně tak to ale funguje na open source projektech. To že maintainer projektu rychle skoukne kód, než ho akceptuje, je u kryptického jazyka typu C dost na nic.
-
thj (neregistrovaný)
Jistě jistě. Ale víš přece, že si můžu systém sám zkompilovat právě ze zdrojáků, kterým věřím že? Stejně tak aplikace a Debian pracuje právě na reproducible builds. Naproti tomu přístup ke zdrojákům Windows je sice fajn, ale k ničemu, když si ten systém už sám nesestavím. Za další není lepší mít garantovaný přístup ke zdrojákům na furt (opensource) a ne když mi to firma teda nakonec svolí?
Zakomponovat cílenou chybu se do opensource dá, ale opět- je to vidět. Navíc ti nikdo normální neakceptuje obfuskovaný C patch, který není lidmi pořádně čitelný. Oproti tomu do uzavřeného ti napochodují třípísmenkové organizace, dají tam svůj kód a pod pohrůžkami tě přesvědčí, abys o tom nikomu neříkal. A to je nabídka, co se neodmítá (viz Lavabit).
Jestli smlouvou o podpoře myslíte EULA, tak dobrý vtip... -
Lael Ophir (neregistrovaný)
Ono je to vždycky nakonec o důvěře. Věříte že vám do open source projektu nikdo nevložil záměrně backdoor (protože to se dá udělat triviálně)? Věříte kompilátoru? Věříte HW? Pokud jste CIO, tak to nejspíš nebudete dělat sám. Věříte tomu kdo vám má ty zdrojáky zkompilovat? A pokud jste CEO, věříte CIO a lidem pod ním?
Ad přístup ke zdrojákům Windows je sice fajn, ale k ničemu, když si ten systém už sám nesestavím - záleží jakou úroveň přístupu máte. S některými úrovněmi si systém i buildnete.
Ad Zakomponovat cílenou chybu se do opensource dá, ale opět- je to vidět - pokud někdo provede důkladný audit, tak to může vyjít na světlo. Ale když pachatel není úplný idiot, vždycky to může být "běžná chyba".
Ad nikdo normální neakceptuje obfuskovaný C patch, který není lidmi pořádně čitelný - ale no tak. Není problém napsat kód který vypadá na první pohled zcela normálně, ale má zákeřné nečekané vlastnosti. Jestli se vám nelíbí Obfuscated C Code Contest, koukněte na příklady na Underhanded C Contest.
http://underhanded-c.org/_page_id_8.htmlAd do uzavřeného ti napochodují třípísmenkové organizace, dají tam svůj kód a pod pohrůžkami tě přesvědčí, abys o tom nikomu neříkal; Lavabit - Lavabit pokud vím odmítl vydat data, takže dostal příkaz vydat šifrovací klíč. Navíc každá soudná firma takovou spolupráci odmítne, protože by si tím pod sebou podřízla větev. Navíc i bez přístupu ke zdrojáku (který stejně v případě MS produktů vlády, vládní organizace a velké firmy mají) se dají zranitelnosti najít s debuggerem v ruce. Navíc je daleko jednodušší kód zanést do open source projektu jako "chybu", což je zcela triviální. Při troše štěstí tam ta "chyba" zůstane mnoho let, než ji někdo objeví. V mezičase tam ale může být sto dalších "chyb".
Ad Jestli smlouvou o podpoře myslíte EULA, tak dobrý vtip - ne, smlouvou o podpoře myslím smlouvu o podpoře.
-
Petr M (neregistrovaný)
Řekl bych to jinak.
Stát chce po občanech, aby něco dělali s jeho součinností (např. si vyřídili stavební povolení a kolaudovali, hlásili trvalý pobyt, měli auto zaevidovaný, platili na dálnici mýto,...), a z toho mu plyne povinnost, aby sám tuto součinnost zajistil. A to tak, aby
1) Jím nastavený proces mohli používat všichni bez rozdílu.
2) Řešení bylo non-stop funkční i v případě problémů kterýhokoliv externího dodavatele.Z toho plynou požadavky na
a) Redundanci povinných služeb
b) V případě problémů dodavatele hladká možnost přechodu jinam.Požadavek b) řeší jenom open souce nebo vývoj zaplacený státem, kdy si stát ponechá zdrojáky a práva k nim. S tím, že v případě zdrojáků vlastněných státem nestačí vysoutěžit dodavatele, ale dát novýmu čas na to, aby se s nima seznámil. A na vypracování nabídky stejně musí minimálně uvolnit architekturu a specifikace, že...
Takže prachy ve státním IT bych raděj viděl v redundanci dat v několika datacentrech, než v licencích za soft, se kterým, když si jediný dodavatel usmyslí, neudělají vůbec nic.
