Vlákno názorů k článku
Disney v sitcomu odrazuje od open source od danaketh - Stejný bláboly šíří někteří členové OSS komunity o...

+1
Navíc osobně sice programovat umím, ale nemám čas ani trpělivost louskat statisíce řádek kódu. I pro firemní zákazníky je možnost analýzy a změny zdrojáku spíš iluzorní. Představte si mít zdrojáky od mamuta typu Oracle RDBMS. Máte DVD se zdrojáky, a můžete strávit zbytek života jejich studiem. Jakákoliv změna vyžaduje kódu dobře rozumnět, tedy strávit nad tím tolik času, že to nemá smysl. Pak samozřejmě musíte výsledek otestovat, a sám si změny podporovat. A když vyjde nová verze SW, která nebude obsahovat vaše změny, začíná kolečko znovu. To je velmi drahý sport, který si firmy nemohou dovolit.

Tak ono najít třeba vrátka v truecryptu nebude nic jednoduchého ani pro velmi zkušeného programátora. Ve prospěch konerčního sw (ne nutně uzavřeného) mluví jedna věc - pokud k něčemu takovému dojde, je to pro výrobce poškoyení jména a ztráta peněz....v případě volného sw ? Nic se neděje.

Zajímavý. U MS se na několik backdoorů přišlo, u Borlandu taky a nic. Ale žijte ve své iluzi ;-)

"pokud k něčemu takovému dojde, je to pro výrobce poškoyení jména a ztráta peněz...."

Ano, proto většinou EULA obsahuje, že tvůrce softwaru není zodpovědný za škody způsobené jeho používáním. O dobré jméno může přijít i open source projekt, na který můžou být zavázané firmy, pro které je to živobytí, takže to vlastně žádný rozdíl oproti proprietárnímu softwaru není.

Ach ano, a pak při používání narazíte na problém, že tam něco nefunguje, výrobce na váš bugreport kašle, co uděláte? U open source se můžete podívat do kódu, kde to spadlo, uvidíte, co je tam blbě, a přinejhorším můžete ve svém software udělat workaround, aby to tu chybu nevyvolávalo. Chci vás vidět, jak tohle budete řešit s debuggerem u kódu, který nemá debug symboly.

Debug symbols? Tady.
http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx

Hrabat se kvůli dohledání příčiny chyby ve zdrojáku, který nemáte důkladně nastudovaný, je obrovská ztráta času. Pro vaši informaci naprostá většina případů technické podpory končí bez jakékoliv interakce se zdrojákem produktu, a to i u výrobců SW.

No třeba pro Office nejsou. Smůla, když tam zrovna něco nefunguje, což není zase tak vzácné.

A co tedy u uzavřeného software uděláte, když výrobce tu chybu neopraví a techsupport neví?

A co tedy u uzavřeného software uděláte, když výrobce tu chybu neopraví a techsupport neví?

No přece počkáš, až vydá MS další verzi - a rychle si ji koupíš.

Když něco nefunguje v MS Office, tak určitě nezjišťujte, jestli se to váže ke konkrétnímu účtu nebo stroji. Určitě nehledejte vadné pluginy, nestarejte se o antivirus, nehledejte článek k problému na MS KB. A určitě nekontaktujte MS support, protože to se nedělá. Místo toho si vezměte debugger, a rýpejte se v binárce :). A kdybyste měl zdrojáky, tak si je samozřejmě otevřete, a stravte příštích pár měsáců života jejich studiem :)

Když support department výrobce neví, tak problém zdokumentuje a předá na další úroveň supportu. Když ti nevědí, předají to dál. A výjimečně to propadne až k vývojářům.

A určitě nekontaktujte MS support, protože to se nedělá.

To máte pravdu. Ono je to známo již od dob toho vtipu s pilotem.

Když support department výrobce neví, tak problém zdokumentuje a předá na další úroveň supportu. Když ti nevědí, předají to dál. A výjimečně to propadne až k vývojářům.

A když neví ani vývojář, tak se na to vyserem a řeknem lidem, ať si to přeinstalují. Je to již 2,5 měsíce od doby, co Microsoft rozmrdal WSUS svým hotfixem - řešení žádné, opravený patch v nedohlednu, tisíce "spokojených" zákazníků.

Samozřejmě debugger nastupuje, až tohle selže. Reportovaný bug sice vypadá pěkně, al odložit kvůli tomu vývoj i o několik měsíců až let (a doufat, že neskončí wont fix) není zrovna vhodné řešení.

A ten vadný plugin hledáte jak? Metodou pokus omyl

Poku se jedná o závažný bug, opravy bývajíá k dispozici velmi brzo. Když jde o bu na který lze použít workaround, typicky to trvá déle (do příštího SP, případně do příští verze).

Metodou pokus omyl? Ale kdež. Půlením intervalu :)

Opravy bývají k dispozici velmi brzo, jak dlouhá byla doba mezi SP2 a SP3 pro WXP?
Jistě, na ten bug v Excelu, který pochází ze sedmdesátých let, lze také použít workaround.

Mimochodem, jak se půlí nekonečno? :-D

Ono totiž to odstraňování chyb ve Widlích vypadá asi takhle:
Nekonečně mnoho matematiků přijde do baru. První si objedná pivo. Druhý si objedná půl piva. Třetí čtvrt piva...

Na půlení nekonečna bacha, to jde. Začnete na nějakém čísle, třebas 1000. Když je to menší, tak zkoušíte dva intervaly klasickým půlením. Pokud je to ale vyšší, tak zkusíte dvojnásobek, tedy 2000. Když ani to ne, tak znovu dvojnásobek, 4000. Atd. Také se tomu říká půlení intervalu a vlastně to nedělá nic jiného, než opravdové půlení intervalu ovšem převrácené hodnoty.

Jo, jde to, ale donekonečna :-D

Mezi SP2 a SP3 vyšla spousta patchů.
Který bug v Excelu máte na mysli?

Vy máte ve Wordu nekonečný počet pluginů? Hint: problém by mohl být právě v tom ;)

Jako obvykle jste nepochopil, takže pro blondýny a policajty ještě jednou:

Ono totiž to odstraňování chyb ve Widlích vypadá asi takhle:
Nekonečně mnoho matematiků přijde do baru. První si objedná pivo. Druhý si objedná půl piva. Třetí čtvrt piva...

A výčepák, jelikož není srab, tak postaví pivo a metr panáků...
Od jisté chvíle (cca 10. kousek) to totiž už ani není k čepování, ale o zbytečném špinění skla.

A nebo na stůl postaví dvě piva a řekne podělte se ;-).

Je pro běžného uživatele výhodnější uzavřený šifrovací algoritmus nebo otevřený?

To, že běžný uživatel neumí ten software zkontrolovat, neznamená, že ta možnost není výhodnější i pro něj. Naprostá většina lidí taky nedokáže zkontrolovat průběh veřejných zakázek a přesto je pro ně výhodnější, když má státní správa povinnost ty informace vydat.

V čem je to výhodnější? V tom že můžou (koukat do kódu/průběhu státní zakázky)? To není skutečná výhoda, jen iluzorní. Používáním otevřeného software/zveřej­ňováním informací o průběhu a financování státních zakázek pro nás není výhodně pokud s tím neumíme naložit. K čemu je vám možnost se zdarma projet autem, když nemáte řidičák? K čemu je vám aquapark za barákem, když neumíte plavat?

Asi je to krásné žít v pocitu "mám tu možnost" ale ta možnost je k ničemu, když jí neumíte využít. Tohle je přístup jaký lze pozorovat u lidí, kteří snadno nabyli majetku - nakupují věci které nepotřebují a neumějí využít, jen aby si dopřáli ten pocit "můžu", "mám tu možnost".

Co mají lidi z toho, že vidí do průběhu a financování státních zakázek? K ničemu. Většině věcí stejně nerozumí a ve výsledku jen dojdou k závěru, že "to si zase někdo namastil kapsu z našeho". Víc si z toho nevezmou. Ani to ponaučení "příště tuhle chásku nevolit" a v dalších volbách si spolehlivě zvolí zase ty stejné zmetky.

Já sám chápu výhody obou stran mince ale nebylo vůbec snadné vysvětlit výhody otevřeného software například šéfům a nakonec jsem se musel uchýlit k zavádějící informaci "je to zadarmo" a dát svojí hlavu na špalek v případě, že by firma o něco přišla vinou nasazení oss. Od té doby co jedu na vlastní triko to mám mnohem snazší ale stejně občas musím klientům vysvětlovat proč používáme oss. Jen dnes už na to mám naučenou formulku a odpovídám "Šetří nám to peníze. Máme nad tím plnou kontrolu a jsme schopní to vyladit přesně podle aktuálních potřeb.". Ale tenhle argument je pro běžné lidi naprosto nepoužitelnej.

Tady nejde o možnost, ale o to, že když to může udělat kdokoliv, tak to někdo opravdu udělá. Nebo si myslíte, že bez té možnosti by třeba DPP přestalo platit tak úžasný sumy za jízdenky? No jistě, ten zákon je úplně k ničemu, chleba nezlevnil.

Sakra, to je ale negativni pohled na svet...

Ono je to s otevrenosti asi shruba jako s efektivnosti trhu - je vcelku jedno, jestli prave konkretni jednotlivec je sam schopen "trzni moznosti/informace" vyuzit a vydelat na ni penize, dulezite je, ze existuje moznost, aby si nekdo vydelal. V praxi se potom nekdo takovej najde, vydela trochu penez a posune cenu akcie spravnym smerem k realne/rovnovazne urovni. Jinymi slovy, prave diky moznosti obchodovat (ci v danem pripade hrabat se v kodu ci zakazkach) system funguje a ceny akcii, komodit atd. jsou zhruba realne, resp. open source code se pomalu sune kupredu a zakazky jsou aspon trochu ciste.

Tj. s otevrenosti je situace lepsi nez bez otevrenosti...

Bin​go :)

Btw. proč je bi​ngo zakázané slovo?

Bylo to myšleno tak, že otevřený sw nutně neznamená, že bude bezpečnější než uzavřený. MS je dost blbý příklad, existence backdoor je známá a mám pocit, že v licenci i uvedená.

Nutně ne, ale v praxi to tak bývá

Nutně ne, ale v praxi to tak bývá

MS je dost blbý příklad, existence backdoor je známá a mám pocit, že v licenci i uvedená - nějaké detaily?

Není problém si pomocí Microsoft Deployment Toolkitu udělat vlastní instalaci Windows s jakýmkoliv SW, který uznáte za vhodné.

Praxe ukazuje, že chyby lze úspěšně hledat i v SW, ke kterému zdrojáky nemáte. Jinak by ten malware pro Windows nevznikal.

Tady mě napadá to přísloví o voze a o koze.

Počty zranitelností odhalených v open source tomu neodpovídají. Srovnání mezi Windows a distry Linuxu totiž vychází v neprospěch Linuxu.
http://www.crn.com/news/applications-os/159904708/report-linux-vulnerabilities-more-numerous-and-severe-than-windows.htm
http://www.ghs.com/linux/unfit.html

A když například Debian domršil OpenSSL, přes otevřený zdroják kontrolovaný "mnoha očima" se na to přišlo až za dva roky(!).
http://blog.isotoma.com/2008/05/debians-openssl-disaster/
http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debianu/

teda ten první link vede na něco sedm let starýho, to sem ani nečetl

to druhý není datovaný, zaujala mě pasáž

"Secrecy improves security. When a poor security system, such as Linux, is made public, attackers can carefully study its defenses looking for vulnerabilities, so they have no difficulty defeating it. When a poor security system, such as Windows, is kept secret, attackers have greater difficulty finding vulnerabilities so it is harder to defeat. But within days after a large chunk of secret Windows source code was stolen and made public in early 2004, hackers had released viruses and worms based on vulnerabilities they found in the stolen source code."

takže widle sou bezpečnější i s když sou děravější, protože se nemůže každej jouda hrabat ve zdrojácích; počet odhalených zranitelnosti != počet zranitelností

a to třetí - výjimka potvrzuje pravidlo, tohle se u M$ děje taky

"Až" za dva roky? To je ale strašně dlouho proti chybám ve W7, které pocházejí z W2K :-D

A za jak dlouho by se na tu SSL chybu přišlo, kdyby nebyly k dispozici zdrojáky? Za 5 let, za 10?

bravo danaketh, tak trefny komentar som uz dlho necital

-1

Do otevřeného kódu se může dívat kdokoliv. Čím úspěšnější projekt, tím víc lidí se hrabe v kódu už jen třeba kvůli zvědavosti. A někdo prostě nekaký backdoor nebo možný exploit časem objeví. Šance v případě uzavřeného kódu je značně nižší.

Takže i v případě, že já osobně nemám touhu ani čas se v tom kódu hrabat, spousta lidí to dělá a na nekalosti aspoň upozorní.

Nemluvě o tom, že když si vyberu open source řešení, nemusím mít takový problém vyměnit dodavatele jako u těch proprietárních.

Jak jsem psal, chyby se dají hledat i bez přístupu ke zdrojákům, jak ukazují exploity na klasický SW. A také jsem na příkladu OpenSSL v Debianu ukazoval, že ani "mnoho očí" nedává žádné záruky. On ten zdroják totiž většinou systematicky nekontroluje nikdo (a mám pocit, že v řadě případů ani autoři), a náhodné nahlédnutí toho moc nezjistí.

Dodavatel podpory pro jakékoliv řešení hlavně musí mít detailní znalost produktu, a nejlépe i podmínek nasazení u zákazníka. K tomu není potřeba ani tak zdroják (protože naprostá většina přípdů podpory končí bez interakce se zdrojákem), ale spíš spousta času a zkušeností. Například podporu Oracle RDBMS nebo Microsoft Exchange si můžete koupit od řady dodavatelů.

Jo, autoři se neobtěžují zdrojáky kontrolovat, nejspíš proto že většina z těch komerčních closed source kódovacích opic prostě nemá na to se v nich vyznat. Před časem tu někdo psal tohle:

"nedávno jsem narazil na neopravený kritický bug v .Netu, reportovaný v roce 2002. Do teď nebyl opravený s oficiálním vyjádřením, že na to naráží málo lidí. Mně trvalo půl dne, než jsem to obešel..."

Co je to deset let pro bývalou největší softwarovou společnost? Drobnost. Holt je vidět že většina maloměkkých takyprogramátorů začínala v QBasicu, tam se musela obcházet spousta věcí, třeba detaily jako že sin(90˚)!=1 :-D

Kdežto jakmile člověk napíše deset řádků pod licencí GPL, najednou přijde osvícení, a miliony řádků zdrojáku studovat vůbec nemusí, protože je mu to všechno jasné :)

Ano, to někdo fakt psal. Samozřejmě bez jakýchkoliv detailů, bez referencí. Jiní zase psali, že viděli Elvise.

Taky tu někdo psal že Windows Phone je nejlepší, a jiní psali, že viděli mimozemšťany, respektive Boha. Potom upalovali ty, kteří po nich chtěli reference :-D

Počkáme a dočkáme se: http://danielsoft.sweb.cz/p/spasitel_bill.html

P.S. na 11. září jsem čekal deset let, také jsem se dočkal ;-)

Deset let jste čekal na vraždu tří tisíc nevinných lidí, zranění šesti tisíc dalších lidí, a na způsobení škod v řádech miliard dolarů? No to se fakt máte čím chlubit. Jděte to říct nějakým z pozůstalých. Řekněte jim to od plic, pěkně do ksichtu. Třeba vám ten váš na oplátku trochu poupraví.

Zjavne ste to tvrdenie nepochopil alebo nechcel pochopit. Uz z kontextu je jasne ze tym myslel ze udalost takeho charakteru predpovedal lebo sa mu javila pravdepodobna. Pritom ako sa Spojene staty spravali posledne polstorocie vo svete by som sa tiez divil keby nieco take skor ci neskor neprislo. Je to smutne ale je to tak a pozostali zjavne nie su iba na jednej strane a nehovorte nam ze vsetci ti ostatni pozostali si za to mozu.

Otazka zni, zda budeme stale prijimat "myslenku" ze bezny uzivatel je pako, ktere nic neumi a nicemu nerozumi. Coz je ovsem pitomost. Kdopak s touhle myslenou asi prisel? Ze by se "pakum" lepe prodaval obsah skladu?

Ta "paka" mají svojí práci, stejně jako taxikář nebo manager. A podobně jako taxikář není automechanik a manager nerozumí GSM technologiím, těžko můžete čekat od uživatele počítače nějakou znalost IT technologií.

Existují i výjimky, jako jsou manažeři rozumějící GSM technologiím, nebo uživatelé se znalostí IT technologií. A také taxikáři s výučním listem automechanika, který pro ně může být dost výhoda.
Je jich pochopitelně menšina, protože většina populace jsou paka, tupé vovce a konzumenti "obsahu", kterým vyhovují televizní pořady typu Hospoda nebo Ulice, a operační systémy typu Windows.

Koloťuk toho uměl docela dost, hlavně včas zmizet ze scény :-D

Ano, existují výjimky. A myslíte, že výjimečný manager se znalostí GSM technologií chce ovládat telefon pomocí číselných kódů, a trávit dlouhé hodiny v diagnostickém menu? Nebo že taxikář-automechanik potřebuje mít v práci připojený diagnostický počítač, a občas na křižovatce jen tak pro jistotu tady dotáhnout matičku a tam přiolejovat ložisko? Asi ne. Tihle lidé mohou používat úplně stejné technologie, jako kdokoliv jiný. Nakonec já také celkem dobře rozumím řadě systémů, a rád používám Windows 7 a Windows Mobile. Nemusím se ve věcech zbytečně hrabat, a zbývá mi pak víc času na práci i zábavu. A když se snad ve věcech hrabat chci, tak mám možnost.

S tim prisli sami uzivatele, kteri jsou dost casto tak blbi ze "uvazuji zpusobem : "Se prece nebudu nic ucit, ja top chci jen pouzivat."

Mohl by se libit nasledujici citat:
George Carlin: "Just think of how stupid the average person is, and then realize half of them are even stupider!"

volny preklad: Vezmete, jak tupy je bezny clovek. A pak si uvedomte, ze pulka [z nich] je na tom jeste hur.

Otvorenost je naopak padny argument.

Pri oss ten zdrojak moze prebehnut a skontrolovat ktokolvek, kto ma na to cas a vedomostne vybavenie -> nevidim dovod preco by to mal robit bezny user.

Proprietarny soft je zavrety a okrem jeho vyrobcu don nik nevidi a nemoze pozriet. Stale nevidite ten priepastny rozdiel?

Je to jednoduche mozem vs. nemozem.

So zbytkom komentaru sa samozrejme ale da suhlasit, bezny user ani netusi o com je rec.

Ale no tak, to je jak kdybych rekl ze vetsina lidi je prilis tupa nez aby si uvedomila co to znamena svoboda a proto zadnou nepotrebujou.

Sice je to pravda (dejte lidem pravo vzdat se za "chleb a hry" vsech svobod a oni to udelaji), ale presne proto je treba jim to vysvetlovat, bojovat za jejich svobodu bez jejich podpory.

Bohuzel nikoho nelze do svobody a tolerance nutit, to lze pouze do demokracie a politicke korektnosti. Coz je neco naprosto jineho (tvari se to podobne ale slouzi to jinym ucelum).

Já za sebe mohu říci, že u žádné aplikace a to ani té, kterou spoluvyvíjím, jsem neviděl kompletně celý zdrojový kód, natož abych mu rozuměl

Tak vas bych jako vyvojare do sve firmy rozhodne nenajal. Nerikam ze je nutne videt vsechny zdrojaky, ale rozumet tomu co vyvijite byste asi mel, coz ?

Tak to asi netušíš jak to funguje v Micro$oftu :-D

No jasně. Vývojář kernelu OS má mít nastudované i zdrojáky tiskového spooleru a Kalkulačky. A když někdo píše databázovou logiku, tak zase nutně musí mít nastudovaný kód klientské formulářové aplikace :)

Tady je videt jakej je LaMel Onanir demagog :P Jsem psal ze neni treba znalost vsech kodu, ale ze je treba znat architekturu a vedet co vlastne vyvijim.

Já jsem nepsal, že nerozumím architektuře, ale že rozhodně nerozumím celému kódu... A i to, že rozumím architektuře není dáno tím, že by to bylo potřeba, ale tím, že jsem programátor senior.
A děkuji, u vás bych zaměstnání stejně nehledal, protože na tak malých projektech, kde ho jeden programátor dokáže obsáhnout celý, by už mě stejně nebavilo pracovat. Nemusíte se tedy bát, že na sebe narazíme (pokud tedy vůbec někoho zaměstnáváte).
Od znalosti architektury je architekt a řadovému programátoru stačí znát rozhraní té části, na které pracuje. Představa, že by každý nový programátor se nejprve rok seznamoval s aplikací, než tam něco začne programovat, je poněkud směšná.
Takže děkuji za váš příspěvek do plodné diskuse.

Abych mohl říct, že v aplikaci není backdoor ani žádná bezpečnostní díra, na to musím znát všechny zdrojáky a perfektně (dokonale) jim rozumět. To má ke znalosti architektury poněkud daleko.

O těch podezřívavých, to mluvíte o sobě, že?

Proč by měl někdo kontrolovat všechno? A kdo bude kontrolovat jeho?

Ty průsery znám u uzavřeného software. U otevřeného nejdou prakticky realizovat.

http://www.zdnet.com/blog/security/open-source-proftpd-hacked-backdoor-planted-in-source-code/7787

Nalezeno a odstraněno za čtyři dny. Navíc to byl hackerský útok, ne úmyslná sabotáž, které se danaketh děsí.

Btw. jak dlouho že to trvalo najít backdoor v Borland Interbase?

http://www.root.cz/clanky/rozdel-a-panuj-hrubou-silou-na-ms-chapv2-klice/

Kdypak se dočkáme opravy, ve W9? :-D

A nějak mi v té diskuzi chybějí vaše PR bláboly.

Situaci se do patche doporučuje řešit rekonfigurací, konkrétně použitím PEAP-MS-CHAPv2.
http://technet.microsoft.com/en-us/security/advisory/2743314

A v případě píchlého kola u auta se doporučuje cestovat autobusem, ne?

No vidíte, že s výhodami OSS souhlasíte, když linkujete takové zprávy, kdy byl díky přístupnému zdrojáku odhalen backdoor už za 4 dny :-)

Už i Bílý dům: http://www.abclinuxu.cz/zpravicky/bily-dum-uvolnil-zdrojove-kody-we-the-people