Názory k článku
Mnichov začal rozdávat CD s Ubuntu 12.04
-
edgobard (neregistrovaný)
Pokud chtějí podporovat starší hardware, tak ať použijí Lubuntu, ne?
Já jsem minulý týden zkusil nainstalovat 12.04 a dělalo mi problém doskládat všechny balíčky tak, aby fungoval chrome s flashplayerem a nějaké další pluginy do chrome. Ve 13.04 jsem s tim nemel vubec ani trochu problemy.
// Jako problemy myslim nutnost premyslet a vykonavat neautomaticke operace. -
Peter FodrekZlatý podporovatelnie je to nechut k Microsoftu
ale veta
z O´Realy European Open Source Convention, Amsterdam, October the 17th -20 th 2005
Ping Wales: Lisbon Agenda Could 'Make' European Open Source One of the most provocative questions currently facing the open source industry is this: why, when 70 percent of the world's open source developers are based in Europe....
2005, O'Reilly Media, Inc.
http://conferences.oreillynet.com/eurooscon/coverage/To, co zenie FRA a GER k OSS je Euronacionalizmus
Dokonca a FRA -UK a FRA_GER rivalita ide bokom
March 12, 2007
FR: Parliament selects Ubuntu Linux for desktop
July 01, 2008
Fr: 'Members of Parliament have easily adapted to Open Source desktop'
PSA Peugeot Citroën, the second-largest automobile manufacturer in Europe, and Novell just signed a multiyear contract allowing the deployment of up to 20,000 Linux* desktops plus 2,500 Linux servers from Novell
June 28, 2013
French parliament says free software is a priority in educationJuly 11, 2013
French parliament makes free software law for higher educationFrance's higher education institutes must offer their digital services and learning resource materials primarily as free software, the country's parliament decided Tuesday afternoon. A new law on higher education and research comes with an article giving priority to free software.
https://joinup.ec.europa.eu/news/all -
Lael Ophir (neregistrovaný)
Jenže open source nic nezaručuje, spíš naopak. Předpoklad že všichni zdroják vidí, takže v něm nemůže být nic špatného, je chybný. Za konkrétním kódem stojí většinou relativně malá skupinka lidí, kteří se mohou k vývoji připojit v podstatě anonymně. A v praxi samozřejmě ty zdrojáky nikdo systematicky nečte, natož někdo se slušnou znalostí kryptografie.
Ještě vypečenější je například TrueCrypt, u kterého ti autoři ani nejsou známi.
Michal Valášek současnou situaci podle mě celkem pěkně shrnul na iHNED:
http://tech.ihned.cz/geekosfera/c1-60638990-kryptopokalypsa-nsa-ma-pri-prolamovani-sifer-naskok -
Spis bych rekl, ze se v tech zdrojacich hrabe par stouralu, kteri furt do nceho musi stourat, coz u Widli nemuzou, takze security through obscurity, ktera neni moc spolehliva, protoze s tim pak vselijaci jini stouralove tezsiho kalibru a lehcich zabran delaji psi kusy, az najdou botu a hned tu mame novy botnet.
-
Lael Ophir (neregistrovaný)
Jenom kernel má okolo 6mln řádků zdrojáku, u celého distra počítejte s řádově většími čísly. Kód kritický pro bezpečnost systému pak dovede posoudit jen člověk se slušnou znalostí kryptografie. Podle mého názoru ten koncept "mnoha očí" přeceňujete.
Zdrojáky Windows mohou dostat na žádost (a proti podepsané NDA) k dispozici velcí zákazníci, vlády a vládní organizace, OEM partneři a Microsoft MVPs. Minimálně vlády a někteří velcí zákazníci občas najímají bezpečnostní audit.K vytvoření botnetu vám bohatě postačí zařídit si stránku s linky na nějaké porno, a umístit tam vhodný JavaScript, Flash nebo Java applet. A klidně můžete zneužívat dávno odhalené chyby - vždycky se najde dost "expertů", kteří nemají záplatováno.
-
Jestli nekdo typicky nema zaflastrovano, tak to jsou Widlaci. Udrzet soft updatovany vyzaduje dost otravneho usili a tak na to kaslou. A MS obvykle zaplatuje jednu stredu v mesici, kdy uz muze byt pozde. Takze pocitace s Widlemi muze clovek pouzivat jeden, mozna dva dny po flastrove strede, ale pak to zacina byt o hubu a doporucuje se vytahnout sitovy kabel a pockat mesic na dalsi pozaplatovy ctvrtek. To zase neni tak zle. Muzete s pocitacem jednou mesicne na Internet ve stredu a ve ctvrtek, kdyz jste dobrodruh tak i v patek. Byvaly doby, kdy se to s Widlemi ndoporucovalo vubec.
-
Lael Ophir (neregistrovaný)
A jak to souvisí s tím záplatováním jednou za měsíc? To myslíte že MS záplatuje i chyby o kterých neví, takže je to pak bezpečné? :D
Funguje to jak jsem popsal. Část hlášení přichází odpovědně přes firmy i jedince zabývající se bezpečností. Detaily těchto chyb se obecně neodkrývají před vydáním opravy. Když se objeví chyba zneužívaná "in the wild", tak MS opravuje i mimo pravidelný cyklus. -
Lael Ophir (neregistrovaný)
Můžete si všimnout, že chyby ve Windows často nacházejí firmy zabývající se bezpečností. Samozřejmě je někdy jako první najdou kriminálníci. Nicméně to zjevně celé nemá souvislost s dostupností zdrojáku. Jak jsem psal, zdroják může (proti podepsané NDA) dostat řada subjektů.
-
Lael Ophir (neregistrovaný)
Už jsem psal, že chybu nenajde vždycky bezpečnostní firma.
Ale zkuste se kouknout na svět open source. Všichni mají už dvacet let zdrojáky před očima, a pořád jsou distra plná bezpečnostních problémů.
http://www.ubuntu.com/usn/precise/ -
Lael Ophir (neregistrovaný)
Pokud je problém ohlášen bez zveřejnění detailů, není přece potřeba opravovat ho druhý den. Je daleko lepší provést důkladné testování, a pak už opravu uvolnit.
Příklady skvělého odhalování chyb a jejich záplatování ve světě open source:
Firefox, bug leží v bugzille od roku 2001, status NEW
https://bugzilla.mozilla.org/show_bug.cgi?id=78414
Firefox, vyřešeno po 12 letech od nahlášení
https://bugzilla.mozilla.org/show_bug.cgi?id=90268
Firefox, vyřešeno po 9 letech od nahlášení
https://bugzilla.mozilla.org/show_bug.cgi?id=264030
A samozřejmě Debian a jeho OpenSSL. Zásadní chyba ležela ve zdrojáku dva roky, byly vygenerovány spousty triviálně průstřelných SSL/SSH certifikátů, a nikdo si ničeho nevšiml. Byla za tím NSA, Čína, nebo Rusové? :D
http://lwn.net/Articles/282230/ -
Ty chyby v bugzille mi nepripadaji jako neco, co by se dalo pouzit k uspesnemu uyoku. Ta prvni pak asi neni chybou. Flash neni soucasti Firefoxu - kdyz dostane fokus, zere klavesnici a s ni i shortcuts. Nevim, jestli by to slo udelat jinak, ale bez zdrojaku Flashe by to mohl byt problem. Nekdy musim zkusit, jak jsou na tom Chrome a Opera.
Ta bota v SSH byla opravdu velka, ale kdyby to byl closed source, mozna by tam byla jeste dnes.
-
Lael Ophir (neregistrovaný)
Tyhle chyby se těžko dají zneužít, nicméně to dobře opravuje vaší představu, že se open source opravuje nějak rychleji. Když jsme u toho, tak open source Firefox je plný bezpečnostních děr.
Aha, takže v komerčnín SW source by podle taková bota zůstala nerozpoznaná, protože zdroják nemá k dispozici každý student ZŠ a každý důchodce. Tahle pěkná teorie má vadu: tu botu objevil Luciano Bello, který dnes pracuje jako Debian maintainer. Našel ji tak, že potřeboval pro jeden svůj projekt spoustu náhodných čísel, volal funkci RAND_bytes(), a jako bezpečnostního experta ho překvapila nízká entropie. Kdyby šlo o komerční SW, zjistil by to úplně stejně, akorát by místo konkrétního řádku kódu ukázal na konkrétní funkci. Případně by si vzal na pomoc debugger :)
http://www.lucianobello.com.ar/post/the-root-of-all-mistake-the-overgeneralization/ -
dustin (neregistrovaný)
Dřív jsem si Laela docela vážil pro jeho nadstandardní znalost windows, ale poslední měsíce bohužel ztratil soudnost a schopnost logické argumentace. Je to škoda, dřív to byl kvalitní diskutér a vnášel užitečné úhly pohledu.
Na co by kryptograf studoval celý kernel, aby posoudil jeho bezpečnost? Co by posuzoval na buffer overflow? To jsou levné hlášky vhodné tak pro bezduchý dav. Škoda, dřív to za něco stálo.
-
Lael Ophir (neregistrovaný)
Bohužel to není jen o kernelu. Koukněte na případ, kdy distra odvozená Debianu generovala SSL/SSH certifikáty s random number seed shodným s PID, tj. jednou z 32767 možných hodnot. Dva roky "mnoho očí" koukalo na zdrojáky, a nikdo nic neviděl. Jenže *kdo* vlastně koukal? Koukal vůbec někdo, a nejlépe někdo se znalostí věci?
http://www.root.cz/zpravicky/vazny-bezpecnostni-problem-s-openssl-v-debianu/Ten koncept mnoha očí, který by údajně měl dělat open source bezpečnějším, prostě nefunguje. Dvacet let údajně všichni koukají do zdrojáků. A přitom stačí kouknout na poslední Ubuntu LTS, abyste viděl, že je něco zásadně špatně.
http://www.ubuntu.com/usn/precise/A když nejsou vychytané chyby ve veřejně dostupných zdrojácích, jaká je pravděpodobnost, že by komunita zachytila úmyslně vložený backdoor? K vývoji se může připojit klidně zaměstnanec NSA nebo čínské vlády, nějakou chvíli vkládat kvalitní kód, a pak provést sabotáž vložením backdooru. Při správném provedení akce by na to komunita nejspíš vůbec nepřišla. Naopak komerční firma zná své zaměstnance, ověřuje jeho minulost, existují procesy revize a schvalování zdrojáků, probíhají bezpečnostní audity atd. Pokud se bojíte backdoorů, open source vás nijak nespasí.
-
Kdyz nejsou vychytane chyby ve verejne dostupnych zdrojacic, jaka je pravdepodobnost, ze budou vychytane v nedostupnych zdrojacich?
http://www.root.cz/clanky/v-uzavrenem-software-pretrvavaji-chyby-i-10-let/
A byla tu susim i zpracicka, kde autori jakesi studie zjistili, ze otevreny SW obsahuje mene chyb na x radku, nez uzavreny. Akorat si nepamatuji, jak se to jmenovalo a nemuzu to najit.
-
Lael Ophir (neregistrovaný)
Dost možná lepší, protože do komerčního kódu nemůže vnést backdoor kdejaký anonym co se jednoho dne přidá k vývoji.
SW se samozřejmě vyvíjí iterativně, a může se vám podařit najít chybu, která se (neobjevená) vyskytovala už v předchozích verzích produktu.
Otevreny SW obsahuje mene chyb na x radku - tohle počítání je vždycky dost problematické. Když budete srovnávat řádky aplikace psané v C# a kernelový driver psaný v C, tak "kupodivu" ten kód v C# bude mít méně chyb. Jinými slovy je to i o sorvnávané funkcionalitě, ukecanosti kódu, způsobu počítání řádků zdrojáku atd. Navíc ty chyby nenajdete všechny, takže to nutně závisí na metodice.
-
Pocitam, ze Imperium se jiz chysta vratit uder. Sklad CD a mestske knihovny budou vypaleny, zodpovednu politik unesen a jeho mrtvola bude po kouskach zasilana starostum jinych vetsich mest. A hlavne MS honem prijde s obzvlaste vyhodnymi licencnimi podminkami pro upgrade Widli, platnymi do 8. dubna 2014.
-
kuko (neregistrovaný)
mikrosoftu hori pod zadkom uz davno a s win 8 a service packom alias win 8.1 si len viacej podrezali vetvu na ktorej stoja od samosprav a statov je to dobry krok a priznavam aj unas sa tlaci nato abykopec aplikacii fungovalo iba cez prehliadac s tym padom jejedo ci mate win alebo linux tablet telefon...
este by sa mal nejako presadit aby ucitelia v skolach nevyzadovali aby deti pouzivali produkty ms -
Clock (neregistrovaný)
Ja se snazim prodat notebook. Dal jsem inzerat s tim ze je tam predinstalovane Ubuntu 12.04 a ozvali se lidi za cenu x a 1.5x. kdyz jsem dal inzerat kde o zadnem OS nemluvim, ozval se clovek za cenu 2x a jeden dokonce za 2.5x ten si to ale pak rozmyslel.
Pride mi to, ze to pusobi jako odstraseni
