Hlavní navigace

Populární zdravotnický open-source OpenEMR obsahoval spoustu zranitelností

Sdílet

Petr Kajzar
OpenEMR logo Autor: OpenEMR

Kontrola zdrojového kódu jednoho z neoblíbenějších open-source systémů pro správu zdravotnické dokumentace odhalila hromadu bezpečnostních chyb. Jednalo se zejména o možnost obejít autentizační systém pacientského portálu, několik chyb typu SQL injection, Cross-site Request Forgery (CSRF) a možnost neautentizovaného přístupu k informacím.

OpenEMR je open-source zdravotnický informační systém pro správu agendy ambulancí i nemocnic, který umožňuje vedení elektronické zdravotnické dokumentace. Je vyvíjen zhruba od roku 2001 pod licencí GNU GPL. Audit zdrojového kódu nyní provedla společnost Project Insecurity.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?
Ochrana proti spamovacím robotům. Odpovězte prosím na následující otázku: Jaký je letos rok?
  • 14. 8. 2018 12:44

    654 (neregistrovaný) ---.bcl.cz

    Trochu průser, ale já se spíš bojím chyb closed-source programů, u kterých není možné snadno zkontrolovat kód. Pořád je lepší, když slabinu objeví transparentní audit, než když se objeví až v "terénu".

  • 14. 8. 2018 12:59

    harrison314 (neregistrovaný) 195.28.75.---

    1, Vetcina serioznych bezpecnostnych tetsov sa robi voci black boxu.

    2, Komercny zdravotnicky softver musi mat bezpcnostny audit a auditor vidi zdrojovy kod.

    3, Uz to konecne pochopte to ci je nieco OSS alebo nie ma zanedbatelny vpliv na bezpecnost.

  • 14. 8. 2018 15:24

    null null (neregistrovaný) 91.187.42.---

    @harrison314

    Máš to popletené. Blackbox testování není kategorie serióznosti, ale způsobu vystavení zranitelností vůči testerovi (jakoby útočníkovi) - je to jenom jeden z vektorů pohledu na systém - a to by ti mělo napovědět, že těch vektorů je tam víc a každý má svůj význam. Např. "auditor vidi zdrojovy kod." je klasický whitebox testing, který má taky své velké pozitiva.

  • 14. 8. 2018 14:21

    Miroslav Šilhavý

    Trochu průser, ale já se spíš bojím chyb closed-source programů, u kterých není možné snadno zkontrolovat kód. Pořád je lepší, když slabinu objeví transparentní audit, než když se objeví až v "terénu".

    Toto tvrzení nemá žádnou racionální oporu. Proti tomu může kdokoliv namítnout, že 1) do open-source lze poměrně snadno prosadit vlastní, záměrně oslabený kód (a nikdo si toho dlouho nevšimne), 2) že kdokoliv může tyto chyby "levně" objevit, nezveřejnit je a zneužívat. U komerčního software může být bariéra pro objevení chyb daleko vyšší. Součástí ochrany proti rizikům není jen samotná eliminace chyb, ale i další bariéry proti zneužití - např. správná infrastruktura, implementace, ale i způsob práce s chybami. Bez diskuse je bezpečnější, když výrobce sám chybu objeví a opraví ji a nikdo jiný se o ní vůbec nedoví.

    Zde bohužel hraje na emoční strunu to, že spousta lidí si představuje open source jako projekty hnané něčím jiným, než komerční snahou. Ale ani to není pravda; hlavní vývojář bývá zpravidla placený nebo má vývoj v popisu své práce (a komunita mu s tím zadarmo aspoň trochu pomáhá). Hnacím motorem OSS není čistý altruismus, je to jen odlišný komerční model, který peníze nezískává přímo z prodeje práv k užívání software. Zbytek principů vývoje je ale pro uzavřený i otevřený vývoj podobný.

  • 14. 8. 2018 15:13

    null null (neregistrovaný) 91.187.42.---

    Ty v tom textu nepopisuješ chyby opensource, nýbrž klasické nedostatky při vývoji a začleňování změn do kódu.

    Vždy to zavisí na tom, jak moc to dotyčný dělá poctivě a jestli si naivně myslíš, že v komerční firmě s closed kódem se podobné akce nedějí, tak si laskavě najdi práci v tomto oboru, aby ses poučil. Naopak IMO často absence hrozby veřejného vystavení kódu vede k těm největším zpatlaninám - což samozřejmě není nutně riziko.

    A co se týče sabotáže, ta míra je naprosto stejná - jestli je úmyslná nebo nebo ne, či zda si vyrobíš snadněji nepřítele v OSS či firmě s closed řešením je vabank ...

    Tak o tom, jestli je jediným hnacím motorem OSS zisk se tu můžeme hádat do nekonečna, ovšem jedno je jisté - u firemních closed řešení je tomu tak 100%. A abys měl o čem přemýšlet, tak se zamysli nad tím, jestli OSS nemá někdo často jako prezentaci nebo s někým společný kód typu win:win, aby teprve na tom stavěl něco za prachy. Viz třeba OSS okolo státní správy ...

  • 14. 8. 2018 16:27

    Miroslav Šilhavý

    Ty v tom textu nepopisuješ chyby opensource, nýbrž klasické nedostatky při vývoji a začleňování změn do kódu.

    Ano, ale tak jsem to i psal. Viz moje poslední věta.

    Vždy to zavisí na tom, jak moc to dotyčný dělá poctivě a jestli si naivně myslíš, že v komerční firmě s closed kódem se podobné akce nedějí, tak si laskavě najdi práci v tomto oboru, aby ses poučil. Naopak IMO často absence hrozby veřejného vystavení kódu vede k těm největším zpatlaninám - což samozřejmě není nutně riziko.

    Nejde o jenom to, jestli někde jsou backdoory a chyby, ale i o jejich praktickou exploitovatelnost. Dostat se do týmu vývoje konkrétního komerčního software a prosadit např. backdoor je složitější, dražší, než začít přispívat od OSS. Už jen kvůli ověření identity zaměstnance, často nutnosti fyzické přítomnosti, ..., vs. zcela neověřený "horlivý" přispěvatel. BTW, velmi bych se divil, kdyby vlády velmocí neinvestovaly miliony do týmů lidí, kteří mají za úkol do OSS přispívat a tu a tam vpašovat nějakou slabinu. Zejména cílená kombinace zdánlivě nesouvisejících a nezávažných slabin může být dost nebezpečná.

    A co se týče sabotáže, ta míra je naprosto stejná - jestli je úmyslná nebo nebo ne, či zda si vyrobíš snadněji nepřítele v OSS či firmě s closed řešením je vabank ...

    Jsou dvě situace: a) někomu, kdo na projektu pracuje, přeskočí nebo se nechá uplatit; zde JE riziko stejné a je to vabank. Pak je tu ale b) cílená snaha infiltrovat tým, a tam je situace rozdílná. Zaměstnance komerční firmy má ověřenou totožnost, nese jasnou právní odpovědnost, ..., a není jisté, že sabotér bude přijat do pracovního poměru. U OSS - s trochou nadsázky - stačí trpělivost, přispívat a dostat se do týmu. Nikdo totožnost neověřuje a civilní odpovědnost je nulová (trestní odpovědnost je stejná jako ad a)).

    jestli OSS nemá někdo často jako prezentaci nebo s někým společný kód typu win:win, aby teprve na tom stavěl něco za prachy. Viz třeba OSS okolo státní správy

    Motivací je dostat zaplaceno - např. jako zaměstnanec. Sedím-li ve firmě nebo v úřadu a mám za úkol něco programovat, může mi přijít daleko zajímavější forma OSS. Svoji mzdu dostanu a komunita mi poskytne přinejmenším feedback a testování. Takže ta motivace bývá velmi často také komerční, jen jiného typu.

  • 14. 8. 2018 17:23

    null null (neregistrovaný) ---.212.broadband18.iol.cz

    Ano, psal jsi to tak, avšak přitom máš "plnou hubu" OSS, který s tímto jevem má pramálo společného. Je otázka, kam je jednodušší prosadit backdoor - většinou si přispěvatelé do OSS stěžují, že se na jejich pull requesty ani nedostane - a taky to stejně dál musí někdo schvalovat či kontrolovat. Naopak v komerčních firmách sice nemůže přispívat kdokoliv, za to VĚTŠINOU výsledek je pouze na onom jednom zaměstnanci - a vyrobit si takového který na to kašle, je na to sám a nesmí se ptát veřejně a místo další kontroly "je to prostě na něj" a hotovo. O updatech se ani nebavím. Nechci abys mě bral za slovíčko, ale zmiňuješ jenom neduhy OSS a jaksi zapomínáš na klasické neduhy firemních closed řešení.

  • 14. 8. 2018 17:30

    null null (neregistrovaný) ---.212.broadband18.iol.cz

    PS: Jo a OSS neznamená vraž si tam kdo chceš co chceš. Nehledě na to, že ty tvoje closed řešení jsou často napsané v nějakém OSS jazyce ....

  • 14. 8. 2018 23:25

    Miroslav Šilhavý

    Ano, psal jsi to tak, avšak přitom máš "plnou hubu" OSS, který s tímto jevem má pramálo společného.

    Domýšlíte si do mých vět něco, co jsem v nich nepsal. Tvrdím pouze, že OSS není o nic bezpečnější a že je zase náchylný k jiným rizikům.

    Uzavřený softare = nevíte, co tam je, ale neví to ani obecný hacker. Analýzu binárního kódu může udělat hacker, stejně jako veřejnost. Úspěšnost takové snahy nebude vysoká. U uzavřeného vývoje je rizikem lajdák zaměstnanec, ale protiváhou je to, že riziko nevejde jen tak ve známost.

    Otevřený software = teoreticky můžete vědět, co v něm je. Nastupuje ale fenomén sociální lenosti (každý očekává, že někdo jiný to zkontroloval), což se už několikrát projevilo tím, že velmi nepříjemné chyby byly v některých programech roky bez povšimnutí. Rizikem je, že otevřený zdrojový kód může levně zanalyzovat kdokoliv a bude úspěšnější, než při pitvání binárky. U OSS jde o to, jestli takový audit udělá dřív "veřejnost" nebo třeba nějaká vládní agentura. V prvním případě sehraje otevřenost kódu pozitivní roli - bude opraven. V druhém případě negativní roli, protože někdo bude znát chybu a velmi dobře si ji může zmapovat a zneužívat.

    zapomínáš na klasické neduhy firemních closed řešení

    Uvědomuji si je. S těmi neduhy se dá ale pracovat. Pořizuji licenci nějakého software a vím, jaký má životní cyklus a jakou úroveň služeb si s licencí pořizuji (SLA). Mám pak jasnou cenu za jasné období užívání a s tím se samozřejmě dá pracovat. Zjednodušeně řečeno: chci-li mít jistotu správné ekonomické úvahy, pak počítám, že mi Windows server bude žít např. 5 let, Windows stanice 2 roky, Office 3 roky, ..., a zvážím, jestli si software zaplatím jednorázovým poplatkem nebo na měsíční bázi. Ano, bude mě to stát víc peněz než když to budu dřít do mrtě, ale zase mám prakticky eliminovaná rizika s tím co píšete - s updaty, podporou, ...

  • 15. 8. 2018 7:31

    null null (neregistrovaný) 91.187.42.---

    Nedomýšlím. Mluvíš o OSS jako o více náchylném SW na chyby a dalších a stále ti opakuji, že to s tím nesouvisí. Otevřený kód není nutná podmínka úspěšného útoku a když se podíváme do historie, tak "zadní vrátka" od filuty za klávesnicí se spíše vyskytují v uzavřeném kódu (např. routery) a ještě se to zjistilo až po analýze která byla de-fuckto porušením licence. Troufnu si tvrdit že v OSS se takové věci nedějí, nedovedu si představit kdo se pod to veřejně podepíše a doufá, že mu takový pull-request projde. Nehledě na, opakuji se, že proprietární kód často stojí na kódu OSS, např. PHP nebo podobně, kde by se teoreticky mohl někdo prosadit a pak škodit. Praxe ale ukazuje, že se tak neděje, změny a featury jsou plánované a žádné akce typu "3x jsi opravil anotaci tak si vlep kód jaký chceš" se nekonají. Z mých zkušeností s různými projekty mohu prohlásit, že "za zavřenými dveřmi" se obecně dějí horší věci než "před nimi" - obecně - ale o tom je řeč: obecně ...

  • 15. 8. 2018 7:58

    Miroslav Šilhavý

    Troufnu si tvrdit že v OSS se takové věci nedějí, nedovedu si představit kdo se pod to veřejně podepíše a doufá, že mu takový pull-request projde.

    Právě pro tento odhad neexistuje žádná opora, můžeme se o tom pouze dohadovat. Vy si toto myslíte, já si zase myslím že v našem světě existují síly (např. vládní agentury), které mají tak obrovské prostředky, že mohou do OSS jen velmi jemně zasahovat. Stačí úplně mrňavé opomenutí v RNG, které dokáže oslabit sílu generace klíčů. Takovou "chybičku" je schopný vyprojektovat matematik s nějakým rozpočtem na svoji práci. Ale aby takovou chybu někdo odhalil, musel by zaplatit jiného matematika, který to podrobí oponentuře. A zde je ta slabina: na tuto činnost není nikdo, kdo by ji financoval, a financování zpětné kontroly je dražší, než cíleně kód oslabovat. Stejně jako musíte uvažovat o rizicích uzavřeného vývoje, bylo by bláhové zavírat oči před tím, že mohou existovat jiná rizika v OSS.

  • 15. 8. 2018 9:29

    Torquemada666

    "Ale aby takovou chybu někdo odhalil, musel by zaplatit jiného matematika, který to podrobí oponentuře."

    Opomijite existenci vyzkumu (prevazne?) z akademicke sfery. Najit takovehle chyby je neco, na cem se da udelat jmeno - a to je v dnesnich podminkach k nezaplaceni

  • 15. 8. 2018 9:40

    Miroslav Šilhavý

    Opomijite existenci vyzkumu (prevazne?) z akademicke sfery. Najit takovehle chyby je neco, na cem se da udelat jmeno - a to je v dnesnich podminkach k nezaplaceni

    Nevím, jestli někdo má dost odvahy na to, aby riskoval, že třeba stráví 3 měsíce svého pracovního života "zadarmo" a bude zkoumat něco, kde třeba ani na nic nepřijde? Bude takových odvážných vědců dostatek proti těm, kteří mohou být placeni na druhé straně? Nebude se vědec raději věnovat něčemu, na co jsou vypsané granty? A když už tento náš hypotetický vědec na slabinu přijde, jakou má motivaci ji zveřejnit oproti tomu spolupracovat (za peníze) s vládou svojí země (která jeho schopnosti ráda ocení)? Přijde mi to jako boj těch kteří "možná mohou" něco udělat, proti těm, kteří "mají jednoduchou možnost" cokoliv udělat.

    V posledních letech byly v OSS objeveny slabiny, které byly do nebe volající, a byly tam roky.

  • 15. 8. 2018 9:43

    null null (neregistrovaný) 91.187.42.---

    Já netvrdím že neexistují rizika v OSS, jenom tvrdím, že nejsou v jejich konečném výsledku nijak diametrálně odlišné od uzavřeného SW. A za pravdu mi dává i dosavadní praxe (mimo opravdu specializovaných firem) a vypadá to, že jestli bude někdo cíleně oslabovat (asi mnohaletém úsilí s trochou štěstí pro neodhalení ) nějaký důležitý OSS kód a nebo jeden nasraný (nebo podplacený - a že v historii inteligentních služeb je takových případů bžilión - či chybující) zaměstnanec v nějakém nedokonalém prostředí uzavřeného teamu je ve výsledku jedno. jestli je jedna chyba nejhorší za 5/5 a v druhém za 4/5, v další zase naopak, tak pak už je to jedno a to srovnání - globální - je mizivé. A z praxe taky víme, že přes výhody whitebox testingu, ten blackbox testing je často velmi úspěšný taky.

  • 15. 8. 2018 9:51

    Miroslav Šilhavý

    A za pravdu mi dává i dosavadní praxe (mimo opravdu specializovaných firem) a vypadá to, že jestli bude někdo cíleně oslabovat (asi mnohaletém úsilí s trochou štěstí pro neodhalení ) nějaký důležitý OSS kód a nebo jeden nasraný (nebo podplacený - a že v historii inteligentních služeb je takových případů bžilión - či chybující) zaměstnanec v nějakém nedokonalém prostředí uzavřeného teamu je ve výsledku jedno.

    Já si myslím, že hlavní problém je, že seriozní srovnání na toto téma nikdo nezpracoval. Není zde nikdo motivovaný takové rešerše provádět. Nejsme schopni říct, jestli snaha o cílené oslabování existuje, jak je častá a jak je závažná.

    Pak je tu ještě geopolitický aspekt: někomu (a já se mezi ně počítám) může být stokrát milejší představa, že moje soukromí narušuje USA, než Rusko. Jsem si prakticky jistý, že v mých Windows jsou mechanismy, kterými může v extrémním případě ameriská vláda nahlédnout, ale nebudou tam žádné cílené mechanismy ve prospěch Moskvy. U OSS to vůbec nevím.

  • 15. 8. 2018 12:00

    null null (neregistrovaný) 91.187.42.---

    Nezpracoval. Ale zatímco já se orientuji podle současných výsledků/stavu nějakého vývojev v IT, ty předkládáš teorie o jakémsi cíleném dlouhodobém sabotování OSS projektů nějakými záškodníky a nakonec to podrpoříš sice pravdivým argumentem (není na to studie - a asi ani průkazné výsledky nedá) aby se to zdálo jako relevantní tvrzení. Ohledně cílené a dlouhodobé sabotáže OSS projektů jsi neuvedl jediný příklad, jenom pochybnosti, zatímco příklady zásadních a jasných pochybení v closed kódu máme denně.
    No, Amerika/Rusko .... Tohle sem zatáhnout, to přebije všechny argumenty. Začnu odzadu. Právě v OSS máš tu nejlepší a nerychlejší možnost, jak si to zkontrolovat a ještě legálně. Pokračujme. Mě se nelíbí šírování ani z jedné strany. Celá ta tvá víra v to, že je lepší nechat se šmírovat Amerikou než požadovat cokoliv jiného je směšná. Šmírovat by tě neměl nikdo. Ale zaměřme se na to tvé, promiň, naivní až hloupé bipolární srovnání. Vycházíš z domělé hrozby Ruska jako strašáka, ktého ti představuje západní propaganda, protože by jednou (v konečném výsledku) rádi jeho suroviny. Ostatně nebylo by to poprvé. Ani podruhé ... A kdo že je nebezpečnější? S Ruskem máme málo obchodu, potřebují naše tovary a dávají nám relativně levně plyn, neustále, protože je to pro ně dobrý byznys. Jaké to je vládnout většímu počtu haštěřivých evropských republik už si vyzkoušeli - tím ale netvrdím že tu nemají své ekonomické zájmy. Největší nebezpečí z Ruska jsou aktuálně bankovní hackro-zlodějíčci a to vede v podstatě jenom na souboj zálat - antiviru a lepších trojanů. Na druhé straně agresivní USA, pro které jsme přímý konkurent v drtivé většině lukrativních oblastí, nejradši by z nás měli pouze odběratele, spojenec s přímým, silným vlivem do naší politiky a na obyvatelstvo - to je při tom šmírováníčku hrozba jak poleno ... Shrnuto a podtrženo, protože USA je nám blíže, má tu víc vlivu a jsme přímý konkurent, šmírování z jejich strany je daleko nebezpečnější, protože výsledky mohou daleko lépe zhodnotit na náš účet, nežli Rusko ....

  • 15. 8. 2018 21:21

    Lael Ophir

    OK, začněme odzadu. Nainstlaoval jsem si Ubuntu, jenom kernel má okolo 25 milionů řádek kódu, celé distro nejspíš velké stovky milionů. Jak si můžu rychle a legálně zkontrolovat, že v kódu nejsou záměrně zanesené nějaké záludnosti?

    Souhlas že šmírovat uživatele by neměl nikdo.

    Rusko samozřejmě je hrozba. Jde o autokratický režim, prokazatelně falšující volby, který opakovaně vyhrožuje evropským zemím jaderným úderem, provedl nelegální anexi Krymu a zahájil válku na Ukrajině. Rusko má ekonomiku jen velikosti Španělska, prakticky zcela závislou na vývozu surovin, a dovážející všechno od připínáčků a instantní kávy přes léky, čerpadla, obráběcí stroje, klimatizace, elektrické generátory, lepidla, barvy na vlasy, opalovací krémy, čistící prostředky, trubky, radiátory, ubrusy, spodní prádlo, laboratorní přístroje, pneumatiky, body, zavazadla, auta, elektroniku a počítače...
    https://atlas.media.mit.edu/en/profile/country/rus/

    Nebezpečí je ale hlavně v tom, že Rusové zjevně nerespektují právo ostatních zemí určovat vlastní zahraniční politiku. Ukrajinci by o tom mohli vyprávět, stejně jako Norové a další, kterým Rusové vyhrožují jaderným úderem. Osobně bych nerad viděl v ČR znovu ruskou okupaci. A nechci v ČR ani posilování ruských zájmů a ruské manýry: potlačování svobodných médií a svobody slova, falšování voleb, megakorupci atd.

  • 15. 8. 2018 23:48

    null null (neregistrovaný) ---.212.broadband18.iol.cz

    Jak si můžu rychle a legálně zkontrolovat, že v kódu nejsou záměrně zanesené nějaké záludnosti?

    Těžko. V closed source nijak ....

    Rusko: spousta zveličených keců a dezinterpretací. Nepotřebuji obhajovat Rusko, ale "západ" je momentálně bohužel "větší svině - BOHUŽEL - je mi líto. Na to, kdo se chová jako svině, není měřítko velikost ekonomiky.

    "Nebezpečí je ale hlavně v tom, že Rusové zjevně nerespektují právo ostatních zemí určovat vlastní zahraniční politiku. "

    Jasně, za to USA a EU se za vlastní zahraniční politiku ostatních bijí seč mohou. Jsi směšný jako Hurvínek ...

    Jaké vyhrožování. Jediné co čtu na českých mediích je, jak Porošenko střádá plány a Říše zase sune vojsko k hranicím .... Ruskou okupaci tu nechce nikdo, ale ta nám nehrozí ani omylem ...

    "A nechci v ČR ani posilování ruských zájmů a ruské manýry: potlačování svobodných médií a svobody slova, falšování voleb, megakorupci atd."

    Jenomže zrovna tohle tu nedělají Rusové. Např. poslední kdo vytvářel seznamy "nepohodlných" médií byly ty posrané pražské sluníčka z kavárny - tolik tolerance mají pro všechny z afriky až jim žádná nezbyla pro lidi s opačným názorem ....

  • 15. 8. 2018 23:50

    null null (neregistrovaný) ---.212.broadband18.iol.cz

    Ale nebudu tu tím zas*rat diskuzi. Na ty tvoje blbliny a europropaagndu o zlých lidech za hranicemi odpovídat už nebudu ... stejně to nemá smysl Jasánku

  • 16. 8. 2018 0:46

    Miroslav Šilhavý

    Jak si můžu rychle a legálně zkontrolovat, že v kódu nejsou záměrně zanesené nějaké záludnosti?

    V zásadě, proč byste to vůbec dělal? Musel byste totiž v tu chvíli auditovat i operační systém, i hardware a jeho management udělátory, ..., pročež zjistíte, že stejně nemáte v ruce nic pevnějšího, než víru v určité vendory.

    Nepotřebuji obhajovat Rusko, ale "západ" je momentálně bohužel "větší svině - BOHUŽEL - je mi líto.

    Jak se to vezme. USA a Západ pochopitelně mají agenturní sítě na stejné (a asi i vyspělejší) úrovni než Rusko. Jsou zde ale dva velké rozdíly. 1. demokracie je na Západě tak hluboko v lidech zakořeněná, že se stejně každá sviňárna záhy provalí (v Rusku naopak prakticky nikdy), 2. Západ daliko uvážlivěji nakládá s možnostmi, které má; agenturní mechanismy mají, zdá se, víc kontrolních pojistek, než v Rusku... To, že se k Vám nedonesou informace o tom, co Rusko dělá, neznamená, že je lepší. (Seznamy vězňů v gulazích Rusko také nikdy nezveřejnilo, ale těžko z toho můžete dovodit, že nikdy nikoho nevěznili).

    Jenomže zrovna tohle tu nedělají Rusové. Např. poslední kdo vytvářel seznamy "nepohodlných" médií byly ty posrané pražské sluníčka z kavárny - tolik tolerance mají pro všechny z afriky až jim žádná nezbyla pro lidi s opačným názorem ....

    On je trochu rozdíl, jestli oponenta netolerujete toliko metodami ignorace, nebo jestli oponenty perzekvujete podobně, jako v Rusku nepohodlná média, novináře či podnikatele.

    Víte, Kentane, asi si málo uvědomujete, že v Rusku byste nemohl veřejně hlásat tak otevřenou kritiku vůči vlastní zemi, jako zde můžete. Já jsem za to například neskonale rád a považuji to za velkou hodnotu západní společnosti. Bylo by asi potřeba si víc připomínat, že svoboda není úplně samozřejmá.

  • 16. 8. 2018 8:05

    null null (neregistrovaný) 91.187.42.---

    MIroslave, svoboda není samozřejmá, já si toho vážím a na rozdíl od vás (ostatních) ji i využívám namísto slepého papouškování evropské propagandy o ráji západní demokracie.
    NIkdy jsem netvrdil že je Rusko nějak skvělé, ale na své podmínky mají prostě svůj řád a od carského, následně Stalinistického a komunistického řízení země ušli 100x větší kus cesty než my. Já jim to přeji, ale prostě a jednoduše to chce čas.
    To že tam nějak utlačují opozici není pravda, to se dočteš i u nás o našich a z obou stran - dělá to každá vláda a opravdu nevím, kde že ty gulagy zase mají. Zaznívá z Ruska i tvrdá kritika a to je jenom důkazem že zaznívat může. Ok, beru, mají silný kult osobnosti vůdce, někdy až k smíchu, mají silnou mediální propagandu, ale to tu máme taky - jenom lehce "vytříbenější". Třeba vražda slovenského novináře taky měla sahat až do politiky, kdoví, dokonce se to tak lehce dá prezentovat i zahraničními médii, ale protože mají připnutý odznáček EU, tak je to samozřejmě pochybení jednotlivců - ovšem mít odznáček Rusko, tak je to zlý zlý zlý záměr celého Putinska - to už je pak směšné stějně jako ten Putinův kult osobnosti v ruském stylu. Nebo Slonková .... Ale za vším byly nakonec "pouze" prachy a vlivné skupiny s ad-hoc napojením na úředníky, policii a pod. a tak podobně to bude i v Rusku, jenom se toho umě chytnou propagandisti stylu Pehe nebo Štětina + se na netu vyrojí tuna plivaší kteří to jenom ochotně přepapouškují jako Maryško nebo Šídlo. U nás přece taky kolují seznamy nepohodlných webů, citovat je je pomalu zločin proti lidskosti a nyní dokonce v praze jdou policajti po šiřiteli letáků, kterému se nelíbí české zahraniční angažmá - jak za komunistů. V USA si taky konspirátoři stěžují jak jim zabavují materiály, vyšetřují je, zavírají - třeba Snowden a Assange by mohli vyprávět ... Ok, nezabíhejme, jenom chci říct že je to o způsob výkladu a bohužel v tomto mezi západem a východem není rozdílu krom růžových brýlí a odznáčku "demokracie". Bohužel a já chci aby se to změnilo - u nás, do Ruska mi nic není ...
    Ale reagoval jsem na nesmyslné obvinění o jaderné hrozbě a zde se zase ukazuje ta západní propaganda. Oni totiž vždycky reagují slovy o raketách na nějaký verbální útok od našich generalisimů z NATO (kteří se vždycky tak hrdě vyřádí na nějaké zemi kde tak tak mají aspoň telefony) o ruské hrozbě a potřebě tlaku a rozhodných akcí - což přeloženo z NATO gumáčtiny znamená víc prudit na hranicích a vyvolávat konflikty v třetích zemích ... Hnus ... A co na to naše nezávislá, evorpská, demokratická média? Odpapouškují jenom tu část událostí s tou hrozbou jádrem - to je nechutný výkon, bohužel pravidelný. Aby sis reálně představil jak to funguje, tak na ČT asi rok nebo dva každého kdo si dovolil tvrdit že Putin není Satan který žere malé evropské děti každý den fackovali tím, že obhajuje člověka který volá po pořádcích Sovětského svazu vyjádřením: "Rozpad Sovětského svazu byla největší tragédie" a on přitom řekl "Rozpad Sovětského svazu byla největší tragédie, protože se miliony rusů najednou ocitli za hranicemi a doma zavládl na roky chaos a bezvládí" - což je vlastně naprostá pravda (Je to v dokumentu Olivera Stonea kdybys měl zájem). A tak to prostě funguje, ale nechci tu vypisovat jednotlivé případy, ani si to už všechno nepamatuji, ale nediv se, že to pak v prosťáčcích evropského ovčího typu vyvolává nějaké strach z Ruska - ten se ovšem hodí, protože máme nové století a tradice velí zkusit uchvátit Ruské území - což ještě sice není na pořadu dne - za to Evropská armáda ano - a do by ji nechtěl když tam za kopcem číhají ti ruští svazáci s atomovkama ... otřesné.
    K těm hrozbám - reálným a tomu kdo z toho nakonec může opravdu těžit, teda má nejsilnější motiv a tedy je nejnebezpečnější jsem se vyjádřil výše. A myslí takto i spousta bezpečnostních expertů - nikoliv politiků

  • 16. 8. 2018 8:18

    Miroslav Šilhavý

    Podle mě si zaměňujete svobodu s anarchií. Resketovat řád není na úkor svobody. Na úkor svobody je potlačovat volné vyjadřování, volnost pohybu, práva na ochranu majetku atd. Vaši argumentaci používali předlistopadoví politici, kteří taktéž tvdili: podívejte, i na západě, i u nás se občan musí podřídit zákonům. To je samozřejmě pravda, ale co představuje rozdíl je to, jakým způsobem zákony vznikly, jak je mohli lidé ovlivnit a s jakou razancí a zneužíváním jsou vykonávány.

    Rozpad Sovětského svazu byl nevyhnutelný. Vyjádření k tomu, jestli to byla tragédie, je čistá demagogie. Ano, kdyby býval Sovětský svaz fungoval, byl by v mnoha ohledech dobrým uspořádáním. Ale on nefungoval. Podobně mají lidé tendenci hodnotit revoluční československý průmysl a lají, že je škoda, že skončil. Ale on neskončil kvůli tunelářům - on skončil, protože nebyl životaschopný; tuneláři dokonali jen dílo skázy tím, že majetek, který by se stejně musel rozprodat, byl rozprodaný do kapes jednotlivců. Ale i kdyby tu polistopadové průsery nebyly, československý průmysl by skončil tak jako tak. Nebo podobně můžete na mezinárodním poli honotit svržení tyrana Saddáma Husajna. Jednoznačně je správné svrhnout diktátora a tyrana. A je hodně zlé nyní říkat: za Saddáma tam byl pořádek. Inu byl, ale za jakou cenu? Za cenu, kterou jsme my, svobodní občané planety mlčky tolerovat?

  • 16. 8. 2018 11:38

    null null (neregistrovaný) 91.187.42.---

    Nic jsi nepochopil ...

    Ale pro pořádek se zastavím u jednoho nesmyslu:

    "Jednoznačně je správné svrhnout diktátora a tyrana. A je hodně zlé nyní říkat: za Saddáma tam byl pořádek. Inu byl, ale za jakou cenu? Za cenu, kterou jsme my, svobodní občané planety mlčky tolerovat?"

    A jaká je cena za jeho svrhnutí? Kolik milionů lidí postižených za desátky let válkou, na útěku a statisíců mrtvých? Kolik je z toho vytvořených nových konfliktů a nepřátel? To je jako bys zlomenou ruku řešil amputací. Ťápeš o svobodě a metodách, ale za celý jejich stát se sám rozhodneš že jim to tam roztřílíš. Kdo jsi že bohorovně rozhodneš kdo žije špatnš a koho při tom rozstřílíš? Všechno má svůj čas a svůj vývoj - kdo jsi abys stavěj cizí národy válkou do latě?

    PS: Kdyby skutečně šlo o ty lidi, tak to ještě pochopím a snad i nějak zkousnu, ale všichni víme, že to je to poslední o co tam jde. Mimochodem jsou místa, kde se mají lidi řádově hůř než Irák, Syrie, Ukrajina- jenomže z toho nekape moc a dolary, takže ti to ani v TV neukážou abys o tom mohl moralizovat.

    Mlčky tolerovat? Další faul. Nikdo tě přece nenutí nic mlčky tolerovat ale přece jediná další možnost není na ně uvrhnout roky války - tak uvažovali třeba Stalin a Hitler .... Můžeš ty lidi vyzývat, ukazovat jim směr, dávat jim rady a dokonce finanční pobídky, obchod - lidi cestují, vidí a chtějí sami - můžeš tím změnit jejich náhled na svět - když ti do země přijede cizí armáda a všechno rozstřílí, tak je z toho jenom další utrpení, zkáza, nenávist a boj ... Ostatně se to ukazuje denně ...

  • 17. 8. 2018 0:36

    Lael Ophir

    Vy byste mě rozesmál. Saddam například v rámci genocidní operace al-Anfal zabil okolo 170 000 civilistů. Bombardování, použití chemických zbraní, systematická destrukce osad včetně poprav veškerého obyvatelstva, masové deportace, koncentrační tábory, hromadné popravy, násilná arabizace a přesuny stovek tisíc lidí v rámci země... To vše spácháno na vlastních občanech. Přitom jde jen o jednu z epizod Saddámovy krutovlády, byť je to jedna z těch krvavějších. A co vy byste s takovým člověkem udělal? "Vyzývat, ukazovat směr, dávat jim rady a dokonce finanční pobídky, obchod..." Jo, to je fakt super strategie. Ještě byste mu mohl zazpívat, třeba by pak s tou genocidou přestal :)
    https://en.wikipedia.org/wiki/Anfal_genocide

    Když jsme u toho "stavění do latě". Co má podle vás mezinárodní společenství udělat, když se někdo dopouští genocidy na vlastním obyvatelstvu? Národní trestní právo zjevně nefunguje, protože příslušný diktátor je ve své zemi beztrestný, a pokusy pohnat ho k odpovědnosti vedou pouze k záhubě těch, kdo se o to snaží. My můžeme buď jen přihlížet, nebo zasáhnout. Když přihlížíme zvěrstvům a nic neděláme, je to asi špatně. Když se do věci vložíme například sankcemi, nebo v případě nutnosti i vojenským zásahem, tak je to podle řady lidí také špatně. Navíc je dost těžké lidem vysvětlit, proč mají ze svých daní platit zásah v nějaké rozvojové zemi na druhém konci světa, a proč odtamtud přilétají zpátky domů mrtví chlapci v pytlích. Podle mě je velikou otázkou k diskusi zda se do podobných akcí zapojovat, za jakých podmínek a jakým způsobem.

  • 17. 8. 2018 0:17

    Lael Ophir

    Nejde o žádné "zveličené kecy" ani dezinterpretace. Rusko je opravdu zjevně autokratické. Mimochodem velké procento Rusů dodnes obdivuje Stalina, který zabil podle všeho víc lidí než Hitler, většinu z nich navíc vlastních. V Rusku se opravdu zcela prokazatelně dochází k systematickému falšování voleb, důkazy jsou jasné. Rusko opravdu vyhrožuje jadernými údery, zvlášť pokud se nějaká země cítí jaksi nesvá z toho co Rusko provedlo na Ukrajině, a uvažuje například o vstupu do NATO. Rusové jsou nakonec rádi za fiktivního vnějšího nepřítele, protože ruská ekonomika pokulhává na všechny tři nohy, a Velký Vůdce se z toho může snadno vyvléknout tvrzením, že za všechno může protiruské západní spiknutí.

    Ohledně toho respektování volby zahraniční politiky jiných zemí. V UK se rozhodli, že opustí EU. Víte co udělala EU? Vyjádřila politování, a zahájila s nimi jednání o budoucím uspořádání. Představte si ale jiný scénář. Do Británie by vpadla francouzská a německá vojska, obsadila by Londýn a okolí, svezla poslance do parlamentu a nechala je odhlasovat referendum, které by se poté uskutečnilo pod hlavněmi těch vojáků. Londýn a Skotsko by se po "referendu" odtrhly do republik, které by uznávala jenom EU, a na hranici se zbytkem UK by vojáci EU vytvořili zamrzlý konflikt, který by občas trochu "rozmrazili" nějakou drobnou invazí, raketami apod. To by celé bylo přesně v ruském stylu. Dochází vám ten rozdíl?

    Ad je to o způsob výkladu a bohužel v tomto mezi západem a východem není rozdílu krom růžových brýlí a odznáčku "demokracie" - LOL. V Rusku se například ve velkém systematicky falšují volby, vládnou tam beztrestní oligarchové stojící nad zákonem, celá země je prolezlá megakorupcí… Ale jinak je to tam vlastně jako v Evropě nebo US, až na ten odznáček "demokracie" :D

    Ad ušli 100x větší kus cesty než my - Poté co Rusko prohrálo studenou válku jsme jim nijak nestrkali nos do výkalů. Naopak jsme s Ruskem dělali business, sháněli jejich vědcům práci (včetně toho že Američané nechali ruské specialisty postavit základní modul ISS Zarya), pomáhali jsme jim vytvářet zákony, školili jejich soudce a policisty, otevírali společné podniky. Tu rozvojovou zemi jsme dokonce pozvali do klubu sedmi nejrozvinutějších zemi světa G7, ze kterého jsme udělali G8. A kam to Rusové dotáhli? Falšování voleb, nepřipouštění opozičních kandidátů k volbám, vězení za účast na demonstracích, nulová vymahatelnost práva, vláda oligarchů, prezidentem agent KGB, hrozby jaderným konfliktem, invaze a zamrzlé konflikty, anexe Krymu a válka na Ukrajině v rozporu s mezinárodním právem i Budapešťským memorandem. Kam to tedy podle vás Rusko vede? Podle všeho směrem ke stalinistické diktatuře. A to svinstvo na Ukrajině natolik poškodilo vztahy Ruska se Západem, že Rusko nejspíš čekají celé dekády izolace a stagnace.

    Ad poslední kdo vytvářel seznamy "nepohodlných" médií byly ty posrané pražské sluníčka z kavárny - o jakých seznamech mluvíte? On někdo sepsal seznam notoricky známých dezinformačních hnojometů typu Aeronetu, Parlamentních listů apod., nebo co se stalo?

    Ad Putin... vyjádřením: "Rozpad Sovětského svazu byla největší tragédie" a on přitom řekl "Rozpad Sovětského svazu byla největší tragédie, protože se miliony rusů najednou ocitli za hranicemi a doma zavládl na roky chaos a bezvládí" - Vy tragéde! Dochází vám, že z toho projevu existuje záznam a oficiální transkripce, takže to vaše "...tragédie, protože spousta Rusovů..." je možné ihned označit za vaší vědomou lež? Mimochodem podobnému vývoji čelily i západní země, když jejich kolonie vyhlásily nezávislost. Mnozí jejich občané a krajané se najednou ocitli mimo britské, francouzské, italské atd. impérium. Na rozdíl od Putina ale dnes Západ netvrdí, že bylo v pořádku ty země obsadit, a neprovádějí nelegální anexi jejich území.
    "Прежде всего следует признать, что крушение Советского Союза было крупнейшей геополитической катастрофой века. Для российского же народа оно стало настоящей драмой. Десятки миллионов наших сограждан и соотечественников оказались за пределами российской территории. Эпидемия распада к тому же перекинулась на саму Россию."
    "Především je potřeba si přiznat, že kolaps Sovětského svazu byl největší politickou katastrofou století. Pro ruský lid se to stalo opravdovým dramatem. Desítky milionů našich spoluobčanů a krajanů se ocitly mimo ruské teritorium. Epidemie rozpadu se navíc přeskočila i na Rusko."

  • 21. 8. 2018 14:20

    null null (neregistrovaný) 91.187.42.---

    @Lael Ophir

    No, ty bys mě nerozesmál. Je to k pláči jak lžeš. Nidky jsem nervrdil že byl Sadám nebo Irák nějaký dobrák. Jenom si nemyslím že s Diktároty se má bojovat 20 lety rozbomrardování civilistů. Jenom za 10 let války do roku 2013 zemřelo 500 000 lidí - to bych řekl že je "trošku" víc než za Sadáma - ale pro tebe blbečku ještě jednou: tím ho neobhajuji, jenom tvrdím, že rozpoutat někde válku není řešení. Když 170000 lidí je genocida, co je 500000? - to že je zabili demokraticky jim nijak nepomůže.

    " A co vy byste s takovým člověkem udělal? "Vyzývat, ukazovat směr, dávat jim rady a dokonce finanční pobídky, obchod..." Jo, to je fakt super strategie. Ještě byste mu mohl zazpívat, třeba by pak s tou genocidou přestal :)"

    Nauč se číst. Ty rady, pobídky byly řečeny směrem k obyvatelstvu a to si ho pak rychle svrhne samo - nebylo by to poprvé, akorát se nenažere zbrojní průmysl ... ale radší se nauč číst nejprve, pak u toho začni přemýšlet a uděláš nejlépe ... Ostatně si zjisti, kdo mu během toho al-Anfal, tedy v době války s Iránem dodával zbraně a podporoval ho: No ti tvoji demokratičtí dobráci ... je fakt hnus jak tu kroutíš a vynecháváš fakta. Hnus ...

    "Když jsme u toho "stavění do latě". Co má podle vás mezinárodní společenství udělat, když se někdo dopouští genocidy na vlastním obyvatelstvu? "

    V době kdy zasahovali na nikom nic nepáchal, naopak se jim snažil zavděčit protože věděl že je na mušce - takže po něm mohli chtít cokoliv - ale to by se nenažral zbrojní průmysl
    Proti zásahu proti genocidě nic nemám. Naopak bych si přál aby to tak nefungovalo, ale když si vyndáš hlavu z prdele tak zjistíš, že to tak není, jenom se to kolem toho kecá. Bohužel. A dokud si budeme něco nalhávat, tak to nemůžeme vyřešit. Takže buď dalším, kdo přestane nalhávat.

    "Rusko je opravdu zjevně autokratické. "

    A co je tobě do toho. Nechceš aby se osi sral* do nás, tak co se **** ty do nich? Ostatntě to že je něco autokratické ještě automaticky neznamená že je to špatné nebo zlé. Jenom je to jiné. Jestli sis nevšiml, tak ne všude na světě je teď prostě možné zavést demokracii - spousta států a jeho obyvatel to prostě nedá, musí se k tomu dopracovat - a ukazuje se to denně na západních misích natokorpsu.

    "Ohledně toho respektování volby zahraniční politiky jiných zemí. V UK se rozhodli, že opustí EU. Víte co udělala EU? Vyjádřila politování, a zahájila s nimi jednání o budoucím uspořádání. "

    Ty jsi asi padlý na hlavu ne? Tvůj příklad s EU a Británií by byl správně aby seděl tak, že Británie se rozhodla referndem opustit EU, Eu jim vyhrožovala že je nenechá a tak je obsadili američané a referendem si je připojili - jo a ještě by majorita obyvatelstva musela být americká aby to seděl.
    A to ještě skutečně EU nevyjádřila politování, ale začala vyhrožovat že jim to dá sežrat jak bude moct.
    Tak prostě neplácej kraviny ....

    "LOL. V Rusku se například ve velkém systematicky falšují volby, vládnou tam beztrestní oligarchové stojící nad zákonem"

    Což tady není. Tady v EU skandály u voleb nemáme, třeba v Katalásku policie nemlátila demostranty za nezávislost, žádní oligarchové si tady nemávají justicí jak Bureš - ostatně "ve velkém systematicky falšují volby" je mediální obrat, nikoliv fakt.

    "Ad ušli 100x větší kus cesty než my - Poté co Rusko prohrálo studenou válku jsme jim nijak nestrkali nos do výkalů"

    Jsi fakt blb. Rusko za 50 let v podstatě samo ušlo cestu od komunistického Stalinistánu až k relativně svobodné zemi blížící se naivní západní představě na rozdíl třeba od Německa, které vedli američané za demokratickou ručičku 50 let ....
    Ale ty tvé argumenty jsou fakt k zblití jak jsou falešné - k podvodům u voleb dochází i v EU, u nás, v Rakousku, občas se prostě něco stane. Jenom my ale máme odznáček demokracie, tak je to v pohodě ....

    "nepřipouštění opozičních kandidátů k volbám" Jo, obviněný z trestné činnosti - to u nás ho pustili a podívej se jak to vypadá - to je hned lepší že a pitomec tvého typu ale v Rusku by napsal: Kapitalisté si volí své zloděje a oligarchy, nic jiného tam není - proéber se už Jasánku

    "o jakých seznamech mluvíte? On někdo sepsal seznam notoricky známých dezinformačních hnojometů typu Aeronetu, Parlamentních listů apod., nebo co se stalo?"

    Sepsal - ti největší demokraté (teda aspoň to o sobě furt vytrubují) - přidali jim pár nálepek a hotovo ... Akotát si neuvědomili, že i kdyby pracovali pro Rusko, tak každý má právo říct k věci svoje, i když to ti vybraní, ti správní, označí jako dezinformace. Ty létají na obou stranách hojně, ale jedna stran ty vytváří seznamy a demokraticky určuje co si ostatní musí totálně myslet ....

    "Vy tragéde! Dochází vám, že z toho projevu existuje záznam a oficiální transkripce, takže to vaše "...tragédie, protože spousta Rusovů..." je možné ihned označit za vaší vědomou lež?"

    Ano, existuje a přesně to co jsem napsal tam řekl, ještě jsi to odcitoval a tím jsi potvrdil, že to s interpretací ČT, tedy nějakou láskou ke svazu, nemělo nic společného. Hle, další dezinformace, ale ouha, on to není aeronet ze seznamu ... co s tím - zavři oči a je to ....

  • 21. 8. 2018 14:27

    Miroslav Šilhavý

    Jenom za 10 let války do roku 2013 zemřelo 500 000 lidí - to bych řekl že je "trošku" víc než za Sadáma - ale pro tebe blbečku ještě jednou: tím ho neobhajuji, jenom tvrdím, že rozpoutat někde válku není řešení. Když 170000 lidí je genocida, co je 500000? - to že je zabili demokraticky jim nijak nepomůže.

    To je sakra velký rozdíl a máte v tom zmatek. Genocida se vyznačuje tím, že se jedná o cílenou snahu vyhladit určitou skupinu lidí. Abyste to byl schopný pochopit: na silnicích zemřou ročně desítky lidí a většina řidičů odejde s podmínkou. Oproti tomu, vrah jednoho člověka jde do vězení na dlouhé roky. Výsledek je stejný, pohnutka jiná a hodnocení a trest také jiné.

    V době kdy zasahovali na nikom nic nepáchal, naopak se jim snažil zavděčit protože věděl že je na mušce - takže po něm mohli chtít cokoliv - ale to by se nenažral zbrojní průmysl

    Nojo. S Kimem je vlastně taky dobré popovídání u večeře.

    A co je tobě do toho. Nechceš aby se osi sral* do nás, tak co se **** ty do nich? Ostatntě to že je něco autokratické ještě automaticky neznamená že je to špatné nebo zlé. Jenom je to jiné.

    Ehm, jaksi okomentovat vztah v Rusku je řádově menší sraní se, než když Rusko pošle někam tanky. Sakra, do které to země vtrhli před padesáti lety? Ale máte pravdu, ono stačilo, aby se lidé sami bránili.

    Rusko za 50 let v podstatě samo ušlo cestu od komunistického Stalinistánu až k relativně svobodné zemi blížící se naivní západní představě na rozdíl třeba od Německa, které vedli američané za demokratickou ručičku 50 let ....

    Právěže ten posun není vůbec dostatečný. Rusko se přizpůsobilo době a vyladilo komunikační strategii a zapracovalo na sebeprezentaci.

  • 21. 8. 2018 15:01

    null null (neregistrovaný) 91.187.42.---

    @Miroslav Šilhavý

    "To je sakra velký rozdíl a máte v tom zmatek. Genocida se vyznačuje tím, že se jedná o cílenou snahu vyhladit určitou skupinu "

    A to ta válka v zemi, kde se nachází i civilisté byla nehoda? Jsou méně mrtví?

    "Nojo. S Kimem je vlastně taky dobré popovídání u večeře."

    Jo, je. Vždycky když má na mále, tak trošku ustoupí. Ovšem Saddám měl na mále trošku víc. Promiň, je mi fakt líto, ale i při té nejdebilnější snaze, Severní Korea není dnes a nebyla nikdy v pozici jako Saddám ještě pár let před 2003 ... Je mi líto, jablka a hrušky se do košíku klidně vlezou, ale pořád jsou jablka a hrušky. A propos, co teda s Kimem? Že by zase pár milionů nehod v důsledku války za lepší zítřky?

    "Ehm, jaksi okomentovat vztah v Rusku je řádově menší sraní se, než když Rusko pošle někam tanky"

    Když tak strašíš Ruskem ve stavu před 50 lety, proč nestrašíš německem ve stavu před 70 lety? Nebo Rakouskem před 120 lety? Jsme v NATO, je nás hromada, tím máme i ty nejhorší zbraně, pro Rusko je výhodné s námi POUZE obchodovat - nechápu co všem pořád jebe? A pravdou je, že my, NATO, máme tanky ve více zemích - oh, ou, aou - samozřejmě naše tanky a bomby osvobozují, zatímco Ruské zabíjejí ... zapoměl jsem ...

    "Právěže ten posun není vůbec dostatečný. Rusko se přizpůsobilo době a vyladilo komunikační strategii"

    Ten posun je obrovský - neříkám, úroveň je to slabá, ale ten skok v relativních číslech je obrovský - podívej se pro srovnání, kam přišel za tu dobu Kim ... Čínu neporovnávám - ta taky utlačuje kdekoho jako NATO a Rusko, akorát na něj nejsou sankce a nebyla do teď obchodní válka protože přes zisk touha po demokratizaci světa nejde - a má oproti Rusku taky výhodnější polohu, neměla Stalina a železnou oponu ...

  • 21. 8. 2018 15:06

    null null (neregistrovaný) 91.187.42.---

    @Miroslav Šilhavý

    PS: Vem si, že Rusko vlastně od krutovlády Stalina, přes šílenou komunistickou stranu a divoký ruský kapitalismus stylu Chicaho 1920 se dostalo až sem, v podstatě za 60+ let

    Celé to stojí na tom, že se dělá z Ruska nějaká Severní Korea, ale neboj se disidenty a odpůrce vlády kteří ti povykládají koho jejich vláda už za názory zabila máme i na západě i v USA ... Akorát že směr západ jsou to "jenom" konspirace

  • 21. 8. 2018 15:09

    Miroslav Šilhavý

    Celé to stojí na tom, že se dělá z Ruska nějaká Severní Korea, ale neboj se disidenty a odpůrce vlády kteří ti povykládají koho jejich vláda už za názory zabila máme i na západě i v USA ... Akorát že směr západ jsou to "jenom" konspirace

    Rusko to má jako státní doktrínu a vede propagandu tak, že běžní Rusové věří, že potírání opozice je správné. Pokud se nějaký incident stane za Západě, obyvatelé vědí, že je to špatně a že to má být potrestáno. Rusové takovému postupu ještě tleskají. V tom vidím rozdíl.

  • 21. 8. 2018 15:45

    null null (neregistrovaný) 91.187.42.---

    @Miroslav Šilhavý

    "Rusko to má jako státní doktrínu a vede propagandu tak, že běžní Rusové věří, že potírání opozice je správné"

    Nepovídej ... a kolik obyvatelstva např. u nás v ČR věří že je správné potírat např. opozici ve formě nepohodlených webů? Sám ty a Lael tu běsníte když někdo uvede v podstatě něco tak neškodného jako Parlamentní listy - opozici. Kolik lidí tady tleská tomu když někoho s PL pošlou do ... nebo je poplivou v některém ze stranických médií (Bakala - levice, Bureš - idiot, Stát/TOP09/STAN/KDU - ČT )

    Takže neházel bych všechny do jednoho pytle. Už jenom ten počet který nevolil Putina bude asi jiného názoru než sis tady vysnil.

    "Válka je vždy krajní řešení, o tom není pochyb."

    Já nepochybuji. Já nejsem ten kdo tu volá po demokratizaci světa válkou ...

    "Protože Německo i Rakousko se se svojí minulostí plně vyrovnaly."

    Opravdu? Kdo že nám to tu zase rozváží lidi po Evropě na základě rasy, kdo neustále řve o obohacení genu evropanů, kdo zase buduje evropskou armádu, kdo se zase (pravda geograficky jinde) prohání u ruské hranice, kdo mám zase diktuje co máme dělat se svými rozpočty, armádou, zahraniční politikou .... Hint: Rakousko málokdy ....

    "NATO ani žádná země NATO nikdy nevedla válku za účelem získání území."

    Opravdu? No ty jsi komik. A co teď dělají třeba Turci v Sýrii? O genocidě Kurdů ani nemluvím. Pro Američany je válka za účelem získání území v podstatě zadání - ze které zěmě kam nalezli se už stáhli?

    "Když dítko neumí na konci první třídy počítat do deseti a na konci třetí třídy umí počítat do sta, také se posunuje relativně vpřed. Přesto to nestačí na to, co je potřeba pro život."

    Ne, ale je to relativně větší posun než dítko, které umí už na konci první třídy počítat do deseti, na konci třetí do 500 ale s osobním vedením za ručičku, lepšími sešity, učebnicemi mezi chytrými splužáky na rozdíl od druhého, které neumělo v první třídě počítat vůbec, teď umí "jenom" do 300, ale učilo se samo, nikdo ho nevedl, první druhou druhou třídu bylo za oponou rozhádané se všemi ostatními v jedné partě a věčně bylo sankcionované, protože neplní co si ti první zamanou ...

  • 21. 8. 2018 15:07

    Miroslav Šilhavý

    A to ta válka v zemi, kde se nachází i civilisté byla nehoda? Jsou méně mrtví?

    Válka je vždy krajní řešení, o tom není pochyb.

    Jo, je. Vždycky když má na mále, tak trošku ustoupí.

    No zrovna Kim se svými "ústupky" dostal až k atomové zbrani. Opravdu převelefungující taktika.

    proč nestrašíš německem ve stavu před 70 lety? Nebo Rakouskem před 120 lety?

    Protože Německo i Rakousko se se svojí minulostí plně vyrovnaly.

    A pravdou je, že my, NATO, máme tanky ve více zemích - oh, ou, aou - samozřejmě naše tanky a bomby osvobozují, zatímco Ruské zabíjejí ... zapoměl jsem ...

    NATO ani žádná země NATO nikdy nevedla válku za účelem získání území.

    Ten posun je obrovský - neříkám, úroveň je to slabá, ale ten skok v relativních číslech je obrovský

    Když dítko neumí na konci první třídy počítat do deseti a na konci třetí třídy umí počítat do sta, také se posunuje relativně vpřed. Přesto to nestačí na to, co je potřeba pro život.

  • 22. 8. 2018 2:15

    Lael Ophir

    Ad nemyslím že s Diktároty se má bojovat 20 lety rozbomrardování civilistů; co je 500000 - Oni snad Amíci zabili půl milionu Iráčanů? Chápu že Arabové rádi házejí vinu na Amíky, židy, "křižáky" a kdo ví koho ještě, ale je to nesmysl. Toho půl milionu Iráčanů zabili skoro kompletně Iráčané. Šíité začali šlapat do sunnitech skoro jako sunnita Saddám po šíitech, a obě strany se začaly střílet do co šlo. Nutil je někdo do toho? Nutil je někdo zakládat desítky milic, včetně těch vedených kleriky(!)? Nutil je někdo provádět bombové útoky, střílet do davů, odpalovat bomby v mešitách atd.? Přiznejme si to: největším problémem Iráčanů jsou Iráčané, a obecněji největším problémem Arabů jsou Arabové.

    Ad rady, pobídky byly řečeny směrem k obyvatelstvu a to si ho pak rychle svrhne samo - LOL. Například v roce 1991 vypuklo povstání proti Saddámovi. Jeho armáda střílela co to šlo, z děl, tanků, helikoptér, používali lidské štíty, prováděli hromadné popravy, došlo ke spoustě mučení, znásilňování, někteří lidé byli upáleni za živa. Zemřelo cca 200 000 lidí. V roce 1999 při jiném povstání to na místě odnesly menší počty, ale brutalita režimu bylo podobná. Mimochodem jen při Anfal genocide a těch povstáních v roce 1991 Saddám zabil víc lidí, než kolik jich zemřelo po americké invazi.
    https://en.wikipedia.org/wiki/1991_uprisings_in_Iraq
    https://en.wikipedia.org/wiki/1999_Shia_uprising_in_Iraq

    Ad zjisti, kdo mu během toho al-Anfal, tedy v době války s Iránem dodával zbraně a podporoval ho - Amíci podporovali Saddáma proti Íránu, což celkem dovedu pochopit. Zásahy Saddáma proti Kurdům byly podle všeho pro US bodem obratu. Ohledně Kurdů byla později přijata rezoluce RB OSN číslo 688, na základě které US mimo jiné zřídily nad Irákem no-fly zones.

    Ad Proti zásahu proti genocidě nic nemám. - Spousta lidí ano, s tím že nemáme nárok uvalovat na jiné národy svoje standardy. Navíc to celé musí platit Západ, a nakonec na naše vojáky začnou střílet všichni místní, protože je mají za okupanty - jako v Mogadishu :/. Takže jestli vy vidíte nějaký clear cut, tak já ne.

    Ad příklad s EU a Británií... EU nevyjádřila politování, ale začala vyhrožovat že jim to dá sežrat jak bude moct - Je mi celkem jedno, jaké přirovnání zvolíte. Faktem je, že je nemyslitelné, aby někdo proti Británii poslal vojska jen proto, že si svobodně vybrala zahraniční politiku. Rusko bohužel takhle nefunguje, a klidně napadne sousední stát, protože si vybral zahraniční politiku, která Rusku nevyhovuje.

    Ad "ve velkém systematicky falšují volby" je mediální obrat, nikoliv fakt - To je tvrdý fakt. Koukněte na krásný histogram, který ukazuje, jak to vypadá, když volební komise po celé zemi dostanou zadání "strana United Russia musí dostat u vás 50%, u vás 55%, u vás 60%" atd. Volební komise z toho udělají méně okatá čísla jako 50.2%, 54.7%, 61.6% apod. Totéž u volební účasti, a stejně také u prezidentských voleb. A takhle to pak vypadá vynesené v grafu. Všimněte si těch krásných špiček po pěti procentech. To není žádné "občas se prostě něco stane", ani "my máme odznáček demokracie". Ruské volby jsou prostě natvrdo *zfalšované*, prakticky po celé zemi. Bohužel nejen v roce 2011. Začíná vám docházet, že ta podle vás "relativně svobodná země", která podle vás "autokratická... neznamená že je špatná", je ve skutečnosti postavená na podvodu a diktatuře?
    https://upload.wikimedia.org/wikipedia/commons/6/64/2011_Duma_votes.svg
    https://arxiv.org/pdf/1205.0741.pdf

    Ad seznam notoricky známých dezinformačních hnojometů; i kdyby pracovali pro Rusko, tak každý má právo říct k věci svoje, i když to ti vybraní, ti správní, označí jako dezinformace - Co to melete za nesmysly? Na prvním místě tu máme svobodu projevu (a na rozdíl od toho Ruska i svobodu po projevu), takže ty hnojomety mohou dále fungovat. Na druhém místě je ten váš relativismus odporný. Nejsou všechny názory stejně kvalitní nebo stejně pravdivé. "Židy/cikány/mus­limy/cizince je potřeba nahnat do plynu" není názor jako každý jiný. "1+1=42" nejsou "alternativní fakta", ale prostá lež. Dělat rovnítko mezi pravdou a lží, s tím že lež je názor jako každý jiný, je nesmyslné, a dovolím si říct že zvrhlé.
    Ty dezinformační hnojomety, ke kterým tolik tíhnete, mají navíc problémy nejen s tím, že píšou na zakázku (například Parlamentní listy dostaly stovky tisíc za příznivé texty o Haškovi, které nebyly označené jako reklama), vytrhují informace z kontextu a zcela volně míchají dohromady informace s komentáři. Ony také publikují informace naprosto bez ověření. Dva příklady za všechny: Parlamentní listy s klidem vydaly články zaslané pány Goldmannem a Binderem. První s název "Tohle vám vyrazí dech. Údajné teroristické útoky v Evropě mají jediný cíl. Chtějí ovládnout naše životy a města. O koho se jedná vás (možná) překvapí!" mimo jiné tvrdí, že cílem teroristických útoků je donutit lidi jezdit ve městě na kolech. Druhý s názvem "Jan Beruška: Trump jako Havel aneb Návrat humanitárního bombardování" mimo jiné tvrdil, že Američané práškují Syřany chemtrails. Když to prasklo, tak články prostě tiše smazali. Druhý příklad je aprílový článek na tyden.cz, podle kterého vláda darovala Brdy Amíkům. Text přebrala spousta dezinformačních hnojometů, které čtenářům vysvětlily, že vlastizrádná vláda zaprodala republiku tím že darovala území Amíkům (proč oddělovat informace od komentáře, že?), dezinformační experti podobné texty přeposílali v hromadných mailech atd. Samozřejmě se tahle hovada neobtěžovala ověřit si to na ministerstvu obrany nebo na vládě. A neobtěžovala se ani přečíst ten článek(!), protože mimo různých absurdit také končil slovy "Takže pro čtenáře, kteří dočetli až sem, nezbývá než dodat: Apríl!". Dezinformační hnojomety mají ten popisný název z velmi dobrých důvodů.
    https://zpravy.aktualne.cz/domaci/parlamentni-listy/r~b0558610268b11e7afda0025900fea04/
    https://hlidacipes.org/velezrada-ceske-vlady-tajne-darovala-brdy-americke-armade-pisi-dobre-informovane-weby/

    Ad "Rozpad Sovětského svazu byla největší tragédie, *protože* se miliony rusů najednou ocitli za hranicemi a doma zavládl na roky chaos a bezvládí" - Ne, Putin neřekl přesně to co jste napsal. Nebylo tam žádné "protože", které je v té vaší větě vylhané, a přitom naprosto klíčové.

  • 14. 8. 2018 18:33

    Lael Ophir

    Ad co se týče sabotáže, ta míra je naprosto stejná - To se velmi mýlíte. Na open source projektu někdo párkrát přispěje zajímavým patchem, a hned se na něj pohlíží s větší důvěrou a jeho commity se méně kontrolují. Přitom jazyk C je plný příležitostí k vytvoření díry, která vypadá jako drobný překlep. Dokonce se v takové disciplíně konají soutěže!
    http://www.underhanded-c.org/
    https://www.ioccc.org/

    Open source vývojáře přitom většina projektů nijak neprověřuje, v podstatě nemusí ani fyzicky existovat. Kolik backdoorů myslíte že tímto způsobem zanášejí různé třípísmenkové agentury do kódu open source projektů? A když budeme trochu paranoidní: nemyslíte že třeba problém se směšně slabými SSL klíči u Debianu (CVE-2008-0166) mohl být přesně z té kategorie zdánlivě nevinné chyby?

    Pokud jde o komerční firmy, tak tam zaměstnanec musí fyzicky docházet, kontrolují jestli má doklady totožnosti, jestli absolvoval školy o kterých to tvrdí atd. Ve větších firmách je standardem interní (a na některých pozicích i státní) bezpečnostní prověrka uchazečů o zaměstnání, plus se dělají code reviews, bezpečnostní audity atd. Bezpečáci v těch firmách by dostali infarkt jen při představě, že by do jejich produktů mohl přispět kdokoliv - existující či fiktivní - kdo má přístup k netu, a dovedl odeslat patch.

  • 14. 8. 2018 20:59

    null null (neregistrovaný) ---.212.broadband18.iol.cz

    Ale ty mícháš všechny OSS od naivních implementací až po těžce profesionální kód vs. několik technologických firem, které mají v podstatě vysoce nadprůměrné standardy zabezpečení a kontroly. Většina IT firem takto ale nefunguje. A pak, když porovnáš něčí odpolední OSS zábavu s nějakou opravdu profi IT firmou, tak ti vycházejí závěry jaké tady publikuješ.

  • 14. 8. 2018 22:22

    Lael Ophir

    Pokud jsem si všiml, tak i na projektech typu kernelu, driverů, základních frameworků a dister pracují nikým neprověření lidé. Předpokládám že třeba Red Hat přinejmenším ví, že jejich zaměstnanci fyzicky existují :). Ale to je celkem na nic, když přebírají spoustu zdrojáků vytvořených lidmi kteří žádnou prověrku nemají, a klidně to mohou být třípísmenkové agentury tvářící se jako vývojáři.

    Myslíte že by se na případný problém snadno přišlo, protože přece všichni super-pečlivě studují zdrojáky? Tak si uvědomte, že třeba shellshock bug byl v bashi 25 let. Přitom bash najdete snad na každé instalaci Linuxu, a zdrojáky byly samozřejmě celou dobu k dispozici.

  • 15. 8. 2018 7:35

    null null (neregistrovaný) 91.187.42.---

    Spekulace. Za to zadní vrátka v proprietárním SW jsou potvrzená věc .... Shellshock - a tvrdíš mi, že kdyby to měla "uzamčené" firma pod licencí ve svých produktech, tak by na to přišla a ještě třeba dřív? Takových IT firem není ani promile. Viz. např. MS ... ten má bug track jak celé OSS dohromady přestože je to technologický gigant ....

  • 15. 8. 2018 21:02

    Lael Ophir

    Jako spekulativní vidím tvrzení, že open source je bezpečnější, protože se každý může podívat do zdrojáků. Zjevně se do nich nikdo moc nedívá.

    Tohle je zachycený pokus o vnesení backdooru do kernelu. Naštěstí dost primitivní, takže se ho povedlo odhalit.
    https://freedom-to-tinker.com/2013/10/09/the-linux-backdoor-attempt-of-2003/

    Uvědomte si, že schvalováním zjevně prošly commity zanášející do kernelu tisíce bezpečnostních problémů. Pokud není projekt schopný odhalit ani commity zahrnující nezáměrné chyby, tak proč myslíte, že bude nějak magicky schopný odhalit záměrně ukryté záludnosti?

  • 14. 8. 2018 21:43

    Pavel Stěhule

    Záleží asi od projektu - u Postgresu na právo commitu čekáte několik let, kdy musíte být aktivní v komunitě, a musíte komunitu přesvědčit svými odbornými i osobními schopnostmi. Vývojářů s právem commitu je minimum a zodpovídají za kód, který commitují, i když jej nenapsali. I commity zkušených členů se poměrně důkladně studují. Ať už kvůli možným kolizím, nebo kvůli získání zkušeností - je hodně poučné a zajímavé číst patche třeba Toma Lanea.

    Určitě neplatí, že Open Source se rovná anarchii, kde si každý dělá, co se mu zlíbí. A jsou projekty, kde je bezpečnost brána velice vážně. Věřím, že bezpečnost v Microsoftu je brána velice vážně, a tipoval bych si, že i v několika dalších korporacích a bankách v ČR. Nicméně drtivá většina firem, které v ČR produkují sw, na kvality a standardy globálně rozšířených OSS projektů nemá ani náhodou. Bezpečnostní prověrka mimo BIS a několik dalších institucí znamená doložení výpisu z trestního rejstříku - nikdo nikoho nijak neproklepává. Certifikace jsou formální - mechanické - nepochybuji o smyslu - bez nich by to byla tragédie na ntou.

  • 14. 8. 2018 23:01

    Lael Ophir

    OK, a jak moc na vašem projektu přidáváte kód? Jenom kernel Linuxu za posledních 5 let přirostl o 12.3 milionu SLOC. K tomu přičtěte utility, glibc, GTK+, Qt, X11, freetype, Cairo, gstreamer, gnome, cups, perl, python, dbus, systemd a mnoho tisíc dalších projektů, takže půjde dost možná o devítimístné číslo.

    Souhlasím v tom, že řada malých SW firem (což jsou v ČR v podstatě všechny) nebere bezpečnost tak vážně, jak by měla. Rizika trochu snižuje ten fakt, že zaměstnanci musí fyzicky do kanceláře, ověřuje se dosažené vzdělání, přihlašují se k sociálnímu a zdravotnímu pojištění atd. Takže ti lidé minimálně fyzicky existují, dají se chytit za ruku, trestně stíhat atd. Většina open source projektů bohužel nemá ani tyhle základní - a veskrze nedostatečné - mechanismy.

    Mimochodem jak byste komentoval tenhle incident? Útočník byl naštěstí v tomto případě dost hloupý, takže se to povedlo včas zachytit.
    https://freedom-to-tinker.com/2013/10/09/the-linux-backdoor-attempt-of-2003/

  • 15. 8. 2018 5:20

    kolemjdoucí (neregistrovaný) ---.net.upcbroadband.cz

    Laeli, budíček, máme rok 2018, ne 1995! Vývoj Linuxu už neobstarává banda 20 nadšenců, kteří do něj přispívají večer po práci/škole a drivery nepíšou za pomocí černé magie reverse engineeringu. Kdyby ses trošku namáhal a podíval se na poslední statistiku vývoje, viděl bys, že minimálně 60% tvoří placení vývojáři zaštítěni nějakou firmou, čili lidé, kteří "minimálně fyzicky existují, dají se chytit za ruku, trestně stíhat atd."
    Jinak, světe div se, způsob začleňování kódu má taky nějaká pravidla (viz oddíl 12 a 13) a než se patch dostane do hlavní Linusovy větve, probublá přes X lidí-maintainerů, nemluvě o tom, že v každé fázi toho "probublávání" se má kdokoliv kdykoliv možnost k tomu vyjádřit a případně to zatrhnout (NACK).

    A co platí pro kernel, platí i pro další důležité/klíčové F/OSS projekty, které jste uváděl (glibc, GTK+, Qt, X11, freetype, Cairo, gstreamer, gnome, cups, perl, python, dbus, systemd...) - naprostou většinu práce na nich obstarají lidé, kteří pracují pro nějakou firmu a jsou dohledatelní a identifikovatelní. :)

  • 15. 8. 2018 20:58

    Lael Ophir

    Ano, minimálně 60% vývojářů kernelu má mail na doméně nějaké firmy, a nejspíš jsou to její zaměstnanci. To samozřejmě nedává moc záruk, ale lepší něco než nic. Jenže to je jako když jdete do restaurace, a manager vám řekne, že minimálně 60% jejich personálu neplive do polévky. Celkem logicky vás bude zajímat těch zbylých 40%. On totiž stačí jen jeden který do té polévky plive, a zkazí ji pro všechny.

    Vy tvrdíte, že kdyby někdo chtěl záměrně zanést chybu, tak se mu to nepovede, protože každý commit schvaluje nějaký maintainer, případně i víc lidí. To je sice pěkné, ale přes ty maintainery zjevně prochází velká spousta bugů (ze kterách většina nejspíš nebyly způsobená záměrně). Minulý rok se jen v linuxovém kernelu našlo 453 bezpečnostních zranitelností. Jak se tam tedy dostaly, když se všechen kód pečlivě kontroluje, a problematický kód podle vás nemůže projít? Jednoduše: problematický kód zcela prokazatelně do kernelu prochází. Když nejsou schopni při schvalování detekovat ani nechtěné chyby, tak jak myslíte, že asi budou úspěšní při detekci záměrně ukrytých záludností?

  • 15. 8. 2018 6:45

    Pavel Stěhule

    Postgres má za 5 let nárůst cca 220 tisíc řádků kódu, což je ještě zvládnutelné, ale je to dané i typem produktu. Samozřejmě, že v operačních systémech řádky naskakují rychleji bo drivery.

    Nevím nakolik znáte prostředí firem, které píší projekty, které jste zmiňoval. Aktuálně, vzhledem ke komplexitě projektů, téměř všechny projekty mají fulltime vývojáře - minimálně lidé, kteří commitují nebo bugfixují jsou dnes už fulltime - a jelikož je musíte vykázat v účetnictví, tak tam platí stejná pravidla. Minimálně pokud se bavíme o systémovém software, systémových knihovnách, které jste uváděl.

    Podstatně horší situace bude u knihoven a nástrojů určených pro www aplikace - ale opět nečekám významnější rozdíl mezi uzavřeným a otevřeným softwarem.

    Všechno je samozřejmě o lidech, nicméně šance, že objevíte podezřelý commit je u open source projektů hodně vysoká. Každý projekt má svou historii - např. https://github.com/postgres/postgres/commits/master a věřte mi, že u každého významnějšího projektu je dost lidí, kteří tuto historii sledují.

  • 15. 8. 2018 7:36

    null null (neregistrovaný) 91.187.42.---

    Ale jistě. To co tvrdí Lael a Miroslav je sice teoreticky správně, ale prakticky se to tak opravdu neděje. Kvalita kódu za tolik s OSS nesouvisí, i když podle mě má OSS určité "páky" na větší snahu ....

  • 15. 8. 2018 8:04

    Miroslav Šilhavý

    Ale jistě. To co tvrdí Lael a Miroslav je sice teoreticky správně, ale prakticky se to tak opravdu neděje. Kvalita kódu za tolik s OSS nesouvisí, i když podle mě má OSS určité "páky" na větší snahu ....

    To, co píšete, nemá žádnou oporu. Chápu, že byste tomu rád věřil, ale racionální pohled to není.

  • 15. 8. 2018 9:49

    null null (neregistrovaný) 91.187.42.---

    A to je přesně to. Tvůj pohled racionální je, ale jaksi tak úplně neodpovídá praxi.

    Je to jako bys porovnával hrušky a jablka - obě jsou ovoce, každé ovšem jiné, jedno má více odrůd, tím i více chorob, obě může pěstovat kdekdo zdarma i komerčně a výsledek je pak jistý - jenže ejhle, přijdeš do obchodů a tam se vesele prodávají obě (tedy je poptávka) a obě, i když jinak, chutnají dobře a přesto, že jedno má obecně více potencionálních kazů díky způsobu šlechtění, nikdo ti nezaručí které bude to po kterém se pak pose*** ...

  • 15. 8. 2018 20:38

    Lael Ophir

    Ano, spousta těch projektů má full time vývojáře, kteří nejspíš opravdu existují. Bohužel ty projekty ale mají spoustu kódu, který tam zanesly v podstatě anonymní entity. Schválně: jaké procento celého kódu PostgreSQL podle vás napsali vývojáři kteří měli s projektem smlouvu, ověřovali jste že opravdu existují, fyzicky jste je viděli, kontrolovali jejich totožnost, kontrolovali jestli absolvovali školy o kterých to tvrdí, kontrolovali domácí adresu a telefonní číslo, a udělali jste u nich alespoň základní background check? Tipnu si, že to bude méně než 1%. Ten doplněk do 100% jsou podezřelé entity - možná spolehliví lidé, ale možná virtuální vývojáři za kterými může stát kdokoliv.

    Jak je vidět, v open source kódu klidně zůstávají bugy i 25 let. Rozhodně bych netvrdil, že když už někdo záměrně zanese "nevinnou chybu", tak je vysoká šance to odhalit.

    Mimochodem nějak jsem nenašel vaše vyjádření k tomu linkovanému incidentu, kdy útočník přesně takovou "nevinnou chybu" přidal do CVS kopie kernelu. Byl to dost primitivní útok, ale jasně ukazuje, že se někdo snažil.
    https://freedom-to-tinker.com/2013/10/09/the-linux-backdoor-attempt-of-2003/

  • 16. 8. 2018 0:08

    Pavel Stěhule

    Mohu Vám garantovat, že lidé, kteří commitují jsou skuteční - a přes ně jde 100% kódu. Co se týče vývoje - dejme tomu, že se vývoj dělí mezi 1/3 2ndq, 1/3 EDB a 1/3 ostatní jako Heroku, ... ti lidé se setkávají na konferencích, případně speciálních vývojářských konferencích, když je potřeba probrat něco komplikovanějšího.

    Nikdo tu netvrdí a netvrdil, že v open source nejsou bugy - ať takového nebo onakého typu. Ty jsou v jakémkoliv sw. V open source si alespoň můžete ověřit jestli chyba byla opravena a jak. Nicméně Vaše dojmy o vývoji komplexnějších open source projektu jsou totálně mimo. Zkuste se seznámit s některými projekty - pak byste tu nemusel psát nesmysly.

    Útoky na infrastrukturu nikdo nedokáže vyloučit - nicméně CVS je systém, který je už překonaný, a podobný útok na GIT už by se asi prováděl podstatně hůře. A jak je z článků patrné - detekovalo se to - a navíc jednoduchým porovnáním repozitářů by bylo možné identifikovat jakýkoliv problémový kód.

    Nevzpomínám si, že by PostgreSQL měl někdy takové problémy jako MSSQL cca kolem roku 2001..2003, kdy se běžně security bugy MSSQL využívaly pro zavirování NT.

    Otevřenost kódu dává možnosti útočníkům - na druhou stranu, prakticky všechny nástroje pro statickou analýzu kódu se trénují na větších open source projektech, a jejich výstupy jsou zajímavou a důležitou zpětnou vazbou.

    https://www.viva64.com/en/b/0542/

  • 16. 8. 2018 0:34

    Miroslav Šilhavý

    Mohu Vám garantovat, že lidé, kteří commitují jsou skuteční - a přes ně jde 100% kódu.

    ...na výplatní pásce jakékoliv vlády může být i skutečný člověk... To, jestli je projekt open vs. closed source nijak zásadně nemění rizika... PostgreSQL považuji za výrazně nadprůměrně dobře vedený OSS projekt, v tom bych s Vámi plně souhlasil.

    V open source si alespoň můžete ověřit jestli chyba byla opravena a jak.

    Přeskočil jste jeden důležitý krok. A to, jestli se v open vs. closed source lépe ty chyby objevují. Podle mě je to nastejno, většinu chyb odhalíte neočekávaným chováním programu, než systematickou kontrolou zrdrojového textu.

    Taky jste zapomněl na jednu skupinu rizik: u open source může na chybu někdo přijít, ale nereportovat ji. Dokonce může po objevení chyby někým jiným sledovat jak byla opravana a mnohdy i vysledovat, že nebyla opravena dostatečně. Bohužel, to, že někdo o chybě ví, vůbec neznamená, že o ní musí dát vědět a že toto zjištění musí posloužit dobru.

    Nevzpomínám si, že by PostgreSQL měl někdy takové problémy jako MSSQL cca kolem roku 2001..2003, kdy se běžně security bugy MSSQL využívaly pro zavirování NT.

    Dnes rizika nemusí zdaleka být tak spektakulárně exploitovatelná. Tomu, kdo má zájem, může stači i jen třeba ovlivnit RNG a obecně oslabit generování jakýchkoliv klíčů. Takovou chybu nemusí ani kontrola velmi zkušenýma očima odchytit.

  • 16. 8. 2018 8:22

    null null (neregistrovaný) 91.187.42.---

    "Taky jste zapomněl na jednu skupinu rizik: u open source může na chybu někdo přijít, ale nereportovat ji"

    To u closed taky.

  • 16. 8. 2018 8:34

    Miroslav Šilhavý

    "Taky jste zapomněl na jednu skupinu rizik: u open source může na chybu někdo přijít, ale nereportovat ji"

    To u closed taky.

    To není stejné. U opensource si může někdo zaplatit soukromý audit s tímto cílem.
    Druhou metodou je zkoumat jinými lidmi objevená a zveřejněná rizika a už pak jen hledat, jestli byla opravena opravdu důkladně - mnohdy oprava není dokonalá.

    U open source prostě přibývají další metody navíc, než jen blackbox testing.

  • 16. 8. 2018 10:17

    null null (neregistrovaný) 91.187.42.---

    Ale prd. Často někdo najde chybu a je buď líný nebo na to kašle - to je firemní klasika - to nemá s OSS nic společného, to nemá s auditem nic společného - Miroslave, chyby se neobjevují jenom auditem - stačí když něco opravuješ nebo děláš a zabrousíš do nějakého kódu kam nemáš. Obzvláště tam, kde jsou 10 let staré systémy ...

  • 15. 8. 2018 5:29

    Radovan (neregistrovaný) 88.146.198.---

    "Přitom jazyk C je plný příležitostí k vytvoření díry, která vypadá jako drobný překlep."

    Nejen jazyk C, jak neustále dokazují Widle a další komerční exkrementy M$ :-D

  • 14. 8. 2018 17:51

    Karel (neregistrovaný) ---.cust.nbox.cz

    Já neodolám:

    V případě closed source není možné zkontrolovat kód. OSS je na tom lépe, tam transparentní audit dokáže najít chybu už po sedmnácti letech v terénu!

    Jako sorry, ale tenhle audit tohohle SW spíš jasně ukazuje, že ta výhoda OSS je malá. Již roky se to nahlas říká: OSS sice každému dovoluje nahlédnout do útrob, ale on se nikdy nikdo nepodívá. Jinými slovy: kdokoliv může udělat audit, ale nikdo ho neudělá.

    A to jsme ještě nedošli k Linuxu a oblíbené představě, že běžný koncový uživatel dokáže nahlédnout do zdrojových kódů jádra a ověřit si, že to dělá to, co to dělat má. Což je ta killer featura, proč Linux ano a Windows ne.

    OSS je výhoda. Bohužel jí málokdy někdo využije. Ty zdrojáky nikdo nečte a stejně jako u closed source se prostě věří tomu, že tam nic špatného není. Lidé i firmy mnohem více dají na reference od jiných uživatelů/zákaz­níků, než na zdrojové kódy.

  • 15. 8. 2018 5:13

    kolemjdoucí (neregistrovaný) ---.net.upcbroadband.cz

    Ach jo. :) Před týdnem si tu stěžoval David Grudl, jak F/OSS nefunguje a jak všechny varuje, aby se mu obloukem vyhli, protože kdysi před 15 lety začal vyvíjet svůj SW pod BSD licencí (tedy "dělejte si s tím softwarem, co se vám zlíbí") a za celou tu dobu se firmy, které na jeho SW vystavěly svůj byznys, neobtěžovaly mu hodit pár krejcarů měsíčně do klobouku. Jenže to nebyla chyba té licence a potažmo celého F/OSS, ale byla to chyba neprozíravých lidí ve vedení těch firem, kteří si neuvědomují, že když Grudl ze dne na den zmizí, budou mít problém (nový core vývojář, který dělá 80% práce se neurodí jen tak z ničeho nic přes noc), a že je vlastně výhodné mít za hrst drobných měsíčně (Silver Partner a výš) posichrovaného autora, který svůj SW zná jak své boty, na řešení jakýchkoliv problémů, které jim případně v provozu vyvstanou.

    No, a tohle je, Karle, to samé v bledě modrém: F/OSS nemůže za to, že drtivá většina lidí je taková, jak já je, tj. jen se pasivně veze a spoléhá na to, že to za ně udělá někdo jiný. Nezapomínejte, že jsou to převážně uživatelé, kteří se v IT moc neorientují a ani neví, že takovou možnost ("objednat" si audit) mají! A nebo ví, ale není to pro ně důležité.
    Na příkladu bezpečnostního auditu Truescryptu je ale vidět, že to jde, když se chce.
    A nemusí se jít jen cestou crowdfundingu. U významných/široce používaných F/OSS projektů lze požádat o bezpečnostní audit skrze Mozilla SOS (tj. Mozilla zaplatí externí auditorskou firmu).

    Podtrženo, sečteno, i po ~35 letech, co tu s ním Free software je, lidí mají jen velmi mlhavou a často scestnou představu, co to F/OSS je a v čem jsou jeho přednosti (a samozřejmě i úskalí).

  • 15. 8. 2018 12:47

    Karel (neregistrovaný) ---.cust.nbox.cz

    Já tohle vím a nerozporuji to. Jen jsem holt alergický na to, když někdo začne kopat do closed source s tím, že u open source někdo může snadno udělat audit. Přijde mi to jako když se jeden majitel auta vytahuje nad druhým s tím, že jeho auto má maximální rychlost 270 km/h, zatímco ten druhý má jen 250 km/h.

    Výhoda zcela objektivní, význam zcela marginální.

    Koukněte se znovu na toho, na koho jsem reagoval. Ve světě, kde se audituje méně než jedno procento OSS, je prostě "já se spíš bojím chyb closed-source programů, u kterých není možné snadno zkontrolovat kód" dost přitažené za vlasy. Kdy kdo a jak naposledy auditoval Linux? Kdy kdo a jak naposledy auditoval KDE/Gnome/co vlastně ten člověk používá? Kdy kdo a jak naposledy auditoval Firefox/Chromium/co vlastně ten člověk používá? Kdy auditoval jeho email klienta? Kdy auditoval SW, který používá jako mail server? Co nějaké komunikátory? LibreOffice? To jsou prostě mraky programů, které nikdo nikdy cíleně neaudituje. Uživatel prostě jen věří, že tam nic špatného není. Je to o důvěře.

    Přispěvatel "654" zjevně nebude mít schopnosti sám audit provést ani finance na jeho zaplacení. Ať už používá cokoliv, tak prostě jen věří, že tam nic špatného není. Děláme to tak všichni. Já se do zdrojáků Linuxu díval naposledy v minulém tisíciletí. Od té doby jen věřím.

  • 15. 8. 2018 7:19

    Petr (neregistrovaný) 2a02:8109:8400:----:----:----:----:----

    Pravdu máš. Pracuji na "bezpečném" SW, co na něm závisí teoreticky životy stovek lidí. Vertifikátor kontroluje v podstatě jen papír a ten snese všechno. A když moc remcá, tak se vezme jiný. Máme tam až neuvěřitelné chyby. Prodane featury chybí. Pokryti testama tak 15%.Pracoval pro jednu globální internetovou firmu, tak jsme i interni sw nastroje pro adminy testovali a revidovali víc. Když by to mělo jít opensource, tak si asi změním z ostudy jméno.

  • 14. 8. 2018 15:27

    Gupa (neregistrovaný) 212.83.51.---

    To je samozřejmě jedno, jelikož audit je vždy objektivní a hlavně nezávislý. Nemůže se stát, že by interpretoval fakta v zájmu toho, kdo platí. Kam by potom svět dospěl?

  • 14. 8. 2018 18:09

    No Name (neregistrovaný) 185.128.25.---

    Buď jsi čistá duše vychovaná vlky, nebo jsi tu snad první den. Jinak bys věděl, že na rootu ironii skoro nikdo nechápe.

  • 14. 8. 2018 19:52

    Ravise (neregistrovaný) ---.102.wms.cz

    Výhoda OSS je ta, že ten, kdo plánuje daný program nasadit, si ten audit může celkem jednoduše zorganizovat. Ale je chyba spoléhat na to, že se ten audit sám nějak magicky stane.

  • 15. 8. 2018 12:07

    null null (neregistrovaný) 91.187.42.---

    A na kolik by tě vyšlo, aby ho vůbec někdo povolil udělat, ne tak zveřejnit poctivý výsledek?