Назва цієї статті - цитата Еріка Реймонда з його книги Собор і базар, і вважається однією з головних мантр з відкритим кодом. Відтоді закон Лінуса (так його називає Ерік) зазнає різного роду атак, особливо що таке помилка оскільки видимість помилки не залежить від кількості очей, які дивляться на код, серед інших причин.
Коли тиждень тому журлянка підскочила Heartbleed OpenSSL (проект з відкритим кодом) та його вплив, декілька (наприклад цей користувач яблука -) швидко розкритикували мантру та тих, хто її захищає. Якщо це буде виявлено ще один не вдасться У коді iOS ми ходимо навколо, кажучи "ха-ха-ха, візьми це". Але якщо це буде виявлено помилка в GnuTLS, яка пройшла 10 років, не виявившисьМи говоримо "принаймні, ми це виправили".
Так Ерік написав допис щоб все було зрозуміло. Закон Лінуса досі діє, як і раніше.
Ерік каже, що критики роблять помилку, переоцінюючи помилку, яку вони можуть побачити, і не підкреслюючи високу ймовірність того, що недолік безпеки, який вони не можуть побачити в еквівалентному закритому програмному забезпеченні, гірший, але невиявлений. Коли він говорить "з багатьма поглядами", він має на увазі не кількість людей, які ревізують, а різноманітність припущень. Декілька людей, які думають по-іншому, можуть бути кращими аудиторами, ніж армія, яка має загальну зону сліпоти.
За останні кілька місяців я дізнався декілька речей про щільність недоліків безпеки у власницьких прошивках на домашніх та інтернет-маршрутизаторах малого бізнесу, які закручують волосся ... .. Друзі не дозволяють своїм друзям запускати заводські прошивки. Ви не хочете довіряти нічому менш перевіреному, ніж OpenWRT або один із його варіантів. І все ж наступного разу, коли в одному з цих проектів з відкритим кодом з’явиться недолік безпеки, ми побачимо повтор цього старого фільму з черговим кругом людей, що пищать, що з відкритим кодом не працює. За іронією долі це відбудеться саме тому, що процес з відкритим кодом РОБОТИ працює, тоді як гірші помилки блукають десь між прошивкою закритих маршрутизаторів.
І той самий приклад стосується Heartbleed. Яка історія дефектів запатентованих крапель SSL / TLS? Це невідомо. Виробники нічого не говорять. І нічого не можна сказати про якість вашого коду, оскільки його неможливо перевірити. Швидкість надсилання домовленостей також виділяється. Уже в системах Linux існує виправлення для Heartbleed. У власних системах виправлення може зайняти набагато більше часу. І це тому, що багато бізнес-моделі закритого програмного забезпечення потребують модернізації, щоб бути дорогим процесом із високим тертям, що охоплюється вимогами щодо затвердження, платою та юридичними обмеженнями. Тут у відкритому коді виправлення може з’явитися за лічені хвилини, оскільки ніхто не намагається заробляти на цьому дохід.
Йо, я щойно змінив свої паролі на кількох сайтах (лише на тих, що підтримують https) крім того, подаючи йому грошову руку. Вони справді цього заслуговують.
Ось чому не бажано бути «шанувальником ексклюзивної операційної системи», всі системи мають свої недоліки
Єдине, що змінюється, - це філософія того, як боротися з проблемами
http://i.imgur.com/UOFAbqy.jpg
Мені сподобався образ, як шкода, що за коментарі не можна голосувати
Вони могли б поставити DIsqus як систему коментарів.
Погана річ Disqus полягає в тому, що його система управління користувачами насправді погана, і неможливо відстежувати коментарі, з якої електронної пошти вони використовують або з яких IP-адрес коментарі надходять.
В образі є помилка: в оновленнях GNU / Linux гарна річ полягає в тому, що оновлення, загалом, не є колосальними МБ, як це має місце у Windows та Mac. Крім того, Windows Update, як менеджер оновлень, це просто розчаровує.
Я проблема; проблема полягає в тому, що ми, хто використовуємо ці пристрої винахідливості, навіть не розуміючи, що вони є і що насправді роблять, не кожен може навчитися програмувати, але кілька програмістів серед існуючих можуть змінити ситуацію.
Ви читаєте діалог, коли вперше завантажили ОС GNU / Linux і ввели пароль користувача. "Про владу та відповідальність". Ось що роблять хороші розробники, коли роблять «вихідний код» цих пристроїв у вільному доступі.
Я вважаю, що проблема OpenSSL - це також проблема спільноти, оскільки код слід було б краще перевірити, оскільки він відкритий, і я на 100% згідний з думкою, що відкрите джерело безпечніше, оскільки принаймні можна ознайомитися з помилками народження того самого, тоді як приватний не знає, наскільки це може бути безпечним чи небезпечним.
Проблема не обов'язково в спільноті OpenSSL, проблема полягає в тому, що сама спільнота не закликала до оновлення версії зазначеного програмного забезпечення як першочергового для всіх дистрибутивів.
І до речі, з гілок 1.0.0 та 0.9.8, на додаток до версії 1.0.1g, вони були версіями, в яких зазначена помилка їх не торкнулася.
дуже хороша стаття!
На щастя, вони оновили OpenSSL у таких дистрибутивах, як Debian GNU / Linux (до речі, дуже легкий), але в Windows поставляється FRIOLERA об'ємом 800 МБ (погана річ у тому, що це однакові виправлення, як завжди, і вони ніколи не конкретні, як дистрибутивів GNU / Linux).
У будь-якому випадку, я думав, що помилка походить від самого SSL, а не від OpenSSL (якби це було від AES або WPA-PSK, історія була б іншою).
Тісно погоджуюсь, що в закритих системах може бути багато проблем протягом декількох років, яких ми не знаємо, і які злочинці можуть використовувати для крадіжки, і найгірше те, що коли їх виявляють та повідомляють, їм потрібно вирішити вічно.
Цікавий
Відкритий код або відкритий код автоматично отримує максимальний рівень соціального добробуту. Закритий код; вираз здатності шукати користі для власних інтересів кількох сотен утриманців. Мене смішить пов’язати це з економічною ідеєю Адама Сміта «невидима рука», яку, до речі, я вважаю дуже суперечливою.