Citaat:
Oorspronkelijk geplaatst door kelt
De "drupal"-mensen voelen zich niet verantwoordelijk voor het "op commerciele graad" houden van hun programmeer-inspanningen"(veelal in hun vrije tijd gedaan)...
Voor een bedrijf BLIJFT het aangewezen te werken met een dienstenleverancier die zich contractueel verplicht uw data-,en/of de programma's die ze voor U beheren, te verdedigen en updaten.
Deze dienstenleveranciers (inclusief Microsoft) onthouden zich zeker niet van "open-source" (waarvan ze er zelf bijdragen aan de gemeenschap) maar zijn in een positie om te selecteren en reageren.(ze moeten wel,ze hebben zichzelf daartoe contractueel verplicht aan diegenen die hen betalen voor hun inspanningen)
Er zijn altijd kwaadwilligen die er plezier in scheppen andermans werk kapot te maken.En jammer genoeg is programmatuur beheerd door geavanceerde hobbyisten langer kwetsbaar dan deze onder het vergrootglas van de pro's....
|
Ik denk dat er een onderscheid moet gemaakt worden tussen verschillende punten.
Het eerste onderscheid is "bugs" versus "moedwillig een achterdeur installeren".
Bugs zijn onvermijdelijk. Er zullen er altijd zijn, en sommige bugs zullen aanleiding geven tot veiligheidsproblemen. Het veiligheidsprobleem met bugs bestaat er gewoon in dat het kan dat een hacker eerder op de bug valt dan iemand die de bug wil melden/elimineren. Linux is helemaal niet vrij van die bugs.
Als je beseft dat de fameuze (en toch wel angstwekkende) ghost bug 22 jaar in de GNU C library heeft rondgehangen
http://www.information-age.com/techn...-vulnerability
en grappig genoeg gepatched werd zonder te beseffen dat het een veiligheidsprobleem was, dan weet je dat alle software altijd bugs kan hebben. Maar in welke mate die bugs een probleem vormen voor uw persoonlijke computer, is een totaal andere zaak.
Daarentegen, een moedwillige achterdeur is iets anders. Daar is on purpose een toegang tot de software geïnstalleerd, en natuurlijk zal dat niet bekend gemaakt worden. Het probleem met niet-open-source software is dat het zo goed als niet na te gaan is of zo een moedwillige achterdeuren in uw systeem zitten of niet. Met open source software daarentegen, is dat zo goed als niet te doen.
Als dusdanig zijn bugs, die onvermijdelijk zijn, voor mij geen serieus probleem voor "global surveillance" ; maar zijn moedwillige achterdeuren dat wel. Omdat het laatste voor de surveillance een bijna zekerheid is, terwijl het eerste (bugs) een toevalligheid is waarvan het ver van zeker is dat ze bruikbaar zijn op grote schaal om in uw specifiek systeem binnen te geraken.
De fameuze bugs van linux over 't laatste (heartbleed, ghost, shellshock) zijn waarschijnlijk geen probleem voor een persoonlijke computer.
En we komen dan tot het tweede onderscheid:
uw prive computer, waar de bedoeling NIET is dat men aan uw spullen kan, enerzijds, en een server anderzijds.
Bovengenoemde veiligheidsproblemen zijn vooral van belang voor servers. Natuurlijk is het probleem van veiligheid van een server een veel en veel lastiger zaak dan de veiligheid van uw persoonlijke machine. Ge moet goed zot zijn om een webserver op uw persoonlijke machine te draaien waar ook vertrouwelijke zaken op staan he !
En denken dat ge op de veiligheid van remote servers ("the cloud") kunt vertrouwen, is natuurlijk goed gek zijn. Daar moet je 2 keer vertrouwen hebben: in de administrateurs van de remote servers enerzijds, en in de tricky veiligheid van die server software anderzijds.
De fameuze heartbleed, ghost en shellshock bugs zijn onbruikbaar voor een hacker op uw prive machine in de meeste gevallen. Er zullen nog wel bugs zijn. Dat is onvermijdelijk. Maar in open source software denk ik niet dat het mogelijk is (of moet het stukken moeilijker zijn) om met opzet achterdeuren in te bouwen voor staatssurveillance dan in commerciele systemen waar de source code niet van vrij gegeven wordt.