Mitä hyötyä tuhannesta silmäparista?

[igor_2]

Usein kuulee avoimia ohjelmia motivoitavan mm. sillä, että ne ovat turvallisempia koska niiden lähdekoodi on julkisessa jakelussa ja että ne näin ollen olisivat paremmin oikoluettuja kuin vastaavat suljetut ohjelmistot sekä sillä, että havaitut puutteet korjataan nopeammin kuin vastaavat korjaukset saadaan kaupallisiin ohjelmiin.

Palturia.

Kysymys on siitä, että avoimet ohjelmat ovat olleet, ja (luojan kiitos?) suurimmaksi osaksi ovat edelleenkin, marginaaliohjelmistoja jotka eivät yksinkertaisesti ole rikollisessa / haittamielessä kiinnostavia.

Väitän, että niin pian kun ne saavat osalleen kriittisen käyttäjämassan, niin tilanne muuttuu - eikä ikävä kyllä parempaan suuntaan. Ensimmäiset viitteet siitä on jo saatu. Mozilla tietyiltä osin alkaa olla aikamiehen mitoissa ja alkaa saada osakseen myös vähemmän mairittelemaa huomiota.

Mikä on opensource yhteisön vastaus?

Vastaus on juuri se sama johon on saatu tottua esimerkiksi Microsoftin tai, osin myös, Applen taholta: Alkaa valitusvirsi maailman epäoikeudenmukaisuudesta ja kyydin saa niin syylliset kun pyhät periaatteetkin.

Joka päivälle oma mielenkiintoinen uutinen. Tänään sen tarjoilee Digitoday.

Näin ikkään:

Mozilla moittii bugijulkaisijoita

Antti Kirves
Julkaistu 27.03.2007 kello: 08:18


Ohjelmistohaavoittuvuuksia etsivillä tietoturvatutkijoilla on liikaa valtaa tietoturva-aukkojen korjaamisprosessissa, sanoo Mozillan tietoturvapäällikkö Window Snyder.

Snyderin mukaan ohjelmistoalan ajama haavoittuvuuksien raportointimalli on saanut tuulta purjeisiinsa, mutta tutkijapuolella on avaimet käsissään.

– [Tietoturvatutkijoilla] on kaikki valta. He päättävät, koska he julkaisevat [haavoittuvuuden], ja he päättävät siitäkin, onko ohjelmistotoimittaja tarpeeksi nopea, Snyder sanoi News.comin mukaan viikonloppuna hakkerien ShmooCon-tapahtumassa.

Snyderin mielestä ohjelmistoyhtiöille pitäisi antaa 30 päivää aikaa valmistaa ja julkaista korjauspäivitys ennen kuin haavoittuvuus tuodaan julkisuuteen.

Ohjelmistotoimittajat kantavat Snyderin mukaan vastuuta niille raportoiduista haavoittuvuuksista. Moni on tästä eri mieltä.

Koko stoori: http://digitoday.fi/page.php?page_id=14&news_id=20077599

[janne]

hmm... sama kirjoittaja, pari päivää ja pari postausta saman aiheen tienoilta esittäen aihepiirin klassikot, 'jännän laskutavan' ja tietoturva-aukkojen hitaan paikkaamisen puolustelua. hätäisempi saattaisi luulla, että kirjoittajalla on agenda (tai sitä toista t:llä alkavaa juttua), mutta koska noita viestejä näkyy ennestäänkin olevan eikä nimimerkki ole vielä painunut mieleen niin koetetaan olla hätiköimättä...

Usein kuulee avoimia ohjelmia motivoitavan mm. sillä, että ne ovat turvallisempia koska niiden lähdekoodi on julkisessa jakelussa ja että ne näin ollen olisivat paremmin oikoluettuja kuin vastaavat suljetut ohjelmistot sekä sillä, että havaitut puutteet korjataan nopeammin kuin vastaavat korjaukset saadaan kaupallisiin ohjelmiin.

jep.

Palturia.

ei.

Kysymys on siitä, että avoimet ohjelmat ovat olleet, ja (luojan kiitos?) suurimmaksi osaksi ovat edelleenkin, marginaaliohjelmistoja jotka eivät yksinkertaisesti ole rikollisessa / haittamielessä kiinnostavia.

Väitän, että niin pian kun ne saavat osalleen kriittisen käyttäjämassan, niin tilanne muuttuu - eikä ikävä kyllä parempaan suuntaan. Ensimmäiset viitteet siitä on jo saatu. Mozilla tietyiltä osin alkaa olla aikamiehen mitoissa ja alkaa saada osakseen myös vähemmän mairittelemaa huomiota.

kysymys on sinun mielestäsi siitä ja sinulla on toki oikeus mielipiteeseesi.

Mikä on opensource yhteisön vastaus?

niin minkä open source yhteisön?

totta kai on ilmeistä, että uhkiin hitaasti reagoivat, paikkoja vain tiettyinä (ennalta määrättyinä päivinä) julkaisevat tahota ovat sitä mieltä, että tietoturva-aukkoja pitää salailla. puolestaan ne jotka reagoivat tietoturva-aukkoihin nopeasti haluvat a) saada tiedon mahdollisimman nopeasti kaikille komponenttia käyttäville tahoille b) saada mahdollisimman monet mukaan bugia korjaamaan ja c) jakaa korjauksen mahdollisimman nopeasti. sattumoisin tämä toimintatapa mahdollistaa myös loppukäyttäjien ja ylläpitäjien varautumisen tiedossa olevaan ongelmaan, kun taas salailumallissa loppukäyttäjät ja monikäyttäjäjärjestelmien ylläpitäjät ovat täysin tietämättömiä uhasta joka on vain mahdollisten hyökkääjien ja ehkä myös korjaajien tiedossa.

minä en ole yhtään yllättynyt, että mozilla ruikuttaa aiheesta, sillä se on muuttanut kehitystapaansa viime aikoina yhä enemmän suljetun softan suuntaan. paikkoja tippuu hitaasti ja distrot eivät heidän mielestään saisi tehdä omia paikkojaan (saati muita patcheja) ja kutsua tuotteitaan mozilla foundationin omistamilla nimillä. siitä syystä iceweasel ja icedovekin saivat alkunsa, ne yllättäen mahdollistavat nopean reagoinnin niissä esiinytviin tietoturvaongelmiin ilman keskitetyn bugikorjauksen odottelua.

[raimo]

Usein kuulee avoimia ohjelmia motivoitavan mm. sillä, että ne ovat turvallisempia koska niiden lähdekoodi on julkisessa jakelussa ja että ne näin ollen olisivat paremmin oikoluettuja kuin vastaavat suljetut ohjelmistot sekä sillä, että havaitut puutteet korjataan nopeammin kuin vastaavat korjaukset saadaan kaupallisiin ohjelmiin.

Palturia.

Juu'u, mutta kuten Janne jo sanoikin, se EI ole palturia siksikään, että niitä aukkoja voivat etsia avoimen koodin jutuissa myös hyväntahtoiset tahot, jotka eivät suinkaan rajoitu 1000 silmäpariin, niitä silmiä on paljon paljon paljon enemmin. Suljetussa koodissa aukot havaitaan vasta kun on ns. myöhäistä, koska niitä etsivät korkeintaan vain sadat silmäparit, siis näkien sen suljetun koodin, loput etsivät "hatusta", kokeilemalla ... näkemättä koodia mistä aukko voisi mahdollisesti syntyä.

Avoin koodi on turvallisempaa siksi että se on avointa, sekä pahiksille että hyviksille, ja hyviksiä ON enemmin NYT, ja tulee aina olemaan. Aukot löydetään, ja ne paikataan. Suljetusta koodista aukkoja ei löydetä, koska koodia ei nähdä, siinä se ero on.

ps. jos itse kirjoitat jonkin ohjelman, et huomaa bugeja kovin helposti koska testaat ja mietit sen omiin kaavoihisi tottuneesti. Avoimessa koodissa muut lukemattomat silmäparit katsovat saman koodin, ja mailia pukkaa, että etkös ole tuota huomannut... Tuotapa ei tapahdu suljetun koodin kanssa, muutamat hemmot kelaavat koodin läpi, kaavoihinsa kangistuneina ja yllättävät bugit jäävät huomaamatta.

Suljettua koodia ei minusta voi mitenkään puolustaa paremmaksi, pikemminkin päinvastoin, huonompaa se on tässä merkityksessä, ja monessa muussakin.

Ei minulla nyt muuta asiaa ole, tai no niin, en voi olla sanomatta: onneksi on Opera, joka on näyttänyt sen että myös "suljettu koodi" voi olla turvallista kun se tarpeeksi hyvin tehdään ja testataan.  

[lompolo]

Operakin näyttää hyvän esimerkin suljetun lähdekoodin ongelmista.
http://it.slashdot.org/article.pl?sid=07/01/06/1854223
Linkki on englanniksi. En ole tutkinut sitä kovinkaan tarkasti, mutta kertoo minulle yhden avoimien ohjelmien edun.

[igor_2]

Suljettua koodia ei minusta voi mitenkään puolustaa paremmaksi, pikemminkin päinvastoin, huonompaa se on tässä merkityksessä, ja monessa muussakin.

Ei, eikä pointtini ollutkaan se, että suljettu koodi olisi jotenkin luontojaan parempaa, vaan se oli se, että avoimen koodin hyvyyttä tässä mielessä ei olla päästy viedä edes testaamaan.

Avoin koodi ei ole niin sanotusti joutunut vielä eturintamaan. Nythän niin on Mozillan kohdalla käymässä ja jälki on sitä mitä tässä ketjussakin on nähty.

Janne nosti esille myös mielenkiintoisen aspektin, nimittäin sen, että Mozilla on muuttanut toimintatapaansa aina vain enemmän suljetun koodin suuntaan.

Hän näkee sen toiminnassa selvän muutoksen.

Mitä muuta on tapahtunut?

Sen, Firefoxin, käyttäjämäärät ovat moninkertaistuneet. Äkkiä laskien sen osuus on muuttunut seuraavasti:

2003      5%
2004    12%
2005    20%
2006    27%
2007    30%

Lähde: Browser Statistics.

On siis käynyt kuten aijemmin todettu, se on saanut taakseen massaa joka puolestaan herättää mielenkiinnon sielläkin missä sen ei olisi niin väliksi. On alkanut ilmetä kooditason häikkää, jota tuhannen silmäparin ansiosta ei pitänyt olla alunperinkään.

En väitä mitään, mutta tämän perusteella saattaisi voida vetää myös sellaisen johtopäätöksen, että ulkoisten vaarojen uhatessa avoimellakin "ohjelmistotalolla" saattaisi olla taipumus käpertyä itseensä ja alkaa toimia kuten toimivat alunperinkin suljetulla periaatteella toimivat toimijat.

Janne aprikoi motiivejanikin. Aivan aiheesta.

Minun motiivit on kertoa rehellisesti omat näkemykseni myös silloin kun ne ei ehkä sovi yleiseen liturgiaan. Näen avoimissa ohjelmissa suuren potentiaalin ja tietyin varauksin myös uskonkin niihin. Avoimilla ohjelmistoilla on paikkansa ja tilauksensa, mutta meidän kenenkään etu ei ole hiljaa silloin kun näkee omasta mielestään parantamisen varaa.

[moonstone]

Avoin koodi ei ole niin sanotusti joutunut vielä eturintamaan. Nythän niin on Mozillan kohdalla käymässä ja jälki on sitä mitä tässä ketjussakin on nähty.

Sellaisetkin pienet asiat kuten Apache on ollut eturintamassa jo vuodesta 1996.

Jos itse alkaisin tekemään haittaohjelmia, viruksia tai www-murtautumisia valitsisin kohteeksi ennemmin suljetun ohjelmiston haavoittuvuuden kuin avoimen ohjelmiston vastaavan.
1. Suljetusta ohjelmasta on yksi identtinen versio kaikilla, jolloin murtomahdollisuus on mahdollisimman laaja.
2. Suljetun ohjelmiston valmistajan intressit tietoturva-aukon korjaamiseen ovat epäselvät (sovellus jo vanha eikä tukea)
3. Suljetun ohjelmiston valmistajan tietoturva-aukon "vähättely" mahdollisen negatiivisen peeärrän pelossa, josta seuraa hidas reagointi ongelmaan ja paikka tulee myöhässä.

Firefox ei nyt ehkä ole puhtain esimerkki vapaasta ohjelmistosta. Sen voit todeta jo siitä, että tuotemerkkejä ei saa enää käyttää ilman mozillan lupaa jolloin on jouduttu kettu korvaamaan nimillä iceweasel ja burning dog, vaikka sovellus on identtinen firefox

[tmp]

Kyllä suurin tietoturvaongelma taitaa olla itse käyttäjät. Mikä tahansa käyttöjärjestelmä pysyy puhtaana oikein käytettynä. Tietoturva-aukkoja löytyy jatkuvasti, mutta oikeaoppisella käyttämisellä niidenkin haittaa/uhkaa voidaan pienentää.

Saa nähdä kiinnostutaanko Linuxin tietoturvaongelmista enemmän kun se yleistyy työpöydillä. Servereiden ylläpitäjät ovat kuitenkin osaavaa porukkaa ja käytössä kustomoituja yms. ytimiä. Työpöydillä monilla "taviksilla" sama kokoonpano ja taidot heikot.

Mielenkiintoista nähdä joutuuko esimerkiksi OLPC painimaan pöpöjen kanssa.

[janne]

Avoin koodi ei ole niin sanotusti joutunut vielä eturintamaan. Nythän niin on Mozillan kohdalla käymässä ja jälki on sitä mitä tässä ketjussakin on nähty.

eturintamasta vastattiinkin jo apachen muodossa, mutta myös linux on toiminut palvelinpuolella hyvin yleisenä alustana myös muille erilaisille palveluille. tietty se ei ole eturintamaa, koska pavelimia ei ole aikaisemmin ylläpitäneet täysin vihjeettömät henkilöt, mikä on aika yleinen skenaario kotipalvelimilla ja työpöydillä.

Janne nosti esille myös mielenkiintoisen aspektin, nimittäin sen, että Mozilla on muuttanut toimintatapaansa aina vain enemmän suljetun koodin suuntaan.

Hän näkee sen toiminnassa selvän muutoksen.

Mitä muuta on tapahtunut?

Sen, Firefoxin, käyttäjämäärät ovat moninkertaistuneet.

niin on, ja toisin kuin sinä, minä näen mozillan toimintatavan johtuvan nimenomaan siitä, että mozillan kehittäjät ovat huomanneet mahdollisuuden kilpailla oikeasti selainmarkkinoilla, yhtiöittä toimintaa, saada isotkin firmat vaihtamaan selanta ja tehdä samalla vähän rahaa.

Minun motiivit on kertoa rehellisesti omat näkemykseni myös silloin kun ne ei ehkä sovi yleiseen liturgiaan.

siitä vaan. toistaiseksi ne ovat kyllä noudatelleet hyvin pitkälti MS-tyyppistä argumentointia.

meidän kenenkään etu ei ole hiljaa silloin kun näkee omasta mielestään parantamisen varaa.

ei tietenkään, rakentava kritiikki on aina tervetullutta.
mikä sinun mielestäsi olikaan varsinainen ongelma tässä ja siinä toisessä "hiukka OSS softassa on reikiä"-ketjussa ja mitä ehdotitkaan parannukseksi?

[igor_2]

ei tietenkään, rakentava kritiikki on aina tervetullutta.
mikä sinun mielestäsi olikaan varsinainen ongelma tässä ja siinä toisessä "hiukka OSS softassa on reikiä"-ketjussa ja mitä ehdotitkaan parannukseksi?

Varsinainen ongelma?

Niin, sehän taisi olla se, että Firefox tulee Ubuntun oletusasennuksen mukana ja asentuu niin noviisien kuin myös ei noviisien käyttöön.

Apachia ja Firefoksia yhdistää lähinnä vain se, että molemmat on OS:ää. Firefox on "bulggi ohjelma" jota käyttää "kaikki". Myös siis mökin mummo jolle pelkkä pankin sivuille pääsy on suoritus.

Sehän on se ohjelmistotyyppi, selain siis, joka on pahiten eturintamassa ja eikö juuri  silloin sen koodi olisi pitänyt oikolukea erityisen herkällä silmällä.

Onko näin käynyt? Vaikuttaa vähän siltä, että eipä taida olla.

Yleisölle annetaan vaikutelma että avoimet ohjelmat on turvallisia syystä että koodi on tutkittu tarkimman jälkeen. Käyttäkää niitä. Hyviä on.

Äkkinäisempi saattaisi sanoa että taidetaanpa nyt puhua vähän muunneltua totuutta. Jossain yhteyksissä sitä kuvaillaan myös lyhenteellä FUD.

[Sorkkarauta]

Hmm.. uskoisinpa Linuxin olevan erittäinen otollinen kohde pahiksille, koska se pyörittää palvelimia runsain mitoin. Ja kuten tiedämme, palvelinten merkitys on täysin toista luokkaa kuin hikisten desktoppien ja niiden sovellusten. Lähdekoodi on ollut saatavilla yli 10 vuotta mutta siitä huolimatta ei ole ollut merkittäviä ilmoituksia Linux-palvelinten turvaongelmista.

[moonstone]

Äkkinäisempi saattaisi sanoa että taidetaanpa nyt puhua vähän muunneltua totuutta. Jossain yhteyksissä sitä kuvaillaan myös lyhenteellä FUD.

Oikeastaan FUD kuvaa paremmin tätä "mitä hyötyä on tuhannesta silmäparista" otsikosta, koska se on sanomatta selvää, että tuhat silmäparia on parempi kuin 3 tai 10.
Koko aloitusviesti on täynnä FUDia, koska tässä ei ole muuta tarkoitusta kuin luoda olematonta "pelkoa" ja kyseenalaistaa negatiivisesti avoimen yhteisön ohjelmien kehitysmalleja. Firefox on firefox ja jos se alkaa vuotaa tai sulkeutua itseensä (kuten jo ylempänä huomautettiin) siitä kyllä haarautuu avoimen lähdekoodin ja sen lisensoinnin vuoksi toinen tai kolme tai neljä uutta versiota joissa asiat halutaan hoitaa toisin ja turvallisemmin.

[tn]

Lähdekoodi on ollut saatavilla yli 10 vuotta mutta siitä huolimatta ei ole ollut merkittäviä ilmoituksia Linux-palvelinten turvaongelmista.

Mitenkäs on asia laita Windows-palvelimien kohdalla? Ovatko ne kovinkin reikäisiä? Esimerkiksi vaikka mainittu Apache vs. IIS?

Oikeastaan FUD kuvaa paremmin tätä "mitä hyötyä on tuhannesta silmäparista" otsikosta, koska se on sanomatta selvää, että tuhat silmäparia on parempi kuin 3 tai 10.

Olen aina ihmetellyt, että tutkitaanko noita lähdekoodeja todella niin paljon kuin annetaan ymmärtää. Etenkin jos kyse on jostain hieman vähemmän tunnetusta ohjelmistosta (ei siis Firefoxista taikka Linuxista). Moniko tältä foorumilta on etsinyt aukkoja jonkun avoimen softan (ei itse tehdyn) lähdekoodista?

[T.M]

Ihan vaan lähimuistia kun yritän kaivella niin mieleen tulee:
IIS-remote exploit jota hyödyntävät matoset terrorisoivat verkkoa. Apache ei ole moisia epidemioita aiheuttanut. Sitten oli sql-serverissä pyörinyt hauska remote-exploitti joka aiheutti ylläreitä.

Pätsäämättömiä palvelimia on haksutettu varmasti *nix-puolella valtava määrä mutta ei tämä ole kuitenkaan aiheuttanut windows-matojen tyylisiä ongelmia.

Se on ihan kiva että tilastoja pidetään yllä jossa todetaan aukkojen määriä. Käytännössä kuitenkin suurin osa ongelmista joita itse olen johtunut kohtamaan on johtunut windows-käyttöjärjestelmän/ohjelmistojen aukoista. No onpahan ainakin työllistynyt.

Edelleen peräänkuulutan sitä että kuinka moni teistä on joutunut putsaamaan/uudelleen asentamaan linux/bsd purkkeja haittaohjelmien jäljiltä. Minä en ainakaan yhtään. Windows-koneita sen sijaan on vastaan tullut sitäkin useampi. Tämä on se mikä minua kiinnostaa...

Eli jotain hyötyä niistä n+1 silmäparista on ollut...

[moonstone]

Olen aina ihmetellyt, että tutkitaanko noita lähdekoodeja todella niin paljon kuin annetaan ymmärtää.

Tutkitaanko suljetun koodin ohjelmia kuinka helposti? Kuka niitä tutkii? Tutkitaanko? Käsittääkseni ohjelmistovalmistaja määrää aikataulun johon kaikki halutut toiminnot nopeasti toteutetaan ja siinä "voi" laatu kärsiä.

http://www.avoinelama.fi/html/AvoinElama-H2_30.html

Kun suljetun ohjelmiston koodi julkistetaan, paljastuu yleensä kerralla kaikki se roska, mikä vuosien saatossa on kaikessa hiljaisuudessa lakaistu maton alle. Ensimmäisiä yllätyksiä oli varmasti se, että InterBasen koodin kääntäminen ajettavaksi ohjelmakoodiksi on kuuleman mukaan tuottanut monta tuhatta erilaista varoitusta mahdollisista virheistä koodissa. Nämä "kääntäjän varoitukset" eivät välttämättä ole vielä vakavia virheitä eivätkä yleensä estä ohjelmaa toimimasta, mutta se että niitä on ollut tuhansia kertoo jotain asenteesta, jolla ohjelmoijat ovat työskennelleet.

Kun ohjelmaa kehitetään alusta asti avoimesti, ei tilanne yleensä pääse kehittymään niin pahaksi kuin InterBasen ja Mozillan tapauksessa. Suljettujen ohjelmistojen kehityksessä on kiusaus mennä yli siitä, missä aita on matalin. Virheistä ei välitetä, vaan jos ohjelma kuitenkin kääntyy ja käynnistyy ja näyttää päällisin puolin toimivalta, se pistetään oitis myyntiin. Open Source -ohjelmien laadun taas jokainen pystyy itse toteamaan ja tekijöiden henkilökohtainen mainekin on vaakalaudalla. Julkisuudessa työskentely asettaa riman korkeammalle.

estausta helpottamaan Borlandin laaduntarkkailuosasto oli vaatinut InterBaseen lisättäväksi komentoa, jolla tietokannan sisällön pystyi sotkemaan tai kokonaan tuhoamaan.41 Jostain käsittämättömästä syystä vaadittiin myös, että tämä komento jätettiin myös myytävään InterBasen versioon. Tietenkään komennosta ei kerrottu InterBasen käyttöohjeessa, koska komento oli vain laaduntarkkailuosaston sisäiseen käyttöön, mutta "tuhoa kaikki tiedot" -tyyppisen komennon jättäminen asiakkaille myytävään versioon kuulostaa kuitenkin melkoiselta venäläiseltä ruletilta. Vielä ihmeellisempi on väite, että näin oli tehty nimenomaan laaduntarkkailuosaston vaatimuksesta.

[tn]

Olen aina ihmetellyt, että tutkitaanko noita lähdekoodeja todella niin paljon kuin annetaan ymmärtää.

Tutkitaanko suljetun koodin ohjelmia kuinka helposti? Kuka niitä tutkii? Tutkitaanko?

Kyse oli avoimen koodin tutkimisesta, ei suljetun koodin tutkimisesta. En ole väittänyt, että suljetun koodin ohjelmia tutkittaisiin paljon tai helposti tms.

Käsittääkseni ohjelmistovalmistaja määrää aikataulun johon kaikki halutut toiminnot nopeasti toteutetaan ja siinä "voi" laatu kärsiä.

Onhan noilla avoimillakin projekteilla aikatauluja. Esimerkkinä vaikkapa Ubuntu: ehkäpä tunnetusti ongelmia aiheuttanut Dapper->Edgy -päivitys olisi sujunut jouhevammin, jos kehittäjillä olisi ollut enemmän aikaa testata asioita. Toisaalta myös suljettujen ohjelmistojen valmistajilla esiintyy "julkaistaan sitten kun se on valmis" -käytäntöä: Eikös Vistankin julkaisua siirretty "muutamaan" otteeseen myöhemmäksi.

[moonstone]

Kyse oli avoimen koodin tutkimisesta, ei suljetun koodin tutkimisesta. En ole väittänyt, että suljetun koodin ohjelmia tutkittaisiin paljon tai helposti tms.

http://www.talouselama.fi/docview.do?f_id=1137869&s=k

"Meillä on 50000 uutta vapaaehtoista avustajaa päivittäin", kuusi vuotta MySQL:ää johtanut Mickos kertoo.

En tiedä pitääkö tuo lähellekkään paikkaansa, mutta näin väittävät.

Vaikea sitä on sanoa tutkiiko joku vaikka gnomen pelejä tai dvd rippereitä kuinka tarkkaan, mutta ne jotka ovat järjestelmälle kriittisempiä kyllä syynätään huolella (eli mm. ulkoverkkoa kuuntelevat palvelut/sovellukset)

[tn]

"Meillä on 50000 uutta vapaaehtoista avustajaa päivittäin", kuusi vuotta MySQL:ää johtanut Mickos kertoo.

En tiedä pitääkö tuo lähellekkään paikkaansa, mutta näin väittävät.

Huh, olipas iso luku. Jos tuosta määrästä edes sadasosakin olisi tekemisissä koodin kanssa, eikä "avustaisi vapaaehtoisesti" jollakin muulla tavalla, niin näitä kertyisi 500 per päivä, mikä sekin kuulostaa minusta todella paljolta.

[janne]

Varsinainen ongelma?

Niin, sehän taisi olla se, että Firefox tulee Ubuntun oletusasennuksen mukana ja asentuu niin noviisien kuin myös ei noviisien käyttöön.

ok, eli ongelma on se, että oletusasennuksessa asentuu ohjelmia joita käyttäjä voi käyttää?

no, onneksi linux-puolella on vaihtoehtoja asentaa vaikka vain kerneli ja perus komentorivityökalut ja oletusohjematkin pystyy vaihtamaan kovin helposti jos kokee jonkun niistä olevan vaarallinen. mutta oikeasti minä en kyllä vieläkään ymmärtänyt sitä oikeaa ongelmaa.

mikä se sinun kehittävässä hengessä esitetty ratkaisuehdotuksesi sitten oli?

Apachia ja Firefoksia yhdistää lähinnä vain se, että molemmat on OS:ää.

OS tarkoittaa jotain muuta, ne ovat OSS:a tai jopa FOSS:a.

Firefox on "bulggi ohjelma" jota käyttää "kaikki". Myös siis mökin mummo jolle pelkkä pankin sivuille pääsy on suoritus.

ja siksi olisi hyvä, että mökin mummolle ei asennettaisi käyttöjärjestelmään yhtään ohjelmia koska niissä voi olla tietoturvaaukkoja?

vai siksi olisi hyvä, että mummolle asennettaisiin ohjelmia joita ei voisi vaihtaa toisiin, joissa ilmenevät tietoturvaukot vaarantaisivat koko järjestelmän, joiden tietoturva-aukkoja piiloteltaisiin ja korjattaisiin joskus kun jaksetaan?

vai asennettaisiin softaa jonka mahdollisista aukoista tiedotetaan ripeästi, jotka paikataan ripeästi ja jotka voisivat olla edes jonkun mummon sukulaisen tiedossa?

Sehän on se ohjelmistotyyppi, selain siis, joka on pahiten eturintamassa ja eikö juuri  silloin sen koodi olisi pitänyt oikolukea erityisen herkällä silmällä.

miten sen nyt ottaa, olen kuullut myös käyttöjärjestelmistä joita ei voi laittaa puhtaan asennuksen jälkeen verkkoon edes tunniksi ilman palomuuria koska koko järjestelmä on niin täynnä remote exploitteja. jotenkin tuntuu, että se järjestelmän ulkoinen rajapinta (kuunneltavat portit ym.) olisivat enemmän etulinjassa.

Onko näin käynyt? Vaikuttaa vähän siltä, että eipä taida olla.

tiedätkö muuten kuinka suuri mozilla-projektin lähdekoodipuu on?

Yleisölle annetaan vaikutelma että avoimet ohjelmat on turvallisia syystä että koodi on tutkittu tarkimman jälkeen. Käyttäkää niitä. Hyviä on.

suoraan sanottuna vakavien remote exploittien määrä on ollut perinteisesti aika paljon pienempi avoimen lähdekoodin järjestelmissä. tietty tähän vaikuttaa hieman sekin, että ne on oiekasti tehty monen käyttäjän järjestelmiksi ja niitä ei ole (eikä saa) käyttää koko ajan pääkäyttäjän oikeuksin, mikä aiheuttaa aika suuriakin ongelmia tietoturvan kannalta.

[tmp]

Nooh... mielestäni aihe on hankala, koska vaatisi paljon tutkimista että voisi sanoa mikä on turvallisempi kuin toinen. Tutkimuksia löytyy vaikka kuinka ja niistä löytyy etsijälle varmasti mieleisensä vastaus.

Mielestäni tällä hetkellä pahin "remote exploit" tietoturva-aukko on käyttäjä. Olen sitä mieltä, että oikealla käytöllä mikä tahansa käyttöjärjestelmä pysyy puhtaana, mutta vaatii kyllä käyttäjältä ymmärrystä mitä on tekemässä.

Mielestäni SELinux, selainten "suojattutila", yms. ovat erittäin tärkeitä myös kotikoneissa ja uskon että noilla voidaan estää monen monta ongelmaa.

[igor_2]

Mielestäni tällä hetkellä pahin "remote exploit" tietoturva-aukko on käyttäjä. Olen sitä mieltä, että oikealla käytöllä mikä tahansa käyttöjärjestelmä pysyy puhtaana, mutta vaatii kyllä käyttäjältä ymmärrystä mitä on tekemässä.

Totta.

Käyttäjä, se mökin mummo, on taatusti aika haastellinen koulutettava (nim. kokemusta on), ja siitä syystä nyt ainakin sellaiset ohjelmat kun selaimet pitäisi olla tarkimman jälkeen tutkitut.

Kannattaa myös muistaa että esimerkin Firefox on sovellus jota ajetaan juuri ja nimenomaan Windows alustalla. Se on avoimen lähdekoodin mannekiini niiden keskuudessa jotka eivät ole vielä meidän lailla valaistuneet ja on harmi jos se, yksittäinen luopio, lokaa koko uljaan avoimen filosofian.

Kerran menetettyä luottamusta (asiakasta) on hyvin hankala saada takaisin.