# sviluppatori gentoo

## croot

E' da un po' che ho un certo dubbio sugli sviluppatori in generale e quindi anche gentoo...

Come facciamo a essere sicuri che i pacchetti scaricati non contengano trojan ?

Per esempio se io voglio diventare developper basta che lo chiedo ? 

devo dare dei dati personali a qualcuno ? 

I pacchetti gestiti dai developper sono poi controllati da qualcuno o ci si fida cecamente ?

----------

## Alberto Santini

[ot] bello il nuovo sito del gruppo di cui fai parte, http://www.accademiadellacrusca.it/

----------

## croot

mi pare una domanda legittima e non  mi sembra ci sia bisogno di prendersela tanto..

----------

## Luc484

Non so quale sia l'organizzazione che hanno i vari team, ma io considererei comunque che stiamo parlando in questo caso per lo più di software open source. Piuttosto direi che la cosa riveste tutto un altro significato nel campo closed source.

----------

## croot

in parte sono d'accordo con te ma in parte no, perchè è vero che il closed source puo nascondere qualcosa non facilmente rintracciabile ma è anche vero che se viene scoperto qualcosa uno sa con chi prendersela. Prendiamo una distro commerciale come redhat sai che gli rpm li fanno loro e quindi ci sono dei responsabili, in distro come gentoo ma potrebbe essere anche debian, slack ecc  che ne sai.. penso che il dubbio sia lecito..

p.s. con questo non voglio dire che redhat o peggio windows siano meglio .. ci mancherebbe!

----------

## Luc484

Guarda, io non sono un esperto in questo ambito, spero che altri ti sappiano rispondere, ma considera che queste cose di cui parli sono illegali, il che significa che metterle in giro ed utilizzarle può causare una denuncia a quanto ne so. Il che significa che rintracciare chi ha messo in giro cose del genere non è difficile (dico non difficile perchè immagino proprio che quanto meno delle credenziali le dovrà avere per poter collaborare).

----------

## Guglie

se uno sviluppatore per qualunque motivo volesse fare un danno agli utilizzatori del software che mantiene dopo un po' i primi utenti utenti (o gli altrii sviluppatori dello stesso gruppo) se ne accordono, dal CVS si risale allo sviluppatore che ha fatto la cosa brutta, lo sviluppatore viene espulso e il pacchetto ripristinato

la cosa vale sia per distro non commerciali che per le distro commerciali (dove lo sviluppatore perde però un lavoro salariato)

io personalmente mi fido molto degli sviluppatori di distro non commerciali e in generale di free software, perchè lavorano soltanto per il piacere di farlo, e finora hanno fatto un ottimo lavoro

se non ti fidi libero di leggerti ogni volta gli ebuilds e i sorgenti dei programmi prima di compilare..   :Wink: 

----------

## randomaze

Trattandosi di una discussione, il porto piú appropriato é il forum dal titolo "Forum di discussione italiano", Per questo ho spostato il thread.

Detto questo, la risposta per il quesito di croot: chi vuole controllare controlla. Se vuoi farlo tu i sorgenti li hai. L'open source  funziona cosí.

Quando al diventare "developer" non capisco se parli di developer in generale o in particolare (ovvero developer gentoo).

Nel primo caso basta che apri vi e sei giá un developer. Certo, devi scrivere qualcosa che interessi alla gente per diventare il developer di un progetto con pi'di un utente  :Wink: 

Nel secondo caso (developer gentoo) non é cosí semplice. Solitamente il punto di inizio é bugzilla dove inizi a farti conoscere compilando bg report e/o soluzioni ai bug report degli altri.

----------

## !equilibrium

vi rammento che il software GPL è rilasciato 'senza garanzia', se non funziona sono problemi dell'utilizzatore e non di chi lo ha realizzato, stesso discorso vale per qualsiasi discorso relativo a 'bug,malfunzionamenti,trojan,backdoors' ecc ecc; è sempre compito dell'utilizzatore finale accertarsi che il software GPL sia conforme alle proprie esigenze e non viceversa.

----------

## croot

uhmm cioè se io faccio un software con codice maligno nessuno puo' farmi nulla ?

edit: mi sembra una prospettiva terrificante...

----------

## !equilibrium

 *croot wrote:*   

> edit: mi sembra una prospettiva terrificante...

 

mi pare che nessuno ti stia puntando una pistola alla tempia e ti obblighi ad usare forzatamente software GPL, o sbaglio?   :Shocked: 

a- non paghi nulla e non puoi 'pretendere' nulla in cambio

b- la GPL è chiara, non c'è nessuna garanzia che il software 'funzioni correttamente'

c- se vuoi usare software GPL sta a te utilizzatore finale accertare che soddisfi i tuoi requisiti e non chi lo ha realizzato

questi punti della GPL mi sembrano molto chiari e molto auto esplicativi, non capisco quindi tutto questo allarmismo, a mio parere totalmente fuori luogo e inutile  :Wink:  .

p.s.: chiedo per curiosità... non stai trolleggiando vero?   :Question: 

----------

## .:chrome:.

 *croot wrote:*   

> E' da un po' che ho un certo dubbio sugli sviluppatori in generale e quindi anche gentoo...
> 
> Come facciamo a essere sicuri che i pacchetti scaricati non contengano trojan ?

 

domanda abbastanza banale: basta guardare cosa contengono i pacchetti

non sei sicuro di cosa faccia un software? guarda cosa fa.

non sei capace di capire il codice? peccato!

puoi ingabbiare i programmi in sistemi di test, chiudere firewall, installare monitor, IDS e NIDS... puoi fare tutto quello che vuoi per tenere controllato un programma, basta ingegnersi un po'

----------

## Luca89

Non credo che uno sviluppatore abbia il coraggio di inserire trojan in un suo prodotto, se qualcun altro se ne accorge ci perde la faccia, e non credo sia poco. Comunque come ti hanno detto gli altri nessuno ti obbliga ad usare software opernsource e comunque puoi sempre leggerti i sorgenti dei programmi, chi te lo vieta?

----------

## Ic3M4n

per esempio si dice che RMS si legga i sorgenti di ogni programma che si installa.

----------

## croot

 *DarkAngel76 wrote:*   

>  *croot wrote:*   edit: mi sembra una prospettiva terrificante... 
> 
> mi pare che nessuno ti stia puntando una pistola alla tempia e ti obblighi ad usare forzatamente software GPL, o sbaglio?  
> 
> a- non paghi nulla e non puoi 'pretendere' nulla in cambio
> ...

 

ovviamente NO..

da un lato avete tutti ragione da un altro credo un po' meno..

superficialmente potrebbe sembrare che uso software opensource da poco, ma non è assolutamente così e tuttavia questo è un dubbio che mi era sorto già un po' di tempo fa.

Lo so che la gpl è chiara e so anche che la granparte del software opensource è gratuito, ed è anche in parte questo che mi allarma... se installo una distro qualsiasi ad un cliente o su un server e tra i pacchetti ce' un trojan sono SOLO cavoli miei. E obiettivamente non ho il tempo, la voglia e le competenze di contrallare il sorgente o i binari (?) di un intero sistema operativo e/o di nuovi pacchetti che via via installo.

Il programmatore perde la faccia.. questa è una cosa assai discutibile... mi invento un nome, mi invento un sito.. faccio un programma.. beh se mi scoprono e perdo la faccia me ne faccio un altra.. mi sembra il meno. Se poi non sono scoperto perchè riesco bene a camuffare il codice..

Sto parlando non del lato desktop di un utente qualsiasi che se si trova un trojan sul pc gliene puoi fregare fino ad un certo punto.. ma dal lato server di produzione, azienda.. dati che devono essere conservati in un certo ambito di sicurezza. E' vero che per ora casi di questo genere non se ne sono mai (credo) verificati ma è anche vero che la gpl "as is" non è che ti fa sentire totalmente sicuro.. anche dal punto di vista legale.

----------

## mambro

Non capisco dove stia il problema.. lo stesso incoveniente può capitare anche con un software closed.. solo che in quest'ultimo è più difficile scoprirlo!

C'è un sacco di gente che controlla il codice dei progetti open source (primi tra tutti gli sviluppatori stessi del progetto ma credo anche tanti altri).. a meno che non si mettano tutti daccordo prima o poi la beffa salterà fuori..

----------

## croot

il problema sta nel fatto che se trovo in trojan dentro un prodotto di una software house installato su un server di produzione su cui ci sono dati per migliaia di euro gli faccio causa ed ho buone probabilità di fargli il culo, se lo trovo dentro un ebuild o un deb o quello che ti pare beh mi attacco al tram..

----------

## Luc484

Come ti dicevano prima esistono molti modi per proteggersi da questo rischio, e bisognerebbe farlo sia con software a pagamento, che con software open source. Senza il codice poter provare queste cose potrebbe non essere semplicissimo. Se pui far causa ad una software house, io penso che sia ancora più semplice fare causa ad un privato che tenti di sfruttare il trojan. Quale è la differenza?

----------

## .:chrome:.

 *croot wrote:*   

> il problema sta nel fatto che se trovo in trojan dentro un prodotto di una software house installato su un server di produzione su cui ci sono dati per migliaia di euro gli faccio causa ed ho buone probabilità di fargli il culo, se lo trovo dentro un ebuild o un deb o quello che ti pare beh mi attacco al tram..

 

per favore... siamo seri...

ripeto quello che ho scritto: chiunque può sempre leggere i sorgenti del programma, inoltre esistono decine di modi per rendersi conto di un comportamento illecito prima che questo diventi dannoso anche senza stare a spulciare i sorgenti.

tutto questo discorso mi sembra davvero una polemica inutile, che potrebbe essere evitata con una migliore conoscenza dei fatti

----------

## croot

ok, allora chiudiamola qui, poi effettivamente un'eventualità del genere è piu' teorica che pratica..

----------

## randomaze

 *croot wrote:*   

> ok, allora chiudiamola qui, poi effettivamente un'eventualità del genere è piu' teorica che pratica..

 

Sicuro?

----------

## .:chrome:.

 *randomaze wrote:*   

>  *croot wrote:*   ok, allora chiudiamola qui, poi effettivamente un'eventualità del genere è piu' teorica che pratica.. 
> 
> Sicuro?

 

ok, però un'eventualità del genere è molto difficile che si verifichi in ambito open-source, per i motivi detti prima, e comunque Borland dopo un episodio del genere può ritenersi fortunata a non aver avuto conseguenze gravi. poi quanto queste conseguenze siano non gravi è anche difficile a dirsi, dal momento che InterBase è praticamente scomparso dal mercato a favore di PostgreSQL

----------

## randomaze

 *k.gothmog wrote:*   

> ok, però un'eventualità del genere è molto difficile che si verifichi in ambito open-source,

 

In realtá la falla é venuta fuori proprio dopo che Borland aveva rilasicato i sorgenti di InterBase come Open. Quando qualcun'altro ha potuto leggere i sorgenti e quindi "vedere" il problema.

----------

## .:chrome:.

 *randomaze wrote:*   

> In realtá la falla é venuta fuori proprio dopo che Borland aveva rilasicato i sorgenti di InterBase come Open. Quando qualcun'altro ha potuto leggere i sorgenti e quindi "vedere" il problema.

 

è appunto quello che dico. con software open, la possibilità che si verifichi una cosa del genere è prossima al ridicolo

----------

## cloc3

 *croot wrote:*   

> 
> 
> I pacchetti gestiti dai developper sono poi controllati da qualcuno o ci si fida cecamente ?

 

Secondo me, tutta questa discussione non si appoggia a sufficienza al concetto di distribuzione.

È vero che in open source puoi leggerti il codice, mentre fuori no, è vero che chi scrive i programmi si gioca la reputazione più che altrove, è vero che gli autori di software libero hanno interesse esclusivo al fatto che il proprio software sia utilizzato e non possiedono fini trasversi (mi riferisco all'esempio del compilatore di Intel, che tempo fa produceva codice lento per gli amd), ma prima di tutto, bisogna riconoscere il vantaggio dell'utente nel riferirsi alla propria distribuzione.

La distribuzione si occupa direttamente di questo problema ed offre all'utente pacchetti sicuri, testati, integrati, elegantemente consegnati con il controllo md5, che ne garantisce bit a bit la perfetta integrità.

Nel mondo closed source, si acquista un sistema operativo vuoto, senza programmi, da costruire pezzo per pezzo a capriccio dell'utente, scaricando a destra e a sinistra senza criterio, senza prudenza , senza competenza, senza cura alcuna della compatibilità reciproca dei tanti programmi aggiunti, tutti indipendenti tra loro, tutti pericolosamente criptati in un codice macchina complesso e impenetrabile.

Tu hai la tua distribuzione.

Che cosa è una distribuzione?

Una distribuzione è quando ti servono in barba e parrucca. Non devi occuparti di cercare software al di fuori della tua distribuzione (ci sono limiti ed eccezioni in questo, ma il concetto che esprimo è preciso).

Che cosa vuoi di più?

----------

## Scen

 *croot wrote:*   

> ma è anche vero che la gpl "as is" non è che ti fa sentire totalmente sicuro.. anche dal punto di vista legale.

 

Forse non hai mai letto l'EULA di Microsoft Windows......  :Rolling Eyes:   :Wink: 

----------

## fedeliallalinea

Mi irrita solo una cosa in questo discorso, la convinzione delle persone che se dietro a un prodotto software c'e' una grossa ditta allora siamo al sicuro se ci sono problemi... questo e' un'utopia, avete sentito del caso sony BMG? E' uscita dalla causda praticamente indenne. E il caso ms del formato wmf (ho citato questi perche' sono i piu' recenti ma ce ne sono a migliaia)? Anche qua chi ripaga il cliente che ha passato ore a mettere a posto i propri pc o quelli dell'azienda? Ms, sony? Ma per favore... 

PS: non e' mia intenzione aprire un flame, ma questa convinzione che avendo una soft house dietro un prodotto e' una garanzia mi lascia solo perplessita.

----------

## Cazzantonio

quoto fedeliallalinea al 100%

----------

## fikiz

Vero, ma MS e Sony si prendono la liberta' di fare quello che vogliono contando

sulla loro opulenza, sulla potenza smisurata dei loro uffici legali e sulle

loro quote sul mercato mondiale.

Una software house di dimensioni 'umane' ha tutto l'interesse

a fare un buon prodotto prima di tutto per tenersi la clientela. E poi

sta molto attenta a non inserire nei loro prodotti cose come cavalli di troia,

perche' una eventuale azione legale contro di loro potrebbe farle uscire

piuttosto malmesse (a differenza di Sony e MS). Mi sembra che croot intenda

qualcosa di questo genere.

Comunque il modello di sviluppo dell'open source e' questo gia' da un po' di

anni e non mi sembra che abbia mai mostrato problemi di questo genere.

Se finora il sistema si e' basato sulla 'fiducia'... ha funzionato. e va bene

cosi'.

Mi aspetto pero' che l'identita' degli sviluppatori debba essere ben nota quando

si parla di codice veramente critico (vedi il kernel o software "importante"

come openoffice), e di non una piccola applicazione. Del resto ne va dell'immagine

e della credibilita' di tutto lo staff che lavora al progetto.

Magari mi sbaglio, ma dubito che venga accettato del codice per il kernel

senza conoscere con sicurezza l'identita' di chi lo ha scritto.

----------

## lavish

 *fikiz wrote:*   

> Magari mi sbaglio, ma dubito che venga accettato del codice per il kernel
> 
> senza conoscere con sicurezza l'identita' di chi lo ha scritto.

 

Ovvio...

----------

## fedeliallalinea

 *fikiz wrote:*   

> Vero, ma MS e Sony si prendono la liberta' di fare quello che vogliono contando
> 
> sulla loro opulenza, sulla potenza smisurata dei loro uffici legali e sulle
> 
> loro quote sul mercato mondiale.

 

No ti assicuro che succede anche in aziende medie (ora non voglio dire che tutte le aziende lavarano male anzi). Inoltre hai mai letto la licenza ms? Che garanzie ti da? Te ne da una sola: NESSUNA!!! Mai letto della clausula che se per cause del sistema operativo qualche persona muore la ms ti risarcisce per un massino di 5 dollari di importo... questo e' un vero e proprio insulto alla vita umana.

Vero che nel open source puo' capitare che qualcuno metta codice maligno ma state tranquilli che entro 2 ore lo scoprono e il giorno dopo hai la patch, ms ci ha messo 1 settimana per dare la patch per il formato wmf e intanto tu vivi nella paura (paura nel senso informatico) perche' qualsiasi sito visitavi con immagini era un pericolo.

In conclusione preferisco l'open source che non mi da la sicurezza al 100% ma almeno ho la possibilita' (non dico che lo faccio ma posso scegliere se farlo oppure no per lo meno) di scovare del codice intruso, nel closed source chi mi da la garanzia del codice? Ancora una volta la risposta e' NESSUNO.

----------

## mouser

 *fedeliallalinea wrote:*   

> ...

 

Quoto anch'io in pieno...

La differenza è la possibilità di avere controllo su quello che utilizzi.

Che concezione ho di controllo? Mah, ce ne sono tante in giro su wikipedie e quant'altro; forse quella che più mi è sembrata realistica e azzeccata è quella che danno in un film:

 *Quote:*   

> - Noi controlliamo quelle macchine.
> 
> - Ma che cosa vuol dire avere il controllo?
> 
> - E' la facoltà di poter spegnere quelle macchine se vogliamo

 

E' qui che hai la differenza: se non sai leggere il codice, come puoi avere controllo?? Semplice, il controllo che hai su quel codice è la facoltà di metterlo o meno sul tuo computer.

Non penso che si possa escludere la gestione del wmf dal sistema operativo MS.

Questo per dire che non puoi essere sicuro che un free-sofware (che sia gratuito o meno) sia esente da trojan o da backdoor, ma la sola possibilità che hai di inserire o meno quel software nella tua collezione, ti da la possibilità di optare per una delle due soluzioni al tuo dubbio.

Tutto questo, ovviamente, IMHO

Ciriciao

mouser  :Wink: 

----------

## fedeliallalinea

 *mouser wrote:*   

> Non penso che si possa escludere la gestione del wmf dal sistema operativo MS.

 

No per fortuna era possibile disattivarlo

 *paolo attivissimo wrote:*   

> Sunbelt, per esempio, consiglia di disabilitare il componente fallato di Windows (SHIMGVW.DLL): al prompt dei comandi (Start > Esegui), digitate REGSVR32 /U SHIMGVW.DLL e riavviate Windows.
> 
> La disabilitazione è permanente fino a quando date il comando di riabilitazione, che è REGSVR32 SHIMGVW.DLL. Sunbelt avvisa che questo rimedio interferisce con la visualizzazione di tutti i tipi di immagine nel visualizzatore fax e immagini di Windows, quando viene invocato da Internet Explorer: in altre parole, può risultare piuttosto scomodo (ma sempre meno scomodo che trovarsi infetti).

 

----------

## mouser

 *fedeliallalinea wrote:*   

> No per fortuna era possibile disattivarlo

 

Già, purtroppo non è possibile sempre sulle falle (benchè note).

Ciriciao

mouser  :Wink: 

----------

## akiross

Io vorrei dire solo una cosa: il mondo si basa sulla fiducia. C'e' chi dice di no, ma sei _praticamente_ forzato a fidarti degli altri.

Altrimenti non mangeresti cose comprate, altrimenti non useresti un computer, altrimenti non usciresti di casa, se non ti fidassi degli altri.

La fiducia c'e', verso se' e verso il prossimo. Ovunque.

Certo la domanda che hai fatto e' legittima per carita'... ma il discorso e' stupido, perche' si potrebbe fare la stessa domanda in mille ambiti. Guarda quante aziende di m. usano (hanno usato, si spera...) uova scadute per i loro prodotti, ai danni _fisici_ dei consumatori... e tu quando compri un cibo in scatola scommetto che non ti fai tante paranoie, no? Perche' e' normale fidarsi.

Il punto e': la maggior parte dei developer e' abbastanza intelligente per capire che un trojan/backdoor non avrebbe senso: sony li mette perche' ha interessi, un developer opensource l'unico interesse che ha e' risolvere un problema con un bel programma, una cosa simile [malware] sarebbe autolesionismo.

Comunque, proprio come nella vita di tutti i giorni esistono enti che verificano che nessuno ti truffi (esempio i NAS che curano che non mangi roba che ti fa star male), qui esiste una comunita', fatta di persone e di esperienze, che prima o poi si accorgera' se un software li frega.

Quando sony ha messo il suo rootkit sui cd, chi pensi che abbia scoperto sta cosa? Sicuramente non e' sony che l'ha detto in giro. Sara' stato qualche hacker, qualche fissato che fa tcpdump a manetta o che ha paranoie sul sitema. Ottima cosa, grazie a dio esiste sta gente! Davvero.

Il punto e': nessuno ti forza, ma e' normale fidarsi, quindi tantovale fidarsi di chi la pensa come te.

E btw, il "developer" non e' mica un mago (lo dico perche' c'e' questa idea del developer come "mito" o "dio del creato informatico"). Alla fine e' un programmatore. Certo, anche io sono un programmatore... se voglio fare un programma che sfonda lo faccio dall'oggi al domani, non serve mica una licenza per fare un programma  :Smile:  Nell'ambiente gentu', pero', si diventa developer in base a certi meriti in questo ambito.

Ciauz

[Edit]

Cavolo ragazzi, con questo post filosofiGo sono diventato veteran  :Very Happy:  1000 post! Powah!

----------

## Cazzantonio

 *fedeliallalinea wrote:*   

> In conclusione preferisco l'open source che non mi da la sicurezza al 100% ma almeno ho la possibilita' (non dico che lo faccio ma posso scegliere se farlo oppure no per lo meno) di scovare del codice intruso, nel closed source chi mi da la garanzia del codice? Ancora una volta la risposta e' NESSUNO.

 

Quoto nuovamente in toto....

In ogni caso bisogna essere pragmatici; sperimentalmente ormai è dimostrato che il modello di sviluppo opensource funziona molto meglio di quello closed (almeno per la stragrande maggioranza dei software... ci sono pochi software di nicchia e specializzati, come CAD e altra roba grafica, per cui ancora non c'è una valida alternativa free)

Pensate un po' a questa cosa:

dietro a windows ci gira l'economia più potente del mondo, dei capitali da capogiro, un'organizazione bestiale, i migliori programmatori pagati lautamente.... nonostante questo fa cagare, funziona male ed è pieno di bug, la correzione dei bug prende tempi gelologici etc...

dietro a linux ci sono solo dei volontari, scarsa organizzazione (sostanzialmente decentralizzata), scarsissimi capitali, scarso supporto dalle aziende informatiche... nonostante questo è terribilmente migliore di windows sotto ogni aspetto, anche sotto quello delle garanzie visto che mediamente gli errori vengono corretti in un tempo che si conta in "ore", non "mesi".

Questo e numerosi altri esempi simili bastano a dimostrare che il modello di sviluppo open è migliore, più efficente, più performante e più sicuro! (oltre che meno costoso ma questo va da se'...)

 *akiross wrote:*   

> qui esiste una comunita', fatta di persone e di esperienze, che prima o poi si accorgera' se un software li frega.

 

Più prima che poi... la comunità opensource ha dei tempi di risposta incredibilmente veloci

----------

## neryo

per me non hanno molto senso queste preoccupazioni..

i sorgenti sono visibili a tutti, e quindi nessuno pubblicherebbe codice malvagio, quando il resto della comunità ha gli occhi puntati sopra.. per motivi che sono facilmente deducibili..

per il codice closed invece è tutt altra storia.. devi poter indagare dai comportamenti esterni per capire se cè qualche cosa illecita.. e non hai nessun modo di guardarci dentro. 

Comunque il mio consiglio è installare solo software testato e che sia a livello di comunità "attivo". Inoltre è bene fare dei checksum e scaricare da server fidati...   :Wink: 

----------

## akiross

A parte un sacco di cose giuste dette qui su, vorrei anche far notare che il software proprietario non da assolutamente piu' garanzie (anche in termini legali) di quello open.

Anzi, in termini legali l'EULA e' **ben** piu' dannosa che la GPL (per l'utente s'intende). L'EULA tutela l'azienda produttrice, la GPL tutela chi usa il software.

L'unica garanzia che hai nel comprare un software proprietario e' che, avendo pagato, hai almeno diritto ad un supporto tecnico, e non e' sempre cosi'.

A volte le grosse aziende preferiscono dare cash per avere un sistema che va come va, e piuttosto avere un tecnico mandato dalla softwarehouse che - anche se pessimo e anche se caro - nel giro di qualche ora arriva e risolve il problema.

Linux ha un'ottima comunita', anche ottime documentazioni. Anche il supporto tecnico essendo liberalizzato e' una storia molto piu' competitiva. E' ottimo in teoria, ma in pratica le aziende preferiscono spendere soldi che sprecare tempo.

Questo, secondo me, e' l'unico vantaggio del chiuso rispetto all'aperto. E non e' un vantaggio teorico ma pratico, dato dall'attuale stato delle cose.

Se l'open source diventasse il 50% della fetta di mercato, anche questo ultimo punto di vantaggio "crollerebbe come un pezzo di stoffa bagnata" <- citazione da un celebre film  :Wink: 

Ciauz

----------

## .:chrome:.

@akiross: hai detto delle cose giustissime.

se mi permetti farei una puntualizzazione: acquistando un software AVRESTI diritto al supporto. in realtà spesso non ce l'hai a meno che non acquisti anche quello. alla fine paghi un cosa due volte, e una volta scaduto l'anno o il periodo di vita del software perdi anche il supporto.

con i software open non hai supporto da parte del produttore, ma hai a disposizione una ampia comunitò di utenti che spesso sono ben disposti nell'aiutarsi a vicenda.

questo è quanto dovrebbe accadere normalmente. poi ci sono anche le eccezioni: ci sono software commerciali con ottimi servizi di supporto, a volte "gratuiti" (nel senso che sono compresi nell'acquisto), come pure delle volte capita che ci siano software open verso i quali l'autore fa poco supporto, e/o produce poca documentazione, e/o gli utenti facciano fatica ad aiutarti. mi è successo inquesti giorni con qMail

----------

## croot

Cavolo, non mi aspettavo che il 3d continuasse ed ho chiuso col mio ultimo messaggio perchè qualcuno aveva insinuato che io fossi un troll, a me pare un dubbio legittimo (non che sia un troll, ma l'argomento per cui ho aperto il 3d).

E mi meraviglio che a nessuno sia sorto lo stesso quesito..

Forse sarò ripetitivo ma lo sono perchè probabilmente i dubbi sono rimasti e lo sono perchè i vostri interventi non hanno del tutto chiarito alcuni dettagli.

Comunque..

@randomaze

 "Sicuro?"

mi riferivo al contrario, ossia all'eventualità che un developer inserisca codice offuscato e maligno dentro un ebuild o un source. Casi di software house che hanno inserito codice illecit dentro i loro programmi sono numerose ... le prime che vengono in mente sono gli spyware di microsoft e realplayer.. mentre non ho mai sentito casì di developper che hanno inserito trojan/malware/spyware dentro codice gpl..

Il mio intervento era un modo sbrigativo di chiudere, mi spiace il fatto che se uno ha un dubbio sull'opensource debba subito essere tacciato di trolling e quindi tacitamente invitato a stare zitto.

@cloc3

il fatto della reputazione si sembra proprio una cosa da non prendere in considerazione, cioè secondo te uno che ti vuol mettere del codice maligno nel pc ti da il suo nome cognome e telefno ?

 *Quote:*   

> 
> 
> La distribuzione si occupa direttamente di questo problema ed offre all'utente pacchetti sicuri, testati, integrati, elegantemente consegnati con il controllo md5, che ne garantisce bit a bit la perfetta integrità.
> 
> 

 

si ma se è chi deve contrallare che mette il codice ?

sto parlando dei manutentori dei pacchetti..

 *Quote:*   

> 
> 
> Che cosa vuoi di più?
> 
> 

 

io personalmente nulla... sono più che soddisfatto di linux e opensource... anzi mi sento un bel po' in debito.. il problema è (lo ripeto) nel campo professionale.

Vai ad installare un server di posta ad un cliente.. poi viene fuori che il tal prog ha un trojan.. torni dal cliente e lo metti al corrente (sono una persona onesta) lui ti dice .. ok sistemalo.. ma questo software dove l'hai preso.. ed io.. "sai un tizio di cui non si conosce l'identita' l'ha inserito dentro il portage".. e lui.."cioè tu mi hai installato sul server aziendle del software che non sai neanche chi l'ha fatto" ecc ecc...

Se fosse un prodotto microsoft le cose starebbero diversamente... perchè in qualunque maniera vadano le cose almeno sai di chi è la colpa, ma soprattutto sai che non è colpa tua.

avrei anche altre cose da dire ma è un po' tardino..

Concludo nella speranza che questo 3d non degeneri.

----------

## .:chrome:.

 *croot wrote:*   

> mi riferivo al contrario, ossia all'eventualità che un developer inserisca codice offuscato e maligno dentro un ebuild o un source

 

credo che ci siano degli evidenti problemi di comunicazione: o la gente non si sa spiegare o tu non vuoi capire.

in un caso come quello che descrivi, il "codice offuscato e maligno" verrebbe scoperto PIÙ CHE SUBITO, perché è possibile leggere il codice. non è una cosa difficile da capire

il fatto che io o te non leggiamo il codice, non vuol dire che non lo faccia nessuno, su questo mondo

----------

## randomaze

 *croot wrote:*   

> Il mio intervento era un modo sbrigativo di chiudere, mi spiace il fatto che se uno ha un dubbio sull'opensource debba subito essere tacciato di trolling e quindi tacitamente invitato a stare zitto.

 

Beh, se qualcuno ti ha accusato di trolling ha sicuramente esagerato: avevi un dubbio e hai chiesto delucidazioni.

Certo, uno dei punti di forza dell'avere il sorgente é proprio quello di poter controllare che non ci siano pezzi di codice che fano "cose strane". Il caso che ho postato servva a rafforzare questo concetto. la backdor in InterBase é venuta fuori proprio grazie al fatto che qualcuno ha guardato i sorgenti, personalmente non penso che la stessa Borland se ne ricordasse l'esistenza.

Il discorso analogo vale, a maggior ragione sugli ebuild, che sono molto più piccoli da leggere e controllare  :Wink: 

----------

## !equilibrium

 *croot wrote:*   

> qualcuno aveva insinuato che io fossi un troll, a me pare un dubbio legittimo (non che sia un troll, ma l'argomento per cui ho aperto il 3d).

 

se ti sei sentito offeso dalla mia affermazione, ti chiedo scusa, non era affatto mia intenzione, la mia frase, o meglio 'domanda' (p.s.: chiedo per curiosità... non stai trolleggiando vero?) era ironica, io non ho insinuato assolutamente nulla. mi spiace dell'incomprensione.

----------

## !equilibrium

 *randomaze wrote:*   

> la backdor in InterBase é venuta fuori proprio grazie al fatto che qualcuno ha guardato i sorgenti, personalmente non penso che la stessa Borland se ne ricordasse l'esistenza.

 

nello specifico, il caso della backdoor di interbase non era assolutamente ne malware, ne spyware, ne codice maligno di ogni genere, ma era addirittura uno 'strumento di amministrazione', si... avete letto bene, la backdoor in questione è un pezzo vitale di tutto il pacchetto Interbase, perchè originariamente tale software implementava un sistema di ACL che si appoggiava al sistema di password dell' OS, successivamente si scelse di adottare un'altro sistema di autenticazione, completamente indipendente dall'OS, e dove le login e pass erano memorizzate in uno speciale DB criptato; il problema che emerse fu il seguente: un utente per poter accedere al proprio DB doveva 'autenticarsi', ma visto che il meccanismo di autenticazione è inserito dentro il DB, l'utente non poteva autenticarsi direttamente e si venne così a creare una 'race condition'. il team di sviluppo della Borland risolse tale problema con un sistema di pre-autenticazione che si loggava al DB con un'accesso anonimo ( :Confused: ) per prelevare le login e pass dell'utente per poi permetterne l'autenticazione ACL.

E' evidente che questa soluzione 'tecnica' adottata dalla Borland non era delle migliori, ma nemmeno era intenzione di Borland inserire volontariamente del malware; il fatto è che il meccanismo di pre-autenticazione venne implementato in malo modo ed era possibile tramite lo strumento di recupero password eseguire comandi sul DB anche senza i necessari privilegi (da qui il nome di 'backdoor'), ma resta il fatto che:

- era solo possibile 'leggere' il contenuto del DB e non apportare modifiche/cambiamenti di nessun genere

- bisognava avere una login/pass di accesso di un utente (anche senza privilegi)

- bisognava disporre di un'apposito strumento di amministrazione della Borland da cui eseguire da remoto i comandi sul DB

per il resto, tale fantomatica 'backdoor' era totalmente inerme, non rispondeva a nessun accesso esterno, ne tanto meno inviava all'esterno informazioni vitali.

Tutto sto gran discorso per dire cosa? che questo caso esula dal discorso: "qualcuno ha messo volontariamente del codice malware all'interno di software close/open source", è solo un caso di pessima programmazione (bug) unito ad una pessima progettazione logica del software.

----------

## randomaze

 *DarkAngel76 wrote:*   

> Tutto sto gran discorso per dire cosa? che questo caso esula dal discorso: "qualcuno ha messo volontariamente del codice malware all'interno di software close/open source", è solo un caso di pessima programmazione (bug) unito ad una pessima progettazione logica del software.

 

 :Embarassed: 

Mea culpa, volevo solo portarlo come esempio della maggior forza di "chi conosce i sorgenti" nei confronti del malware.

----------

## !equilibrium

 *randomaze wrote:*   

> 
> 
> Mea culpa, volevo solo portarlo come esempio della maggior forza di "chi conosce i sorgenti" nei confronti del malware.

 

si tranquillo, non era un'attacco personale, era solo per puntualizzare sul fatto che allo stato attuale, non esistono casi 'eclatanti' di malware intenzionale in codice open-source (per i motivi già esaurientemente spiegati da k.gothmog e altri), piuttosto esistono moltissimi casi di 'repository' di pacchetti (rpm,deb,e altri) appositamente modificati per inserirci trojan e malware di ogni genere... ma sono casi limite e comunque riguardano sempre l'uso di pacchetti 'non ufficiali', per cui (IMHO) non dovrebbero nemmeno rientrare nella casistica del problema sollevato da croot.

Io sinceramente (e potrei sicuramente sbagliarmi) non ricordo casi reali di malware inserito intenzionalmente in codice opensource (per il codice closed non mi pronuncio perchè ne so anche meno), ma se qualcuno ne è al corrente mi piacerebbe esserne informato.

----------

## cloc3

 *croot wrote:*   

> 
> 
> @cloc3
> 
> il fatto della reputazione si sembra proprio una cosa da non prendere in considerazione, cioè secondo te uno che ti vuol mettere del codice maligno nel pc ti da il suo nome cognome e telefno ?
> ...

 

Certo . La tua obiezione è riferita ai criteri di sicurezza adottati specificamente da gentoo.

Questo mi era chiaro. Cionondimeno, mi pareva importante mettere in evidenza un punto fermo che a me pare irrinunciabile.

Ci sono molti filtri e molte tecnologie che concorrono a rendere sicuro il software libero, ad un livello indiscutibilmente più elevato di quello raggiungibile nel settore proprietario. Le risposte degli altri hanno dettagliamente analizzato la questione. Ma la garanzia più importante viene dalla distribuzione, che è il soggetto che si occupa specificamente dell'assemblaggio e della consegna del software all'utente. Nulla come la distribuzione può assicurare tanta attenzione allo specifico problema della sicurezza.

La distribuzione non è  meramente l'unione dei singoli che curano i pacchetti loro assegnati, ma un organismo complesso con una molteplicità di risorse che costituiscono una garanzia aggiuntiva per l'utente. Io penso che gentoo abbia molte freccie al proprio arco in questo campo, ma non è su questo che ho concentrato l'attenzione nella mia risposta.

Se nonostante tutto uno continuasse a non sentirsi sicuro delle procedure adottate da gentoo, non c'è nulla da fare per convincerlo, nè avrebbe senso farlo. Cambi distribuzione o acquisti software proprietario.

Il senso di ciò che volevo è il seguente. La sicurezza assoluta non esiste e non può prescindere dalla fallacia umana. Ma rimane il fatto che quando è possibile riferirsi a strutture così efficenti e funzionali come quelle che danno origine al software libero, dovrebbero prevalere gli elementi per avere fiducia, piuttosto che le ragioni del timore.

----------

## Luca89

Non so se già lo avete letto ma recentemente è avvenuto un fatto che probabilmente ha a che fare con la discussione di questo thread.

http://punto-informatico.it/p.asp?i=57578&r=PI

Se il codice di quel programma non fosse stato libero sarebbe stato molto più difficile trovare la falla.

----------

## Ic3M4n

proporrei anche di dare un'occhiata alle use flags proposte da gentoo:

 */usr/portage/profiles/use.local.desc wrote:*   

> x11-misc/xscreensaver:insecure-savers - Installs some screensaver modules as setuid root to enable cooler effects

 

ciò significa che alcuni programmi riferiti alla multimedialità sono spesso "insicuri" perchè devono girare con dei privilegi elevati. il fatto di aver tale cosa disabilitata per default secondo me aumenta in ogni caso la sicurezza del sistema.

----------

## !equilibrium

 *Luca89 wrote:*   

> Se il codice di quel programma non fosse stato libero sarebbe stato molto più difficile trovare la falla.

 

grazie Luca89, segnalazione molto interessante e per giunta molto recente.

A quanto dicono sul sito ufficiale di Etomite, la backdoor è stata inserita da terzi forzando il sito ufficiale del progetto, per cui gli sviluppatori del progetto sembrerebbero estranei alla faccenda (ma ho dei dubbi a riguardo, sembra una scusa montata ad arte per l'occasione); ma a prescindere da questo c'è da far notate che il tutto è successo tra l'11 e il 20 gennaio, cioè in poco + di una settimana è stato possibile individuare la backdoor e risolvere il problema, non credo che si riuscirebbe ad ottenere un risultato del genere con del software closed source.

----------

