Inviato: mar 8 mag 2007, 23:26
Piccolo OT: tempo fa vidi su youtube o simile una prestigiatrice forse tedesca, la quale faceva una magia (tipo far sparire un fazzoletto o qualcosa per cui uno pensa: "Sarà nella manica...") ripentendola ogni volta che si toglieva qualche indumento. Alla fine è rimasta completamente nuda (ma proprio completamente!) e continuava a fare la magia!!! Peccato che non salvai il link...albatros ha scritto: Anch'io non credo che tutti quelli che aderiscono al software libero siano necessariamente buoni, però è il sistema che è poco adatto per ingannare gli utenti, è come mettersi nelle condizioni di un baro che gioca a poker nudo con una telecamera che lo riprende alle spalle...
Indubbiamente ci sono più garanzie sul software open. Non l'ho mai messo in dubbio.L'md5 ti garantisce solo l'autenticità di un sorgente, non ti garantisce che il sorgente non contenga codice malevolo, però il sorgente lo puoi esaminare ed è a quel punto molto facile capire se ci siano secondi fini e di chi sia la responsabilità.
Forse tu proponi il caso di uno che scriva software a sorgenti aperti con codice malevolo magari non proprio evidente e che questo realizzi delle truffe, delle intrusioni o delle sottrazioni di dati prima che qualcuno si accorga della pericolosità del programma: può essere che qualcuno all'inizio ci caschi, ma sarebbero casi circoscritti, i programmi che vengono inseriti nelle distribuzioni serie vengono controllati, quindi potrebbe esserne colpito solo un numero limitato di persone. Una volta scoperto, poi, l'autore avrebbe pochi strumenti per difendersi, i sorgenti sarebbero la prova della sua colpevolezza.
La vita grama di chi scrive programmi maliziosi open source è confermata dalla scarsità di esempi da esibire, personalmente non ne conosco nessuno, magari ci saranno, ma il fatto che non ne abbia mai sentito parlare mi induce a pensare o che io sia un grande ignorante o che l'impatto di programmi a sorgente aperto malevoli sia sempre stato limitato.
Può darsi che, con la maggiore diffusione di linux, vi sia anche un numero maggiore di utenti disposti a installare da root il primo programma che trovano su un sito sconosciuto, ma è un problema loro, non del sistema in sé, è come se, col fatto che oggi le macchine sono più sicure che in passato, si ritenesse non necessaria la patente.
Il caso di un server compromesso l'abbiamo già visto e non lo riprenderò, firme e md5 sono una forma di tutela ragionevole ed efficace.
Si tratta ovviamente di una discutibile opinione, tuttavia personalmente ritengo potenzialmente peggiore la situazione del software chiuso, in particolare quando neanche il sistema operativo, che dovrebbe essere l'elemento più affidabile, sai come si comporti realmente.
Non discuto sulla necessità o meno di usare software chiuso, sulle questioni di gusto per l'interfaccia utente, sulle prestazioni, sui costi, sulle funzionalità offerte, eccetera, dipende da caso a caso, però, rifacendomi al tema del post, ovvero se ci possiamo fidare dei programmi che installiamo, mi pare che generalmente ci si possa fidare molto di più del software aperto che di quello chiuso.
Come hai detto bene tu il problema è nei comportamenti non corretti, e volevo sapere quali dei miei fossero sbagliati o quali controlli, magari banali non effettuassi, e penso che come me molti altri siano in condizioni simili o peggiore delle mie.
Ammetto candidamente che, anche intuendo la funzionalità dell'md5, link che ho spesso visto sotto il link del programma da scaricare, finora ho fatto il controllo forse una volta. Come ammetto anche che tra un precomilato ed un sorgente ho sempre preso il precompilato; installo i programmi sempre da root (anche perché non saprei fare altrimenti, a meno di compilazioni)...
Una delle poche cose che mi ha positivamente sorpreso di Kubuntu (e anche di Frugalware) è che è impossibile loggarsi come utente root. Dato il target a cui si rivolge la distro, penso sia stata una scelta lungimirante e opportuna, che testimonia anche il fatto di cercare di evitare errori commessi in passato da win. Magari poi sbaglio a pensarla così, perché ci sono elementi che non conosco, non so.
Inoltre penso che ci siamo avvicinati anche ad una "massa critica" di utenti gnu/linux (si vede da Dell, dalle iniziative nella pubblica amministrazione, non solo italiana, dalla diffusione di Ubuntu) per la quale il nostro sistema potrebbe avere per la prima volta un interesse particolare per chi scrive software malevolo, fino ad adesso impegnati in ambiente win.
Sapere i comportamenti corretti per usare il proprio pc, penso sia lecito.
Quindi dire che alcuni politici di uno stato, ad esempio il nostro, sono sicuramente corrotti (esclusi quelli già scoperti) secondo te, senza avere le prove è una illazione gratuita? Sarebbe un'illazione se dicessi "tizio" e "caio" sono corrotti, senza che ne abbia le prove, ma mi pare sostanzialmente diverso.albatros ha scritto: non importa cosa e' utopistico o meno, quel che importa e' che prima di are illazioni gratuite sull'onesta' altrui tu abbia in mano almeno solide prove; altrimenti e' meglio tacere
Ritengo normale che in un gruppo di persone abbastanza grande ci sia una percentuale (tra l'altro questa deve essere per forza di cose limitata sotto un certo valore) di "furbi".
Se fosse come dici tu non sarebbe corretto dubitare dell'onestà di chi scrive software chiuso, fintanto che non se ne abbiano le prove.
(Per la cronaca la tua obiezione era spesso usata dai tifosi juventini, ma anche in molte altre faccende molto più serie, quando qualcuno sosteneva, nei discorsi da bar, che c'era qualcosa di non chiaro...)
Nel tuo secondo intevento:e' campata in aria e te l'ho dimostrato piu' volte portando esempi circostanziati
che utilizzando repository non ufficialieffettivamente, anche avendo modo di verificare le firme gpg sugli hash md5, non hai grosse garanzie (a meno di non conoscere chi gestisce il repository e fidarti di lui, come nel caso della comunita' di slacky.it); mentre utilizzando distro che offrono un vasto parco software tramite repository ufficiali (debian ad esempio) hai maggiori garanzie controllando le firme gpg sugli hash md5 (chi conosce la burocrazia interna a debian sa di che parlo; chi volesse diventare sviluppatore debian solo per infilare nella distro un pacchetto con backdoor ha vita difficile, la trafila e' luuunga, devi avere un altro debian developer che "garantisca per te", ecc..). Certo poi esiste sempre la possibilita' che qualcuno entri in possesso della chiave privata d'uno sviluppatore ma fintanto che distribuisci via rete nessuno puo' darti garanzie al 100% sui precompilati che installi