Salut les gars,

Je voudrais connaître votre opinion. Un de mes amis, les revendications, un système d'exploitation open source comme linux est plus sûr que clos comme AIX parce que "si il est piraté, il peut faire des contre-mesures».

Je crois que c'est le contraire qui est le cas - il est plus sûr pour ne pas dire tout le monde sait que le noyau et est en mesure de le manipuler.

Que pensez-vous? - Et pourquoi

Sincères salutations
zxmaus

le pour et le contre ou l'autre sens ...

open source: toute personne peut trouver les bogues et des correctifs, mais aussi tout le monde peut trouver et d'exploiter des bugs.

Je pense que, souvent, open source est plus sûr parce que des correctifs simples généralement sortir plus vite si une erreur est trouvée. (mais ce n'est pas toujours le cas.)

à la fin de la journée, la sécurité est plus sur vous et vos habitudes de quoi OS que vous utilisez.

ne pas ouvrir les ports, vous n'avez pas besoin.
ne courent pas les services que vous n'avez pas besoin.
conserver les mots de passe forts.
faire patching souvent.

Oui et non. D'une part car beaucoup de gens peuvent jeter un coup d'oeil à la source, il est difficile d'introduire un code malveillant intentionnellement. D'autre part, beaucoup de projets n'ont pas officialisé les tests de sécurité et de s'appuyer sur un logiciel qui vérifie l'existence de certains modèles dans le code qui pourrait introduire des défauts.

Le meilleur exemple en est la Bug introduit dans OpenSSL de Debian parce que Valgrind uninitalized signalé mémoire. La prétendue "fix" réduit le caractère aléatoire de ce système parce que le codeur et les commentateurs n'ont pas vu toutes les implications.

Je suis d'accord avec les réponses.

Il est trop simple de faire un balayage généralisation "open source est plus sûr» ou «open source est moins sûre".

Ainsi, toute personne qui croit, soit déclaration, oui ou non, est à la fois le bien et le mal, parce que l'énoncé est trop général et donc de sens

Même le terme de "sécurité" n'a pas de sens réel. Lors de l'examen de la sécurité des TI, vous devez discuter des risques, et à discuter des risques, vous devez penser en termes de vulnérabilité, de menace et de l'impact.

Par exemple, un système open source de tension et assis dans votre placard sans connexion à Internet est plus sûr mai que les plus coûteux système avec des sources fermées sur l'Internet

En d'autres termes, il existe des experts en sécurité naissent chaque minute, paraît-il, et très peu de comprendre ce qu'ils sont effectivement sur la prise. Si vous avez compris la sécurité et la gestion des risques, on ne pouvait pas répondre à cette question simple comme "open source est plus ou moins de sécurité?" parce que cette question n'a pas de contexte et tout prête à d'interminables, des débats de sens par des gens qui ne comprennent pas la nature de la sécurité des TI et de gestion des risques.

Je suis d'accord avec Neo. Je voudrais la question de scinder en deux parties distinctes, une théorique et pratique.

Même en théorie seulement parlé de la question de la source fermé versus open-source reste compliquée. Un avantage possible de l'open-source est le processus d'examen par les pairs qui peuvent avoir lieu. Mais pour profiter de cet avantage de ce processus a avoir lieu à tous, ce qui n'est en aucun cas être garantie par un code source ouvert à tous.

Un avantage possible de closed-source du logiciel serait la «sécurité par l'obscurité" approche. L'expérience suggère que ce n'est pas un (de) mesure de sécurité à tous et dans le cas de compromettre la sécurité, il existe une seule source possible en mesure de fournir des services de correction, alors que les logiciels open-source peut être modifié par tout le monde, en théorie, ce qui laisse encore beaucoup de possible auteurs de corrections dans la pratique.

L'approche du problème sur un plan pratique, il doit être constaté que la «sécurité» est - comme la «performance» pour cette question - une notion relative et ne peut pas être utilisé absolument. Il ya une certaine valeur de x que vous souhaitez protéger, et l'on estime les efforts de y nécessaires pour surmonter vos mesures de sécurité. Si x est (beaucoup) plus grand que y vous avez un problème de sécurité, sinon vous ne l'avez pas.

Pour évaluer votre état de sécurité tout simplement vous mettre dans le lieu de l'intrus: il sera peut-être payer pour surmonter vos défenses? Loi, si la réponse est «oui» ou près de là, sinon, ne prennent pas la peine.

Il est semblable à ce que j'ai dit countlessly dirigeants à des réunions concernant la "performance": vous avez une demande, qui peut être mesuré (en secondes, les transactions terminées, kilo, quelle que soit) et il existe un système d'avoir à répondre à la demande. Cela revient à "ne le système répond à la demande précisée - oui / non?" Le rendement est de ne pas être "rapide", mais "assez vite".

Il en est de même pour la sécurité: ce que vous protéger et protéger les efforts déployés pour elle d'être dans la proportion et la question n'est pas "sûr", mais "assez sûr".

Bakounine

Je voudrais également ajouter que, au moins pour moi personnellement et de parler dans le balayage des généralités qui ne me plaît pas de le faire, je me sens moins sûr avec "code fermé" que de "code ouvert".

Pour moi, je peux facilement confiance à ce que je peux voir. Je peux ouvrir le code de recherche plus facile (et de chercher des problèmes) que je ne recherche binaire ou de code crypté cryptée comme PHP (que je ne pouvez pas rechercher à tous).

Récemment, j'ai refusé d'installer PHP cryptés sur un site Web pour cette raison exacte. Je ne fais pas confiance code je ne peux pas voir et ne voient aucune raison d'installer cryptée du code PHP où je peux trouver des solutions ouvertes.

Comme je l'ai dit avant, je ne suis pas normalement, comme pour répondre à des généralisations, sans contexte, je suis tout simplement fournir mon opinion personnelle, c'est que je (mon avis) se sentent plus en sécurité quand je peux examiner le code, il grep, rechercher, ajouter les déclarations de débogage, etc

Je voudrais avoir de discrimination d'accord avec ce point de la vôtre. Si vous faites la sécurité relative à la sensibilité de l'information, vous êtes essentiellement dire à quelqu'un qui veut des informations sensibles que ce système est la tenue des informations très sensibles, et ce n'est pas, en raison de changer votre système de sécurité.

Si vous avez tout à coup mise à niveau de votre système de sécurité et je sais que vous utilisez la méthode ci-dessus, alors que vous venez de faire les utilisateurs savent que vous avez quelque chose de sensible que vous ne voulez pas que d'autres à obtenir. D'autre part, si vous avez toujours comme un système sécurisé que possible, peu importe ce qui est sur place, vous n'avez pas tout à coup "changer les habitudes» et faire en sorte qu'il est évident que vous essayez de cacher quelque chose, alors tout autre.