Hi Guys,

Szeretném tudni a véleményét. Egy barátom azt állítja, hogy a nyílt forráskódú operációs rendszer, mint a Linux sokkal biztonságosabb, mint egy zárt, mint egy AIX, mert "ha van feltörve, ő tehet ellenintézkedéseket.

Úgy vélem, ennek az ellenkezője a helyzet -, hogy nagyobb biztonságban, ha nem mindenki tudja, a kernel és képes arra, hogy manipulálják azt.

Ön mit gondol? - És miért

Kind regards
zxmaus

pro és con's either way ...

nyílt forrás azt jelenti, bárki megtalálja és javítás a hibákat, de bárki megtalálhatja és használhatja ki a hibákat.

Úgy érzem, hogy a nyílt forráskódú gyakran sokkal biztonságosabb, egyszerűen azért, mert foltok általában gyorsabban jön ki, ha a hibát nem találnak. (de ez nem mindig így.)

végéig a napi biztonság több Önről és a szokások, akkor milyen operációs rendszer használata.

Nem nyitott portok akkor nem kell.
nem fut a szolgáltatás nem szükséges.
vezet a jelszavak erős.
do folt gyakran.

Mindkettő igen és nem. Egyrészt, mert egy csomó ember nézd meg a forrást, hogy nehezebb szándékosan bevezetni rosszindulatú kódot. Másrészt viszont sok projekt nem hivatalos vizsgálatok és biztonsági szoftver is támaszkodhat, hogy az ellenőrzéseket az egyes minták a kódot is bevezethetnek hibáiból.

A legjobb példa erre a OpenSSL hiba bevezetni Debian mert Valgrind jelentett uninitalized memória. Az állítólagos "fix" csökkentett teljes véletlenszerűséget a rendszer, mert a kódoló és az ellenőrök nem látta az összes vonatkozása.

Egyetértek a válaszokat.

Túl egyszerű, hogy elsöprő generalizálódó "nyílt forrás biztonságosabb" vagy "nyílt forrású kevésbé megbízható".

�gy bárki, aki úgy véli, akár nyilatkozat, igen vagy nem, egyszerre jó és rossz, mert az túl általános, és ezért értelmetlen

Még a "biztonság" kifejezés nincs valódi jelentése. Az informatikai biztonság megvitatása kell megvitatni kockázatot, és vitassák meg kockázatot kell gondolkodni a sebezhetőségi, veszély-és hatását.

Például, egy nyílt forráskódú rendszer bekapcsolva, és ott ült a szekrény nélkül csatlakozik az internethez lehet biztos, hogy a legdrágább zárt forráskódú rendszer az interneten

Más szóval, a biztonsági szakemberek minden pillanatban született, úgy látszik, és nagyon kevés érti, amit valójában a kb. Ha megértette a biztonság és a kockázatkezelés, ha nem tudott válaszolni egy ilyen egyszerű kérdés, mint "a nyílt forráskódú, többé-kevésbé biztonságos? mert ez a kérdés nem csak a háttér, és segít a végtelen, értelmetlen viták az ember, aki nem érti a természet az informatikai biztonság és a kockázatkezelés.

Egyetértek Neo. Szeretném megosztani az ügyet két különálló részből áll, elméleti és gyakorlati egyet.

Még elméletileg csak beszélnek az ügyet zárt forráskódú versus open-source is bonyolult. Egy lehetséges előnyt a nyílt forrású a szakértői értékelő folyamatot, amely megtörténhet. De hogy tőkésít e előnye ennek a folyamatnak van kerül sor, minden, ami egyáltalán nem garantált, hogy egy nyílt forrású egyáltalán.

Az egyik lehetséges előnye a zárt forráskódú szoftverek lenne a "biztonság obscurity" megközelítés. A tapasztalatok azt mutatják, hogy ez nem egy (tartós) minden biztonsági intézkedést, és a biztonság veszélybe van egy lehetséges forrása tudni, hogy a korrekciós szolgáltatásokat, míg a nyílt forrású szoftvereket lehet megváltoztatni mindenki elméletben is, amelyek még mindig hagy maga után Sok lehetőség szerzők helyesbítéseinek a gyakorlatban.

Közelítve meg a problémát egy gyakorlati szinten meg kell állapítani, hogy a "biztonság" is -, mint a "teljesítmény", hogy az ügyet - egy relatív fogalom, és nem lehet teljesen. Van némi értéke x akarjuk védeni és van néhány becsült erőkifejtésének y kellett küzdeni a biztonsági intézkedéseket. Ha x a (nagyon) nagyobb, mint y van egy biztonsági problémát, egyébként még nem.

Annak érdekében, hogy értékeljék a biztonsági állapot egyszerűen be magad a helyét a betolakodót fog fizetni, hogy esetleg le kell küzdeni a védelem? Törvény, ha a válasz "igen" vagy annak közelében van, egyébként nem zavarja.

Ez hasonló ahhoz, amit mondtam countlessly vezetők a találkozókon a "teljesítmény": van valami igény, amely lehet mérni (másodpercben ügyletekre, kilobájtban függetlenül), és egy olyan rendszer, amely a kereslet kielégítésére. Ebből jön le, hogy "ez a rendszer feleljen meg a kereslet - igen vagy nem? A teljesítmény még nem "fast", hanem "elég gyorsan".

Ugyanez igaz a biztonság, amit védeni és az erőfeszítések védelmét kell, hogy az arány és nem az a kérdés, "biztonságos", de "elég biztonságos".

bakunin

Azt is szeretnénk hozzáadni, hogy legalább nekem személyesen aknakeresés általánosságokban beszél, amit nem szeretek csinálni, úgy érzem kevésbé biztonságos a "zárt kódot", mint "nyílt kód".

Én egyszerűen bizalmat, amit én látok. Én is kereshet nyílt kód könnyebben (és keresni problémák), mint amit lehet keresni egy vagy titkosított bináris kód, mint a titkosított PHP (ami nem tudom keresés egyáltalán).

Legutóbb, azt megtagadta, hogy telepítse a titkosított PHP egy weboldalon, hogy a pontos oka. Nem bízom a kódot nem látom, és nincs ok arra, hogy telepítse a titkosított PHP kódot, ha megtalálom nyílt alternatívákat.

Mint említettem, én általában nem kíván válaszolni általánosításokban háttér nélkül, úgy vagyok, hogy egyszerűen csak a személyes véleményét, és ez az, hogy én (személyes vélemény), nagyobb biztonságban érzik magukat, ha nem vizsgálja meg a kódot, grep, a Keressen meg, adjunk hozzá debug nyilatkozatai, stb

Azt, hogy DIS-ért egyet ezzel a tiéd. Ha a biztonsági viszonyított érzékenysége az információ, akkor alapvetően azt mondja valaki, hogy azt akarja, hogy az érzékeny adatokat a rendszer a gazdaság nagyon érzékeny adatokat, és ez nem, mert a rendszer biztonsági változást.

Ha hirtelen upgrade a biztonsági rendszereket, és tudom, hogy a fenti módszer, akkor csak tette a felhasználók figyelmét, hogy most van valami érzékeny hogy nem akarja, hogy mások is kap. Másfelől azonban, ha mindig a biztonságos rendszert lehet, nem számít, mi van ott, akkor nem hirtelen "change szokásait", és nyilvánvaló, hogy próbálja elrejteni valamit, akkor minden más.