Hei Fyrene,

Jeg vil gjerne vite din mening. En venn av meg hevder, en åpen kildekode operativsystem som Linux er sikrere enn en lukket en liker AIX fordi "hvis han er hacket, kan han gjøre mottiltak.

Jeg tror det motsatte er tilfelle - det er sikrere dersom ikke alle kjenner jo til kjernen og er i stand til å manipulere det.

Hva tror du? - Og hvorfor

Vennlig hilsen
zxmaus

pro's og con's uansett ...

åpen kildekode betyr alle kan finne og oppdatering av bugs, men også hvem som helst kan finne og utnytte bugs.

Jeg føler ofte åpen kildekode er sikrere enkelt fordi programoppgraderinger vanligvis komme ut raskere hvis en feil blir funnet. (men dette er ikke alltid tilfelle.)

på slutten av dagen er mer om deg og dine vaner så det operativsystemet du bruker.

Ikke åpne porter, trenger du ikke.
ikke kjører tjenester du ikke trenger.
oppbevare passord sterk.
gjøre patching ofte.

Både ja og nei. På den ene siden fordi mange mennesker kan ta en titt på kilden det er vanskeligere å forsettlig introdusere skadelig kode. På den annen side en rekke prosjekter har ingen formalisert sikkerhet tester og er avhengige av programvare som søker etter bestemte mønstre i koden som kan introdusere feil.

Det beste eksemplet er den OpenSSL bug innført i Debian fordi Valgrind rapportert uninitalized minne. Den påståtte "fikse" redusert den totale tilfeldighetstester av systemet fordi coder og vurderinger ikke se alle implikasjoner.

Jeg er enig med svarene.

Det er for enkelt å lage en feiende generalisering "åpen kildekode er sikrere eller åpen kildekode er mindre sikre.

Så alle som tror enten setningen, ja eller nei, er både rett og galt, fordi de er for generelle og derfor meningsløst

Selv begrepet "sikkerhet" har ingen reell betydning. I diskuterer IT-sikkerhet må du diskutere risiko, og diskutere risiko du må tenke i form av sårbarhet, trussel og innflytelse.

For eksempel, en åpen kildekode-systemet aktivert, og sitter i garderoben uten en tilkobling til Internett, kan være mer sikker på at den dyreste closed source system på Internett

Med andre ord, det er sikkerhetseksperter født hvert minutt, den synes, og svært få forstår hva de faktisk tar ca. Hvis du forstått sikkerhet og risiko, kan du ikke svare på et så enkelt spørsmål som "er åpen kildekode mer eller mindre sikker?" fordi dette spørsmålet har ingen sammenheng og bare gir til endeløse, meningsløse diskusjoner med folk som ikke forstår innholdet i IT-sikkerhet og risikostyring.

Jeg er enig med Neo. Jeg ønsker å dele saken i to adskilte deler, en teoretisk og en praktisk ett.

Selv teoretisk kun talt saken i lukket kildekode versus åpen kildekode fortsatt komplisert. En mulig fordel av åpen kildekode er peer-review prosess som kan skje. Men for å utnytte denne fordelen denne prosessen har å foregå på alle som er på ingen måte garantert av noe som åpen kildekode i det hele tatt.

En mulig fordel av lukket kildekode programvare ville være "sikkerhet ved ubemerkethet" tilnærming. Erfaring tilsier at dette ikke er en (varig) sikkerhetstiltak i det hele tatt, og i tilfelle av kompromittert sikkerhet er det én mulig kilde kan gi korrigerende tjenester, mens åpen kildekode programvare kan endres av alle i teorien, som fortsatt går en Mye mulig forfatterne av rettelser i praksis.

Nærmer seg problemet på en praktisk nivå det må være fast at "sikkerhet" er - som "performance" for den saks skyld - et relativt begrep, og kan ikke brukes absolutt. Det er noen verdi av x du ønsker å beskytte og det er anslått innsats y nødvendig for å overvinne dine sikkerhetstiltak. Dersom, hvis x er (mye) større enn y du har et sikkerhetsproblem, ellers har du ikke.

Å vurdere sikkerhetsstatusen bare sette deg inn i stedet for inntrenger: vil det muligens lønne seg å overvinne din forsvar? Act, hvis svaret er "ja" eller nær det, ellers ikke bry.

Det ligner på det jeg har countlessly fortalte kontaktpersoner i møter angående "performance": du har noen behov, som kan måles (i sekunder, transaksjoner gjennomført, kilobyte, uansett), og det er et system som har til å møte etterspørselen. Den kommer ned til "gjør systemet oppfyller de angitte etterspørsel - ja / nei?" Resultatene ikke blir "rask" men "fort nok".

Det samme gjelder sikkerhet: hva du beskytte og innsatsen for å beskytte det må være i andelen og spørsmålet er ikke "trygt", men "trygt nok".

Bakunin

Jeg vil også legge til at minst for meg personlig og snakke i feiende generalities som jeg ikke liker å gjøre, jeg føler meg mindre sikker med "lukket koden" enn "åpne koden".

For meg, jeg enkelt kan stole på det jeg kan se. Jeg kan søke åpner koden enklere (og se etter problemer) enn jeg kan søke et binært eller krypterte koden som krypterte PHP (som jeg ikke kan søke på alle).

Nylig har jeg nektet å installere kryptert PHP på et nettsted for den eksakte årsaken. Jeg har ikke tillit koden jeg ikke kan se, og ser ingen grunn til å installere kryptert PHP når jeg finner åpne alternativer.

Som jeg nevnte tidligere, er jeg ikke vanligvis liker å svare på generalizations uten sammenheng, så jeg bare gi min personlige mening, og det er at jeg (min personlige mening) føler seg mer sikker når jeg kan undersøke koden grep den, søk etter det, legger debug uttalelser osv.

Jeg måtte DIS-godtar dette punktet ditt. Hvis du gjør sikkerheten i forhold til sensitiviteten av informasjon, er du i utgangspunktet si til noen som ønsker at sensitiv informasjon at dette systemet er å holde meget sensitiv informasjon, og dette er ikke grunn til systemsikkerheten endre.

Hvis du plutselig oppgraderer sikkerhetssystemer og jeg vet du bruke metodene ovenfor, vil du akkurat har gjort brukere oppmerksomme på at du nå har noe følsom at du ikke vil at andre skal få. Derimot men dersom du alltid er så sikre et system som mulig, uansett hva som er på det, trenger du ikke plutselig "endre vaner" og gjøre det klart du prøver å skjule noe, andre og alt.