Hej Killar,

Jag skulle vilja veta din åsikt. En vän till mig hävdar, ett open source OS gillar linux är säkrare än en stängd en vilja AIX eftersom "om han är hacka, han kan göra för motåtgärder.

Jag tror att det är tvärtom - det är säkrare om inte alla känner till kärnan och kan manipulera det.

Vad tycker du? - Och varför

Med vänlig hälsning
zxmaus

pro's och con: s åt båda hållen ...

öppen källkod innebär att vem som helst kan hitta och korrigeringsfilen de buggar, utan även vem som helst kan hitta och utnyttja buggar.

Jag tror att ofta öppen källkod är säkrare enkelt eftersom patchar brukar komma ut snabbare om ett fel har hittats. (men detta är inte alltid fallet.)

i slutet av dagen säkerhet handlar mer om dig och dina vanor då det operativsystem du använder.

inte öppna portar som du inte behöver.
inte köra tjänster du inte behöver.
hålla lösenord stark.
göra korrigeringsprocessen ofta.

Både ja och nej. Å ena sidan eftersom många människor kan ta en titt på den källa det är svårare att avsiktligt införa skadlig kod. Å andra sidan en hel del projekt som inte har något formellt säkerhet tester och förlita sig på mjukvara som kontroller för vissa mönster i koden som skulle kunna införa brister.

Det bästa exemplet är OpenSSL buggen som infördes i Debian eftersom Valgrind rapporterade uninitalized minne. Den påstådda "fixa" minskade den totala slumpmässigheten i systemet eftersom de koder och recensioner inte se alla konsekvenser.

Jag håller med svar.

Det är alltför enkelt att göra en svepande generalisering "öppen källkod är säkrare" eller "öppen källkod är mindre säkra".

Så den som tror något uttalande, ja eller nej, är både rätt och fel, eftersom det uttalande är alltför generell och därför betydelselöst

Även begreppet "säkerhet" inte har någon verklig innebörd. När man diskuterar IT-säkerhet måste du diskutera risker och att diskutera risken måste du tänka i termer av sårbarhet, hot och konsekvenser.

Till exempel, ett open source-systemet aktiverat och sitter i din garderob utan en anslutning till Internet kan vara säkrare att dyraste sluten källkod system på Internet

Med andra ord finns det experter som fötts varje minut, verkar det som, och väldigt få förstår vad de faktiskt är med om. Om du förstått säkerhet och riskhantering, som du inte kunde besvara en sådan enkel fråga som är öppen källkod mer eller mindre säker? " eftersom denna fråga inte har något sammanhang och bara lånar ut till de ändlösa, meningslösa diskussioner med människor som inte förstår vilken typ av IT-säkerhet och riskhantering.

Jag håller med Neo. Jag vill dela upp frågan i två separata delar, en teoretisk och en praktisk ett.

Även teoretiskt endast talas det gäller sluten källkod kontra öppen källkod är fortfarande komplicerat. En möjlig fördel med öppen källkod är peer review process som kan äga rum. Men för att utnyttja denna fördel denna process har att äga rum på alla, som inte på något sätt är garanterade av något som öppen källkod alls.

En möjlig fördel med sluten källkod skulle vara "säkerhet genom otydlighet" tillvägagångssätt. Erfarenheten visar att detta inte är en (varaktig) säkerhetsåtgärd på alla och när det gäller äventyras säkerheten det finns en enda möjlig källa kunna ge korrigerande tjänster, öppen källkod skulle kunna ändras av alla i teorin, som fortfarande lämnar en mycket möjligt författare av korrigeringar i praktiken.

Närmar sig problemet på ett praktiskt plan måste det anges att "trygghet" är - som "resultat" för den delen - ett relativt begrepp och kan inte användas absolut. Det finns vissa värde x du vill skydda, och det finns några uppskattade insatser av y behövs för att övervinna dina säkerhetsåtgärder. Om x är (mycket) större än y du har ett säkerhetsproblem, annars du inte har.

Att bedöma din säkerhetsstatus enkelt sätta dig in i stället för inkräktare: kommer det eventuellt löna sig att övervinna ditt försvar? Lagen, om svaret är "ja" eller i närheten av det, annars inte bryr sig.

Det påminner om vad jag har countlessly berättade befattningshavare i möten om "resultat": du har ett visst intresse, som kan mätas (i sekunder, transaktioner som genomförts, kilobyte, oberoende) och det finns ett system med att möta efterfrågan. Det handlar om att "gör att systemet uppfyller specificerade krav - ja / nej?" Prestanda är inte "fast" men "tillräckligt snabbt".

Detsamma gäller för trygghet: vad du skydda och ansträngningar för att skydda det måste stå i proportion och frågan är inte "säker" men "tillräckligt säkert för".

Bakunin

Jag vill också tillägga att, åtminstone för mig personligen och tala i svepande allmänna ordalag som jag inte vilja göra, jag känner mig mindre säker med slutna code "än" öppen kod.

För mig kan jag enkelt lita på vad jag kan se. Jag kan söka öppen kod enklare (och leta efter problem) än vad jag kan söka en binär eller krypterad kod gillar krypterad PHP (som jag inte kan söka på alla).

Nyligen vägrade jag att installera krypterade PHP på en webbsida för att exakta orsaken. Jag litar inte på nummer jag kan inte se och ser ingen anledning att installera krypterade PHP-kod när jag kan hitta öppna alternativ.

Som jag nämnde innan, jag normalt inte vilja svara på generaliseringar utan sammanhang, så jag är helt enkelt att ge min personliga åsikt, och det är att jag (min personliga åsikt) känner sig mer säkra när jag kan granska koden, grep den, sök efter det, lägg debug uttalanden etc.

Jag skulle behöva dis-håller med denna punkt i ditt. Om du gör säkerhet i förhållande till hur känslig information, är du i princip säger till någon som vill känslig information att detta system håller mycket känslig information, och det är inte på grund av ditt system säkerhet förändring.

Om du plötsligt uppgradera din trygghet och jag vet att du använder den metod som ovan, så har du just gjort användare känner att du nu har något känsligt att du inte vill att andra ska få. Å andra sidan men om du alltid har så säkert system som möjligt, oavsett vad som finns på det, du inte plötsligt "ändra vanor" och gör det uppenbart att du försöker dölja något, annat än allt.