Изпечатай

[backinblack]

Пример: модвам малко програмата Х, компилирам я и я пускам в дистрибуцията си. Същевременно - сорс кода, който разпротранявам не е модифициран. Така няма как да разбереш какво правя
3. Кой реално тества нещата за такива "буби"? Само не казвайте "общността", защото голяма част от тази "общност" са хора, които просто искат да получават нещата безплатно.

Първо, хич не е лесно да "пратиш" пакет към дистрибуция.
Второ, като пращаш пакет, пращаш само сорс, е не компилиран код.
Кода се компилира/билдва автоматично от автомати.
И Убунту е Линукс, но Линукс не е Убунту

Ситуацията беше, ако дистрибуцията е моята дистрибуция Както Убунту е дистрибуцията на Каноникал.
Защото в случая обвиняват точно Каноникал/Убунту, че правят шмекерии.... та за това всичко написано го считай за насочено само и единствено към Каниникал/Убунту.

Митаче, губят ти се или направо разбъркваш последователностите и следствените връзки свързани с тях !

Има твърде много дистрибуции, но никому неизвестните се тестват или ползват от ламери, дето и да искаш, няма какво да изкараш от тях .
За сериозна работа се ползват няколкото признати или, ако е нещо ново, то трябва да има добри идеи вложено в него и добра($) подкрепа.
Та, в този ред на мисли, аз си мисля, че ако има нещо такова в Убунту, ама много бързо ще се появят съвети из нета, как да затворим разни дупки и усилията им ще са напразни. Ако пък е малко по-сложно положението, със сигурност ще се пръкне някакъв форк/дистро, което да е изчистено от тем подобни буби.
Давам ти един прост пример: RHL дават ъпдейт само с кинти, но всички ново го споделят, но умишлено само на сорс, но пък това създава нужда от други дистрибуции които предлагат същото което предлага РХ, но пък с малко закъснение - голям праз!

[dejuren]

Причината според мен е, че всяка ГПЛ програма ползва пакети от други програми и все ми се струва, че за да се осъществи това, то трябва и разработчиците на другите пакети да се съгласят с това, но пък и техните пакети са обвързани с други и става невъзможно мешана скара и се чудя, каква е причината да е наострен толкоз срещу Убунту!?

Ами как ще е невъзможно?
Имам сорса => добавям си бубата вътре.... къде ми е проблема?
Трябва да публикувам сорса на моята програма? ОК, какъв ми е проблема просто да публикувам нещо, което е малко по-различно от компилираното?

Междуушния нервен възел, Митак, на горния етаж ти е проблема!

А бе прав е човека. Когато бъркаш работите на структури като Микрософт, ЦРУ и др., няма как да не те следят.

Мда, така е, тези хухавелници са способни и на повече. Само се съмнявам, че Столман е леко наивен и не следенето на компютъра му е най-страшното, което трябва да го притеснява.

[Mitaka]

Ако не съм правил вече такива работи нямаше да казвам, че може.
Преди години си бях бекдорнал една версийка на wu-ftpd.
Как работеше бекдора:

Свързвам се към сървъра. Изчаквам да ме timeout-не. В следващият момент ми се пуска root shell на даден порт на машината-жертва.

Бях го правил експериментално. Не съм се възползвал от него... ама си се ползваше от поне 20-тина души. Какво ли щеше да се случи, ако бях решил да го ползвам?

Та, не всичко е толкова розово, колкото изглежда
Колко от вас са гледали кода на нещо от Убунту? А колко от вас са компилирали нещо на Убунту, вместо да го инсталират от пакет?
И къде ти е гаранцията, че това, което казва Столман не е вярно?
В случая получваш нещо готово, компилирано. В бинарен формат. Кой е анализирал как работи нещото? Кой е компилирал нещото от сорс, и после ги е сравнявал как работят с готовото, което си е дошло с Убунту?
И кой преглежда сорс кода, преди да го компилира?

[backinblack]

И къде ти е гаранцията, че това, което казва Столман не е вярно?

Пропускаш и друг факт, че само ламерите и пишман майсторите се хвърлят на всичко ново още като излезе .
Тези които разчитат на сериозни неща, ползват старото и работещо безпроблеми, докато новото се "ошлайфа" добре от цъкачите.
Аз без да съм претенции за нещо кой знае какво, а и други които познавам, предпочитаме да работим с ХП все още когато ни требе Уиндоус и ползваме 7 по принуда, пък за 8 да не говорим .
ХП бил стар! Стар, но с времето закърпен и работещ безотказно за разлика от новото тепнологичното и още бъгаво .

[bop_bop_mara]

Голяма дискусия сте заформили... Ето 5 стотинки и от мен....

Предпочитам да ползвам свободен и отворен софтуер, защото му имам много повече доверие спрямо затворения. Или, иначе казано, имам доверие на отворени програми, защото знам не че нямат дупки в сигурността, а че дупките са там, в кода, пред очите на всички нас. Малко по малко разбиращите хора забелязват (случайно или след целенасочено търсене) такива дупки, докладват ги и те биват оправени (и поправките успяват да достигнат до потребителя своевременно).

За сравнение - при затворения софтуер също знам, че има дупки, неумишлените от които един ден разработчиците евентуално могат да забележат и поправят. За умишлените мога само да гадая и, понеже съм недоверчива природа, направо да считам, че почти със сигурност ги има.

Забележете, че и в двата случая казах, че не изключвам възможността да има неумишлени и умишлени дупки в сигурността. Новини за открити такива не би трябвало да са изненада, нито за затворен, нито за отворен софтуер. Просто в единия случай проблемът може да съществува докато не се оповести официално или не изтече поверителна информация, а в другия нещата се популяризират мигновено, поради масовата си достъпност. Като и в двата случая има силно намесен човешки фактор и дупките могат да си съществуват с години без никой да ги забележи (имало е доста такива примери в кода на Линукс).

Не разглеждам случая с публикуване на код, несъответстващ на бинарния пакет. Предполагам е възможно и приложимо при съответните обстоятелства. Лично на мен ми се струва по-реално, все пак, да се публикува истинския код, вкл. зловредните части, като се разчита на това, че малцина ще го разгледат под лупа (поне в първите месеци). Другото ми се струва като прекалено голям юридически риск, особено имайки пред вид, че спокойно човек може да защити тайните действия на кода си зад "no warranty, use at your own risk" уговорката в повечето отворени/свободни лицензи.

Та за конкретната ситуация... Появява се един човек, който твърди, че има умишлена дупка в сигурността на отворен код. ОК, както казах, няма логическа причина това да ни изненада. Лошото е, че няма обяснение дали тези твърдения са на базата на реално инспектиран код или са наистина догадки. Тук се очаква историята да се паузира - или се дават реалните доказателства от някакъв одит (в конкретната ситуация публичността на кода улеснява супер много процедурата), или това са поредните хейтъри, които се чудят какво да си изсмучат от пръстите. Това е - съвършено просто и напълно ненуждаещо се от философски трактати положение.

А, да, обаче всъщност този „един човек“ се оказва не кой да е, ами известният хакер и параноик RMS. Бъдейки признат хакер и лидер на свободна общност, вероятно се очаква да имаме доста по-голямо доверие именно в неговите думи спрямо, да речем, думите на Jon Dowe, обикновен ентусиаст на отворения код. Бъдейки признат параноик, обаче, по презумпция ние подлагаме на съмнение именно думите на RMS, докато, ако Jon Dowe ни беше казал същото, вероятно щяхме да му повярваме от раз. Като и в двата случая, ако отсъдим кое е истина само базирано на нечии приказки и без каквито и да е доказателства, ние сме просто кръгли идиоти и не знам дали изобщо си струва да обсъждаме теми като отворен код и свободен софтуер, при все, че явно имаме доста работа над собствената си идентичност и ценностна система.

За финал ще добавя, че българската статия изобщо не ми хареса как е написана. „Даже и на Linux Install Fests (провеждащи се и в България) той настоява да не се инсталира Ubuntu, а вместо това да се разпространява новината, че системата шпионира потребителите“ - останах с впечатлението, че Столман е дошъл на някакви инстал фестове у нас  или се е свързал с екипите им и е заповядал бла бла. „Столман се старае също по-широк кръг от хора да разберат, че Ubuntu включва и не-безплатни програми, както и че предлага такива“ - тук вече силно започвам да се съмнявам дали авторът (т.е. преводачът) си има идея кои са хората, за които пише, и понятията, които използва. Добре, че поне са се сетили да сложат линк към оригиналното изявление, защото, така поднесена, новината може да предизвиква само съмнение относно достоверността си.

[dejuren]

Колко от вас са гледали кода на нещо от Убунту? А колко от вас са компилирали нещо на Убунту, вместо да го инсталират от пакет?
И къде ти е гаранцията, че това, което казва Столман не е вярно?
В случая получваш нещо готово, компилирано. В бинарен формат. Кой е анализирал как работи нещото? Кой е компилирал нещото от сорс, и после ги е сравнявал как работят с готовото, което си е дошло с Убунту?
И кой преглежда сорс кода, преди да го компилира?

Хубост моя златна, слънце в зимна нощ, я си замести в писанията убунту първо с Мак, че после с шиндошс, и си отговори на въпросите, които сам си задал. И ако евентуално си направиш извод, в което силно се съмнявам би ли посъветвал след това нас невежите какъв софтуер да ползваме?

[gat3way]

Това за хилядите всевиждащи очи на community-то малко или много не е вярно. Преди няколко години, докато все още ми беше интересно да се ровя в чужд код за да гледам кусури, открих доста сериозна дупка в DD-WRT, която на практика ти дава remote root достъп до рутера, без да си автентициран въобще. Проблемът беше толкова очеизваждащ, че ми трябваше известно време да повярвам че това въобще е възможно. Това с голямото community (тогава, а и дори сега DD-WRT беше модерно нещо). Когато съобщих за това, стана следното: пуснаха patch, който не решава проблема и главния разработчик на проекта ми скочи на главата. Не че си нямаше основания - не беше особено отговорен disclosure, заради начина по който същият този се отнасяше към предишни такива проблеми и хората, които ги репортват, затова реших да го сервирам по най-тържественият начин и човекът просто полудя Карал съм се с него в продължение на няколко седмици.

Мисълта ми е че когато има ужасно очевиден проблем и относително голямо community, далеч не е задължително всички проблеми да се изглаждат ей така. Понякога широко отворени дупки зеят и никой не вижда или някой вижда, ама се прави на разсеян

[edmon]

Щом Ричард е казал така , значи е така. 
)))
Четейки Ричард имаме два изхода, да обърнем внимание и да изпаднем в глупави спорове или да не обръщаме внимание, а просто да се усмихнем и да приемем, че все пак е прав за половината неща, които твърди.

[dejuren]

Това за хилядите всевиждащи очи на community-то малко или много не е вярно. Преди няколко години, докато все още ми беше интересно да се ровя в чужд код за да гледам кусури, открих доста сериозна дупка в DD-WRT, която на практика ти дава remote root достъп до рутера, без да си автентициран въобще. Проблемът беше толкова очеизваждащ, че ми трябваше известно време да повярвам че това въобще е възможно. Това с голямото community (тогава, а и дори сега DD-WRT беше модерно нещо). Когато съобщих за това, стана следното: пуснаха patch, който не решава проблема и главния разработчик на проекта ми скочи на главата. Не че си нямаше основания - не беше особено отговорен disclosure, заради начина по който същият този се отнасяше към предишни такива проблеми и хората, които ги репортват, затова реших да го сервирам по най-тържественият начин и човекът просто полудя Карал съм се с него в продължение на няколко седмици.

Мисълта ми е че когато има ужасно очевиден проблем и относително голямо community, далеч не е задължително всички проблеми да се изглаждат ей така. Понякога широко отворени дупки зеят и никой не вижда или някой вижда, ама се прави на разсеян

Гейт, ти с това изказване не усети ли че приведе доказателство точно на обратното в което се опитваш да ни убедиш? Ти си влязал в ролята на всевиждащото око на DD-WRT комюнити-то и от това правиш точно противоположния извод?!
А по втора точка ако проблема е другаде той също не се изглажда "ей така"... Който го интересува да сравни средното време за затваряне на уязвимост в отворени и затворени приложения - разликата е в пъти! И не Митак, не в полза на любимия ти "код не-GPL".

[Mitaka]

Колко от вас са гледали кода на нещо от Убунту? А колко от вас са компилирали нещо на Убунту, вместо да го инсталират от пакет?
И къде ти е гаранцията, че това, което казва Столман не е вярно?
В случая получваш нещо готово, компилирано. В бинарен формат. Кой е анализирал как работи нещото? Кой е компилирал нещото от сорс, и после ги е сравнявал как работят с готовото, което си е дошло с Убунту?
И кой преглежда сорс кода, преди да го компилира?

Хубост моя златна, слънце в зимна нощ, я си замести в писанията убунту първо с Мак, че после с шиндошс, и си отговори на въпросите, които сам си задал. И ако евентуално си направиш извод, в което силно се съмнявам би ли посъветвал след това нас невежите какъв софтуер да ползваме?

Ок де, кажи ми:
Коя част от Убунту си инсталирал от предварително основно прегледан от теб сорс код, който лично ти си компилирал, и инсталирал на компютъра си?

[gat3way]

Предвид изказването на шефчето как съм бил виновен че сега видиш ли ще хакнат хиляди рутери, за което аз съм виновен - не знам. Вероятно ако го бях продал (което си е опция, тогава не плащаха толкова добре, сега плащат доста по-добре за такива неща), щеше да е по-спокоен.

[Mitaka]

Те всички шефчета са така
Преди доста време някакъв от Астериск разработчиците ми каза как съм бил тъп, и как хардуера ми бил виновен, та за това не ми работи ФХО платката. Която спря да работи след един ъпдейт.
И вместо да се хванат да си оправят проблема, те скочиха как съм ги бил занимавал с глупости.

[go_fire]

Ей единствено професионализма в Мара се обади. Тази статия е кошмарна. Журналистите би трябвало да знаят, че думите имат значение и не може да си жонглират така с тях. Точно те като хора на словото трябва да го знаят. А Мара дори не е привела най-отчаяните неща в текста. Той е целият отчайващ. Какво си мислят, че имат предвид пишейки за отворен софтуер? На кой малоумен му хрумна да нарича Столман Линукс последовател, което дори като словесна конструкция е грешно?

Ей това е един от най-големите проблеми на татковината. Плащат заплати на пълни некадърници да серат навред. Ако аз взимах заплата за нещо, в което съм некомпетентен и нямам желание да се науча, не бих искал да се погледна в огледалото. А у нас такива има милиони и хич не им пука. После защо сме на тоя хал? На какъв хал точно трябва да сме, като сме такива негодници?

Относно въпроса на Митака. Ми аз съм такъв човек. Няма друг начин да имаш Ракудо на коя да е дистрибуция, освен да си го транслираш сам. И съответно това го направих и на У. Преглеждал съм малко код, от малко програми. Но е било с цел да видя, как работят, а не да им търся буби. Но такива има.

Обаче всички тук тръгнахте в една грешна посока. Като се каже троянски кон, се има предвид нещо скрито. Нещо като троянеца в Шиндош Хвани Пътя, които така и не е признат официално. Интересно, че ЦРУ все пак казаха с половин уста, но не и М$. Не е така в случая.

За този боклук се знае от поне три месеца. Излезе в една от бетите на 12,10. И тогава каноничните го обявиха с гордост. Следваше седмици в касапница. Само Марк беше заринат със стотици гневни коментари. Написа няколко публикации, за да се опита да овладее положението. Не помогна и опита да заклеймят недоволните за тролове. Не помогнаха пространните обяснения. Не помогнаха приказките с патос, какви чудеса ни очакват. Не помогна опита за омаловажаване. Не помогна и дискредитирането на недоволните, нещо, което опитват сега с Р.М.С.

Точно в тоя форум тук, наскоро, преди няколко седмици имаше широко обсъждана тема, как корпорациите нямали за нищо нашата информация. Дори обърнат словоред имаше. Тук говорим за същото. Една корпорация, която не ѝ пука за правата на потребителите, възприема ги феотдално. И тя, като всички други, ще си изпати. Но Митака е прав за нещо. Няма да е днес. Ще минат десетилетия докато хората се осъзнаят, а тогава вече ще е късно и такива посегателства, съвременното робство, ще са просто част от пейзажа и неизкореними за столетия.

Когато Циско слагаха (т) троянски коне в желязото си, го правят тайно. Когато М$ го правят, пак го правят тайно. Но има една плодотворна компания, която си позволи наглостта да го прави публично. И след като нищо не последва от това, нищо по-нормално от това, че ще бъде последвана от хиляди други мераклии за пачка.

Така, че като преди няколко дни получих по хранилката от поне двадесет международни портала новината, че Столман хока каноничните, аз дори не отворих да прочета. Пределно беше ясно, за какво е. Той закъсня и то непростимо. Това върлува от месеци като чума през средновековието, защото за пръв път се прилага при СС, нещо смятано за невъзможно. Според мен закъсня нарочно. От високата трибуна, която представлява, трябваше да изчака да излезе версията за крайни потребители. И трябваше да провери всички факти за достоверност. Не може да си позволи да говори неистини или полуистини, които отново са лъжа.

Ето до какво води това, че не се разяснява на потребителите, що е свобода. Идват едни хора свикнали да бъдат роби и други се възползват от това, обричайки ги на същото робство. Със СС ние просто се проваляме в мисията си. Не доставяме нищо по-добро. Сега са само каноничните и само с една програма, но това е само началото.

Относно Столман. Той е борец за свобода. Прави го чрез СС, защото програмирането е това, от което разбира. Но това не пречи да взима отношение и да го прави редовно, по други злободневни теми отнасящи се до свободата.

Наистина ползва свободна апаратура. Последното е едно китайско лаптопче, на което не помня името. Преди това беше XO, но XO вече не е свободно. А още преди това ТП, но това беше във време, когато нямаше свободна апаратура.

Рядко търси с Гошо и никога от собствената си машина. Много места посещава по същия начин. Оставя възможно най-малко следи. И това не го прави, за да е гъзар. Въпроса е принципен за него. Как да разпространява нещо, в което не вярва и което не следва? Това може да си позволи църквата, но не и борец за свобода.

[Mitaka]

Никой не отрича глупостите, които ги има в (почти) всчки затворени продукти.
Американските такива "снасят" на службите им. Циска, щуротии - всичко.
В БГ пък всеки доставчик е длъжен по закон да събира информация къде "ходиш" и какво правиш. Така, че каквито и бъзикни да ди инсталираш на компютъра - все пак минаваш през доставчика.
ВоИП доставчиците пък записват разговорите.

Дори p2p програмите могат да бъдат проследени.
В САЩ (а сгиурно и другаде) всеки доставчик е длъжен да има на "първа линия" едно устройство, на което му викат "blackbox", което реално е един прост bridge. Ама какво се случва с трафика вътре - никой не знае, защото доставчиците нямат достъп до това устройство. Там ровят службите.
Всичко е така навързано, че да го отричаш означава да живееш в една огромна заблуда.
Решат ли да те "следят" - ще го направят. Каквото и да ползваш.
Просто вече нещата са стигнали до етап, който е необратим.
Не мога да потвърдя със сигурност дали са верни слуховете, че хамериканските служби могат да декриптират каквото си поискат. Просто защото им е дадена възможност да могат.

[go_fire]

Поне откритите алгоритми не могат, макар да направиха наскоро провокация срещу open ssh.