Som zvedavý či naozaj sa po tomto niekto už začne zaoberať tým, ako sú tie naše slávne registre naozaj naprogramované 
1 Like
dalsi “argument” k teme bezpecnost a co pod nu vsetko skryt
aby iba nasi ludia vedeli ako nato?
nie…ale bezpecnost sa stava argumentom na vsetko teraz…velke VO, zdrojovy kod nie ako EUPL lebo bezpecnost, kriticku infra obstarvat “tajne” lebo bezpecnost a pod.
1 Like
niet nic krajsie ako dodavat v utajenom rezime 
ale istu logiku to ma ? Ak su tam diery, tak cim menej ludi ma moznost ich najst, tym lepsie. V idealnom svete to pozrie plno etickych hackerov a pomoze zlepsit bezpecnost, v nasom svete to skor budu kocnerom a podobnymi plateni hackeri co ich potichu zneuziju.
V tomto pripade by kocnerov virus vela nedokazal, aj ked utok z internej siete je nebezpecnejsi ako z vonku. Ale keby niekto mal k dispozicii cely kod, tak by mozno vedel cielene spravit skodlivy virus.
A to nie je obhajoba obstaravania ale vysvetlenie preco nie je velka ochota zverejnovat kody
jasne…podla mna to je tema na debatu…hlavne odborna a bez emocii
neviem, nemam skusenost…mozno to je niekedy aj horsie
Si predstavte skôr situáciu volebného systému… chceli by ste byť za alebo proti tomu aby kód volebného systému bol otvorený?
Proti:
- hacknutie je náročnejšie
Za:
- dá sa urobiť 100% proof že zverejnený kód je nehacknuteľný
Ja som jednoznačne za otvorenosť kódu… Ale je to na zadávateľovi…
ako sa da spravit 100 % proof ?. Jasne, ak ide o volebny system tak asi je mozne dufat ze sa dobrovolne zucastni dost “dobrych” ale sotva sa ich najde dost pre vsetky systemy.
A navyse nikdy nie je 100% zaruka, to co sa hlada lahko to je mozne automatizovat ale nikdy nie je uplna zaruka, nepodcenujem kreativitu hackerov
Ale suhlasim ze je to na diskusiu a hladani sposobov.
ja som si istý, že sa dá
jednoduchý dôkaz:
- hello world kód sa nedá hacknúť
- hocičo čo sa k tomu pripojí je možné skontrolovať že sa to nedá hacknúť
Teda napísaný kód sa dá overiť či sa nedá hacknúť, otázne potom je, na akom systéme sa to nasadí a podobne…
Ale žiť vo svete kde nedôveruješ svojmu kódu musí byť pre teba ťažké
Ahoj,
netreba si to predstavovat.
Svajciari si to nechali urobit ako platenu sluzbu.
V case ked nasli druhu chybu, prva uz bola opravena dodavatelom.
r.
preco si myslis ze sa neda hacknut hello world ? Jasne, prva vyhoda je ze nema vstup, ale co ti brani prepisat jeho kod aby napisal hello Fico ? Ako skontrolujes ze taha spravne kniznice ? A ze nerobi este nieco ine ? A cim zlozitejsi kod, ktory niekde nieco posiela, niekam komunikuje sa da prepisat,
Mozes to samozrejme chranit ale volas nieco co napriklad bezi pod vyssimi pravami a uz mozes skusat ci tam nejde cosi podhodit, atd. Keby bol svet taky jednoduchy ze sa da overit nehackovatelnost
A co take chyby procesorov ? Ak si pripraveny, tak vdaka znamemu kodu vies pripravit hacknutie.
A ja neverim ani svojmu kodu, ani ziadnemu inemu Viem ako lahko sa moze vyskytnut nejaka neosetrena vynimka.
ale ako plateny code review to si naopak viem predstavit, to mi dava zmysel. Bez zverejnovania pre vsetkych
Tak toto je trochu cudne… najskor veris tomu, ze jednoduchy program hello world je hacknutelny, a potom budes doverovat jednej osobe ci urobi spravne code review??
Ja nevylucujem ze volbene systemy su hacknutelne… vacsinou sa zivisi na nejakych crypto knizniciach, operacnom systeme a podobne… Som videl analyzu kde po volbach v estonsku niekto postoval fotky kde bolo vidno wifi heslo na sieti kde spracovavali udaje, alebo bolo vidno fyzicke kluce napriklad od trezoru kde bol offline pocitac… Bezpečnost volieb nie je iba o bezpečnosti konkrétnej aplikácie, ale o bezpečnosti vo väčšom rozsahu… K zabrárneniu ilegálnej činnosti potom ešte existuje aj legislatíva ktorá okrem iného trestá npr kupovanie hlasov.
Moje tvrdenie je, že sa dá overiť na 100% že konkrétny kód je nehacknuteľný… uzavretý kód obsahuve väčšinou viac bezpečnostných chýb.
Preto napríklad fandím viac linuxu ako microsftu, ale aj microsoft už prechádza na otvorený kód…
neverim nicomu, ale spravne pises ze bezpecnost nesmie stat iba na tom. Ale otvoreny kod iste rizika zosilnuje, ak by bola garancia ze zaroven dalsie rizika potlaca, tak sa bavime co je lepsie. Ale pochybujem ze plati rovnica otvoreny kod = bezpecnejsia aplikacia, niekde moze a niekde naopak. Na slovensku vsak skor nie, je to aj dane poctom ludi ktori by boli ochotni pro bono pracovat v tejto oblasti.
Osobne si myslim, ze tie bezpecnostne dovody preco nezverejnovat kody statnych zakaziek su az sekundarne. Hlavne by bola vidiet kvalita a rozsah odvedenej prace pre tie slavne projekty o desiatkach milionov eur. Kedze som nejake take kody uz videl (cest vynimkam), tak si netreba robit ziadne iluzie o tom, ze budu velke tlaky ako najst nejaky zastupny dovod preco to nezverejnit. Security by obscurity je vyborny kandidat.
ok, aj to je mozne. Ale napriklad nezavisly code review od firmy najatej UPII by mohol dvihat kvalitu kodu aj bez zverejenia. Otazka je co je cielom, v tejto atmosfere by zverejnenie kodu skor viedlo k snahe dokazat ze to je nekvalitne a lahko zneuzitelne nie k snahe to eticky vyriesit.
zase nechápem… najskôr tvrdíš že chceš urobiť platenú analýzu kódu a potom tvrdíš, že to nikto nebude robiť zadarmo…
pred tým si tvrdil, že najlepšie riešenie je uzavretý kód s platenou analýzou… môžem navrhnúť, že lepšie riešenie je otvorený kód s verejnou platenou analýzou a aspoň jednou osobou čo to urobí “pro bono”
Minimálne sa tí čo budú robiť code review budú trochu viac snažiť keď ich bezpečnostná analýza bude zverejnená a vystavujú sa riziko že nenašli všetko…