OT: O tom co je a co nie je odovodnitelne bezpecnostou; Was: nieco ine, ale na tom nezalezi, aj tak nam to admin uz zatrhol :-)

Jan Waclawek konfera@efton.sk
Pondělí Únor 4 22:00:53 CET 2008


>> >> Naopak, pisali ste, ze Linux je ako OpenSource bezpecnejsi
>> >> pre vladne nasadenie. A s tymto tvrdenim nesuhlasim.
>>
>> > Negaci Vaseho nesouhlasu lze dovodit, ze closed source SW
>> povazujete za
>> > stejne nebo vice bezpecny, nez open source SW.
>>
>> Mno, ako cvicenie z logiky to nie je zle... Ta negacia by
>> skor mala zniet: "Linux ako OS *nie je bezpecnejsi* pre
>> vladne nasadenie".
>>
>> Preco by mal byt?
>
>Netvrdim, ze je, zato Vy bez relevantnich argumentu tvrdite, ze neni :-)
>

Mno, ono totiz dokazne bremeno je na Vas... :-)

V bezpecnosti plati prezumpcia viny: akakolvek sucast zabezpecovanej sustavy - software, hardware, budova, ludia, zvierata, kvetiny, dlazdice, vodovod, cokolvek co pride do cesty - je pokladana za automaticky nie bezpecnu, kym sa nepreukaze opak.


>> > Mohl byste jen pro zajimavost
>> > uvest argumenty, kterymi byste svuj nesouhlas podporil ?
>>
>> Uvadzal som ich vcera. Skumanie rozsiahleho zdrojoveho textu
>> Lin a spol., suvisiaceho procesu prekladu, zabezpecenie
>> distribucie a udrzby atd. je problem rovnako iracionalneho
>> rozsahu ako skumat binar Win apod.
>
>Podle mych zkusenosti je radove jednodussi verifikovat SW se zdrojovym
>kodem, nez bez nej.


Mno fajn. Takze zverifikovat Linux aj s chlpami (t.j. bezpecnostnymi previerkami stada dobre skolenych a platenych ludi co to budu robit plus ich veducich atd., ich ubytovanie strava plat atd. pocas casu ked sa to bude robit - nedopustite predsa ich korupciu (mozete ich este dat sledovat 24 hodin, to je ale asi drahsie), budov kde sa to bude robit, hardwaru a softwaru ktorym sa to bude robit; zabezpecenie nemodifikovatelnosti a nefalsovatelnosti vysledkov a dalsie tucty veci co ma nenapadli) bude stat 10 miliard; pre Win to bude stat o rad viac, cize 100 miliard.

Jedno aj druhe je ciry nezmysel.

>
>> > Zejmena by mne
>> > zajimalo, jak byste resil certifikaci takoveho SW, kdyz
>> jako suverenni stat
>> > NESMITE akceptovat jine certifikacni autority, nez sve vlastni ?
>>
>> Neriesil by som to.
>>
>> Je nebezpecne naivne sa domnievat, ze bezpecnost mozno stavat
>> na comkolvek tak zlozitom a krehkom ako je operacny system,
>> nech je opensource alebo closed.
>>
>
>Je podstatne naivnejsi spolehat na to, ze derami v operacnim systemu nemohou
>uniknout bezpecnostne relevantni informace.

Ale ved ste napisali presne to iste co ja.

Takze, v skratke, ak nechcete aby dierami - ktore nedokazete relevantne odhalit ani u jedneho OS - unikli informacie, jednoducho sa na ziadny OS nemozete spolahnut. Treba to riesit inak.

Zaver: argument o bezpecnosti pri rozhodovani aky OS pouzit v statnej sprave je irelevantny.

wek





Další informace o konferenci Hw-list