El código fuente del UnrealIRCd para Linux fue substituido por una versión troyanizada hace ya 8 meses. Queda demostrado que disponer del código fuente de un programa no garantiza ninguna seguridad
Pues claro. Lo que no quita que el error sea reparado mucho antes por la comunidad de desarrolladores, mientras que en otro caso depende sólo de una empresa
Realmente puedes revisar el código fuente, sí, pero justo de la misma manera que puedes leer las instrucciones de cualquier binario.
Joder...
Esta claro que en proyectos muy grandes como el propio kernel hay muchos ojos, pero eso nunca es garantía de nada porque siempre se puede colar algo.
Joder...
#3 Basicamente es eso... si el codigo no fuera abierto eso no seria un bug, seria una feature y NO habria sido eliminado... En un caso puedes hacer algo mas que tener confianza, en el otro no...
"Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios"
Y el problema es que esa ley solo se cumple "dado un número suficientemente elevado de ojos". Y en este caso, como otros muchos, no se ha cumplido por no tener un "ojos" suficientes.
Muchos linuxeros talibanes no hacen más que repetir lo de "es seguro porque es abierto". Cuando lo importante es el número de personas comprobando el código, sea abierto o cerrado.
Si el proyecto es abierto y famoso, el número de personas será alto y esa seguridad se cumplirá. Si el proyecto no lo conoce nadie, que sea abierto o cerrado es irrelevante para su seguridad.
PD: el autor del artículo va bien la caga al transponer este caso al kernel. Donde algo así ya se intentó, sin éxito, claro.
Comentarios
Pues claro. Lo que no quita que el error sea reparado mucho antes por la comunidad de desarrolladores, mientras que en otro caso depende sólo de una empresa
Realmente puedes revisar el código fuente, sí, pero justo de la misma manera que puedes leer las instrucciones de cualquier binario.
Joder...
Esta claro que en proyectos muy grandes como el propio kernel hay muchos ojos, pero eso nunca es garantía de nada porque siempre se puede colar algo.
Joder...
#3 Basicamente es eso... si el codigo no fuera abierto eso no seria un bug, seria una feature y NO habria sido eliminado... En un caso puedes hacer algo mas que tener confianza, en el otro no...
Extraordinariamente sensacionalista.
Silogismo puro.
La idea es que lo que da seguridad es la "Ley de Linus" ( http://es.wikipedia.org/wiki/Ley_de_Linus ), no el mero hecho de que el código esté disponible.
"Dado un número suficientemente elevado de ojos, todos los errores se convierten en obvios"
Y el problema es que esa ley solo se cumple "dado un número suficientemente elevado de ojos". Y en este caso, como otros muchos, no se ha cumplido por no tener un "ojos" suficientes.
Muchos linuxeros talibanes no hacen más que repetir lo de "es seguro porque es abierto". Cuando lo importante es el número de personas comprobando el código, sea abierto o cerrado.
Si el proyecto es abierto y famoso, el número de personas será alto y esa seguridad se cumplirá. Si el proyecto no lo conoce nadie, que sea abierto o cerrado es irrelevante para su seguridad.
PD: el autor del artículo va bien la caga al transponer este caso al kernel. Donde algo así ya se intentó, sin éxito, claro.
Para eso están las descargas con verificación del MD5 ¿no?
¿No hace eso sólito el Apt-Get? Lo que pasa es que esta es la versión de descarga para windows.
A lo mejor las instrucciones del binario no dicen que tenga un troyano, pero el código fuente sí.