Het is geen non-sequitur.
Jawel, je stelt eerst dat opensource *minstens* net zo veilig is als closed-source. Vervolgens geef je een argument dat daar niets mee te maken heeft.
De 'conclusie' dat opensource *minstens* net zo veilig is, volgt dus niet uit jouw argument.
Het gaat om het punt dat FLOSS software niet minder veilig is ook al wordt niet iedereen ervoor betaald. (er zijn wel een heleboel mensen die ervoor betaald worden trouwens)
Wat je niet beargumenteert. Logisch, want dat kan ook niet.
Grotere en rijkere bedrijven produceren niet per definitie betere software.
Dat beweer ik niet. Ze scheppen wel wenselijke danwel noodzakelijke voorwaarden voor goede software.
Er zijn heel veel grote bedrijven die veel met FLOSS software werken zoals bijvoorbeeld Google. Open en vrije source code komt meestal de kwaliteit van de source code ten goede omdat er meer mensen naar kunnen kijken.
Nee, in theorie *kan* het de kwaliteit ten goede komen. Maar dit is nooit bewezen. Integendeel... Als je ziet hoe lek alle opensource-software nog is, zou je evengoed kunnen beargumenteren dat het kennelijk weinig tot niets uitmaakt. Iedereen die een beetje project-management mee heeft gekregen, weet dat meer programmeurs een project niet per definitie beter of sneller ontwikkelen. Zeker bij een lopend project is het toevoegen van programmeurs vaak alleen maar nadelig.
Misschien is veiligheid van software gewoon een functie van de volwassenheid van het project, zowel het team als de code.
Ik vind dat deze regels volledig met FLOSS software geimplementeerd moeten mogen worden.
De FCC vindt dat niet, en de FCC bepaalt dit. Helaas pindakaas.
Bij closed source software is het nog steeds goed mogelijk om exploits te ontdekken maar kunnen mensen geen patches bijdragen.
Dat kan wel. Als je een exploit kunt ontdekken in een binary, dan kun je ook wel een binaire patch maken. Zo moeilijk is dat niet. Voor zover ik weet, is het verspreiden van dergelijke patches ook niet verboden. Alleen aangepaste binaries verspreiden is tegen de wet.
Het is moeilijk voor de gemiddelde gebruiker om een windows systeem veilig te gebruiken. Het is algemeen bekend dat programma's te makkelijk totale controle over de computer kunnen uitoefen bij het beveiligingsmodel van MS Windows (vooral pre-Vista).
Dit heeft weinig met het beveiligingsmodel te maken, maar meer met het feit dat men meestal niet verder komt dan een admin-account.
Niet al te lang geleden kreeg ik bij een FreeBSD-installatie standaard ook alleen een root-account, en stonden standaard alle services gewoon aan (inetd, fingerd, telnetd, chargen, en meer van dat soort fratsen).
In recente jaren is de cultuur omgeslagen van opt-out naar opt-in, omdat computers nu standaard aan het grote boze internet gehangen worden. Bij Windows zijn dergelijke dingen lastig in te voeren, omdat er zo veel gebruikers zijn, en een hoop daarvan hebben weinig verstand van hun systeem, dus zomaar alles dichtgooien is een gigantisch probleem. Wat het probleem nog groter maakt is dat ook veel programmeurs het niet zo nauw nemen met security, en veel te kwistig zijn met rechten etc, waardoor software al gauw niet meer werkt met een wat beter dichtgetimmerde bak.
Afgezien daarvan is de NT-tak van Windows al jaren voorzien van een prima beveiligingsmodel. In bedrijven wordt het ook doorgaans *wel* goed geconfigureerd door een bevoegd systeembeheerder.
Windows en Linux zijn beide vrij populair. Windows is vooral populair op desktops. Linux is heel populair op servers en zit ook in allerlei embedded devices. Toch is er veel meer malware voor windows dan voor Linux.
Hoezo *toch*? Het is toch juist logisch dat desktops veel meer geexploit worden?
Servers en embedded devices zijn meestal dedicated apparaten, die door een expert geconfigureerd worden, en daardoor automatisch lastiger te kraken zijn, en er valt ook minder te halen.
Desktop-systemen van Jan-met-de-pet, die hersenloos op alle mailtjes en linkjes klikt, en z'n creditcard-gegevens invoert etc, zijn veel makkelijker uit te buiten. Er valt ook meer te halen.
Afgezien daarvan is Windows toch zeker een factor 10 populairder dan linux, dus stellen dat ze 'beiden populair' zijn, vind ik nogal krom.
Root worden op een totaal geupdate Linux systeem is niet makkelijk. Als er een exploit wordt ontdekt wordt die snel opgelost.
Ja, dat dachten ze al die keren dat die exploits uitkwamen ook... Ze waren totaal geupdate, totdat die exploit kwam...
Onzin-argument dus.
Het punt dat ik hiermee maak is dus dat linux niet inherent veiliger is dan Windows. Zodra er een exploit ontdekt wordt, is het vaak redelijk eenvoudig om het hele systeem over te nemen, want zulke geweldige veiligheidsvoorzieningen heeft linux nou ook weer niet. Lek is lek. Dit is al keer op keer bewezen in de geschiedenis van linux.
Er zijn allerlei veiligheidsinitiatieven aan de gang zoals apparmor en selinux zodat een programma alleen de rechten heeft die het moet hebben en een exploit dus minder kwaad kan.
In Windows heb je daar ACLs en role-based management voor.
Software van Microsoft geeft het goede voorbeeld. Voor een service wordt netjes een gebruiker aangemaakt die alleen de benodigde rechten heeft. Helaas volgt niet iedereen dat voorbeeld. Dat ligt niet aan het OS, de mogelijkheid is er.
Waarom doen ze dit dan niet als het zo makkelijk is ?
Heb ik gezegd dat het makkelijk is?
Technisch misschien wel, maar logistiek is het een ramp. Hun compile-tijd gaat omhoog, en in principe zouden ze ook iedere variant moeten testen, want je weet maar nooit, er zou een bug in de compiler kunnen zitten... Ook het maken en distribueren van de CDs/DVDs wordt lastiger/duurder, omdat het in veel kleinere partijen gaat.
Misschien dat ze wel in de toekomst een soort 'on-the-fly' random-compile functie aan Windows Update kunnen toevoegen oid, waardoor iedereen een unieke versie downloadt. Dat iig de belangrijkste componenten 'gescrambled' zijn.
De FLOSS gemeenschap in het algemeen heel open over problemen. Binnen de FLOSS gemeenschap wordt meestal snel gereageerd op een veiligheidsprobleem.
Het bestaan van die problemen is anders geen pleidooi voor de kwaliteit en veiligheid van die software.
Alle source code van openBSD is vrij dat is dus geen obscurity.
In theorie niet, nee. Maar in de praktijk zullen er veel minder mensen mee bezig zijn. Er zullen dus ook maar heel weinig hackers zijn die genoeg kennis van OpenBSD hebben om te hacken. De meesten zullen zich met Windows of linux bezighouden, omdat daar het meest valt te halen. In die zin is OpenBSD dus 'obscuur' qua aantal hackers die er verstand van heeft (eigenlijk hetzelfde argument voor closed-source... alleen mensen die vloeiend assembly kunnen lezen, kunnen closed-source hacken, terwijl iedere programmeur opensource kan hacken).
De kans dat je dus gehackt wordt is dan automatisch veel kleiner.
Mocht je iets willen veranderen en dat zelf niet kunnen of daar zelf geen zin in hebben dan kun je iemand inhuren om die verandering te maken. De macht ligt dus veel meer bij de gebruiker dan bij traditionele closed source software. Waar je maar moet hopen dat er genoeg mensen zijn die hetzelfde willen als jij anders is er geen enkele mogelijkheid om de software te veranderen.
Iemand inhuren dus... Kost geld. Afhankelijk van wat je wil veranderen, kan dat heel duur worden.
Nou weet ik dat Microsoft tegen betaling ook custom-oplossingen voor je maakt. Er zijn ook andere closed-source bedrijven die deze mogelijkheid bieden.
Afgezien daarvan ben ik geen voorstander van het rommelen in sourcecode om de functionaliteit van een programma uit te breiden.
Dit moet je kunnen doen door middel van een mooi plug-in systeem. Veel closed-source software biedt deze mogelijkheid ook, vaak zelfs middels een gratis SDK.
De verschillen zijn niet zo groot als jij denkt. Ook bij closed-source kan een gebruiker best aanpassingen (laten) maken.
Afgezien daarvan vind ik het gewoon niet de taak van de gebruiker om bugs op te lossen of functionaliteit uit te breiden. Dit moet het ontwikkelteam zelf doen, zij zijn de specialisten.