Citat:
Ursprungligen postat av
christery
Och upptäckta hål i AOSP patchas inte...
http://www.idg.se/2.1085/1.604476/sa...rar-fixa-felet
60% av användarna kör den gamla läsaren... Och felet har tydligen funnits läääänge.
Men alla är saliga i sin tro.
Det där är, precis som Heartbleed, inget säkerhetshål som har avsiktligt placerats i Android av NSA. Det säkerhetshålet är dessutom patchat i nyare versioner av Android. Anledningen till att Google inte bryr sig om att patcha hålet i äldre versioner av AOSP, beror förmodligen på att majoriteten av alla användare inte kommer att få patchen hur som helst, eftersom de flesta OEM tar lång tid på sig att uppdatera, i många fall lägger de ner uppdateringar till äldre enheter helt efter ett tag, och förmodligen eftersom säkerhetshålet inte bedömdes vara tillräckligt allvarligt.
Citat:
Ursprungligen postat av
Dryckeshorn
Du underskattar grovt komplexiteten i mjukvaruprojekt.
Det är snarare som så att du underskattar säkerheten i öppen källkod metodologin, eftersom du inte förstår vad öppen källkod är och hur det fungerar.
Öppen källkod är äkta, genuin vetenskap, med en peer-review/förhandsgranskning på upp till tusentals om inte tiotusentals olika utvecklare per projekt.
Att smyga in sårbar kod, avsiktligt såväl som oavsiktligt, är mycket svårt. I de flesta fall där det upptäcks säkerhetshål i olika FOSS-projekt, så är det oavsiktliga säkerhetshål och resultatet av slarvig programmering, och de upptäcks fort som fan och patchas ganska snabbt därefter. Linuxkärnan t.ex. patchas bokstavligt talat dygnet runt, 24/7,
Citat:
Ursprungligen postat av
Dryckeshorn
Kommer sårbar kod från en enda person är det väl inte hela världen att upptäcka uppenbara säkerhetshål, men är det en ring av ett halvdussin personer som samarbetar och infilitrerar flera delar av ett projekt så att summan av delarna resulterar i sårbarheten är det snarare mycket svårt att upptäcka.
Länka mig till ett enda exempel (gärna flera, men jag tror du kommer få det svårt att hitta ett enda fall) där en open source utvecklare har lyckats injektera säkerhetshål/bakdörrar.
Varför så inte sker, beror på att utvecklare inte är korkade och förstår att de spelar med öppna kort när de bidrar med kod till open source projekt, och att det går att spåra säkerhetshålen tillbaka till dem. De vill helt enkelt riskera deras rykte (vilket inom den branschen är lika med deras potentiella karriär) genom att ta smällen för säkerhetshål.
Och dessutom är det rätt meningslöst att försöka få in bakdörrar i ett open source projekt eftersom de upptäckts så snabbt och patchas lika snabbt som de upptäcks.
Open source = övervakning av inte bara källkoden, utan även ett vaket öga på utvecklarna. Bland annat därför Linus Torvalds avböjde NSA när de ville få honom att fiffla med Linuxkärnan.
Det finns säkerhetshål och buggar inom öppen källkod, men jämfört med proprietär mjukvara så är de otroligt få.
Citat:
Ursprungligen postat av
Dryckeshorn
Krävs iallafall mycket nitisk granskning för att det ska komma fram i dagen.
Och det är just sådan granskning man får med open source:
https://en.wikipedia.org/wiki/Linus%...y_Eric_Raymond