View Full Version : WhatsApp, crittografia su chiamate vocali e chat di gruppo in poche settimane
Redazione di Hardware Upg
15-03-2016, 10:01
Link alla notizia: http://www.hwupgrade.it/news/telefonia/whatsapp-crittografia-su-chiamate-vocali-e-chat-di-gruppo-in-poche-settimane_61550.html
WhatsApp offre già crittografia nei messaggi testuali scambiati fra singoli interlocutori, tuttavia la protezione delle conversazioni potrebbe raggiungere un nuovo livello con un vicino aggiornamento software
Click sul link per visualizzare la notizia.
matteop3
15-03-2016, 10:20
Finalmente integreranno definitivamente il protocollo TextSecure che hanno cominciato ad utilizzare nel 2014. Sostanzialmente Whatsapp diventa Signal (ma closed source e coi metadati in pasto a Facebook).
Considerato il volume dell'utenza di Whatsapp, è un bene che adottino integralmente la crittografia end-to-end di default con protocolli aperti e di qualità; i tanto decantati concorrenti dovrebbero prendere esempio.
Finalmente integreranno definitivamente il protocollo TextSecure che hanno cominciato ad utilizzare nel 2014. Sostanzialmente Whatsapp diventa Signal (ma closed source e coi metadati in pasto a Facebook).
Considerato il volume dell'utenza di Whatsapp, è un bene che adottino integralmente la crittografia end-to-end di default con protocolli aperti e di qualità; i tanto decantati concorrenti dovrebbero prendere esempio.
Vorrei capire quali sono i vantaggi e PER CHI soprattutto.
Oggi come oggi dei tizi a caso possono intercettare le mie chat o solo le forze dell'ordine con specifiche richieste o strumenti?
Criptando il tutto cosa cambia? Le forze dell'ordine potranno sempre accededere o restano fuori dai giochi?
Perchè parliamoci chiaro: se criptare serve a fare un favore ai delinquenti e far sbrodolare quattro fissati della "praivasy" non mi piace come cosa.
matteop3
15-03-2016, 11:18
La crittografia end-to-end fa in modo che solamente mittente e destinatario siano fisicamente in grado di accedere in chiaro al messaggio scambiato, nessun intermediario ne sarebbe in grado, nemmeno l'esercente del servizio. A me, che auspico una società libera e civile, sembra un requisito così ovvio che mi sembra incredibile doverlo giustificare.
La crittografia è l'quivalente digitale della serratura alla porta di casa e alle tende alle finestre.
Vorrei capire quali sono i vantaggi e PER CHI soprattutto.
Per tutti (e per tutti intendo tutti).
Oggi come oggi dei tizi a caso possono intercettare le mie chat o solo le forze dell'ordine con specifiche richieste o strumenti?
Dipende. Prendiamo come esempio il caso Apple di qualche settimana fa'. Se Apple creasse una backdoor (quindi una versione di iOS debole) in grado di entrare negli iPhone, poi chiunque sarebbe in grado di entrarci e in qualsiasi momento.
http://memeguy.com/photos/images/pandoras-iphone-201922.png
Criptando il tutto cosa cambia? Le forze dell'ordine potranno sempre accededere o restano fuori dai giochi?
Chiunque "resterà fuori dai giochi". Pensare che una backdoor possa essere utilizzata solo dai buoni è pura e semplice (e pericolosa) ignoranza.
Perchè parliamoci chiaro: se criptare serve a fare un favore ai delinquenti e far sbrodolare quattro fissati della "praivasy" non mi piace come cosa.
Serve semplicemente a fare concretamente in modo che la tua corrispondenza privata sia effettivamente privata.
Ribadisco, applausi per Whatsapp.
FirePrince
15-03-2016, 11:20
Vorrei capire quali sono i vantaggi e PER CHI soprattutto.
Oggi come oggi dei tizi a caso possono intercettare le mie chat o solo le forze dell'ordine con specifiche richieste o strumenti?
Criptando il tutto cosa cambia? Le forze dell'ordine potranno sempre accededere o restano fuori dai giochi?
Perchè parliamoci chiaro: se criptare serve a fare un favore ai delinquenti e far sbrodolare quattro fissati della "praivasy" non mi piace come cosa.
Puoi sempre usare SMS, in tal modo puoi farti intercettare da FBI, NSA, CIA e chiunque altro lo desideri. Io preferisco la "praivasy" e che le forze dell'ordine facciano il loro lavoro nel mondo reale, e non in quello virtuale. Avanti tutta con la crittografia, tanto possono fare tutte le leggi che vogliono, ma la matematica non si puo' vietare, e cio' che non fa un'azienda in USA lo fara' una in un'altra parte del mondo. Whatsapp sta diventando quasi decente, Telegram sta iniziando a essere un concorrente degno di nota e stanno correndo ai ripari. Bene cosi'.
red5goahead
15-03-2016, 11:23
Buona bomba sul treno a tutti. Ma almeno orari e modalità del funerale rimarranno segreti.
matteop3
15-03-2016, 11:26
Telegram sta iniziando a essere un concorrente degno di nota e stanno correndo ai ripari. Bene cosi'.
Telegram è un buon servizio dal punto di vista dell'esperienza utente. Da quello della sicurezza molto meno.
Purtroppo non ha la crittografia end-to-end di default (ergo, la utilizzerà sì e no lo 0,1% del suo traffico totale) e il protocollo che utilizza è persino chiuso (anche se vagamente documentato).
Le chat normali di Telegram sono in pratica il sogno di cybercriminali e della sorveglianza massiva, dato che tutte le chat di tutti risiedono in maniera centralizzata assieme a tutte le relative chiavi di cifratura (quindi Telegram ha fisicamente modo di accedervi in chiaro).
Il fatto che di recentissimo in Brasile (dove Telegram è molto utilizzato) sia finito nei guai WA e non Telegram temo dica molto.
Chiunque "resterà fuori dai giochi". Pensare che una backdoor possa essere utilizzata solo dai buoni è pura e semplice (e pericolosa) ignoranza.
Serve semplicemente a fare concretamente in modo che la tua corrispondenza privata sia effettivamente privata.
Ribadisco, applausi per Whatsapp.
Quindi mi confermi esattamente quello che penso:
il vero vantaggio è per i delinquenti che potranno usare beatamente le chat di WA senza temere di essere intercettati.
Non so proprio cosa ci sia da applaudire.
matteop3
15-03-2016, 11:28
Buona bomba sul treno a tutti. Ma almeno orari e modalità del funerale rimarranno segreti.
Dico solo che l'attentato di Parigi è stato organizzato via SMS.
Questa storia che la crittografia end-to-end sia la gioia dei criminali e l'intralcio della giustizia per i ligi cittadini ha anche un po' stufato.
matteop3
15-03-2016, 11:29
Quindi mi confermi esattamente quello che penso:
il vero vantaggio è per i delinquenti che potranno usare beatamente le chat di WA senza temere di essere intercettati.
Non so proprio cosa ci sia da applaudire.
http://www.hwupgrade.it/forum/showpost.php?p=43477580&postcount=9
red5goahead
15-03-2016, 11:33
Quindi mi confermi esattamente quello che penso:
il vero vantaggio è per i delinquenti che potranno usare beatamente le chat di WA senza temere di essere intercettati.
Non so proprio cosa ci sia da applaudire.
Serve soprattutto ai delinquenti, che la Polizia, figuriamoci la NSA! o i rettiliani, voglia intercettare una conversazione privata tra il padre di famiglia e la domestica o anche solo l'appuntamento con il pusher per la modica quantità è semplicemente ridicolo. La maggior parte degli idioti che difendono la privacy a tutti i costi, come un diritto universale al pari della libertà stessa di pensiero e parola, pensano davvero di essere al centro del mondo. Sapessero solo quanto sono insignificanti per il resto del mondo...
la soluzione ? non drogatevi
matteop3
15-03-2016, 11:38
Serve soprattutto ai delinquenti, che la Polizia, figuriamoci la NSA! o i rettiliani, voglia intercettare una conversazione privata tra il padre di famiglia e la domestica o anche solo l'appuntamento con il pusher per la modica quantità è semplicemente ridicolo. La maggior parte degli idioti che difendono la privacy a tutti i costi, come un diritto universale al pari della libertà stessa di pensiero e parola, pensano davvero di essere al centro del mondo. Sapessero solo quanto sono insignificanti per il resto del mondo...
la soluzione ? non drogatevi
Quando si dice "predicare bene e razzolare male". :P
http://www.hwupgrade.it/forum/showpost.php?p=43477580&postcount=9
non vedo cosa c'entra.
Li hanno organizzato via SMS e non hanno controllato il traffico, ok.
Permane il fatto che crittografare rende impossibile controllare anche volendo.
Quindi oggi come oggi lo stesso attentato possono organizzarselo in comodità facendo un bel gruppo su WA.
Figata davvero. Vantaggi per tutti davvero.
Così io che dico caxxate con gli amici gongolerò sapendo che nessuno potrà intercettare questi messaggi densi di cultura.. mentre invece Hammud potrà decidere se andare a prendere il plastico da da Jussef o da Rashid.. ottimo.
red5goahead
15-03-2016, 11:55
non vedo cosa c'entra.
Li hanno organizzato via SMS e non hanno controllato il traffico, ok.
Permane il fatto che crittografare rende impossibile controllare anche volendo.
Quindi oggi come oggi lo stesso attentato possono organizzarselo in comodità facendo un bel gruppo su WA.
Figata davvero. Vantaggi per tutti davvero.
Così io che dico caxxate con gli amici gongolerò sapendo che nessuno potrà intercettare questi messaggi densi di cultura.. mentre invece Hammud potrà decidere se andare a prendere il plastico da da Jussef o da Rashid.. ottimo.
ma senza andare sugli attentati terroristici, che sono poi eccezionali, anche solo il coordinamento per attività molto più diffuse come il racket. Con la privacy un tabaccaio medio potrà magari farsi ricattare e taglieggiare ma potrà evitare di farlo sapere in giro. una grande conquista per l'umanità . O pensiamo al bitcoin, nato con tutta evidenza per facilitare le attività criminali anche e soprattutto informatiche.
red5goahead
15-03-2016, 12:10
non vedo cosa c'entra.
Li hanno organizzato via SMS e non hanno controllato il traffico, ok..
e che tra l'altro è , forse, il motivo, per cui li hanno poi presi quasi subito.
e che tra l'altro è , forse, il motivo, per cui li hanno poi presi quasi subito.
- Se vivo in un paese con governo più che corrotto o dittatoriale che censura tutto e tutti quelli che vi si oppongono?
- Se non posso comunicare segretamente alcuni fatti gravi che avvengono nei miei dintorni magari ad opera di forze governative?
- Se voglio denunciare qualcuno che sta abusando del proprio potere, come faccio a farlo in sicurezza (deve esserci anonimato totale, altrimenti, per esempio, io e la mia famiglia rischieremmo proprio da parte di quelli che dovrebbero tutelarci).
- Se non esistessero certi strumenti, io e alcuni miei colleghi medio orientali non potremmo in alcun modo affrontare certi argomenti (preoccupazioni più per loro che per me).
- E tanti altri esempi.
Gli americani (tanto per citare i soliti "esportatori di democrazia") non ti hanno fatto capire niente? Non ci sono stati esempi autoesplicativi anche per i più dementi di intercettazioni "legittime" (ammesse anche da Obama) che non avevano niente, ma proprio NIENTE, a che fare con terrorismo e sicurezza nazionale ma bensì con spionaggio industriale e spionaggio perfino di alleati politici-economici?
Con precedenti di questo tipo, come si potrà credere che una intercettazione dichiarata legittima lo sia realmente? Come si potrà credere che è stata eseguita per il nostro bene quando magari è per il bene di pochi e soliti soggetti? Ma de che cazzo stamo a parlà?
red5goahead
15-03-2016, 12:40
quando magari è per il bene di pochi e soliti soggetti? Ma de che cazzo stamo a parlà?
Solo retorica
Solo retorica
Ti ho parlato di fatti reali (pure documentati/dichiarati dai diretti responsabili, più prova di così si muore) che sono all'ordine del giorno in tante realtà, il retorico sei a tutti gli effetti tu, non certo io, svegliati da quel perenne torpore mentale.
- Se vivo in un paese con governo più che corrotto o dittatoriale che censura tutto e tutti quelli che vi si oppongono?
- Se non posso comunicare segretamente alcuni fatti gravi che avvengono nei miei dintorni magari ad opera di forze governative?
- Se voglio denunciare qualcuno che sta abusando del proprio potere, come faccio a farlo in sicurezza (deve esserci anonimato totale, altrimenti, per esempio, io e la mia famiglia rischieremmo proprio da parte di quelli che dovrebbero tutelarci).
- Se non esistessero certi strumenti, io e alcuni miei colleghi medio orientali non potremmo in alcun modo affrontare certi argomenti (preoccupazioni più per loro che per me).
- E tanti altri esempi.
Gli americani (tanto per citare i soliti "esportatori di democrazia") non ti hanno fatto capire niente? Non ci sono stati esempi autoesplicativi anche per i più dementi di intercettazioni "legittime" (ammesse anche da Obama) che non avevano niente, ma proprio NIENTE, a che fare con terrorismo e sicurezza nazionale ma bensì con spionaggio industriale e spionaggio perfino di alleati politici-economici?
Con precedenti di questo tipo, come si potrà credere che una intercettazione dichiarata legittima lo sia realmente? Come si potrà credere che è stata eseguita per il nostro bene quando magari è per il bene di pochi e soliti soggetti? Ma de che cazzo stamo a parlà?
Certo. Una cosa che capita continuamente, praticamente un giorno si e uno no. Se vivi in Corea del Nord magari.. ma lì forse hai problemi un filino più grandi.
Poi? Le scie chimiche? Governo ombra? Gli illuminati? Gombloddo? :doh:
Possiamo stare qui a ciarlare di ste baggianate fino a domani e dirte che "è meglio per tutti" ma i fatti sul tavolo sono questi:
Con la cripratura dei messaggi i vantaggi evidenti li ha il terrorista, mentre invece i vantaggi che ho io ancora non li vedo. :muro:
Eh sì, senza crittografia è davvero dura per mafiosi e terroristi. Lo vediamo ogni giorno, da decenni. :rolleyes:
Eh sì, senza crittografia è davvero dura per mafiosi e terroristi. Lo vediamo ogni giorno, da decenni. :rolleyes:
Secondo questo tuo ragionamento:
Siccome entrano a rubare nelle case forzando le serrature delle porte allora lasciamo aperto che tanto entrano lo stesso.
Siccome se vai in moto e ti stampi contro un autobus muori allora vai in giro senza casco che tanto è uguale.
Facciamo anche di meglio, leviamo le telecamere per strada, i controlli sui capitali e togliamo tutte le intercettazioni. Così ognuo fa il caxxo che vuole in santa pace. Tanto se devono deliquere lo fanno lo stesso no?
matteop3
15-03-2016, 13:31
Eh sì, senza crittografia è davvero dura per mafiosi e terroristi. Lo vediamo ogni giorno, da decenni. :rolleyes:
Che poi mi fa sempre un po' ridere quando alcuni pensano che ipersorvegliando i servizi mainstream allora i criminali avranno la vita più difficile. Come se di ottimi tool e modi per parlare non solo in forma cifrata, ma anche anonima, non ne esistano.
Secondo questo tuo ragionamento:
Siccome entrano a rubare nelle case forzando le serrature delle porte allora lasciamo aperto che tanto entrano lo stesso.
Siccome se vai in moto e ti stampi contro un autobus muori allora vai in giro senza casco che tanto è uguale.
Facciamo anche di meglio, leviamo le telecamere per strada, i controlli sui capitali e togliamo tutte le intercettazioni. Così ognuo fa il caxxo che vuole in santa pace. Tanto se devono deliquere lo fanno lo stesso no?
Falso. Secondo il mio ragionamento, se voglio mettere una porta blindatissima da 100000€ al mio appartamento, non devo essere considerato un potenziale criminale, evasore, mafioso, quello che volete.
Secondo il vostro esempio, siccome c'è il rischio che una tecnologia possa essere usata anche per scopi criminali, allora è meglio vietarla per tutti. Quale sarà il prossimo passo? L'accesso ad Internet solo su autorizzazione governativa?
No grazie, io preferisco evitarlo.
Il controllo sui capitali? Ma quali? Forse quelli miei e tuoi, altrimenti non mi spiego come mai i mafiosi continuino a muovere MILIARDI così, come niente fosse.
Io non voglio vivere in un Paese in cui, potenzialmente, un qualsiasi Governo può aver accesso a qualsiasi mia comunicazione privata. Perché i Governi sono composti da uomini, e gli uomini non sono tutti bravi in base al ruolo che ricoprono.
E comunque, come ha scritto matteop3, nulla vieta ad organizzazioni terroristiche "serie" di finanziare e realizzarsi il proprio software di comunicazione criptato.
Falso. Secondo il mio ragionamento, se voglio mettere una porta blindatissima da 100000€ al mio appartamento, non devo essere considerato un potenziale criminale, evasore, mafioso, quello che volete.
Secondo il vostro esempio, siccome c'è il rischio che una tecnologia possa essere usata anche per scopi criminali, allora è meglio vietarla per tutti. Quale sarà il prossimo passo? L'accesso ad Internet solo su autorizzazione governativa?
No grazie, io preferisco evitarlo.
Il controllo sui capitali? Ma quali? Forse quelli miei e tuoi, altrimenti non mi spiego come mai i mafiosi continuino a muovere MILIARDI così, come niente fosse.
Io non voglio vivere in un Paese in cui, potenzialmente, un qualsiasi Governo può aver accesso a qualsiasi mia comunicazione privata. Perché i Governi sono composti da uomini, e gli uomini non sono tutti bravi in base al ruolo che ricoprono.
E comunque, come ha scritto matteop3, nulla vieta ad organizzazioni terroristiche "serie" di finanziare e realizzarsi il proprio software di comunicazione criptato.
Bla bla bla. :rolleyes:
Torno a dire: criptando le comunicazioni watsapp i vantaggi per un delinquente sono evidenti.
Ivantaggi per me e per te quali sono?
wireless
15-03-2016, 14:15
il problema non è il governo che si impiccia di whatsapp, facebook, twitter (fermo restando che dietro il "governo" e le istituzioni ci sono delle persone, che possono sbagliare più o meno intenzionalmente). Il problema è che questi dati, se non protetti, potenzialmente sono accessibili alla criminalità organizzata, che è molto più organizzata di quel che si pensa. Questi non cercano te/me: cercano bersagli che soddisfino certi requisiti. Questi incrociano i dati e - per esempio... - oggi risulta che tu non stai a casa per due giorni, che abiti al primo piano, che non hai inferriate, che il tuo vicino è fuori e che hai un parco ottiche nikon notevole. Utilizzano ovvero rigirano e rivendono l'informazione al ladro di quartiere. Immagina scenari analoghi, con minori, con anziani.
Non dobbiamo preoccuparci di come si possa fare un uso distorto degli strumenti che facilitano la privacy (la crittografia etc); dobbiamo preoccuparci dell'uso distorto delle informazioni che, se non protette, sono a disposizione di tutti. E, ripeto, non parlo dei governi e della polizia (fino a un certo punto, ma vabbè).
Discorso analogo al caso Apple. Una volta che crei/autorizzi una breccia, non sai chi ci passa.
saluti.
il problema non è il governo che si impiccia di whatsapp, facebook, twitter (fermo restando che dietro il "governo" e le istituzioni ci sono delle persone, che possono sbagliare più o meno intenzionalmente). Il problema è che questi dati, se non protetti, potenzialmente sono accessibili alla criminalità organizzata, che è molto più organizzata di quel che si pensa. Questi non cercano te/me: cercano bersagli che soddisfino certi requisiti. Questi incrociano i dati e - per esempio... - oggi risulta che tu non stai a casa per due giorni, che abiti al primo piano, che non hai inferriate, che il tuo vicino è fuori e che hai un parco ottiche nikon notevole. Utilizzano ovvero rigirano e rivendono l'informazione al ladro di quartiere. Immagina scenari analoghi, con minori, con anziani.
Non dobbiamo preoccuparci di come si possa fare un uso distorto degli strumenti che facilitano la privacy (la crittografia etc); dobbiamo preoccuparci dell'uso distorto delle informazioni che, se non protette, sono a disposizione di tutti. E, ripeto, non parlo dei governi e della polizia (fino a un certo punto, ma vabbè).
Discorso analogo al caso Apple. Una volta che crei/autorizzi una breccia, non sai chi ci passa.
saluti.
OK. Discorso molto più sensato di quello che ho visto fin ora. Vorrei solo capirne la fattibilità oggettiva.. perchè la vedo difficile per un criminale mettere su un sistema di intercettazione degli di una forza investigativa di stato. Ma diamogli pure il beneficio del dubbio.
Sta a capire adesso quale sia il male minore.
Io resto della convinzione che poter beccare i messaggi di chi delinque o fa terrorismo sia la cosa migliore.
Bla bla bla. :rolleyes:
Torno a dire: criptando le comunicazioni watsapp i vantaggi per un delinquente sono evidenti.
Ivantaggi per me e per te quali sono?
Che ho la certezza (a meno di bug implementativi, sempre possibili) che nessuno possa leggere i ca**i miei. Magari a te non importa, a me sì.
matteop3
15-03-2016, 14:30
OK. Discorso molto più sensato di quello che ho visto fin ora. Vorrei solo capirne la fattibilità oggettiva.. perchè la vedo difficile per un criminale mettere su un sistema di intercettazione degli di una forza investigativa di stato. Ma diamogli pure il beneficio del dubbio.
Che è quello che abbiamo detto fino ad ora, ma vabbè. Altrimenti a cosa pensavi ci riferissimo parlando di "sicurezza informatica"?
Ma quale sistema di intercettazione? Per i cybercriminali è sufficiente attaccare server centrali di grossi provider coi dati di milioni di utenti.
La verità è che sicurezza e privacy si implicano a vicenda, non c'è un dualismo.
wireless
15-03-2016, 15:26
(ringrazio demon77 per aver colto il senso del mio messaggio)
il problema - ulteriore - è che non c'è nemmeno bisogno di attaccare.
Basta pagare.
Se io mi presento da sede-estera-di-grande-social e gli chiedo dati sui movimenti, fascia d'età.. di miei "potenziali clienti" che vanno da X a Y, intorno ad una certa ora ben precisa, prendendo l'autostrada etc... che non me li danno (ancorchè aggregati)?
Al posto di X mettete l'indirizzo di una Banca e al posto di Y quello di un ente, ed ecco che potete mappare tempi medi di percorrenza e quant'altro di un furgone portavalori.
Per riflettere su quanto sono organizzate, cercate qualche video "DEF CON".
Altra cosa che mi colpisce - per capire come pensano queste persone/organizzazioni: guardate quanto modi facili e veloci ci sono per aprire un lucchetto, cercate "lockpicking" su youtube. Qui il problema non è l'apertura del lucchetto e la connessa violazione della sicurezza, ma il fatto che noi non ci penseremmo mai (in genere). Analogamente - ovvero, non ci penseremmo mai - un giorno potrei diventare un bersaglio perchè in una foto su facebook si vede la mia libreria dove c'è un libro, che ho ereditato da qualche parente, che per me non vale nulla ma per un ladro è il santo graal ed è disposto a uccidere.
Se devo scegliere tra la sicurezza per tutti (compresi i terroristi) e la sicurezza per nessuno (comprese le persone comuni, me)... scelgo la prima. Tanto i primi si organizzano facilmente, come vogliono.
(ringrazio demon77 per aver colto il senso del mio messaggio)
il problema - ulteriore - è che non c'è nemmeno bisogno di attaccare.
Basta pagare.
Se io mi presento da sede-estera-di-grande-social e gli chiedo dati sui movimenti, fascia d'età.. di miei "potenziali clienti" che vanno da X a Y, intorno ad una certa ora ben precisa, prendendo l'autostrada etc... che non me li danno (ancorchè aggregati)?
Al posto di X mettete l'indirizzo di una Banca e al posto di Y quello di un ente, ed ecco che potete mappare tempi medi di percorrenza e quant'altro di un furgone portavalori.
Eh ma qui il discorso cambia.
Se WA è criptato è cosa certa che chi amministra le chiavi le ha. Quindi se basta pagare per avere i dati anche dopo sarà così. :mbe:
Che è quello che abbiamo detto fino ad ora, ma vabbè. Altrimenti a cosa pensavi ci riferissimo parlando di "sicurezza informatica"?
Ma quale sistema di intercettazione? Per i cybercriminali è sufficiente attaccare server centrali di grossi provider coi dati di milioni di utenti.
La verità è che sicurezza e privacy si implicano a vicenda, non c'è un dualismo.
No il discorso è ben diverso.
Sicurezza informatica vuol dire evitare che mailntenzionati entrino a rubare dati, ma qui il problema è che nel frattempo impedisci alleforze investigative di osservare i dati dei malintenzionati.
Come detto, sono due piatti della bilancia che si mplicano a vicenda ma in modo OPPOSTO.
Se lasci entrare accetti che guardino i caxxi tuoi ma nel frattempo possono beccare anche chi fa cose losche altrimenti blindi tutto.
In ultima analisi la questione si riduce ad una sola domanda:
E' più importante beccare i criminali o proteggere da eventuali sbirciate i propri messaggi??
Per quanto mi riguarda beccare i criminali.
Certo. Una cosa che capita continuamente, praticamente un giorno si e uno no.
Scrivi cazzate a raffica, capita continuamente in tantissimi luoghi di questo mondo, apri quella testa minuscola, non esiste solo il tuo cortile. Io dalla Germania, spesso posso usare solo roba sicura quando dialogo con colleghi della turchia perché sono proprio loro a chiedermelo. Hai la vaga idea di quanti siano i paesi che censurano/controllano e senza scomodare la Corea del Nord? Il tuo è un tipico commento da italiano ignorante al 100%.
Tu credi che tutti i cittadini di tanti paesi medio-orientali, sud-americani, AMERICANI, ecc., siano d'accordo con chi li comanda?
Poi? Le scie chimiche? Governo ombra? Gli illuminati? Gombloddo? :doh:
Altro commento oggettivamente cialtrone perché mai tirato in ballo cose aleatorie (che hai citato TU, NON IO, furbone) ma cose ben reali ammesse anche dai diretti interessati, quindi basta sparare cazzate: visto che ti piacciono tanto, le scie attaccatele ar cazzo.
Possiamo stare qui a ciarlare di ste baggianate fino a domani e dirte che "è meglio per tutti" ma i fatti sul tavolo sono questi
I fatti sul tavolo sono i miei, perché reali e documentati a livello mondiale (cazzo pure Obama l'ha ammesso), tu non hai invece niente, solo congetture basate su oggettiva e grassa ignoranza.
In ultima analisi la questione si riduce ad una sola domanda:
E' più importante beccare i criminali o proteggere da eventuali sbirciate i propri messaggi??
Per quanto mi riguarda beccare i criminali.
Visto che è stato più che dimostrato che molti governanti hanno usato dati sensibili dei cittadini per questioni che non avevano niente a che fare con la sicurezza del cittadino (USA, Francia, Germania, ecc. se parliamo di UE: in Italia ci sono tantissimi esempi, registrazioni varie finite perfino su alcuni giornali scandalistici, registrazioni che provenivano da intercettazioni telefoniche sia non autorizzate, sia autorizzate ma con altri scopi diversi da quelli non inerenti l'autorizzazione), direi che sia fondamentale mettere ora dei chiari paletti perché dopo sono certo non sarà più possibile.
Sulle falsità dei governanti ci hanno perfino costruito delle guerre (armi di distruzione di massa, falsità su uranio impoverito e conseguenti malattie/morti di morti soldati lasciati soli e additati come bugiardi, ecc.), altro che gomblotti, figuriamoci giustificare il semplice furto legalizzato di informazioni usate come cazzo gli pare (e nei regimi totalitari può significare pure torture/omicidi). Ma si sa, sempre più cittadini idioti si sono assuefatti tranne poi che starnazzare quando sarà troppo tardi.
matteop3
15-03-2016, 19:48
Se WA è criptato è cosa certa che chi amministra le chiavi le ha. Quindi se basta pagare per avere i dati anche dopo sarà così. :mbe:
Le chiavi di cifratura in WA vengono generate sullo smartphone e non lo lasciano mai, quindi nessun terzo (salvo possedere fisicamente il telefono) ha modo di leggere il messaggio in chiaro. Quindi nessuno le amministra, è un'architettura completamente (ed intelligentemente) decentralizzata. Inoltre sono effimere, ogni singolo messaggio ha una chiave diversa.
Ringraziamo Open whisper Systems per questo capolavoro di cybersecurity e di averlo rilasciato liberamente al mondo, ciò ha permesso a servizi massivi come WA di integrarlo salvaguardando la nostra sicurezza e privacy digitali.
Erotavlas_turbo
15-03-2016, 21:05
Finalmente integreranno definitivamente il protocollo TextSecure che hanno cominciato ad utilizzare nel 2014. Sostanzialmente Whatsapp diventa Signal (ma closed source e coi metadati in pasto a Facebook).
Considerato il volume dell'utenza di Whatsapp, è un bene che adottino integralmente la crittografia end-to-end di default con protocolli aperti e di qualità; i tanto decantati concorrenti dovrebbero prendere esempio.
Un qualunque software di crittografia qualunque siano gli algoritmi che esso implementa se è a codice sorgente chiuso è inaffidabile per definizione.
Nessuno garantisce che all'interno del codice sorgente, poiché non è visibile essendo chiuso, non siano inserite delle back door per il controllo a distanza. Inoltre, dopo lo scandalo Prism (https://it.wikipedia.org/wiki/PRISM_%28programma_di_sorveglianza%29) molto meglio non fidarsi delle multinazionali del software come Google, Microsoft, Yahoo, Facebook (Whatsapp), Apple, etc...
La conclusione è che Whatsapp pur implementando i migliori algoritmi presi in prestito da Signal rimane a codice sorgente chiuso e quindi inaffidabile.
Per un programma di cifratura dati la sicurezza è tutto (in altre parole la certezza che nel software non esistano backdoor, tramite le quali sia possibile decodificare i dati anche in assenza della password), alcuni ritengono che un software Open Source, cioé con il codice sorgente liberamente consultabile da tutti, sia l'ideale per questo tipo di compito. Chiunque infatti -se ha la competenza necessaria- può osservare il codice e verificare che non siano presenti gravi vulnerabilità. I detrattori di questo ribattono che, proprio per la natura aperta del codice, è più facile che qualche malintenzionato ne scopra delle vulnerabilità e le utilizzi a suo vantaggio.
Con un programma a codice chiuso (praticamente tutti i software di cifratura a pagamento lo sono) non è possibile osservare il codice per trovarne delle vulnerabilità (o è possibile solo in misura minima), tuttavia è possibile che la società sviluppatrice del software aggiunga -per pressione di governi, enti governativi, ecc.- backdoor o simili. In questo caso ci si può solo fidare.
Per maggiori dettagli puoi leggere questa analisi in italiano (http://www.repubblica.it/tecnologia/sicurezza/2015/12/01/news/signal_app_snowden-128545228/) o questa in inglese (http://www.theguardian.com/world/2013/sep/05/nsa-how-to-remain-secure-surveillance)
Infine la EFF, un'organizzazione internazionale non profit rivolta alla tutela dei diritti digitali e della libertà di parola ha stilato la seguente classifica (https://www.eff.org/secure-messaging-scorecard) dove Whatsapp riceve un punteggio bassissimo
Non mi pare Whatsapp sia affidabile per la riservatezza della comunicazione, poi sei libero di pensarla come vuoi...
Erotavlas_turbo
15-03-2016, 21:18
Telegram è un buon servizio dal punto di vista dell'esperienza utente. Da quello della sicurezza molto meno.
Purtroppo non ha la crittografia end-to-end di default (ergo, la utilizzerà sì e no lo 0,1% del suo traffico totale) e il protocollo che utilizza è persino chiuso (anche se vagamente documentato).
Le chat normali di Telegram sono in pratica il sogno di cybercriminali e della sorveglianza massiva, dato che tutte le chat di tutti risiedono in maniera centralizzata assieme a tutte le relative chiavi di cifratura (quindi Telegram ha fisicamente modo di accedervi in chiaro).
Il fatto che di recentissimo in Brasile (dove Telegram è molto utilizzato) sia finito nei guai WA e non Telegram temo dica molto.
Cosa stai dicendo? Telegram utilizza la crittografia di default sia per le chat private sia per le chat pubbliche.
Le chat private utilizzano una cifratura end-to-end ed essendo il client a codice sorgente aperto, diversamente da Whatsapp che è a codice sorgente chiuso, sono affidabili. Chiunque può analizzare il codice sorgente per vedere se ci sono back door.
Le chat pubbliche utilizzano la cifratura tra client e server però purtroppo al momento il codice del server è a sorgente chiuso e quindi non sono affidabili.
La EFF, un'organizzazione internazionale non profit rivolta alla tutela dei diritti digitali e della libertà di parola, ha stilato la seguente classifica dove le chat private di Telegram ottengono il punteggio massimo 7/7 mentre quelle pubbliche ottengono 4/7. Ti ricordo che Whatsapp ottiene un punteggio bassissimo 2/7.
Fonte: FAQ Telegram
D: Perché non rendere tutto open source?
Tutto il codice sarà rilasciato alla fine. Abbiamo iniziato con le parti più utili- un'API ben documentata che permette agli sviluppatori di creare nuove applicazioni per Telegram, e client open source che possono essere verificati da esperti di sicurezza.
è pazzesco che su un forum di tecnologia trovi gente che darebbe in pasto a chiunque la possibilità di controllare le conversazioni private (di chiunque esse siano), invece di difendere la sicurezza informatica e l'inviolabilità del software.
Bisogna davvero essere poveri di mente per consentire tutto questo. Per i terroristi che tutti tirano in ballo in questa situazione (e che ormai sono lì per poter giustificare qualsiasi atto di forza governativo), se WA avesse delle backdoor allora non lo utilizzerebbero e punterebbero su un'alternativa sicura oppure si farebbero un fork (una grande organizzazione può) di Signal o Telegram per i propri scopi...
Insomma chi resta fuori sono solo i comuni utenti per cui la riservatezza è sacrosanta SEMPRE! Anche se stanno organizzando la pizza con gli amici il sabato sera
matteop3
15-03-2016, 21:59
Un qualunque software di crittografia qualunque siano gli algoritmi che esso implementa se è a codice sorgente chiuso è inaffidabile per definizione.
Nessuno garantisce che all'interno del codice sorgente, poiché non è visibile essendo chiuso, non siano inserite delle back door per il controllo a distanza. Inoltre, dopo lo scandalo Prism (https://it.wikipedia.org/wiki/PRISM_%28programma_di_sorveglianza%29) molto meglio non fidarsi delle multinazionali del software come Google, Microsoft, Yahoo, Facebook (Whatsapp), Apple, etc...
La conclusione è che Whatsapp pur implementando i migliori algoritmi presi in prestito da Signal rimane a codice sorgente chiuso e quindi inaffidabile.
Filosoficamente sono molto d'accordo, pragmaticamente è meglio il forse sicuro Whatsapp dal certamente non sicuro Telegram. Signal è chiaramente la soluzione migliore.
Infine la EFF, un'organizzazione internazionale non profit rivolta alla tutela dei diritti digitali e della libertà di parola ha stilato la seguente classifica (https://www.eff.org/secure-messaging-scorecard) dove Whatsapp riceve un punteggio bassissimo
Questa storia della scoreboard della EFF bisogna proprio chiarirla, perché mi perseguita ogni volta che critico costruttivamente Telegram e oso spezzare lance a favore di Whatsapp.
Lì ci sono giudizi qualitativi, non quantitativi; è vero che Telegram è open source e con le chat segrete ha tutti i tick verdi, ma il protocollo (MTProto) in realtà ha una scarsa reputazione tra i ricercatori di sicurezza (è chiuso, non collaudato e non segue molti standard consigliati, sia a livello di primitive utilizzate, sia a livello implementativo). Anche Signal ha tutti i tick verdi, ma la qualità del softare è completamente di un altro pianeta.
matteop3
15-03-2016, 22:05
Cosa stai dicendo? Telegram utilizza la crittografia di default sia per le chat private sia per le chat pubbliche.
Le chat normali di Telegram NON utilizzano la crittografia end-to-end, occhio (ma probabilmente lo sai già).
https://telegram.org/faq/it#d-quindi-come-crittografate-i-dati
Le chat segrete si affidano al traballante MTProto (certo, è comunque meglio che usare le chat normali).
Le chat private utilizzano una cifratura end-to-end ed essendo il client a codice sorgente aperto, diversamente da Whatsapp che è a codice sorgente chiuso, sono affidabili. Chiunque può analizzare il codice sorgente per vedere se ci sono back door.
Le chat pubbliche utilizzano la cifratura tra client e server però purtroppo al momento il codice del server è a sorgente chiuso e quindi non sono affidabili.
Il fatto di essere open source dà una sicurezza potenziale, non certa; un software open source non è intrinsecamente sicuro perché è open source eh.
Crittografia client-server è molto diverso da crittografia end-to-end, l'unica che realmente garantisce che solo mittente e destinatario accedano in chiaro ai messaggi, quindi le chat normali di Telegram non sono sicure.
La EFF, un'organizzazione internazionale non profit rivolta alla tutela dei diritti digitali e della libertà di parola, ha stilato la seguente classifica dove le chat private di Telegram ottengono il punteggio massimo 7/7 mentre quelle pubbliche ottengono 4/7. Ti ricordo che Whatsapp ottiene un punteggio bassissimo 2/7.
http://www.hwupgrade.it/forum/showpost.php?p=43479721&postcount=38
è pazzesco che su un forum di tecnologia trovi gente che darebbe in pasto a chiunque la possibilità di controllare le conversazioni private (di chiunque esse siano), invece di difendere la sicurezza informatica e l'inviolabilità del software.
Bisogna davvero essere poveri di mente per consentire tutto questo. Per i terroristi che tutti tirano in ballo in questa situazione (e che ormai sono lì per poter giustificare qualsiasi atto di forza governativo), se WA avesse delle backdoor allora non lo utilizzerebbero e punterebbero su un'alternativa sicura oppure si farebbero un fork (una grande organizzazione può) di Signal o Telegram per i propri scopi...
Insomma chi resta fuori sono solo i comuni utenti per cui la riservatezza è sacrosanta SEMPRE! Anche se stanno organizzando la pizza con gli amici il sabato sera
Probailmente perchè essere "poveri di mente" vuol dire capire che è una cosa buona che le forze dell'ordine abbiano una backdoor certificata per poter decriptare il cellulare di unterrorista per poterne raccogliere le informazioni importanti.
Mentre invece essere "ricchi di mente" a quanto pare vuol dire dare la proprità alla protezione totale in modo becero ed universale così tutti potemo gongolare del fatto che nessuno mai riuscirà a rubare le informazioni relative alla prossima pizzata del gruppo di calcetto.
Forse forse, oltre alla tecnologia in sè esite pure un mondo là fuori.
Ipotizzo eh.. sai sono povero di mente. :rolleyes:
matteop3
15-03-2016, 22:10
è pazzesco che su un forum di tecnologia trovi gente che darebbe in pasto a chiunque la possibilità di controllare le conversazioni private (di chiunque esse siano), invece di difendere la sicurezza informatica e l'inviolabilità del software.
Bisogna davvero essere poveri di mente per consentire tutto questo. Per i terroristi che tutti tirano in ballo in questa situazione (e che ormai sono lì per poter giustificare qualsiasi atto di forza governativo), se WA avesse delle backdoor allora non lo utilizzerebbero e punterebbero su un'alternativa sicura oppure si farebbero un fork (una grande organizzazione può) di Signal o Telegram per i propri scopi...
Insomma chi resta fuori sono solo i comuni utenti per cui la riservatezza è sacrosanta SEMPRE! Anche se stanno organizzando la pizza con gli amici il sabato sera
Purtroppo l'obiezione comune è sempre "ma tanto io non ho nulla da nascondere".
La morte della discussione.
Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say.
matteop3
15-03-2016, 22:13
Probailmente perchè essere "poveri di mente" vuol dire capire che è una cosa buona che le forze dell'ordine abbiano una backdoor certificata per poter decriptare il cellulare di unterrorista per poterne raccogliere le informazioni importanti.
Qualsiasi cosa voglia dire quel "certificata", ti è stato ribadito più volte che è tecnologicamente impossibile fare in modo che una backdoor possa venir sfruttata selettivamente solo da alcune persone. Dal momento in cui esiste chiunque potrebbe utilizzarla, anche criminali e terroristi.
matteop3
15-03-2016, 22:22
Probailmente perchè essere "poveri di mente" vuol dire capire che è una cosa buona che le forze dell'ordine abbiano una backdoor certificata per poter decriptare il cellulare di unterrorista per poterne raccogliere le informazioni importanti.
Mentre invece essere "ricchi di mente" a quanto pare vuol dire dare la proprità alla protezione totale in modo becero ed universale così tutti potemo gongolare del fatto che nessuno mai riuscirà a rubare le informazioni relative alla prossima pizzata del gruppo di calcetto.
Forse forse, oltre alla tecnologia in sè esite pure un mondo là fuori.
Ipotizzo eh.. sai sono povero di mente. :rolleyes:
Questo si chiama straw man argument.
La crittografia end-to-end fa in modo che solamente mittente e destinatario siano fisicamente in grado di accedere in chiaro al messaggio scambiato, nessun intermediario ne sarebbe in grado, nemmeno l'esercente del servizio. A me, che auspico una società libera e civile, sembra un requisito così ovvio che mi sembra incredibile doverlo giustificare.
La crittografia è l'quivalente digitale della serratura alla porta di casa e alle tende alle finestre.
Per tutti (e per tutti intendo tutti).
Dipende. Prendiamo come esempio il caso Apple di qualche settimana fa'. Se Apple creasse una backdoor (quindi una versione di iOS debole) in grado di entrare negli iPhone, poi chiunque sarebbe in grado di entrarci e in qualsiasi momento.
http://memeguy.com/photos/images/pandoras-iphone-201922.png
Chiunque "resterà fuori dai giochi". Pensare che una backdoor possa essere utilizzata solo dai buoni è pura e semplice (e pericolosa) ignoranza.
Serve semplicemente a fare concretamente in modo che la tua corrispondenza privata sia effettivamente privata.
Ribadisco, applausi per Whatsapp.
:ave: :ave: :ave:
Solo retorica
La tua lo è certamente.
Scrivi cazzate a raffica, capita continuamente in tantissimi luoghi di questo mondo, apri quella testa minuscola, non esiste solo il tuo cortile. Io dalla Germania, spesso posso usare solo roba sicura quando dialogo con colleghi della turchia perché sono proprio loro a chiedermelo. Hai la vaga idea di quanti siano i paesi che censurano/controllano e senza scomodare la Corea del Nord? Il tuo è un tipico commento da italiano ignorante al 100%.
Tu credi che tutti i cittadini di tanti paesi medio-orientali, sud-americani, AMERICANI, ecc., siano d'accordo con chi li comanda?
Altro commento oggettivamente cialtrone perché mai tirato in ballo cose aleatorie (che hai citato TU, NON IO, furbone) ma cose ben reali ammesse anche dai diretti interessati, quindi basta sparare cazzate: visto che ti piacciono tanto, le scie attaccatele ar cazzo.
I fatti sul tavolo sono i miei, perché reali e documentati a livello mondiale (cazzo pure Obama l'ha ammesso), tu non hai invece niente, solo congetture basate su oggettiva e grassa ignoranza.
:ave: :ave: :ave:
Un qualunque software di crittografia qualunque siano gli algoritmi che esso implementa se è a codice sorgente chiuso è inaffidabile per definizione.
Nessuno garantisce che all'interno del codice sorgente, poiché non è visibile essendo chiuso, non siano inserite delle back door per il controllo a distanza.
Un attimo, qui però vorrei fare una semplice domanda:
Chi mi garantisce che il software che uso sia stato compilato ESATTAMENTE da quel codice sorgente? Parlo pensando da utente comune, quello che non sa nemmeno cosa sia un compilatore.
ComputArte
16-03-2016, 07:31
Ho letto pareri, opinioni ed informazioni di tecnici che paventano la sicurezza contro lo spionaggio come se fosse cosa acclarata e CERTA...
Vogliamo veramente far passare come verità che la criptazione end-to-end sia a prova di spionaggio!?
Vogliamo veramente credere che le OTT che fanno profitti oltre ogni limite di liceità, profilando TUTTO e TUTTI in maniera CONTNUATIVA, adottino una soluzione per la quale non siano in grado di legegre in chiaro le informazioni generate sul terminale "SMART" e su di esso trasitanti!?
Vogliamo credere che i kernel dei SO siano completamente esenti da "porticine di servizio"?!
La cosa veramente nauseabonda è che giornalisti e tecnici di "settore" non notino il fatto sconcertante che le agenzie di intelligence per COMPLETARE il loro lavoro non debbano fare altro che accedere ai server delle OTT, che non dimentichiamoci essere dei soggetti PRIVATI!!!!
Quindi di che cosa stiamo parlando?!?!
Di aziende che spiano tutto e tutti conservando i dati e leggendoli in CHIARO SEMPRE, che vogliono avere l'esclusiva , impedendo a "terzi" incluse la agenzie di intelligence , di entrare nei loro server?!?!?! ......BUHAHAHAHAHAHAHAA!!!!
...anche perchè fin tanto che i servizi saranno offerti come "gratuiti" e nelle policicy è affermato nero su bianco che saranno raccolti i dati per "migliorare i servizi", cosa state pensando di leggere?!?!....un passo del vangelo dove il buon Samaritano DONA qualche cosa?!! :sofico:
Purtroppo l'obiezione comune è sempre "ma tanto io non ho nulla da nascondere".
La morte della discussione.[/I]era lo slogan delle SS :O
matteop3
16-03-2016, 10:28
Un attimo, qui però vorrei fare una semplice domanda:
Chi mi garantisce che il software che uso sia stato compilato ESATTAMENTE da quel codice sorgente? Parlo pensando da utente comune, quello che non sa nemmeno cosa sia un compilatore.
Solitamente i software (aperti o chiusi che siano) vengono firmati con le chiavi private degli sviluppatori. La verifica della firma avviene (in maniera trasparente) ogni volta che scarichi il software dallo store (Google Play, App Store, Software Center di Linux, ecc.). In questo modo sei certo di scaricare software originale e non contraffatto.
Difatti il classico modello pc (scarico dai singoli siti .exe a casaccio) è un paradigma intrinsecamente insicuro. Store centrali sarebbero auspicabili (purché non pretendano di possedere e centralizzare anche le chiavi private degli sviluppatori, come fa F-Droid).
Solitamente i software (aperti o chiusi che siano) vengono firmati con le chiavi private degli sviluppatori. La verifica della firma avviene (in maniera trasparente) ogni volta che scarichi il software dallo store (Google Play, App Store, Software Center di Linux, ecc.). In questo modo sei certo di scaricare software originale e non contraffatto.
Difatti il classico modello pc (scarico dai singoli siti .exe a casaccio) è un paradigma intrinsecamente insicuro. Store centrali sarebbero auspicabili (purché non pretendano di possedere e centralizzare anche le chiavi private degli sviluppatori, come fa F-Droid).
Sì, ma se il team di WhatsApp pubblica un sorgente e ne compila un altro? Sempre di software firmato si tratta, no? :confused:
ComputArte
16-03-2016, 13:01
Se gli store ufficiali fossero garanzia di sicurezza sarmmo in un monod ideale....purtroppo non è così e basta farsi una rapida acrrellata di sw malevolo che viene costantemente "nascosto" negli stor e che si scopre DOPO che molti hanno scaricato , che era malevolo!
La crittografia end-to-end fa in modo che solamente mittente e destinatario siano fisicamente in grado di accedere in chiaro al messaggio scambiato, nessun intermediario ne sarebbe in grado, nemmeno l'esercente del servizio. A me, che auspico una società libera e civile, sembra un requisito così ovvio che mi sembra incredibile doverlo giustificare.
Io questa frase la incornicerei, non avrei saputo dirlo meglio.
Tornando alla notizia, mi fa piacere che WA cominci a lavorare sul serio sull'aspetto crittografia. Quel che ancora mi preoccupa è il fatto che un programma closed source non da certo garanzie sulla privacy.
matteop3
16-03-2016, 15:34
Sì, ma se il team di WhatsApp pubblica un sorgente e ne compila un altro? Sempre di software firmato si tratta, no? :confused:
Nel caso di Whatsapp non avrebbe senso, tanto è closed source. :P
matteop3
16-03-2016, 15:46
Tornando alla notizia, mi fa piacere che WA cominci a lavorare sul serio sull'aspetto crittografia. Quel che ancora mi preoccupa è il fatto che un programma closed source non da certo garanzie sulla privacy.
Whatsapp, a livello di immagine, soffre molto l'essere chiuso e di Facebook, ma devo onestamente ammettere che, una volta integrato del tutto il protocollo libero TextSecure (sviluppato da Open Whisper Systems, gli sviluppatori di Signal), sarà molto molto più sicuro della maggior parte dei concorrenti, Telegram in primis, perché ripeto, meglio il probabilmente sicuro ma chiuso WA al certamente non sicuro ma aperto Telegram (che poi è aperto solo a metà, il loro protocollo di crittografia end-to-end MTProto non è aperto, mi risulta).
Detto questo, la mia prima scelta per un IM è Signal.
Erotavlas_turbo
16-03-2016, 17:00
Io questa frase la incornicerei, non avrei saputo dirlo meglio.
Tornando alla notizia, mi fa piacere che WA cominci a lavorare sul serio sull'aspetto crittografia. Quel che ancora mi preoccupa è il fatto che un programma closed source non da certo garanzie sulla privacy.
Esatto! Riservatezza tramite la crittografia e un codice chiuso sono un ossimoro.
Erotavlas_turbo
16-03-2016, 17:08
Filosoficamente sono molto d'accordo, pragmaticamente è meglio il forse sicuro Whatsapp dal certamente non sicuro Telegram. Signal è chiaramente la soluzione migliore.
Questa storia della scoreboard della EFF bisogna proprio chiarirla, perché mi perseguita ogni volta che critico costruttivamente Telegram e oso spezzare lance a favore di Whatsapp.
Lì ci sono giudizi qualitativi, non quantitativi; è vero che Telegram è open source e con le chat segrete ha tutti i tick verdi, ma il protocollo (MTProto) in realtà ha una scarsa reputazione tra i ricercatori di sicurezza (è chiuso, non collaudato e non segue molti standard consigliati, sia a livello di primitive utilizzate, sia a livello implementativo). Anche Signal ha tutti i tick verdi, ma la qualità del softare è completamente di un altro pianeta.
Come fai a dire che Whatsapp sia più sicuro di Telegram? L'unica analisi comparativa dei due che ho trovato è quella precedente della EFF (https://www.eff.org/secure-messaging-scorecard) dove ripeto le chat private di Telegram ottengono il punteggio massimo 7/7 mentre quelle pubbliche ottengono 4/7. Ti ricordo che Whatsapp ottiene un punteggio bassissimo 2/7.. Riportami un'analisi comparativa dove viene detto il contrario e cambierò idea.
Il protocollo MTProto è aperto (https://core.telegram.org/mtproto). Perché dici un mare di cavolate? Informati...
Tutto quello che dici tu sono tue idee mentre io ti riporto valutazioni di enti terzi no profit.
Erotavlas_turbo
16-03-2016, 17:11
Un attimo, qui però vorrei fare una semplice domanda:
Chi mi garantisce che il software che uso sia stato compilato ESATTAMENTE da quel codice sorgente? Parlo pensando da utente comune, quello che non sa nemmeno cosa sia un compilatore.
Il punto è che per un codice a sorgente chiuso nessuno ti garantisce cosa contenga e cosa faccia il codice.
Come esempio prendi Chromium sorgente aperto e Chrome sorgente chiuso. Nessuno conosce quali parti di codice aggiunga Google tra i due. Ti devi solo fidare. Visto lo scandalo Prism (https://it.wikipedia.org/wiki/PRISM_%28programma_di_sorveglianza%29), meglio usare Firefox...
matteop3
16-03-2016, 18:41
Sarò stringato.
Come fai a dire che Whatsapp sia più sicuro di Telegram? L'unica analisi comparativa dei due che ho trovato è quella precedente della EFF (https://www.eff.org/secure-messaging-scorecard) dove ripeto le chat private di Telegram ottengono il punteggio massimo 7/7 mentre quelle pubbliche ottengono 4/7. Ti ricordo che Whatsapp ottiene un punteggio bassissimo 2/7.. Riportami un'analisi comparativa dove viene detto il contrario e cambierò idea.
Me l'avrete linkata 550 volte quella scoreboard. Ho già risposto a riguardo.
https://whispersystems.org/blog/whatsapp/
Il protocollo MTProto è aperto (https://core.telegram.org/mtproto). Perché dici un mare di cavolate? Informati...
Tutto quello che dici tu sono tue idee mentre io ti riporto valutazioni di enti terzi no profit.
Il codice sorgente? Non vorrai dirmi che questa specie di bozza di documentazione basti a definirlo aperto, vero?
Ecco invece il sorgente del protocollo che utilizza Whatsapp: https://github.com/WhisperSystems/libaxolotl-java
Erotavlas_turbo
16-03-2016, 20:37
Sarò stringato.
Me l'avrete linkata 550 volte quella scoreboard. Ho già risposto a riguardo.
https://whispersystems.org/blog/whatsapp/
Appunto l'hai appena detto. E' l'unica valutazione comparativa disponibile fatta da un ente terzo e imparziale. Fatti una domanda del perchè tutti te la riportano...
Il codice sorgente? Non vorrai dirmi che questa specie di bozza di documentazione basti a definirlo aperto, vero?
Ecco invece il sorgente del protocollo che utilizza Whatsapp: https://github.com/WhisperSystems/libaxolotl-java
No. Ancora? Whatsapp è a sorgente chiuso. Come fai a negarlo? Leggi anche su Wikipedia (https://it.wikipedia.org/wiki/WhatsApp)
Inoltre il codice di Signal (https://it.wikipedia.org/wiki/Signal_%28software%29) è GPLv3 il che rende impossibile utilizzarlo in un programma a sorgente chiuso con licenza proprietaria come Whatsapp (Whatsapp non può utilizzare lo stesso codice di Signal, ma solo il suo protocollo con nuovo codice scritto da zero leggi (https://whispersystems.org/blog/whatsapp/)). E' il fondamento della licenza copyleft GPL (https://it.wikipedia.org/wiki/GNU_General_Public_License).
Telegram ha il codice sorgente per tutti i client aperto (https://telegram.org/apps#source-code)
Le API per sviluppare i BOT e le applicazioni aperte (https://core.telegram.org/api)
Protocollo Mproto (https://core.telegram.org/mtproto) e FAQ tenciche (https://core.telegram.org/techfaq)
Per favore invece di dire sciocchezze, documentati...
matteop3
16-03-2016, 20:44
Appunto l'hai appena detto. E' l'unica valutazione comparativa disponibile fatta da un ente terzo e imparziale. Fatti una domanda del perchè tutti te la riportano...
No. Ancora? Whatsapp è a sorgente chiuso. Come fai a negarlo? Leggi anche su Wikipedia (https://it.wikipedia.org/wiki/WhatsApp)
Inoltre il codice di Signal (https://it.wikipedia.org/wiki/Signal_%28software%29) è GPLv3 il che rende impossibile utilizzarlo in un programma a sorgente chiuso con licenza proprietaria come Whatsapp (Whatsapp non può utilizzare lo stesso codice di Signal, ma solo il suo protocollo con nuovo codice scritto da zero leggi (https://whispersystems.org/blog/whatsapp/)). E' il fondamento della licenza copyleft GPL (https://it.wikipedia.org/wiki/GNU_General_Public_License).
Telegram ha il codice sorgente per tutti i client aperto (https://telegram.org/apps#source-code)
Le API per sviluppare i BOT e le applicazioni aperte (https://core.telegram.org/api)
Protocollo Mproto (https://core.telegram.org/mtproto) e FAQ tenciche (https://core.telegram.org/techfaq)
Per favore invece di dire sciocchezze, documentati...
Io davvero mi chiedo se tu abbia letto una sola parola di tutto quel che ho scritto.
Erotavlas_turbo
16-03-2016, 21:18
Le chat normali di Telegram NON utilizzano la crittografia end-to-end, occhio (ma probabilmente lo sai già).
https://telegram.org/faq/it#d-quindi-come-crittografate-i-dati
Dal link che hai riportato tu. La nostra crittografia è basata sulla crittografia AES simmetrica a 256-bit, sulla crittografia RSA 2048 e sullo scambio di chiavi di sicurezza Diffie-Hellman.
Questo significa che utilizzano sia la crittografia asimmetrica RSA sia quella simmetrica AES. La differenza è solo una: il client è open source quindi puoi vedere l'implementazione del codice per la connessione e la crittografia end-to-end mentre il server è closed source e quindi non puoi vedere l'implementazione del codice per la connessione e la crittografia client-server.
Un implementazione di un sistema di crittografia closed source non è affidabile per definizione e la connessione client-server non è affidabile.
Le chat segrete si affidano al traballante MTProto (certo, è comunque meglio che usare le chat normali).
Si? Fonti per questa affermazione? Ti ripeto l'unica comparativa è quella della EFF (https://www.eff.org/secure-messaging-scorecard) che da 7/7 alle chat segrete e 4/7 alle chat pubbliche di Telegram. Whatsapp si ferma a 2/7.
Il fatto di essere open source dà una sicurezza potenziale, non certa; un software open source non è intrinsecamente sicuro perché è open source eh.
Vero. Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione. Un codice closed source è inaffidabile per definizione. Nessuno può controllarlo solo la casa produttrice.
Crittografia client-server è molto diverso da crittografia end-to-end, l'unica che realmente garantisce che solo mittente e destinatario accedano in chiaro ai messaggi, quindi le chat normali di Telegram non sono sicure.
http://www.hwupgrade.it/forum/showpost.php?p=43479721&postcount=38
Si le chat normali di Telegram non sono sicure perché il codice del server di Telegram è chiuso e non possiamo vedere se ci sono back door e la sua implementazione.
Erotavlas_turbo
16-03-2016, 21:21
Io davvero mi chiedo se tu abbia letto una sola parola di tutto quel che ho scritto.
Si me lo chiedo anche io. Non conosci la differenza tra open source e closed source. Difendi per forza Whatsapp dicendo che utilizza il codice di Signal quando questo è impossibile a causa delle licenze software...Whatsapp ha ricevuto un punteggio bassissimo dall'unica comparativa imparziale presente in rete della EFF.
Vedi tu. Io non ho più niente da dire.
cdimauro
16-03-2016, 21:35
Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione.
Falso. Lo dimostra il caso OpenSSH.
Lo dimostrano pure le recentissime falle venite fuori dopo diversi anni esclusivamente grazie al lavoro di review di Google e Red Hat (che sono aziende che hanno precisi interessi).
Un codice closed source è inaffidabile per definizione.
Falso. Il fatto che non siano disponibili i sorgenti non è, logica alla mano, dimostrazione che un software sia inaffidabile. Può benissimo essere affidabilissimo. Semplicemente il codice che lo genera non è disponibile a tutti.
Nessuno può controllarlo solo la casa produttrice.
Falso anche questo. Mai sentito parlare di reverse engineering?
matteop3
16-03-2016, 22:07
Si le chat normali di Telegram non sono sicure perché il codice del server di Telegram è chiuso e non possiamo vedere se ci sono back door e la sua implementazione.
Le chat normali di Telegram non sono insicure perché il server è closed source, lo sono perché la crittografia client-server (a differenza di quella end-to-end) non impedisce al server di poter leggere in chiaro i contenuti delle conversazioni, open/closed non c'entra nulla in questa circostanza.
matteop3
16-03-2016, 22:10
Non conosci la differenza tra open source e closed source.
O.o
Difendi per forza Whatsapp dicendo che utilizza il codice di Signal quando questo è impossibile a causa delle licenze software...
Evidentemente quando prima te l'ho linkato non l'hai aperto: https://whispersystems.org/blog/whatsapp/
At Open Whisper Systems, our goal is to make private communication simple. For the past three years, we’ve been developing a modern, open source, strong encryption protocol for asynchronous messaging systems, designed to make seamless end-to-end encrypted messaging possible.
Today we’re excited to publicly announce a partnership with WhatsApp, the most popular messaging app in the world, to incorporate the TextSecure protocol into their clients and provide end-to-end encryption for their users by default.
Io attendo l'effettiva e conclusa implementazione per esprimere giudizio, chi vivrà vedrà, attualmente sono solo leggermente scettico, anche conoscendo Zuckerotto e la mission del suo core business.
C'è comunque una cosa che sinceramente mi scoccia (che impongono un po' tutti, tranne skype, hangouts, viber e qualche altro) e cioè il registrarsi/accedere solo fornendo obbligatoriamente il numero telefonico. I messagersinternet oriented sono usatissimi anche da chi non usa in alcun modo la rete cellulare (per limiti tecnici, vedi tanti tablet basici con solo wifi, oppure per inutilità di spendere maggiormente perché magari si è sempre coperti da wifi, per esempio scuola, casa, lavoro).
Un implementazione di un sistema di crittografia closed source non è affidabile per definizione e la connessione client-server non è affidabile.
[/QUOT]
Allora dimostra (nel senso matematico del termine) che il poter leggere il sorgente sia GARANZIA di affidabilità.
I programmi si sviluppano nello stesso, identico, modo, indipendentemente dal tipo di licenza con cui vengono distribuiti.
[QUOTE=Erotavlas_turbo;43483227]
Vero. Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione. Un codice closed source è inaffidabile per definizione. Nessuno può controllarlo solo la casa produttrice.
IN TEORIA, perché, in pratica, CHI legge i sorgenti? Come ha detto cdimauro, oltre alla clamorosa vicenda OpenSSH (che sarebbe anche una libreria un filino importante), andrebbe ricordato che le ultime falle, presenti da anni, sono state individuate da Google e Red Hat, che non sono affatto gli hacker della comunità, ma aziende votate al lucro. Quindi, gira e rigira, scopriamo che il codice dei progetti grossi lo leggono (e comprendono) solo quelli che ci lavorano?
Senza dimenticare che la sicurezza di un algoritmo nel settore della sicurezza è una caratteristica matematica, al netto, ovviamente, di SEMPRE possibili errori nell'implementazione, open o closed che sia.
Si me lo chiedo anche io. Non conosci la differenza tra open source e closed source. Difendi per forza Whatsapp dicendo che utilizza il codice di Signal quando questo è impossibile a causa delle licenze software...Whatsapp ha ricevuto un punteggio bassissimo dall'unica comparativa imparziale presente in rete della EFF.
Vedi tu. Io non ho più niente da dire.
Credo che tu abbia frainteso la sua posizione.
Lui non difende WhatsApp (anzi...), ma ritiene il protocolo TextSecure ottimo e si felicita della sua adozione in WhatsApp.
Sui problemi di sicurezza di Telegram ci sono in rete diversi documenti da leggere (anche io in passato ne ho linkato qualcuno) che evidenziano problemi nell'intera architettura e mostrano come certi tipi di test (in cui Telegram ne esce bene) siano anche essi concettualmente fallati (ossia non ci sia una corrispondenza tra il risultato del test e la sicurezza reale).
Non chiedermi di linkarli anche qui perchè non ho davvero il tempo di cercarli di nuovo.
Il fatto che venga usato per WhatsApp direi che è possibilissimo.
GPLv3 non è totalmente chiusa al software commerciale e il software può essere integrato (alle dovute condizioni), senza contare che nulla vieta ai programmatori di Signal, che ne sono i fautori, di rilasciare il codice direttamente a WhatsAPP sotto altra licenza (del resto se c'è una collaborazione...).
Falso. ...
Mi sembra che tu non abbia affatto colto il punto del discorso.
Non si parlava della qualità del software (e citare problemi e bug non serve a nulla, dato che tutti sanno che nessun softare è totalmente sicuro da questo punto di vista, né quello open, né quello close), ma del fatto che in un software closed source non si è in grado di verificare come di fatti utilizzi questa sicurezza.
Certo, se hai totale fiducia in una casa software per te può essere lo stesso, ma per chi è un po' più diffidente la differenza è abissale.
In altre parole, se io ho la competenza, posso controllare il codice del software e verificare se in effetti i miei dati cifrati non vengano letti da chi non deve o rimangano scoperti durante qualche passaggio.
Più in generale, dato che questa competenza non è certo alla portata di tutti, il rilascio del codice sorgente garantisce che chi ha competenza e interesse (anche i tuoi "avversari", che ovviamente avrebbero tutto l'interesse a far emergere il problema) possa di fatto verificare che le cose siano state fatte come si deve, e denunciare la cosa in caso contrario.
matteop3
17-03-2016, 13:25
Sui problemi di sicurezza di Telegram ci sono in rete diversi documenti da leggere (anche io in passato ne ho linkato qualcuno) che evidenziano problemi nell'intera architettura e mostrano come certi tipi di test (in cui Telegram ne esce bene) siano anche essi concettualmente fallati (ossia non ci sia una corrispondenza tra il risultato del test e la sicurezza reale).
Non chiedermi di linkarli anche qui perchè non ho davvero il tempo di cercarli di nuovo.
Sì, tutto ciò si riferisce al loro famoso crypto-contest, un'enorme "truffa".
Qui due post molto interessanti a riguardo:
http://www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest
http://www.thoughtcrime.org/blog/telegram-crypto-challenge/
Mi sembra che tu non abbia affatto colto il punto del discorso.
Non si parlava della qualità del software (e citare problemi e bug non serve a nulla, dato che tutti sanno che nessun softare è totalmente sicuro da questo punto di vista, né quello open, né quello close), ma del fatto che in un software closed source non si è in grado di verificare come di fatti utilizzi questa sicurezza.
Certo, se hai totale fiducia in una casa software per te può essere lo stesso, ma per chi è un po' più diffidente la differenza è abissale.
In altre parole, se io ho la competenza, posso controllare il codice del software e verificare se in effetti i miei dati cifrati non vengano letti da chi non deve o rimangano scoperti durante qualche passaggio.
Più in generale, dato che questa competenza non è certo alla portata di tutti, il rilascio del codice sorgente garantisce che chi ha competenza e interesse (anche i tuoi "avversari", che ovviamente avrebbero tutto l'interesse a far emergere il problema) possa di fatto verificare che le cose siano state fatte come si deve, e denunciare la cosa in caso contrario.
Esatto, è proprio questa la vera forza del concetto di open source. A livello pratico non incide sull'effettiva sicurezza, ma è comunque un requisito importante (se non altro in prospettiva) per un software che voglia definirsi sicuro.
Erotavlas_turbo
17-03-2016, 17:30
Falso. Lo dimostra il caso OpenSSH.
Lo dimostrano pure le recentissime falle venite fuori dopo diversi anni esclusivamente grazie al lavoro di review di Google e Red Hat (che sono aziende che hanno precisi interessi).
Un codice open source è affidabile proprio per questo motivo. Se ci sono falle inserite volutamente (https://en.wikipedia.org/wiki/Heartbleed) o meno prima o poi vengono fuori...
Il codice closed source non ti garantisce questo aspetto.
Falso. Il fatto che non siano disponibili i sorgenti non è, logica alla mano, dimostrazione che un software sia inaffidabile. Può benissimo essere affidabilissimo. Semplicemente il codice che lo genera non è disponibile a tutti.
Certo ma un codice con sorgenti disponibili ti consente di vedere come è stato fatto e questo è fondamentale per un software che mira a gestire la riservatezza...
Falso anche questo. Mai sentito parlare di reverse engineering?
Si vuoi mettere il reverse engineering con avere il codice sorgente disponibile? Hai mai fatto una prova?
Il punto focale è la trasparenza che un codice chiuso non fornisce e non potrà mai fornire e per questo è intrinsecamente inaffidabile.
Erotavlas_turbo
17-03-2016, 17:38
Un implementazione di un sistema di crittografia closed source non è affidabile per definizione e la connessione client-server non è affidabile.
Allora dimostra (nel senso matematico del termine) che il poter leggere il sorgente sia GARANZIA di affidabilità.
I programmi si sviluppano nello stesso, identico, modo, indipendentemente dal tipo di licenza con cui vengono distribuiti.
Dato lo stesso algoritmo con due implementazioni open source e closed source, solo la prima è trasparente e ti consente di vedere l'implementazione. La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa.
IN TEORIA, perché, in pratica, CHI legge i sorgenti? Come ha detto cdimauro, oltre alla clamorosa vicenda OpenSSH (che sarebbe anche una libreria un filino importante), andrebbe ricordato che le ultime falle, presenti da anni, sono state individuate da Google e Red Hat, che non sono affatto gli hacker della comunità, ma aziende votate al lucro. Quindi, gira e rigira, scopriamo che il codice dei progetti grossi lo leggono (e comprendono) solo quelli che ci lavorano?
Anche questo è vero. Sono le grandi aziende che sostengono la filosofia open source, ma per loro interessi non per motivi etici, ad apportare le grandi modifiche. Questo è normale considerando quanti dipendenti abbiano se paragonato al singolo esperto hacker.
Senza dimenticare che la sicurezza di un algoritmo nel settore della sicurezza è una caratteristica matematica, al netto, ovviamente, di SEMPRE possibili errori nell'implementazione, open o closed che sia.
Certo, ripeto dato lo stesso algoritmo con due implementazioni open source e closed source, solo la prima è trasparente e ti consente di vedere l'implementazione. La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa.
Erotavlas_turbo
17-03-2016, 17:46
Credo che tu abbia frainteso la sua posizione.
Lui non difende WhatsApp (anzi...), ma ritiene il protocolo TextSecure ottimo e si felicita della sua adozione in WhatsApp.
Non mi pare se rileggi tutto il thread.
Sui problemi di sicurezza di Telegram ci sono in rete diversi documenti da leggere (anche io in passato ne ho linkato qualcuno) che evidenziano problemi nell'intera architettura e mostrano come certi tipi di test (in cui Telegram ne esce bene) siano anche essi concettualmente fallati (ossia non ci sia una corrispondenza tra il risultato del test e la sicurezza reale).
Non chiedermi di linkarli anche qui perchè non ho davvero il tempo di cercarli di nuovo.
Può essere...non c'è un'analisi valida di Telegram oltre che la EFF. Puoi riportarla...
Il fatto che venga usato per WhatsApp direi che è possibilissimo.
GPLv3 non è totalmente chiusa al software commerciale e il software può essere integrato (alle dovute condizioni), senza contare che nulla vieta ai programmatori di Signal, che ne sono i fautori, di rilasciare il codice direttamente a WhatsAPP sotto altra licenza (del resto se c'è una collaborazione...).
No questo non è possibile. Non puoi includere o linkare codice open source con licenza GPL dentro un codice proprietario quindi closed source (la licenza BSD per esempio ti consente questo). Puoi vendere un prodotto che utilizza codice open source con licenza GPL, ma devi rilasciare il codice con la stessa licenza open source GPL.
Mi sembra che tu non abbia affatto colto il punto del discorso.
Non si parlava della qualità del software (e citare problemi e bug non serve a nulla, dato che tutti sanno che nessun softare è totalmente sicuro da questo punto di vista, né quello open, né quello close), ma del fatto che in un software closed source non si è in grado di verificare come di fatti utilizzi questa sicurezza.
Certo, se hai totale fiducia in una casa software per te può essere lo stesso, ma per chi è un po' più diffidente la differenza è abissale.
In altre parole, se io ho la competenza, posso controllare il codice del software e verificare se in effetti i miei dati cifrati non vengano letti da chi non deve o rimangano scoperti durante qualche passaggio.
Più in generale, dato che questa competenza non è certo alla portata di tutti, il rilascio del codice sorgente garantisce che chi ha competenza e interesse (anche i tuoi "avversari", che ovviamente avrebbero tutto l'interesse a far emergere il problema) possa di fatto verificare che le cose siano state fatte come si deve, e denunciare la cosa in caso contrario.
Esatto!!!
Erotavlas_turbo
17-03-2016, 17:51
Sì, tutto ciò si riferisce al loro famoso crypto-contest, un'enorme "truffa".
Qui due post molto interessanti a riguardo:
http://www.cryptofails.com/post/70546720222/telegrams-cryptanalysis-contest
http://www.thoughtcrime.org/blog/telegram-crypto-challenge/
Esatto, è proprio questa la vera forza del concetto di open source. A livello pratico non incide sull'effettiva sicurezza, ma è comunque un requisito importante (se non altro in prospettiva) per un software che voglia definirsi sicuro.
Leggi cosa c'è scritto qui. (http://www.cryptofails.com/about)
Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!
Mi dovrei fidare di questo privato che chiede soldi e non della EFF?
Mi fai ridere...
Riportami qualcosa di serio...
matteop3
17-03-2016, 17:57
Non mi pare se rileggi tutto il thread.
Ma dai, ma sei serio?
No questo non è possibile. Non puoi includere o linkare codice open source con licenza GPL dentro un codice proprietario quindi closed source (la licenza BSD per esempio ti consente questo). Puoi vendere un prodotto che utilizza codice open source con licenza GPL, ma devi rilasciare il codice con la stessa licenza open source GPL.
Ho visto poche persone negare l'evidenza dei fatti in questo modo, tu sei una di quelle.
Ma per curiosità, hai aperto il post del blog di Open Whisper Systems che ti ho linkato prima? Ho anche riportato qui sul forum l'estratto chiave. L'hai letto?
http://www.hwupgrade.it/forum/showpost.php?p=43483348&postcount=66
matteop3
17-03-2016, 18:00
Leggi cosa c'è scritto qui. (http://www.cryptofails.com/about)
Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!
Mi dovrei fidare di questo privato che chiede soldi e non della EFF?
Mi fai ridere...
Riportami qualcosa di serio...
Ti vorrei fare una domanda. Cosa non ti convince di ciò che c'è scritto nei post che ti ho linkato? Entriamo nel merito e analizziamo la validità di cosa c'è scritto e non di chi l'ha scritto.
cdimauro
17-03-2016, 20:50
Mi sembra che tu non abbia affatto colto il punto del discorso.
Non si parlava della qualità del software (e citare problemi e bug non serve a nulla, dato che tutti sanno che nessun softare è totalmente sicuro da questo punto di vista, né quello open, né quello close), ma del fatto che in un software closed source non si è in grado di verificare come di fatti utilizzi questa sicurezza.
Certo, se hai totale fiducia in una casa software per te può essere lo stesso, ma per chi è un po' più diffidente la differenza è abissale.
In altre parole, se io ho la competenza, posso controllare il codice del software e verificare se in effetti i miei dati cifrati non vengano letti da chi non deve o rimangano scoperti durante qualche passaggio.
Più in generale, dato che questa competenza non è certo alla portata di tutti, il rilascio del codice sorgente garantisce che chi ha competenza e interesse (anche i tuoi "avversari", che ovviamente avrebbero tutto l'interesse a far emergere il problema) possa di fatto verificare che le cose siano state fatte come si deve, e denunciare la cosa in caso contrario.
Il senso del discorso mi era chiaro, ma io sono intervenuto sulla parte strettamente tecnica.
Premesso questo, non è vero che il software closed non si possa verificare. Intanto c'è il reverse engineering che ho citato prima. Poi ci sono società di analisi della sicurezza che possono accedere ai sorgenti e validarli.
Esatto, è proprio questa la vera forza del concetto di open source. A livello pratico non incide sull'effettiva sicurezza, ma è comunque un requisito importante (se non altro in prospettiva) per un software che voglia definirsi sicuro.
Allora mi daresti una definizione oggettiva e incontrovertibile di software "sicuro"? :fagiano:
Un codice open source è affidabile proprio per questo motivo. Se ci sono falle inserite volutamente (https://en.wikipedia.org/wiki/Heartbleed) o meno prima o poi vengono fuori...
Questo non è affatto dimostrato: possono benissimo rimanere non scoperte.
Il codice closed source non ti garantisce questo aspetto.
Anche questo non è affatto dimostrato. Dimentichi che quello che per te è codice closed, per tante altre persone non lo è, perché:
- ci lavorano (banale e ovvio);
- ci fanno reverse engineering;
- ci fanno analisi (vedi sopra).
Certo ma un codice con sorgenti disponibili ti consente di vedere come è stato fatto e questo è fondamentale per un software che mira a gestire la riservatezza...
La cosa fondamentale è gestire la riservatezza.
I sorgenti disponibili non sono di per sé garanzia di ciò. Vedi gli esempi che ho fatto prima.
Si vuoi mettere il reverse engineering con avere il codice sorgente disponibile? Hai mai fatto una prova?
Direi proprio di sì, e non sono affatto l'unico.
Il punto focale è la trasparenza che un codice chiuso non fornisce e non potrà mai fornire e per questo è intrinsecamente inaffidabile.
E' un'asserzione che rimane falsa, per quanto già detto.
Ma puoi sempre dimostrare il contrario, se ci riesci. :fagiano:
No questo non è possibile. Non puoi includere o linkare codice open source con licenza GPL dentro un codice proprietario quindi closed source (la licenza BSD per esempio ti consente questo). Puoi vendere un prodotto che utilizza codice open source con licenza GPL, ma devi rilasciare il codice con la stessa licenza open source GPL.
Potresti sempre realizzare un loader con licenza GPL, che carica un binario (ad esempio una comune libreria condivisa/dinamica/DLL) generato da codice non GPL.
nVidia, se non ricordo male, per Linux ha uno stub open source con licenza GPL, che carica un blob binario che contiene il vero codice dei driver.
Erotavlas_turbo
17-03-2016, 21:06
Ma dai, ma sei serio?
Si mi pare che tu voglia per forza sostenere whatsapp e criticare telegram senza aver argomentazioni valide in tale senso.
Ho visto poche persone negare l'evidenza dei fatti in questo modo, tu sei una di quelle.
Ma per curiosità, hai aperto il post del blog di Open Whisper Systems che ti ho linkato prima? Ho anche riportato qui sul forum l'estratto chiave. L'hai letto?
http://www.hwupgrade.it/forum/showpost.php?p=43483348&postcount=66
Domanda: conosci la licenza GPL? Se no studiala e poi torna a rispondere...
Erotavlas_turbo
17-03-2016, 21:07
Ti vorrei fare una domanda. Cosa non ti convince di ciò che c'è scritto nei post che ti ho linkato? Entriamo nel merito e analizziamo la validità di cosa c'è scritto e non di chi l'ha scritto.
Cosa non mi convince?
Queste parole:
Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!
Prese dalla pagina about del sito che hai riportato
Erotavlas_turbo
17-03-2016, 22:04
Un codice open source è affidabile proprio per questo motivo. Se ci sono falle inserite volutamente o meno prima o poi vengono fuori...
Questo non è affatto dimostrato: possono benissimo rimanere non scoperte.
Si non è dimostrato, ma è un dato di fatto. In un codice closed source le falle vengono fuori molto più difficilmente o non vengono mai fuori...
Anche questo non è affatto dimostrato. Dimentichi che quello che per te è codice closed, per tante altre persone non lo è, perché:
- ci lavorano (banale e ovvio);
- ci fanno reverse engineering;
- ci fanno analisi (vedi sopra).
Cioé?
Il punto focale è la trasparenza che un codice chiuso non fornisce e non potrà mai fornire e per questo è intrinsecamente inaffidabile.
Un paragone che calza perfettamente per la trasparenza tra codice open source e codice closed source è quello tra un prodotto alimentare con etichetta dove vengono dichiarati gli ingredienti e la loro provenienza e un prodotto alimentare dove compare solo il nome del prodotto.
Per il secondo tipo di prodotto alimentare ci sono persone:
- che ci lavorano (banale e ovvio);
- ci fanno reverse engineering (cercando di capire gli ingredienti);
- ci fanno analisi (capendo il contenuto chimico se alterato, nocivo, etc.).
Alla fine rimane sempre un prodotto per cui il consumatore deve avere fiducia del produttore.
Open source -> trasparenza anche se non esente da bug
Closed source -> fiducia
Dopo lo scandalo Prism (https://en.wikipedia.org/wiki/PRISM_%28surveillance_program%29https://en.wikipedia.org/wiki/PRISM_%28surveillance_program%29) in cui NSA utilizzava le falle e le back door volutamente lasciate aperte dai maggiori protagonisti del software Google, Microsoft, Apple, Facebook, Yahoo, non c'è molto da fidarsi del codice closed source.
Potresti sempre realizzare un loader con licenza GPL, che carica un binario (ad esempio una comune libreria condivisa/dinamica/DLL) generato da codice non GPL.
nVidia, se non ricordo male, per Linux ha uno stub open source con licenza GPL, che carica un blob binario che contiene il vero codice dei driver.
Questo è sbagliato. Direttamente dalla licenza GPLv2-GPLv3
The fourth section for version 2 of the license and the seventh section of version 3 require that programs distributed as pre-compiled binaries are accompanied by a copy of the source code, a written offer to distribute the source code via the same mechanism as the pre-compiled binary, or the written offer to obtain the source code that the user got when they received the pre-compiled binary under the GPL
Informati...
matteop3
17-03-2016, 22:10
Domanda: conosci la licenza GPL? Se no studiala e poi torna a rispondere...
https://whispersystems.org/blog/whatsapp/
Today we’re excited to publicly announce a partnership with WhatsApp, the most popular messaging app in the world, to incorporate the TextSecure protocol into their clients and provide end-to-end encryption for their users by default.
Non mi pare se rileggi tutto il thread.
Te l'ho scritto proprio perchè ho letto tutto il thread e la sua posizione mi è parsa palese.
Non capisco come tu faccia ancora a sostenere che i suoi interventi erano in difesa di Whatsapp.
Può essere...non c'è un'analisi valida di Telegram oltre che la EFF. Puoi riportarla...
Perchè, quella di EFF è valida? É stata criticata come una metodologia fallace, che risulta sicura nel contesto della prova che però è ben lontano dalle possibilità che si hanno in una situazione reale.
Per il link, già ti ho scritto che non intendo cercarli, ma puoi farlo tu se vuoi, trovi sicuramente qualcosa nei miei post passati sull'argomento.
No questo non è possibile. ...
Certo che è possibile. O è possibile come dicevo prima rilasciare il software sotto altra licenza.
Senza contare che stai ignorando il piccolo particolare che è stato fatto. Il che ti pone in torto al di la di ogni possibile discussione sulle licenze.
Mi dovrei fidare di questo privato che chiede soldi e non della EFF?
Perdonami ma... cosa ci sarebbe di male nel farsi pagare il proprio lavoro ad hoc su software di terze parti? Siccome osano chiedere soldi allora non sono affidabili?
Francamente certe affermazioni mi lasciano basito... e questo per cosa poi? Per poter ignorare tutto il resto che è scritto nell'articolo linkato?
Il senso del discorso mi era chiaro, ma io sono intervenuto sulla parte strettamente tecnica.
Parte tecnica che però non aveva nulla a che fare con il discorso che si stava facendo. Sembra un tentativo mal riuscito di sviare il discorso su quello che invece era il vero nocciolo della questione.
Premesso questo, non è vero che il software closed non si possa verificare. Intanto c'è il reverse engineering che ho citato prima. Poi ci sono società di analisi della sicurezza che possono accedere ai sorgenti e validarli.
E chi ci assicura della veridicità del resoconto della società di analisi? Altro non stai facendo che spostare il problema della fiducia da una società ad un'altra... di fatto non cambia nulla.
E il reverse engineering? Suvvia, già non è semplice esaminare il codice in chiaro, figuriamoci cercare di dedurre tutto in reverse engineering. Come se questo poi consentisse di rivedere il codice come viene scritto... in buona parte dei casi (soprattutto se si adottano tecniche di offuscamento) è già tanto se si riesce a capire abbastanza da riprodurre le funzionalità, ma esaminare i sorgenti è ben altra cosa.
Per quanto ci giri intorno, solo il codice in chiaro può dare garanzie in questo senso.
E' un'asserzione che rimane falsa, per quanto già detto.
Non cercare di spacciare le tue conclusioni (basate sulle tue opinabili considerazioni precedenti) come verità incontrovertibile.
La sua affermazione a mio parere è vera, e la spiega bene quando dice, riferendosi all'implementazione closed source: "La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa".
Diamine, questo è il primo e ultimo WoT che faccio in questo topic.
cdimauro
17-03-2016, 22:30
Si non è dimostrato, ma è un dato di fatto.
No che non lo è: è una tua assunzione.
In un codice closed source le falle vengono fuori molto più difficilmente o non vengono mai fuori...
Come già detto, il codice closed è closed soltanto per la gente comune. Ecco perché vengono ugualmente trovate tante falle.
Cioé?
Cioé ci sono tante persone che hanno accesso al codice.
Un paragone che calza perfettamente per la trasparenza tra codice open source e codice closed source è quello tra un prodotto alimentare con etichetta dove vengono dichiarati gli ingredienti e la loro provenienza e un prodotto alimentare dove compare solo il nome del prodotto.
Per il secondo tipo di prodotto alimentare ci sono persone:
- che ci lavorano (banale e ovvio);
- ci fanno reverse engineering (cercando di capire gli ingredienti);
- ci fanno analisi (capendo il contenuto chimico se alterato, nocivo, etc.).
Alla fine rimane sempre un prodotto per cui il consumatore deve avere fiducia del produttore.
Open source -> trasparenza anche se non esente da bug
Closed source -> fiducia
Su questo concordo.
Dopo lo scandalo Prism (https://en.wikipedia.org/wiki/PRISM_%28surveillance_program%29https://en.wikipedia.org/wiki/PRISM_%28surveillance_program%29) in cui NSA utilizzava le falle e le back door volutamente lasciate aperte dai maggiori protagonisti del software Google, Microsoft, Apple, Facebook, Yahoo, non c'è molto da fidarsi del codice closed source.
Questa è la classica fallacia logica della generalizzazione.
Questo è sbagliato. Direttamente dalla licenza GPLv2-GPLv3
The fourth section for version 2 of the license and the seventh section of version 3 require that programs distributed as pre-compiled binaries are accompanied by a copy of the source code, a written offer to distribute the source code via the same mechanism as the pre-compiled binary, or the written offer to obtain the source code that the user got when they received the pre-compiled binary under the GPL
Informati...
Sono abbastanza informato. Infatti questa parte non si applica a quello che avevo detto. Rileggila con più attenzione.
D'altra parte ti sei guardato bene dallo spiegare come farebbe nVidia a mantenere closed i sorgenti dei suoi driver, pur distribuendo i binari.
cdimauro
17-03-2016, 22:40
Parte tecnica che però non aveva nulla a che fare con il discorso che si stava facendo.
Dillo a chi ha affermato quelle cose, allora.
Sembra un tentativo mal riuscito di sviare il discorso su quello che invece era il vero nocciolo della questione.
Ma anche no. Dalle opinioni che può avere chiunque si è passati a fatti di stampo prettamente tecnico, che però non collimano con la realtà. Da cui il mio intervento.
Le altre polemiche non m'interessano.
E chi ci assicura della veridicità del resoconto della società di analisi? Altro non stai facendo che spostare il problema della fiducia da una società ad un'altra... di fatto non cambia nulla.
In tal caso che un codice sia aperto o chiuso non ha alcuna importanza, perché dell'analisi di entrambi uno può non avere fiducia a prescindere.
E il reverse engineering? Suvvia, già non è semplice esaminare il codice in chiaro, figuriamoci cercare di dedurre tutto in reverse engineering.
Beh, è proprio quello che viene ampiamente fatto sia da ricerca falle di sicurezza, sia dai pirati/cracker.
Non è una possibilità remota. Tutt'altro.
Come se questo poi consentisse di rivedere il codice come viene scritto... in buona parte dei casi (soprattutto se si adottano tecniche di offuscamento) è già tanto se si riesce a capire abbastanza da riprodurre le funzionalità, ma esaminare i sorgenti è ben altra cosa.
Ma anche no: esaminare i binari può portare a far emergere cose che non sono subito visibili nel codice originale.
Per quanto ci giri intorno, solo il codice in chiaro può dare garanzie in questo senso.
Non c'è nessuna garanzia del genere.
Non cercare di spacciare le tue conclusioni (basate sulle tue opinabili considerazioni precedenti) come verità incontrovertibile.
In tal caso le si potrà smontare, no?
La sua affermazione a mio parere è vera, e la spiega bene quando dice, riferendosi all'implementazione closed source: "La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa".
E' la prima parte che è del tutto sbagliata.
Sulla seconda non ho problemi ad accettarla. Ma d'altra parte se non ci si può fidare dell'analisi del codice di aziende specializzate, è un problema che nemmeno si pone.
Diamine, questo è il primo e ultimo WoT che faccio in questo topic.
Benvenuto. :asd:
ComputArte
18-03-2016, 12:28
Leggo sempre con ilarità affermazioni che tentano ( senza riuscirci ) di "affumicare" l'ambiente per non far emergere verità inequivocabili...
Si vuole far passare per sicuro un sw con fonte chiusa ( e BLINDATA ) e quindi migliore, più leale e trasparente di un sw con fonte aperta....siamo al negazionismo che non riuscirebbe a convincere nemmeno un bimbo della terza elementare secondo trimestre! :sofico:
E poi, ripeto, vogliamo credere alla favoletta della buona notte sulla sicurezza intesa come incapacità di leggere in chiaro tutti i contenuti sui quali TUTTE le OTT e compagnucce di merendine varie in ICT, stanno facendo i soldini con la profilazione degli utenti?!?!
O ancora: "la criptazione end-to-end" è sicura al 100% e l'utente è CERTO che nessuno sarà in grado di leggerla!!!! ....BHUAHAHAHAHAHAHAHAHAHAHAHA!!!!
MA se basta una singola, piccina, porticina di servizio implementata nel kernel del SO ( chiaramente a FONTE CHIUSA )!
...quando e se i proprietari dei sistemi operativi metteranno in CHIARO tutto il codice , allora si può iniziare a ragionare SE e QUANTO il sistema possa essere robusto e a prova di lettura da un "terzo"....fino a prova contraria, vista la raccolta massiva di dati è "naturale" pensare il contrario , con buona pace di chi si impegna con sforzi erculei a negare evidenze di magnitudo incelabile!
QUOTONE per Erotavlas_turbo !!!
cdimauro
18-03-2016, 18:07
E non poteva mancare il complottista mistificatore, ovviamente.
Io non mai voluto far passare alcunché. Al solito, mi assumo la responsabilità di quello che IO ho detto, e non quello che un bugiardo mistificatore vorrebbe far passare per mio.
Precisato questo, ribaltare la frittata non regge: non sono io ho che ho fatto certe affermazioni. Io ne ho "soltanto" chiesto conto e ragione. E, dunque, che chi le ha fatte ne portasse le prove/dimostrazione. Come scienza comanda: l'onere della prova è e rimane, infatti, di chi ha proposto una tesi.
Cosa che, manco a dirlo, non è mai avvenuta: finora si sono lette soltanto parole e basta, quando l'argomento è prettamente tecnico. Se poi è "talmente evidente", dovrebbe essere di una banalità sconcertante dimostrare le suddette tesi.
In ogni caso non è un problema mio: non sono io che ho fatto quelle affermazioni. Tocca agli altri dimostrarle.
ComputArte
19-03-2016, 15:13
Come al solito offendi e perdi le staffe infarcendoti la bocca di parole che visto il contesto, nemmeno conosci e comprendi ( complottista, bugiardo mistificatore)
Capisco che l'educazione non è il tuo forte, ma mantieni le distanze.
Anche se mostri non avere educazione, impara a non offendere ...è e rimane una manifestazione di debolezza ed incapacità di affrontare i problemi, troppo evidente per sfuggire anche a te!
Quindi sei caldamente invitato a rivolgerti in questa maniera verso qualcun altro che ha la tua stessa sensibilità sociale.
Visto che non è la prima volta che lanci il sasso e nascondi la mano :nonsifa: :
Allora Erotavlas_turbo scrive:
Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione.
E tu
Falso. Lo dimostra il caso OpenSSH.
Lo dimostrano pure le recentissime falle venite fuori dopo diversi anni esclusivamente grazie al lavoro di review di Google e Red Hat (che sono aziende che hanno precisi interessi).
….dall’alto della tua presupponenza autoreferenziale, parzializzi l’affermazione andando ad riportare che sono stati scoperti dei bug da Google e Red Hat….come se questo cambiasse il senso dell’affermazione di cui sopra, che qualsiasi persona in BUONA FEDE ed a conoscenza della dinamica che si instaura sui codici aperti , sa che sono in CONTINUA analisi per migliorarli e trovare proprio quei difetti SFUGGITI e NON VOLUTI !
La frase “tutti possono controllare la sua implementazione” ha un solo significato: constatare la correttezza del codice nel caso di errori casuali e controllare se qualcuno ha aggiunto delle porte si servizio …
Quello che non puoi fare su un codice chiuso…perché….E’ CHIUSO e PROTETTO da controlli indipendenti.
MA TU NO :muro: :muro: , ancora che racconti la pizellacchera del reverse engineering, come se questo fosse AFFIDABILE al 100%....o anche qui vuoi affermare che il grado di accuratezza, precisione e trasparenza di uno operazione di ingegneria inversa sia UGUALE a quella di analizzare il codice aperto?!
…e ti hanno anche citato le tecniche di offuscamento che sono solo una variabile!!!!:ciapet:
Originariamente inviato da: Erotavlas_turbo:
Un codice closed source è inaffidabile per definizione.
E tu con il solito approccio da maghetto :friend:
Falso. Il fatto che non siano disponibili i sorgenti non è, logica alla mano, dimostrazione che un software sia inaffidabile. Può benissimo essere affidabilissimo. Semplicemente il codice che lo genera non è disponibile a tutti.
MA veramente pensi che fare lo slalom sulle problematiche di cui si disquisisce per accendere il “tuo faretto” su caratteristiche limitrofe ed insignificanti, sia efficace?!?! :mc:
L’affidabilità qui è tirata in ballo non per l’azienda che ha scritto il codice per fare il suo profitto!
Certo che deve essere affidabile per lei, altrimenti andrebbe a zappare la terra, invece di stare in ICT….
Qui si disquisisce sulla affidabilità PER L’UTENTE e nello specifico nella CERTEZZA DI NON ESSERE SPIATI.:read:
Alias, che nel codice CHIUSO non sia implementata una “porticina di servizio” che renda fruibile all’azienda la chiave e l’algoritmo di criptazione ALIAS, che protegga la comunicazione dall’intrusione dell’ “omino di mezzo” , ma che lei le informazioni se le CIUCCIA TUTTE IN CHIARO!
Cosa di questa ipotesi non ti va bene?!?!?!?!
E te lo ha scritto anche Calabar che non hai colto l’elemento del disquisire!!!!
E tu che rispondi fischi per fischi tirando in ballo la “parte tecnica”
Il senso del discorso mi era chiaro, ma io sono intervenuto sulla parte strettamente tecnica.
Ma di quale parte tecnica ti gorgheggi?!?!?!?!
Ancora che tenti di sviare la conversazione, aggiungendo:
Poi ci sono società di analisi della sicurezza che possono accedere ai sorgenti e validarli.
Ma pensi veramente che con la mala fede e le azioni poste in essere dalle OTT e le varie condanne che si sono viste comminare dalla autorità , la gente normale ( e soprattutto chi ci lavora in ICT ) si andrebbe a fidare di un società PRIVATA che accede ai sorgenti per validarli, dietro un compenso?!?
Allora, invece di pagare qualcuno per fare questa verifica, perché le grandi OTT non lasciano aperti e verificabili i loro codici a TUTTI?!
Mi sbaglio o il mantra che LORO utilizzano è 2.0 a gogo e condivisione di TUTTO ….ha già è VALIDO solo per gli utenti, che sono territorio di scorribande, e non per i loro dati!
Poi non contento fai pure questa domanda
Allora mi daresti una definizione oggettiva e incontrovertibile di software "sicuro"?
Perché non rispondi tu a questa domanda viste le tua affermazioni perentorie e stonate, ma alla luce di un elemento che porto alla tua attenzione che sembra girare a senso UNICO: per sicurezza si intende quella dell’utente a non essere spiato da chiunque ( inclusa la società che gestisce la piattaforma “gratuita” che sta utilizzando per comunicare !):read:
Ancora : Originariamente inviato da: Erotavlas_turbo
Un codice open source è affidabile proprio per questo motivo. Se ci sono falle inserite volutamente o meno prima o poi vengono fuori...
Questo non è affatto dimostrato: possono benissimo rimanere non scoperte.
…qui tocchi il picco di ilarità tentando goffamente di equiparare un problema presente per un eventuale errore di buona fede che poi viene scoperto su un codice APERTO, ad una “potenziale” falla APPOSITAMENTE CREATA per scopi tutt’altro che alti ed in definitiva, constatato che il CODICE è CHIUSO, lasciare l’eventuale scoperta al reverse engineering o ad una società di consulenza che valida il sw…..ma per favore !!!!:doh:
Ma non finisce qui:
: Originariamente inviato da: Erotavlas_turbo :Il codice closed source non ti garantisce questo aspetto.
E tu cosa rispondi?!?!
Anche questo non è affatto dimostrato. Dimentichi che quello che per te è codice closed, per tante altre persone non lo è, perché:
- ci lavorano (banale e ovvio);
- ci fanno reverse engineering;
- ci fanno analisi (vedi sopra).
Stai tirando in ballo i DIPENDENTI della stessa società che spaccia per SICURO 100% la piattaforma, stai parlando di eventuali soggetti che devono “accontentarsi” di fare ingegneria inversa su quello che appare ( E NON SU QUELLO CHE E’ NELLA SUA INTEREZZA ), e/o delle fantomatiche società private che dietro compenso “VALIDANO” il sw….
Lo vedi che questi sforzi erculei non sfiorano nemmeno lontanamente la soluzione MIGLIORE e VERAMENTE più efficace: lasciare controllare a chiunque voglia la natura del codice , andando ad escludere quelle famose porticine che ti ostini a non voler nemmeno citare nelle tua autoreferenziali e poco sostanziose “difese di ufficio” per soggetti che se “CHIUDONO”, celano!:ciapet:
Ma la tua posizione surreale continua quando commenti la seguente affermazione ( condivisa ! )
Originariamente inviato da: Erotavlas_turbo
Il punto focale è la trasparenza che un codice chiuso non fornisce e non potrà mai fornire e per questo è intrinsecamente inaffidabile.
E' un'asserzione che rimane falsa, per quanto già detto.
Ma puoi sempre dimostrare il contrario, se ci riesci.
Ma dimostra TU , (se mai ci riuscirai … forse nel tuo mondo immaginario ) che un codice aperto e verificato possa essere equiparato ad un sw CHIUSO….ma non ti rendi conto di che cosa significa l’aggettivo in maiuscolo….o vuoi impegnarti a riscrivere la grammatica, la semantica e perché no anche la letteratura italiana?!?!:sofico:
E Erotavlas_turbo ti ha anche fatto l’esempio dell’etichettatura alimentare…. Che strano qui non hai commentato!
:asd:
Sono costretto a riportare l’affermazione che hai definito “fallace”
Erotavlas_turbo:
Dopo lo scandalo Prism in cui NSA utilizzava le falle e le back door volutamente lasciate aperte dai maggiori protagonisti del software Google, Microsoft, Apple, Facebook, Yahoo, non c'è molto da fidarsi del codice closed source.
Ma illuminaci: cosa intendi?
Per caso Prism non esiste , l NSA non esiste, la notizie sull’accesso continuativo nei server delle OTT da parte delle agenzie di intelligence sono tutte bugie e falsità?!
:fagiano:
[QUOTE=cdimauro;43483269
In tal caso che un codice sia aperto o chiuso non ha alcuna importanza, perché dell'analisi di entrambi uno può non avere fiducia a prescindere.
?....BUHAHAHAHAHAHAHAHA!
Sono proprio curioso: ma che hai scritto!?
PS. Accendi l’educazione per come ti è stata suggerita, prima di rispondere!:huh:
matteop3
19-03-2016, 16:00
(enorme cut)
Posto che cdimauro mi è sembrato tutt'altro che arrogante e, sebbene non sia d'accordo con tutto quel che ha scritto, non si può certo dire che sia stato maleducato. In tutta onestà ho trovato molto più nauseantemente borioso questo tuo post.
In merito alla questione open vs closed non entrerò più nel merito - dato che non ne ho più la forza - e mi sembra di aver già fatto capire che per me open source e cybersecurity hanno un legame*. Nonostante questo smettetela di dire che Telegram è più sicuro di Whatsapp tirando in ballo l'apertura/chiusura del codice, perché palesemente non è così! Affermarlo significa non riuscire a capire un tubo dell'architettura delle due applicazioni.
Telegram è completamente centralizzato e sia conversazioni che chiavi di cifratura sono completamente in mano ai loro server, mentre WA è completamente decentralizzato, le conversazioni risiedono solamente sui terminali e le chiavi di cifratura (effimere) non lasciano mai il dispositivo (l'apertissimo e liberissimo protocollo TextSecure che WA adopera funziona proprio così), quindi nemmeno Whatsapp Inc. in persona ha modo di accedere ai contenuti delle conversazioni dei propri utenti, visto che TextSecure non glielo permette (e TextSecure è open source, eh). Basta anche guardare ai guai che ha avuto WA in Brasile di recente - e che Telegram non ha avuto.
Supponiamo, per pura assurdità, che ci sia un enorme complotto da parte di Whatsapp o qualche ente governativo a tua scelta e che in realtà Whatsapp Inc. abbia integrato in maniera malevola il protocollo TextSecure e che quindi possegga una serie di server segreti con tutte le conversazioni in chiaro di tutti. Beh, in questo caso Whatsapp non si potrebbe proprio definire tecnicamente meno sicuro di Telegram (quello reale ed attuale). :)
*: mi trovo sostanzialmente d'accordo con questo post di Schneider: https://www.schneier.com/crypto-gram/archives/1999/0915.html#OpenSourceandSecurity
Erotavlas_turbo
19-03-2016, 18:15
https://whispersystems.org/blog/whatsapp/
Today we’re excited to publicly announce a partnership with WhatsApp, the most popular messaging app in the world, to incorporate the TextSecure protocol into their clients and provide end-to-end encryption for their users by default.
Cosa significa? Non puoi includere un codice open source con licenza GPL dentro un codice closed source. E' la base della licenza GPL. Un conto è utilizzare il protocollo algoritmo di Signal dentro Whatsapp, un'altra è utlizzare il codice.
Leggere e poi parlare
Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare? (http://www.gnu.org/licenses/gpl-faq.it.html#GPLInProprietarySystem)
Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma? (http://www.gnu.org/licenses/gpl-faq.it.html#LinkingWithGPL)
Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma. (http://www.gnu.org/licenses/gpl-faq.it.html#WillYouMakeAnException)
Erotavlas_turbo
19-03-2016, 18:42
Te l'ho scritto proprio perchè ho letto tutto il thread e la sua posizione mi è parsa palese.
Non capisco come tu faccia ancora a sostenere che i suoi interventi erano in difesa di Whatsapp.
Si perché è palese se continua ad affermare che whatsapp è sicuro quando in realtà non lo è. Lo afferma l'unica analisi valida e imparziale disponibile.
Perchè, quella di EFF è valida? É stata criticata come una metodologia fallace, che risulta sicura nel contesto della prova che però è ben lontano dalle possibilità che si hanno in una situazione reale.
Per il link, già ti ho scritto che non intendo cercarli, ma puoi farlo tu se vuoi, trovi sicuramente qualcosa nei miei post passati sull'argomento.
Prego riportare i link e sarò il primo a cambiare idea, però non mi riportare link di un privato che dice: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
In breve se mi paghi non ti critico.
Certo che è possibile. O è possibile come dicevo prima rilasciare il software sotto altra licenza.
Senza contare che stai ignorando il piccolo particolare che è stato fatto. Il che ti pone in torto al di la di ogni possibile discussione sulle licenze.
Leggere e poi parlare
Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare? (http://www.gnu.org/licenses/gpl-faq.it.html#GPLInProprietarySystem)
Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma? (http://www.gnu.org/licenses/gpl-faq.it.html#LinkingWithGPL)
Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma. (http://www.gnu.org/licenses/gpl-faq.it.html#WillYouMakeAnException)
Perdonami ma... cosa ci sarebbe di male nel farsi pagare il proprio lavoro ad hoc su software di terze parti? Siccome osano chiedere soldi allora non sono affidabili?
Francamente certe affermazioni mi lasciano basito... e questo per cosa poi? Per poter ignorare tutto il resto che è scritto nell'articolo linkato?
"Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
In breve se mi paghi non ti critico. Non mi piace e non mi fido di una persona che scrive questo può essere anche un genio della crittografia.
E chi ci assicura della veridicità del resoconto della società di analisi? Altro non stai facendo che spostare il problema della fiducia da una società ad un'altra... di fatto non cambia nulla.
E il reverse engineering? Suvvia, già non è semplice esaminare il codice in chiaro, figuriamoci cercare di dedurre tutto in reverse engineering. Come se questo poi consentisse di rivedere il codice come viene scritto... in buona parte dei casi (soprattutto se si adottano tecniche di offuscamento) è già tanto se si riesce a capire abbastanza da riprodurre le funzionalità, ma esaminare i sorgenti è ben altra cosa.
Per quanto ci giri intorno, solo il codice in chiaro può dare garanzie in questo senso.
Esatto!
Non cercare di spacciare le tue conclusioni (basate sulle tue opinabili considerazioni precedenti) come verità incontrovertibile.
La sua affermazione a mio parere è vera, e la spiega bene quando dice, riferendosi all'implementazione closed source: "La seconda è inaffidabile per definizione. Ti devi fidare di chi la implementa".
Dopo lo scandalo Prism non mi fido più del codice chiuso...è come fidarsi di chi ti dice questo cibo è buono, ma non ti dice da dove provienere e cosa ha messo dentro...
Erotavlas_turbo
19-03-2016, 18:51
No che non lo è: è una tua assunzione.
Come già detto, il codice closed è closed soltanto per la gente comune. Ecco perché vengono ugualmente trovate tante falle.
Cosa stai dicendo? Stai affermando che fare il reverse engineering è come avere il codice sorgente?
Questa è la classica fallacia logica della generalizzazione.
Contento tu, io non mi fido del codice chiuso dopo lo scandalo Prism specialmente se stiamo parlando di riservatezzza e di comunicazioni sicure.
Sono abbastanza informato. Infatti questa parte non si applica a quello che avevo detto. Rileggila con più attenzione.
Quello che avevi detto non ha nulla a che fare con la mia affermazione e con la questione che Whatsapp proprietario non può includere codice di Signal GPL.
D'altra parte ti sei guardato bene dallo spiegare come farebbe nVidia a mantenere closed i sorgenti dei suoi driver, pur distribuendo i binari.
Leggi prima di parlare.
Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare? (http://www.gnu.org/licenses/gpl-faq.it.html#GPLInProprietarySystem)
Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma? (http://www.gnu.org/licenses/gpl-faq.it.html#LinkingWithGPL)
Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma. (http://www.gnu.org/licenses/gpl-faq.it.html#WillYouMakeAnException)
Certo che può installare binari proprietari dentro un sistema operativo prevalentemente GPL. Non puoi fare il contrario cioè includere codice GPL dentro un codice proprietario.
Erotavlas_turbo
19-03-2016, 18:55
Leggo sempre con ilarità affermazioni che tentano ( senza riuscirci ) di "affumicare" l'ambiente per non far emergere verità inequivocabili...
Si vuole far passare per sicuro un sw con fonte chiusa ( e BLINDATA ) e quindi migliore, più leale e trasparente di un sw con fonte aperta....siamo al negazionismo che non riuscirebbe a convincere nemmeno un bimbo della terza elementare secondo trimestre! :sofico:
E poi, ripeto, vogliamo credere alla favoletta della buona notte sulla sicurezza intesa come incapacità di leggere in chiaro tutti i contenuti sui quali TUTTE le OTT e compagnucce di merendine varie in ICT, stanno facendo i soldini con la profilazione degli utenti?!?!
O ancora: "la criptazione end-to-end" è sicura al 100% e l'utente è CERTO che nessuno sarà in grado di leggerla!!!! ....BHUAHAHAHAHAHAHAHAHAHAHAHA!!!!
MA se basta una singola, piccina, porticina di servizio implementata nel kernel del SO ( chiaramente a FONTE CHIUSA )!
...quando e se i proprietari dei sistemi operativi metteranno in CHIARO tutto il codice , allora si può iniziare a ragionare SE e QUANTO il sistema possa essere robusto e a prova di lettura da un "terzo"....fino a prova contraria, vista la raccolta massiva di dati è "naturale" pensare il contrario , con buona pace di chi si impegna con sforzi erculei a negare evidenze di magnitudo incelabile!
QUOTONE per Erotavlas_turbo !!!
Per fortuna c'è qualcuno che ogni tanto ragione e accende il cervello...
Erotavlas_turbo
19-03-2016, 19:01
Come al solito offendi e perdi le staffe infarcendoti la bocca di parole che visto il contesto, nemmeno conosci e comprendi ( complottista, bugiardo mistificatore)
Capisco che l'educazione non è il tuo forte, ma mantieni le distanze.
Anche se mostri non avere educazione, impara a non offendere ...è e rimane una manifestazione di debolezza ed incapacità di affrontare i problemi, troppo evidente per sfuggire anche a te!
Quindi sei caldamente invitato a rivolgerti in questa maniera verso qualcun altro che ha la tua stessa sensibilità sociale.
Visto che non è la prima volta che lanci il sasso e nascondi la mano :nonsifa: :
Allora Erotavlas_turbo scrive:
Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione.
E tu
….dall’alto della tua presupponenza autoreferenziale, parzializzi l’affermazione andando ad riportare che sono stati scoperti dei bug da Google e Red Hat….come se questo cambiasse il senso dell’affermazione di cui sopra, che qualsiasi persona in BUONA FEDE ed a conoscenza della dinamica che si instaura sui codici aperti , sa che sono in CONTINUA analisi per migliorarli e trovare proprio quei difetti SFUGGITI e NON VOLUTI !
La frase “tutti possono controllare la sua implementazione” ha un solo significato: constatare la correttezza del codice nel caso di errori casuali e controllare se qualcuno ha aggiunto delle porte si servizio …
Quello che non puoi fare su un codice chiuso…perché….E’ CHIUSO e PROTETTO da controlli indipendenti.
MA TU NO :muro: :muro: , ancora che racconti la pizellacchera del reverse engineering, come se questo fosse AFFIDABILE al 100%....o anche qui vuoi affermare che il grado di accuratezza, precisione e trasparenza di uno operazione di ingegneria inversa sia UGUALE a quella di analizzare il codice aperto?!
…e ti hanno anche citato le tecniche di offuscamento che sono solo una variabile!!!!:ciapet:
Originariamente inviato da: Erotavlas_turbo:
Un codice closed source è inaffidabile per definizione.
E tu con il solito approccio da maghetto :friend:
MA veramente pensi che fare lo slalom sulle problematiche di cui si disquisisce per accendere il “tuo faretto” su caratteristiche limitrofe ed insignificanti, sia efficace?!?! :mc:
L’affidabilità qui è tirata in ballo non per l’azienda che ha scritto il codice per fare il suo profitto!
Certo che deve essere affidabile per lei, altrimenti andrebbe a zappare la terra, invece di stare in ICT….
Qui si disquisisce sulla affidabilità PER L’UTENTE e nello specifico nella CERTEZZA DI NON ESSERE SPIATI.:read:
Alias, che nel codice CHIUSO non sia implementata una “porticina di servizio” che renda fruibile all’azienda la chiave e l’algoritmo di criptazione ALIAS, che protegga la comunicazione dall’intrusione dell’ “omino di mezzo” , ma che lei le informazioni se le CIUCCIA TUTTE IN CHIARO!
Cosa di questa ipotesi non ti va bene?!?!?!?!
E te lo ha scritto anche Calabar che non hai colto l’elemento del disquisire!!!!
E tu che rispondi fischi per fischi tirando in ballo la “parte tecnica”
Ma di quale parte tecnica ti gorgheggi?!?!?!?!
Ancora che tenti di sviare la conversazione, aggiungendo:
Ma pensi veramente che con la mala fede e le azioni poste in essere dalle OTT e le varie condanne che si sono viste comminare dalla autorità , la gente normale ( e soprattutto chi ci lavora in ICT ) si andrebbe a fidare di un società PRIVATA che accede ai sorgenti per validarli, dietro un compenso?!?
Allora, invece di pagare qualcuno per fare questa verifica, perché le grandi OTT non lasciano aperti e verificabili i loro codici a TUTTI?!
Mi sbaglio o il mantra che LORO utilizzano è 2.0 a gogo e condivisione di TUTTO ….ha già è VALIDO solo per gli utenti, che sono territorio di scorribande, e non per i loro dati!
Poi non contento fai pure questa domanda
Perché non rispondi tu a questa domanda viste le tua affermazioni perentorie e stonate, ma alla luce di un elemento che porto alla tua attenzione che sembra girare a senso UNICO: per sicurezza si intende quella dell’utente a non essere spiato da chiunque ( inclusa la società che gestisce la piattaforma “gratuita” che sta utilizzando per comunicare !):read:
Ancora : Originariamente inviato da: Erotavlas_turbo
Un codice open source è affidabile proprio per questo motivo. Se ci sono falle inserite volutamente o meno prima o poi vengono fuori...
…qui tocchi il picco di ilarità tentando goffamente di equiparare un problema presente per un eventuale errore di buona fede che poi viene scoperto su un codice APERTO, ad una “potenziale” falla APPOSITAMENTE CREATA per scopi tutt’altro che alti ed in definitiva, constatato che il CODICE è CHIUSO, lasciare l’eventuale scoperta al reverse engineering o ad una società di consulenza che valida il sw…..ma per favore !!!!:doh:
Ma non finisce qui:
: Originariamente inviato da: Erotavlas_turbo :Il codice closed source non ti garantisce questo aspetto.
E tu cosa rispondi?!?!
Stai tirando in ballo i DIPENDENTI della stessa società che spaccia per SICURO 100% la piattaforma, stai parlando di eventuali soggetti che devono “accontentarsi” di fare ingegneria inversa su quello che appare ( E NON SU QUELLO CHE E’ NELLA SUA INTEREZZA ), e/o delle fantomatiche società private che dietro compenso “VALIDANO” il sw….
Lo vedi che questi sforzi erculei non sfiorano nemmeno lontanamente la soluzione MIGLIORE e VERAMENTE più efficace: lasciare controllare a chiunque voglia la natura del codice , andando ad escludere quelle famose porticine che ti ostini a non voler nemmeno citare nelle tua autoreferenziali e poco sostanziose “difese di ufficio” per soggetti che se “CHIUDONO”, celano!:ciapet:
Ma la tua posizione surreale continua quando commenti la seguente affermazione ( condivisa ! )
Originariamente inviato da: Erotavlas_turbo
Il punto focale è la trasparenza che un codice chiuso non fornisce e non potrà mai fornire e per questo è intrinsecamente inaffidabile.
Ma dimostra TU , (se mai ci riuscirai … forse nel tuo mondo immaginario ) che un codice aperto e verificato possa essere equiparato ad un sw CHIUSO….ma non ti rendi conto di che cosa significa l’aggettivo in maiuscolo….o vuoi impegnarti a riscrivere la grammatica, la semantica e perché no anche la letteratura italiana?!?!:sofico:
E Erotavlas_turbo ti ha anche fatto l’esempio dell’etichettatura alimentare…. Che strano qui non hai commentato!
:asd:
Sono costretto a riportare l’affermazione che hai definito “fallace”
Erotavlas_turbo:
Dopo lo scandalo Prism in cui NSA utilizzava le falle e le back door volutamente lasciate aperte dai maggiori protagonisti del software Google, Microsoft, Apple, Facebook, Yahoo, non c'è molto da fidarsi del codice closed source.
Ma illuminaci: cosa intendi?
Per caso Prism non esiste , l NSA non esiste, la notizie sull’accesso continuativo nei server delle OTT da parte delle agenzie di intelligence sono tutte bugie e falsità?!
:fagiano:
?....BUHAHAHAHAHAHAHAHA!
Sono proprio curioso: ma che hai scritto!?
PS. Accendi l’educazione per come ti è stata suggerita, prima di rispondere!:huh:
Sei un grande per la tua risposta sia come forma sia come sostanza. Spero almeno tu sia riuscito a far capire di cosa stiamo parlando. Grazie
matteop3
19-03-2016, 19:06
Prego riportare i link e sarò il primo a cambiare idea, però non mi riportare link di un privato che dice: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
In breve se mi paghi non ti critico.
Ora è ufficiale. Stai trollando.
matteop3
19-03-2016, 19:16
Cosa significa? Non puoi includere un codice open source con licenza GPL dentro un codice closed source. E' la base della licenza GPL. Un conto è utilizzare il protocollo algoritmo di Signal dentro Whatsapp, un'altra è utlizzare il codice.
Leggere e poi parlare
Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare? (http://www.gnu.org/licenses/gpl-faq.it.html#GPLInProprietarySystem)
Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma? (http://www.gnu.org/licenses/gpl-faq.it.html#LinkingWithGPL)
Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma. (http://www.gnu.org/licenses/gpl-faq.it.html#WillYouMakeAnException)
Mi risponderesti, per favore, una volta per tutte, alla seguente domanda?
Tu dunque ritieni che Whatsapp non integri e sfrutti il protocollo TextSecure realizzato da Open Whisper Systems?
[ ] Esattamente (non lo integra)
[ ] No (lo integra)
Per pietà, non scrivermi altri muri di testo, limitati a quotarmi mettendo una "x" nella risposta che ritieni corretta, sto disperatamente cercando in tutti i modi di capire quella che per te è l'evidenza concreta dei fatti.
Erotavlas_turbo
19-03-2016, 19:29
Posto che cdimauro mi è sembrato tutt'altro che arrogante e, sebbene non sia d'accordo con tutto quel che ha scritto, non si può certo dire che sia stato maleducato. In tutta onestà ho trovato molto più nauseantemente borioso questo tuo post.
In merito alla questione open vs closed non entrerò più nel merito - dato che non ne ho più la forza - e mi sembra di aver già fatto capire che per me open source e cybersecurity hanno un legame*. Nonostante questo smettetela di dire che Telegram è più sicuro di Whatsapp tirando in ballo l'apertura/chiusura del codice, perché palesemente non è così! Affermarlo significa non riuscire a capire un tubo dell'architettura delle due applicazioni.
Telegram è completamente centralizzato e sia conversazioni che chiavi di cifratura sono completamente in mano ai loro server, mentre WA è completamente decentralizzato, le conversazioni risiedono solamente sui terminali e le chiavi di cifratura (effimere) non lasciano mai il dispositivo (l'apertissimo e liberissimo protocollo TextSecure che WA adopera funziona proprio così), quindi nemmeno Whatsapp Inc. in persona ha modo di accedere ai contenuti delle conversazioni dei propri utenti, visto che TextSecure non glielo permette (e TextSecure è open source, eh). Basta anche guardare ai guai che ha avuto WA in Brasile di recente - e che Telegram non ha avuto.
Supponiamo, per pura assurdità, che ci sia un enorme complotto da parte di Whatsapp o qualche ente governativo a tua scelta e che in realtà Whatsapp Inc. abbia integrato in maniera malevola il protocollo TextSecure e che quindi possegga una serie di server segreti con tutte le conversazioni in chiaro di tutti. Beh, in questo caso Whatsapp non si potrebbe proprio definire tecnicamente meno sicuro di Telegram (quello reale ed attuale). :)
*: mi trovo sostanzialmente d'accordo con questo post di Schneider: https://www.schneier.com/crypto-gram/archives/1999/0915.html#OpenSourceandSecurity
Direttamente dal link che hai citato:
In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice.
Sono d'accordo ed è esattamente quello che sto dicendo dal primo messaggio.
Proprio per questo Whatsapp essendo a sorgente chiuso non è affidabile anche se adotta tutti i migliori algoritmi di crittografia del mondo.
Telegram: le chat segrete sono sicure essendo con crittografia end-to-end e il codice open source. Naturalmente fino a prova contraria con falle nel codice o nell'algoritmo.
Telegram: le chat private utilizzano la crittografia client/server alla pari di tutti i servizi email come gmail, outlook, yahoo, etc. (escluso protonmail). Per questo il server volendo potrebbe leggere i messaggi, magari su richiesta della polizia. Inoltre al momento il codice del server è a sorgente chiuso e per questo non affidabile.
Inoltre dalle FAQ (https://telegram.org/faq/it#d-posso-far-funzionare-telegram-con-il-mio-server) di Telegram
D: Perché non rendere tutto open source?
Tutto il codice sarà rilasciato alla fine. Abbiamo iniziato con le parti più utili- un'API ben documentata che permette agli sviluppatori di creare nuove applicazioni per Telegram, e client open source che possono essere verificati da esperti di sicurezza.
Cloud chat
All data is stored heavily encrypted and the encryption keys in each case are stored in several other DCs in different jurisdictions. This way local engineers or physical intruders cannot get access to user data.
Io preferisco una trasparenza di Telegram dove è chiaro quali siano i dati leggibili (chat pubbliche su richiesta attivià giudiziaria) e quali non leggibili (chat segrete) rispetto alla fiducia che devi avere nel caso di Whatsapp.
Erotavlas_turbo
19-03-2016, 19:32
Mi risponderesti, per favore, una volta per tutte, alla seguente domanda?
Tu dunque ritieni che Whatsapp non integri e sfrutti il protocollo TextSecure realizzato da Open Whisper Systems?
[ ] Esattamente (non lo integra)
[ ] No (lo integra)
Per pietà, non scrivermi altri muri di testo, limitati a quotarmi mettendo una "x" nella risposta che ritieni corretta, sto disperatamente cercando in tutti i modi di capire quella che per te è l'evidenza concreta dei fatti.
Non lo so. Suppongo che integri il protocollo Signal/TextSecure dato che lo affermano quelli di Open Whisper Systems. Allo stesso tempo so per certo che il codice GPL di Signal/TextSecure sia stato riscritto non essendo possibile includerlo in Whatsapp a causa della licenza GPL.
Erotavlas_turbo
19-03-2016, 19:36
Ora è ufficiale. Stai trollando.
Io? Ma cosa stai dicendo? Mi pare tu stia dicendo molte inesattezze e che ti faccia fatica a leggere e imparare.
Ribadisco di riportarmi i link e sarò il primo a cambiare idea, però non mi riportare link di un privato che dice: "Want to make sure your code never ends up on Crypto Fails (http://www.cryptofails.com/about)? I provide an inexpensive security auditing service, with discounts for free software!"
Il messaggio in breve è se mi paghi non ti critico e ti riporto sul mio blog. Che persona degna di fiducia...
Segnalami pure ai moderatori e se mi bannano per questo sarò felicissimo...
"Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
In breve se mi paghi non ti critico. Non mi piace e non mi fido di una persona che scrive questo può essere anche un genio della crittografia.
Perdonami ma... sei proprio sicuro sicuro sicuro di aver tradotto correttamente il periodo riportato? ;)
Cosa significa? Non puoi includere un codice open source con licenza GPL dentro un codice closed source. E' la base della licenza GPL.
Perdonami ancora ma... chi ha mai parlato di utilizzare il codice di TextSecure dentro WhatsApp?
Si sta parlando di integrare il protocollo dentro WhatsApp, che non implica necessariamente l'uso del codice dentro il programma (cdimauro ha difatti subito portato l'esempio di Nvidia, che è calzante).
Oltre al fatto che, come dicevo prima, nulla impedisce a Open Whisper Systems di rilasciare Signal sotto una diversa licenza appositamente per questa applicazione.
Del resto questa integrazione è stata fatta ed è ufficiale, quindi il fatto che ci sia direi che è un fatto non sindacabile.
Io preferisco una trasparenza di Telegram dove è chiaro quali siano i dati leggibili (chat pubbliche su richiesta attivià giudiziaria) e quali non leggibili (chat segrete) rispetto alla fiducia che devi avere nel caso di Whatsapp.
Io non preferisco nessuno dei due, e dato che esistono alternative migliori (Signal, Tox, ecc...) non vedo perchè preferire Telegram che per come la vedo io soffre dello stesso problema di WA (dato che lato server il codice non è disponibile ne verificabile) e per di più utilizza un'architettura di sicurezza meno "sicura" (a detta di diverse analisi che ho letto, e che sono sicuro che se cerchi potrai trovare anche tu).
Erotavlas_turbo
19-03-2016, 21:51
Perdonami ma... sei proprio sicuro sicuro sicuro di aver tradotto correttamente il periodo riportato? ;)
Io sono abbastanza sicuro, di cose sicure ce ne sono solo due: la morte e che dobbiamo pagare le tasse (https://it.wikiquote.org/wiki/Benjamin_Franklin).
Perdonami ancora ma... chi ha mai parlato di utilizzare il codice di TextSecure dentro WhatsApp?
Si sta parlando di integrare il protocollo dentro WhatsApp, che non implica necessariamente l'uso del codice dentro il programma (cdimauro ha difatti subito portato l'esempio di Nvidia, che è calzante).
L'integrazione del protocollo è ammissibile solo con nuovo codice o codice diverso senza licenza GPL.
L'esempio di Nvidia è diverso. E' possibile installare dei file binari proprietari dentro un codice prevalentemente GPL. Il viceversa è vietato dalla licenza GPL.
Un esempio calzante è quello di Chromium e Chrome. Chromium è rilasciato sotto molte licenze BSD license, MIT License, LGPL, MS-PL and MPL/GPL/LGPL. Alcune di queste come BSD consentono di prendere il codice e trasformarlo in codice chiuso proprietario cosa che accade con Chrome.
Oltre al fatto che, come dicevo prima, nulla impedisce a Open Whisper Systems di rilasciare Signal sotto una diversa licenza appositamente per questa applicazione.
Tutto è possibile. Al momento non è possibile integrare il codice open source GPL di Signal dentro qualunque applicazione proprietaria come Whatsapp. Rileggi il thread e vedi che era stata posta questa questione.
Del resto questa integrazione è stata fatta ed è ufficiale, quindi il fatto che ci sia direi che è un fatto non sindacabile.
Questo è sbagliato leggi la licenza (https://github.com/WhisperSystems/Signal-Android/blob/master/LICENSE) di Signal...
Io non preferisco nessuno dei due, e dato che esistono alternative migliori (Signal, Tox, ecc...) non vedo perchè preferire Telegram che per come la vedo io soffre dello stesso problema di WA (dato che lato server il codice non è disponibile ne verificabile) e per di più utilizza un'architettura di sicurezza meno "sicura" (a detta di diverse analisi che ho letto, e che sono sicuro che se cerchi potrai trovare anche tu).
Certo anch'io preferisco Signal, ma è meno diffuso di Telegram e ha molte funzionalità in meno. Telegram client è open source e quindi le chat private sono affidabili. Telegram server è closed source al momento e quindi le chat pubbliche non sono affidabili. Whatsapp è closed source e quindi non è affidabile. Riportarmi le analisi fatte da enti terzi meglio se no profit e sarò felice di cambiare idea.
matteop3
20-03-2016, 10:07
Io preferisco una trasparenza di Telegram dove è chiaro quali siano i dati leggibili (chat pubbliche su richiesta attivià giudiziaria) e quali non leggibili (chat segrete) rispetto alla fiducia che devi avere nel caso di Whatsapp.
Ma è completamente illogico. Supponiamo che la sicurezza vada da 1 a 10.
Telegram dà trasparentemente un livello di sicurezza pari, diciamo, a 2. Whatsapp promotte un buon 8. Però ehi, il misero 2 di Telegram almeno è trasparente. Come ti ho detto prima, se anche WA mentisse (ma stiamo scadendo nel becero complottismo) rimarrebbe comunque sul 3 o 4.
matteop3
20-03-2016, 10:14
Io? Ma cosa stai dicendo? Mi pare tu stia dicendo molte inesattezze e che ti faccia fatica a leggere e imparare.
Ribadisco di riportarmi i link e sarò il primo a cambiare idea, però non mi riportare link di un privato che dice: "Want to make sure your code never ends up on Crypto Fails (http://www.cryptofails.com/about)? I provide an inexpensive security auditing service, with discounts for free software!"
Il messaggio in breve è se mi paghi non ti critico e ti riporto sul mio blog. Che persona degna di fiducia...
Segnalami pure ai moderatori e se mi bannano per questo sarò felicissimo...
Quello è un crittografo che, dietro compenso, ti fa valutazioni complete dei protocolli crittografici che gli proponi, in modo che poi tu possa migliorarli/adattarli/modificarli. Ti fornisce un servizio.
La frase "Want to make sure your code never ends up on Crypto Fails?" è pura ironia, che si legge così: "Sfrutta la mia competenza e fatti fare un audit da me, così, grazie ai miei consigli, il tuo software diventerà sicuro ed eviterà di finire nel mio blog dove smaschero orrori crittografici". Chiaro ora?
matteop3
20-03-2016, 10:21
Questo è sbagliato leggi la licenza (https://github.com/WhisperSystems/Signal-Android/blob/master/LICENSE) di Signal...
Ma ti rendi conto che stai negando un fatto già avvenuto oppure no?
matteop3
20-03-2016, 10:25
(cut)
Inutile, lui continua imperterrito col dogma che open source = good e closed source = devil, senza mai minimamente entrare nel merito dell'architettura delle due applicazioni. Ormai è perfettamente inutile continuare.
ComputArte
20-03-2016, 11:07
Posto che cdimauro mi è sembrato tutt'altro che arrogante e, sebbene non sia d'accordo con tutto quel che ha scritto, non si può certo dire che sia stato maleducato. In tutta onestà ho trovato molto più nauseantemente borioso questo tuo post.
La sensibilità è soggettiva, ma il significato delle parole e delle offese , no!
Se anche questo è un tentativo di mistificare i fatti....:mc:
In merito alla questione open vs closed non entrerò più nel merito - dato che non ne ho più la forza - e mi sembra di aver già fatto capire che per me open source e cybersecurity hanno un legame*. Nonostante questo smettetela di dire che Telegram è più sicuro di Whatsapp tirando in ballo l'apertura/chiusura del codice, perché palesemente non è così! Affermarlo significa non riuscire a capire un tubo dell'architettura delle due applicazioni.
Telegram è completamente centralizzato e sia conversazioni che chiavi di cifratura sono completamente in mano ai loro server, mentre WA è completamente decentralizzato, le conversazioni risiedono solamente sui terminali e le chiavi di cifratura (effimere) non lasciano mai il dispositivo (l'apertissimo e liberissimo protocollo TextSecure che WA adopera funziona proprio così), quindi nemmeno Whatsapp Inc. in persona ha modo di accedere ai contenuti delle conversazioni dei propri utenti, visto che TextSecure non glielo permette (e TextSecure è open source, eh). Basta anche guardare ai guai che ha avuto WA in Brasile di recente - e che Telegram non ha avuto.
Supponiamo, per pura assurdità, che ci sia un enorme complotto da parte di Whatsapp o qualche ente governativo a tua scelta e che in realtà Whatsapp Inc. abbia integrato in maniera malevola il protocollo TextSecure e che quindi possegga una serie di server segreti con tutte le conversazioni in chiaro di tutti. Beh, in questo caso Whatsapp non si potrebbe proprio definire tecnicamente meno sicuro di Telegram (quello reale ed attuale). :)
*: mi trovo sostanzialmente d'accordo con questo post di Schneider: https://www.schneier.com/crypto-gram/archives/1999/0915.html#OpenSourceandSecurity
Nauseante è il comportamento di chi rivendica comportamenti trasparenti e agisce in maniera opposta come le OTT....e chi tenta ( senza riuscirci ) di difenderle! :read:
....poi citare i voti della pagella per spportare che WA sia più sicuro di altre soluzioni è quanto meno "singolare", alla luce del FATTO che il Sig. Mark ha fatto shopping per attuare la profilazione incrociata!
Ma visto che ti stai "battendo" per far credere che WhatsApp non legga ( copi i contenuti sui suoi server, li analizzi, profili gli utenti e rivenda le info sotto forma di capacità di "targhettizzare" la pubblicità e non solo.... ) cosa ne pensi che un sistema basato su codice CHIUSO, possa nascondere una porta di servizio che "consenta" la ricostruzione del "puzzle" vedendo sia l'algortmo che la chiave!?
....e poi , visto che queste comunicazioni sono talmente sicure, come mai le agenzie di intelligence per fare il loro lavoro non devono far altro che accedere ai server delle OTT?! :sofico:
Erotavlas_turbo
20-03-2016, 11:47
Ma ti rendi conto che stai negando un fatto già avvenuto oppure no?
Ancora, ma sei veramente duro di comprendonio. Leggiti la licenza GPL e torna a parlare...
La licenza GPL vieta di inserire codice GPL in codice proprietario. Se non ti fidi di questo chiedi sul blog di Open Whisper System...
Erotavlas_turbo
20-03-2016, 11:48
Quello è un crittografo che, dietro compenso, ti fa valutazioni complete dei protocolli crittografici che gli proponi, in modo che poi tu possa migliorarli/adattarli/modificarli. Ti fornisce un servizio.
La frase "Want to make sure your code never ends up on Crypto Fails?" è pura ironia, che si legge così: "Sfrutta la mia competenza e fatti fare un audit da me, così, grazie ai miei consigli, il tuo software diventerà sicuro ed eviterà di finire nel mio blog dove smaschero orrori crittografici". Chiaro ora?
Certo mi fido sicuramente di un privato che pur di guadagnare è disposto a parlare male della crittografia di un software che non vuole essere revisionato da lui...affidabilissimo...
Erotavlas_turbo
20-03-2016, 11:51
Inutile, lui continua imperterrito col dogma che open source = good e closed source = devil, senza mai minimamente entrare nel merito dell'architettura delle due applicazioni. Ormai è perfettamente inutile continuare.
Non è un dogma, anche tu hai riportato un link dove viene affermata la stessa cosa e hai detto di essere d'accordo.
Direttamente dal link che hai citato (https://www.schneier.com/crypto-gram/archives/1999/0915.html#OpenSourceandSecurity):
In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice.
*: mi trovo sostanzialmente d'accordo con questo post di Schneider: https://www.schneier.com/crypto-gram/archives/1999/0915.html#OpenSourceandSecurity
Erotavlas_turbo
20-03-2016, 13:25
Ma è completamente illogico. Supponiamo che la sicurezza vada da 1 a 10.
Telegram dà trasparentemente un livello di sicurezza pari, diciamo, a 2. Whatsapp promotte un buon 8. Però ehi, il misero 2 di Telegram almeno è trasparente. Come ti ho detto prima, se anche WA mentisse (ma stiamo scadendo nel becero complottismo) rimarrebbe comunque sul 3 o 4.
Questo lo dici tu. La EFF (https://www.eff.org/secure-messaging-scorecard), che è molto più attendibile di tutti noi qui nel forum oltre a tutti i link che sono stati riportati, ha valutato come:
Whatsapp 2/7 punti
Telegram chat pubbliche 4/7 punti
Telegram chat private 7/7 punti
Signal 7/7 punti
oltre a tutti i link che sono stati riportati, ha valutato come:
Whatsapp 2/7 punti
Telegram chat pubbliche 4/7 punti
Telegram chat private 7/7 punti
Signal 7/7 punti
E' ancora troppo presto, il whatsapp con le feature di sicurezza annunciate non è ancora stato preso in esame (bisognerà attendere fino ad implementazione conclusa), lì sopra si parla di quello vecchio.
L'ultimo aggiornamento ufficiale della EFF è del 13 marzo dove si annuncia la rimozione di Cryptocat perché il servizio è stato chiuso.
Erotavlas_turbo
21-03-2016, 08:23
E' ancora troppo presto, il whatsapp con le feature di sicurezza annunciate non è ancora stato preso in esame (bisognerà attendere fino ad implementazione conclusa), lì sopra si parla di quello vecchio.
L'ultimo aggiornamento ufficiale della EFF è del 13 marzo dove si annuncia la rimozione di Cryptocat perché il servizio è stato chiuso.
Si certo per le ultime funzionalità (cifratura immagini, video, etc.), ma non per le funzionalità di base dato che l'annuncio (https://whispersystems.org/blog/whatsapp/) dell'integrazione del protocollo di Textsecure in Whatsapp è stato dato in data 18/11/2014 mentre l'ultimo update della EFF risale al 13/03/2016 come hai detto tu.
cdimauro
22-03-2016, 08:04
@ComputArte: se una persona dice delle menzogne, è un bugiardo. Se cerca di appioppare queste menzogne a un'altra persona, mettendogli in bocca cosa che non ha mai detto, è un mistificatore.
Lingua italiana alla mano.
Per cui è inutile che parti con la solita litania delle presunte offese che t'avrei rivolto, com'è ridicolo parlare di mancanza d'educazione.
Sul resto mi sono già espresso, e rispondo all'utente in questione sulle parti rimanenti.
Cosa stai dicendo?
Qualcosa che non dovrebbe essere difficile da capire, lingua italiana alla mano.
Stai affermando che fare il reverse engineering è come avere il codice sorgente?
Non mi pare di averlo mai affermato: anche tu sulla via della mistificazione?
Contento tu, io non mi fido del codice chiuso dopo lo scandalo Prism specialmente se stiamo parlando di riservatezzza e di comunicazioni sicure.
Il fatto che TU non ti fida è ovvio, e non in discussione: per me puoi pensare quello che vuoi, anche che esistano gli unicorni rosa volanti.
Ma sulle questioni TECNICHE che hai posto hai sparato una caterva di bestialità che non stanno in piedi, e che ho smontato una a una fin dalla mia prima risposta.
Quello che avevi detto non ha nulla a che fare con la mia affermazione e con la questione che Whatsapp proprietario non può includere codice di Signal GPL.
Se continui a non capire quello che avevo affermato non è più un problema mio.
Leggi prima di parlare.
Leggere non è un problema: è la comprensione che ti difetta. Ne parlo meglio dopo.
Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare? (http://www.gnu.org/licenses/gpl-faq.it.html#GPLInProprietarySystem)
Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma? (http://www.gnu.org/licenses/gpl-faq.it.html#LinkingWithGPL)
Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma. (http://www.gnu.org/licenses/gpl-faq.it.html#WillYouMakeAnException)
Certo che può installare binari proprietari dentro un sistema operativo prevalentemente GPL. Non puoi fare il contrario cioè includere codice GPL dentro un codice proprietario.
Per comodità riporto quello che avevo scritto in precedenza:
"Potresti sempre realizzare un loader con licenza GPL, che carica un binario (ad esempio una comune libreria condivisa/dinamica/DLL) generato da codice non GPL."
Adesso mi dici chi ha parlato di INCLUDERE codice GPL? Io ho affermato una cosa completamente diversa, e che consente di UTILIZZARE (notare la differenza) codice GPL da un software che non lo è, continuando a mantenere la suddetta licenza virale.
Nella speranza di tagliare la testa al toro (anche se a questo punto mi rendo conto che potrebbe essere inutile), faccio qualche esempio pratico.
Mettiamo che realizzo un'applicazione chiusa, e che supporta un sistema di plugin scaricabili dinamicamente. Rendo disponibile le specifiche dei plugin, e chiunque, quindi, è in grado di svilupparne per la mia applicazione.
C'è chi ne realizzerà di closed (rilasciando solo i binari), e chi open (con licenza qualsiasi, inclusa la famigerata GPL): non è importante, perché la mia applicazione è in grado di CARICARLI e USARLI allo stesso modo.
Il fatto che qualche plugin possa essere realizzato con codice GPL NON implica che la MIA applicazione che lo carica debba, a sua volta, essere rilasciata con la stessa licenza.
Preciso che il meccanismo dei plugin può essere implementato con qualunque meccanismo di "comunicazione": librerie condivise, servizi/demoni, RPC, memory map, e qualunque altra diavoleria un programmatore potrebbe inventarsi per far comunicare i due codici, senza contaminare la licenza dell'applicazione principale.
Tornando al tema della discussione, Whatsapp potrebbe benissimo FAR USO del codice di Signal, incapsulandolo opportunamente in uno dei meccanismi di cui sopra, e senza per questo essere costretta a rilasciare i sorgenti dell'applicazione principale.
Spero che ti sia chiaro una buona volta, perché non so in che altro modo spiegartelo.
Per fortuna c'è qualcuno che ogni tanto ragione e accende il cervello...
Detto da chi non è in grado di comprendere il significato di una semplice frase in inglese, lo prendiamo come un complimento.
Sei un grande per la tua risposta sia come forma sia come sostanza. Spero almeno tu sia riuscito a far capire di cosa stiamo parlando. Grazie
Mi spiace per te, ma quel che ha scritto non ha toccato nulla delle questioni tecniche che avevi esposto, e che t'ho smontato puntualmente fin dalla prima replica.
Tant'è che hai poi cercato di cambiare discorso o riformularle diversamente.
I commenti sono lì e mostrano, nero su bianco, le solite leggende metropolitane che hai riportato, e perché siano prive di fondamento.
Erotavlas_turbo
22-03-2016, 21:45
Come già detto, il codice closed è closed soltanto per la gente comune. Ecco perché vengono ugualmente trovate tante falle.
Da Erotavlas_turbo: Cosa stai dicendo?
Qualcosa che non dovrebbe essere difficile da capire, lingua italiana alla mano.
Quindi per te avere il codice sorgente chiuso è come avere il codice sorgente aperto? Interessante se il primo che afferma questo...potresti farti assumere in qualche azienda tipo Microsoft...
Da Erotavlas_turbo: Stai affermando che fare il reverse engineering è come avere il codice sorgente?
Non mi pare di averlo mai affermato: anche tu sulla via della mistificazione?
Era una domanda se leggi con attenzione c'è il punto interrogativo. Per te poter fare il reverse engineering è come avere il codice sorgente?
Da Erotavlas_turbo: Contento tu, io non mi fido del codice chiuso dopo lo scandalo Prism specialmente se stiamo parlando di riservatezzza e di comunicazioni sicure.
Il fatto che TU non ti fida è ovvio, e non in discussione: per me puoi pensare quello che vuoi, anche che esistano gli unicorni rosa volanti.
Grazie alle persone come te esistono le aziende che guadagno alle spalle degli utenti attraverso la profilazione e la pubblicità Contento tu...
Ma sulle questioni TECNICHE che hai posto hai sparato una caterva di bestialità che non stanno in piedi, e che ho smontato una a una fin dalla mia prima risposta.
Davvero, quali?
Leggere non è un problema: è la comprensione che ti difetta. Ne parlo meglio dopo.
Mi pare sia il contrario...
Per comodità riporto quello che avevo scritto in precedenza:
"Potresti sempre realizzare un loader con licenza GPL, che carica un binario (ad esempio una comune libreria condivisa/dinamica/DLL) generato da codice non GPL."
Adesso mi dici chi ha parlato di INCLUDERE codice GPL? Io ho affermato una cosa completamente diversa, e che consente di UTILIZZARE (notare la differenza) codice GPL da un software che non lo è, continuando a mantenere la suddetta licenza virale.
Nella speranza di tagliare la testa al toro (anche se a questo punto mi rendo conto che potrebbe essere inutile), faccio qualche esempio pratico.
Mettiamo che realizzo un'applicazione chiusa, e che supporta un sistema di plugin scaricabili dinamicamente. Rendo disponibile le specifiche dei plugin, e chiunque, quindi, è in grado di svilupparne per la mia applicazione.
C'è chi ne realizzerà di closed (rilasciando solo i binari), e chi open (con licenza qualsiasi, inclusa la famigerata GPL): non è importante, perché la mia applicazione è in grado di CARICARLI e USARLI allo stesso modo.
Il fatto che qualche plugin possa essere realizzato con codice GPL NON implica che la MIA applicazione che lo carica debba, a sua volta, essere rilasciata con la stessa licenza.
Preciso che il meccanismo dei plugin può essere implementato con qualunque meccanismo di "comunicazione": librerie condivise, servizi/demoni, RPC, memory map, e qualunque altra diavoleria un programmatore potrebbe inventarsi per far comunicare i due codici, senza contaminare la licenza dell'applicazione principale.
Grazie per tutta questa spiegazione. Cosa ha a che fare con il nocciolo della questione? Un codice proprietario non può includere un codice GPL o linkare al suo interno un codice GPL questi fatti sono le fondamenta della licenza GPL.
L'esempio che hai fatto tu è possibile solo rilasciando i due programmi o programma principale e plugin in modo indipendente ognuno con la sua licenza. Questo non accade con Whatsapp e Signal. Se fosse stata utilizzata la tua soluzione sarebbero due applicazioni distinte o un applicazione con un plugin.
Tornando al tema della discussione, Whatsapp potrebbe benissimo FAR USO del codice di Signal, incapsulandolo opportunamente in uno dei meccanismi di cui sopra, e senza per questo essere costretta a rilasciare i sorgenti dell'applicazione principale.
Spero che ti sia chiaro una buona volta, perché non so in che altro modo spiegartelo.
L'esempio che hai fatto tu è possibile solo rilasciando i due programmi o programma principale e plugin in modo indipendente ognuno con la sua licenza, cosa che non accade con Whatsapp e Signal. Sei fuori tema...
Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare? (http://www.gnu.org/licenses/gpl-faq.it.html#GPLInProprietarySystem)
Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma? (http://www.gnu.org/licenses/gpl-faq.it.html#LinkingWithGPL)
Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma. (http://www.gnu.org/licenses/gpl-faq.it.html#WillYouMakeAnException)
Da Erotavlas_turbo: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
Detto da chi non è in grado di comprendere il significato di una semplice frase in inglese, lo prendiamo come un complimento.
Traducimela tu visto che certamente conosci l'inglese meglio di me...
Da Erotavlas_turbo: Sei un grande per la tua risposta sia come forma sia come sostanza. Spero almeno tu sia riuscito a far capire di cosa stiamo parlando. Grazie
Mi spiace per te, ma quel che ha scritto non ha toccato nulla delle questioni tecniche che avevi esposto, e che t'ho smontato puntualmente fin dalla prima replica.
Tant'è che hai poi cercato di cambiare discorso o riformularle diversamente.
I commenti sono lì e mostrano, nero su bianco, le solite leggende metropolitane che hai riportato, e perché siano prive di fondamento.
Certo i commenti sono li a dimostrare che stai dicendo molte inesattezze e in modo prepotente come se tu avessi sempre ragione. Questo è tipico di chi è ignorante e anziché rispondere sul merito risponde alzando i toni della discussione.
cdimauro
23-03-2016, 07:05
Da Erotavlas_turbo: Cosa stai dicendo?
Quindi per te avere il codice sorgente chiuso è come avere il codice sorgente aperto? Interessante se il primo che afferma questo...
Non mi sembra di averlo mai affermato. E due...
potresti farti assumere in qualche azienda tipo Microsoft...
Premesso che è la classica frasetta fuori luogo che lascia il tempo che trova, si vede che non hai nemmeno controllato la mia firma, perché non ne ho proprio bisogno.
Da Erotavlas_turbo: Stai affermando che fare il reverse engineering è come avere il codice sorgente?
Era una domanda se leggi con attenzione c'è il punto interrogativo. Per te poter fare il reverse engineering è come avere il codice sorgente?
Avevo già risposto, ma te lo ripeto sinteticamente: no.
E aggiungo che il fatto di avere il codice sorgente di per sé non significa nulla. Mai sentito parlare di offuscamento del codice? Cosa succederebbe se il codice di Signal fosse rilasciato offuscato?
E non pensare che sia un'ipotesi remota. Oltre ad aggirare gli effetti virali e liberticidi della licenza GPL che ho già ampiamente esposto e dimostrato, sarebbe anche possibile rilasciare il codice GPL utilizzato, ma in forma talmente offuscata da renderlo praticamente simile a quello di cui si è fatto reverse engineering.
Sempre che tu capisca ciò di cui sto parlando, ovviamente.
Da Erotavlas_turbo: Contento tu, io non mi fido del codice chiuso dopo lo scandalo Prism specialmente se stiamo parlando di riservatezzza e di comunicazioni sicure.
Grazie alle persone come te esistono le aziende che guadagno alle spalle degli utenti attraverso la profilazione e la pubblicità Contento tu...
Cosa ci sarebbe di male in tutto ciò? Si tratta di informazioni ANONIME atte a generare una pubblicità più mirata, e dunque più utile sia per le aziende sia per i consumatori.
Esempio pratico: giorni fa ho cercato delle offerte DSL in Germania, e dopo di ciò i banner di hwupgrade hanno cominciato a segnarmene alcune, e di queste la maggior parte non le conoscevo nemmeno.
E' di gran lunga meglio questo che vedere pubblicità di cui non me ne frega niente.
Gli unici ad avere problemi con tutto ciò sono i complottisti che ci vedono chissà quali oscure trame delle lobbbbbbby del potereeeee giudo-masso-pluto-sionista...
Davvero, quali?
Dalla mia prima risposta (http://hwupgrade.it/forum/showpost.php?p=43483269&postcount=64):
1) Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione.
2) Un codice closed source è inaffidabile per definizione.
3) Nessuno può controllarlo solo la casa produttrice.
Tutte e tre smontate nel mio commento. :read:
Mi pare sia il contrario...
Giudicheranno gli altri utenti: è tutto nero su bianco, come dicevo.
Grazie per tutta questa spiegazione. Cosa ha a che fare con il nocciolo della questione? Un codice proprietario non può includere un codice GPL o linkare al suo interno un codice GPL questi fatti sono le fondamenta della licenza GPL.
L'esempio che hai fatto tu è possibile solo rilasciando i due programmi o programma principale e plugin in modo indipendente ognuno con la sua licenza. Questo non accade con Whatsapp e Signal. Se fosse stata utilizzata la tua soluzione sarebbero due applicazioni distinte o un applicazione con un plugin.
C'entra, invece. Riporto quello che avevi scritto tu e a cui avevo risposto nel mio secondo commento (http://hwupgrade.it/forum/showpost.php?p=43486704&postcount=77):
"No questo non è possibile. Non puoi includere o linkare codice open source con licenza GPL dentro un codice proprietario quindi closed source (la licenza BSD per esempio ti consente questo). Puoi vendere un prodotto che utilizza codice open source con licenza GPL, ma devi rilasciare il codice con la stessa licenza open source GPL."
Mi sono permesso di evidenziare la parte importante del discorso, e per la quale hai già ricevuto la mia risposta (vedi link).
Da notare che avevi scritto UTILIZZA, ed è esattamente in questo contesto che si inserisce la mia risposta che dimostra in che modo è possibile che ciò avvenga SENZA violare la GPL.
Come vedi leggere qualcosa non implica che la si comprenda.
L'esempio che hai fatto tu è possibile solo rilasciando i due programmi o programma principale e plugin in modo indipendente ognuno con la sua licenza, cosa che non accade con Whatsapp e Signal. Sei fuori tema...
Mi piacerebbe incorporare del software coperto dalla GPL nel mio sistema proprietario. Non ho permessi su quel software al di là di quelli concessi dalla GPL. Lo posso fare? (http://www.gnu.org/licenses/gpl-faq.it.html#GPLInProprietarySystem)
Tu hai un programma sotto GPL a cui vorrei linkare del mio codice per costruire un programma proprietario. Il fatto che io sfrutti il tuo programma mi obbliga a usare la GPL per il mio programma? (http://www.gnu.org/licenses/gpl-faq.it.html#LinkingWithGPL)
Il fatto che un certo programma GNU sia rilasciato sotto GPL non ci permette di usarlo nel nostro progetto di sviluppo di software proprietario. Potete fare un'eccezione per noi? Questo potrebbe significare allargare il bacino di utenza per quel programma. (http://www.gnu.org/licenses/gpl-faq.it.html#WillYouMakeAnException)
Incollare a ripetizione le stesse cose non risolve il TUO problema di comprensione: vedi sopra.
Quanto al mio ultimo commento, non aggiunge altro che qualche dettaglio più tecnico per far capire la questione a chi non era stato in grado di capirlo fino ad allora.
Tra l'altro avresti potuto, e dovuto se ne avessi avuto le conoscenze, correggermi quando ho scritto appositamente RPC anziché IPC nell'elenco di cui prima, perché è il secondo, e non il primo, che calza nello scenario di cui stiamo parlando.
Questo a ulteriore dimostrazione, se ce ne fosse ancora bisogno, che continui a non capire i termini della questione, e a non possedere il minimo bagaglio tecnico necessario per poter affrontare certi temi.
D'altra parte la conoscenza non la si acquisisce certo a colpi di ricerche su internet...
Da Erotavlas_turbo: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
Traducimela tu visto che certamente conosci l'inglese meglio di me...
"Vuoi (vorresti) esser sicuro di non ricadere mai nelle fallacie pertinenti alla crittografia? Fornisco un economico servizio di auditing [questo termine tecnico lo usiamo così anche in italiano] di sicurezza, con sconti per il software [diversamente; ndr] libero".
Adesso incolla qui quello che hai appioppato a questo professionista, così vedremo le LEGGERE differenze che emergono fra le due cose.
Da Erotavlas_turbo: Sei un grande per la tua risposta sia come forma sia come sostanza. Spero almeno tu sia riuscito a far capire di cosa stiamo parlando. Grazie
Certo i commenti sono li a dimostrare che stai dicendo molte inesattezze
ROFL. Ci vuole proprio una gran faccia tosta. :rotfl:
Prendo in prestito una tua frase: Davvero, quali?
e in modo prepotente come se tu avessi sempre ragione. Questo è tipico di chi è ignorante e anziché rispondere sul merito risponde alzando i toni della discussione.
Cercare di ribaltare la frittata è perfettamente inutile. La discussione era accesa, ma questo rientra nel normale giogo dei forum. E' soltanto DOPO che l'ha fatta fuori dal vaso, con questo:
"Per fortuna c'è qualcuno che ogni tanto ragione e accende il cervello..."
che hai ricevuto una risposta col tono che meriti. Per essere chiari: il TUO stesso tono.
Quanto all'ignoranza, ribadisco che ci vuole proprio una gran faccia tosta, detto da uno che è dimostrato continuare a parlare di cose che non capisce e di cui non ha chiaramente background tecnico per affrontare certi temi.
Per il resto ho risposto puntualmente proprio sul merito, come può banalmente verificare chiunque.
La tua ultima uscita è il classico vittimismo nonché tentativo di ribaltare la frittata di chi non è in grado di continuare a sostenere una discussione ormai divenuta troppo scomoda.
Classico pattern visto e rivisto, specialmente coi fanatici delle pseudo-religioni di cui, purtroppo, internet è pieno.
ComputArte
23-03-2016, 09:57
@ComputArte: se una persona dice delle menzogne, è un bugiardo. Se cerca di appioppare queste menzogne a un'altra persona, mettendogli in bocca cosa che non ha mai detto, è un mistificatore.
Lingua italiana alla mano.
Per cui è inutile che parti con la solita litania delle presunte offese che t'avrei rivolto, com'è ridicolo parlare di mancanza d'educazione.
Sul resto mi sono già espresso, e rispondo all'utente in questione sulle parti rimanenti.
Ok ora che hai copiato ed incollato la definizione che hai trovato sulla tua fonte preferita wikipedia :doh: , pensi di aver veramente capito il concetto di offesa?! :eekk:
Perchè non vai a copiare, incollare e provare a rileggere (molte volte) il concetto di educazione e degli effetti della sua mancanza che sono tutt'altro che ridicoli, constatata la tua propensione a comunicare con gli altri?! :read:
Continui a rivolgerti in maniera becera, irrispettosa e goffa nei confronti di Erotavlas_turbo , tentando ( senza alcuna minima possibilità di riuscirci, sia ben chiaro :ciapet: ) di porti in una posizione di superiorità basandola sulle tue affermazioni colabrodo che costruiscono un castello di carte sulla battigia di un mare in tempesta, nel tentativo di far credere che un codice chiuso sia più sicuro ( sempre inteso come impossibilità ad essere spiati per gli uetnti) di un codice aperto!!!
Ma lo vuoi capire o no, che il tuo giochetto di prestigio nell'accedere carta sporca per buttare fumo non è INTELligente?!:sofico:
E finalmente ammetti nelle tue farneticazioni autoreferenziali che la profilazione a scopi commerciali esiste, facendo riferimento ai banner pubblicitari!!!! :sofico:
....benvenuto nel mondo reale...e per le persone che fanno patrimonio di conoscenze ed esperienze: "dubium initium sapientiae" ;)
Ancora, ma sei veramente duro di comprendonio. Leggiti la licenza GPL e torna a parlare...
La licenza GPL vieta di inserire codice GPL in codice proprietario. Se non ti fidi di questo chiedi sul blog di Open Whisper System...
Sbagliato. L'importante è che il codice protetto da licenza GPL sia sostituibile dall'utente con un'altra versione dello stesso codice. Te lo posso assicurare visto che ho pubblicato software chiuso che contiene librerie con licenza GPL.
@cdimauro
"E aggiungo che il fatto di avere il codice sorgente di per sé non significa nulla. Mai sentito parlare di offuscamento del codice? Cosa succederebbe se il codice di Signal fosse rilasciato offuscato?"
Occhio a dire certe cose eh, non sia mai esca poi fuori che è vero!!! :sofico::sofico:
Certo è che il tuo è un esempio un po' tirato, ma mi hai fatto morire dalle risate! +1 :)
In effetti, nessuno considera la possibilità di offuscare il codice, magari tramite un tool che lo "scompiglia" (senza danneggiarlo, ovviamente) prima della compilazione. :sofico:
Erotavlas_turbo
23-03-2016, 21:20
Originariamente inviato da Erotavlas_turbo:
Ancora, ma sei veramente duro di comprendonio. Leggiti la licenza GPL e torna a parlare...
La licenza GPL vieta di inserire codice GPL in codice proprietario. Se non ti fidi di questo chiedi sul blog di Open Whisper System...
Sbagliato. L'importante è che il codice protetto da licenza GPL sia sostituibile dall'utente con un'altra versione dello stesso codice. Te lo posso assicurare visto che ho pubblicato software chiuso che contiene librerie con licenza GPL.
Cioè? Vuoi dire che hai rilasciato codice sorgente chiuso che contiene codice con licenza GPL? O hai rilasciato codice sorgente chiuso nel quale hai sostituito il codice con licenza GPL con altro codice con licenza che permette di chiudere il codice sorgente? La prima possibilità non è ammessa dalla licenza GPL e la stai violando se l'hai fatto, la seconda non ha nulla a che fare con la licenza GPL e quindi sei fuori tema...
cdimauro
23-03-2016, 21:24
Ok ora che hai copiato ed incollato la definizione che hai trovato sulla tua fonte preferita wikipedia :doh: , pensi di aver veramente capito il concetto di offesa?! :eekk:
Perchè non vai a copiare, incollare e provare a rileggere (molte volte) il concetto di educazione e degli effetti della sua mancanza che sono tutt'altro che ridicoli, constatata la tua propensione a comunicare con gli altri?! :read:
Non serve tirate in ballo Wikipedia, che peraltro non è né un'enciclopedia né tanto meno un vocabolario: basta una conoscenza primordiale e pre-scolastica per capire che se uno dice una menzogna è, di conseguenza, un bugiardo.
E in tutto ciò non c'è nulla di offensivo: si tratta di mera constatazione.
Continui a rivolgerti in maniera becera, irrispettosa e goffa nei confronti di Erotavlas_turbo ,
Cosa non ti è chiaro del fatto ha ricevuto quel trattamento DOPO che l'ha fatta fuori dal vaso con quella battuta offensiva (questo sì) nei confronti di chi ha semplicemente espresso un'idea diversa dalla sua (peraltro con ampie argomentazioni)?
Dove la vedi questa "continuità"?
Al solito, ti mostri per quel che sei: un falso e mistificatore.
tentando ( senza alcuna minima possibilità di riuscirci, sia ben chiaro :ciapet: ) di porti in una posizione di superiorità basandola sulle tue affermazioni colabrodo che costruiscono un castello di carte sulla battigia di un mare in tempesta,
Come diceva Mina: parole, parole, parole.
Ho fatto a pezzi quelle bufale fin dal primo commento che ho scritto, dimostrandone con CONCRETI esempi la falsità.
Non è con vuote parole che puoi pensare di ribaltare la frittata, come sei solito fare.
nel tentativo di far credere che un codice chiuso sia più sicuro ( sempre inteso come impossibilità ad essere spiati per gli uetnti) di un codice aperto!!!
E qui torna la tua vena di bugiardo e mistificatore, visto che non ho mai pronunciato nulla del genere.
Anche perché manca una metrica oggettiva per definire quanto un software sia "più sicuro" di un altro: condizione necessaria affinché si possa effettuare un confronto.
Ovviamente sono sicuro (!) che nessuno si degnerà di portare una tale definizione: è sempre più comodo perdere un sacco di tempo scrivendo wall-of-text privi di concreti contenuti.
Ma lo vuoi capire o no, che il tuo giochetto di prestigio nell'accedere carta sporca per buttare fumo non è INTELligente?!:sofico:
Come da manuale, arriva anche la battutina acida sulla mia azienda, anche se non c'entra un fico secco con la discussione, ed è del tutto inutile.
E finalmente ammetti nelle tue farneticazioni autoreferenziali che la profilazione a scopi commerciali esiste, facendo riferimento ai banner pubblicitari!!!! :sofico:
Ma chi mai l'avrebbe negato questo? :rolleyes: Ho soltanto riportato una mia riflessione sulla ridicola criminalizzazione di qualcosa che, in realtà, non fa alcun male, ed è, anzi, una comodità per gli utenti.
Ma d'altra parte di che mi meraviglio? La mistificazione è il tuo pane quotidiano...
....benvenuto nel mondo reale...e per le persone che fanno patrimonio di conoscenze ed esperienze: "dubium initium sapientiae" ;)
No comment...
@cdimauro
"E aggiungo che il fatto di avere il codice sorgente di per sé non significa nulla. Mai sentito parlare di offuscamento del codice? Cosa succederebbe se il codice di Signal fosse rilasciato offuscato?"
Occhio a dire certe cose eh, non sia mai esca poi fuori che è vero!!! :sofico::sofico:
Certo è che il tuo è un esempio un po' tirato, ma mi hai fatto morire dalle risate! +1 :)
In realtà ero abbastanza serio, e non hai idea delle perversioni che nel frattempo mi sono venute fuori pensando a un meccanismo di offuscamento del codice che facesse rimpiangere il disassemblato di un tool di reverse engineering. :asd:
In effetti, nessuno considera la possibilità di offuscare il codice, magari tramite un tool che lo "scompiglia" (senza danneggiarlo, ovviamente) prima della compilazione. :sofico:
Esattamente. E la cosa interessante è che risulta pure ampiamente fattibile, con linguaggi staticamente tipati.
Oggi scrivere parser di linguaggi anche molto complessi come il C++ è abbastanza abbordabile, e generare codice dall'AST da essi prodotto è ancora più semplice.
Poi, come dicevo sopra, il resto lo deve fare la fantasia: di modi per offuscare il codice ne esistono tanti, e cambiare gli identificatori con roba generata casualmente è soltanto il primo, banale, passettino di una serie di mostruosità degne del peggior inquisitore.
http://www.gifanimate.com/data/media/130/diavolo-immagine-animata-0130.gif
Erotavlas_turbo
23-03-2016, 21:27
In effetti, nessuno considera la possibilità di offuscare il codice, magari tramite un tool che lo "scompiglia" (senza danneggiarlo, ovviamente) prima della compilazione. :sofico:
L'offuscamento del codice (https://en.wikipedia.org/wiki/Obfuscation_%28software%29) è usato per software con licenza closed source come i software commerciali e in generale per rendere difficile il reverse engineering...
A cosa serve offuscare un codice rilasciato con licenza open source soprattutto copyleft e aperta come GPL? E' una contraddizione.
Poi c'è chi afferma che fare reverse engineering è semplice...
cdimauro
23-03-2016, 21:35
L'offuscamento del codice (https://en.wikipedia.org/wiki/Obfuscation_%28software%29) è usato per software con licenza closed source come i software commerciali e in generale per rendere difficile il reverse engineering...
A cosa serve offuscare un codice rilasciato con licenza open source soprattutto copyleft e aperta come GPL? E' una contraddizione.
A cosa serve è semplice: aggirare la viralità di questa licenza liberticida.
Se mi costringi a dover rilasciare il codice GPL che utilizzo, allora lo faccio, ma rendendolo sostanzialmente incomprensibile, vanificando, nei fatti, il motivo per cui è nata questa licenza.
Poi c'è chi afferma che fare reverse engineering è semplice...
Direi che è un sempliciotto a fare affermazioni del genere.
Un po' come quelli che fanno affermazioni campate per aria su codice open o closed source.
Erotavlas_turbo
23-03-2016, 22:04
Premesso che è la classica frasetta fuori luogo che lascia il tempo che trova, si vede che non hai nemmeno controllato la mia firma, perché non ne ho proprio bisogno.
Scusa non mi ero accorto di chi fossi, adesso è tutto più chiaro...
E aggiungo che il fatto di avere il codice sorgente di per sé non significa nulla. Mai sentito parlare di offuscamento del codice? Cosa succederebbe se il codice di Signal fosse rilasciato offuscato?
Certo, rilasciare un codice open source con la licenza più aperta possibile e copyleft come la GPL e offuscare il codice sono due concetti filosoficamente e praticamente contrapposti...
E non pensare che sia un'ipotesi remota. Oltre ad aggirare gli effetti virali e liberticidi della licenza GPL che ho già ampiamente esposto e dimostrato, sarebbe anche possibile rilasciare il codice GPL utilizzato, ma in forma talmente offuscata da renderlo praticamente simile a quello di cui si è fatto reverse engineering.
Sempre che tu capisca ciò di cui sto parlando, ovviamente.
Fammi un esempio di codice offuscato rilasciato sotto licenza GPL. Se non lo conosci spiegami il perché uno sviluppatore che rilascia il codice tramite licenze GPL dovrebbe offuscare il codice.
Questa vorrei che tu la spiegassi...virali e liberticidi? Tu sei talmente inquadrato dalle società a scopo di lucro come la tua intel che non sai nemmeno cosa sia la free software foundation e la licenza GPL.
Da Erotavlas_turbo: Grazie alle persone come te esistono le aziende che guadagno alle spalle degli utenti attraverso la profilazione e la pubblicità Contento tu...
Cosa ci sarebbe di male in tutto ciò? Si tratta di informazioni ANONIME atte a generare una pubblicità più mirata, e dunque più utile sia per le aziende sia per i consumatori.
Per me la libertà personale è fondamentale. Preferisco pagare un servizio che avere un servizio apparentemente gratis mentre in realtà pago con la mia libertà il costo del servizio.
Gli unici ad avere problemi con tutto ciò sono i complottisti che ci vedono chissà quali oscure trame delle lobbbbbbby del potereeeee giudo-masso-pluto-sionista...
Ma quale complottismo, non sai di cosa parli. Magari sei un esperto di programmazione e informatica, ma a cultura generale non sei messo benissimo...
Dalla mia prima risposta (http://hwupgrade.it/forum/showpost.php?p=43483269&postcount=64):
1) Un codice open source è affidabile proprio perché tutti possono controllare la sua implementazione.
2) Un codice closed source è inaffidabile per definizione.
3) Nessuno può controllarlo solo la casa produttrice.
Tutte e tre smontate nel mio commento. :read:
Veramente? Non mi pare...
Giudicheranno gli altri utenti: è tutto nero su bianco, come dicevo.
Si
C'entra, invece. Riporto quello che avevi scritto tu e a cui avevo risposto nel mio secondo commento (http://hwupgrade.it/forum/showpost.php?p=43486704&postcount=77):
"No questo non è possibile. Non puoi includere o linkare codice open source con licenza GPL dentro un codice proprietario quindi closed source (la licenza BSD per esempio ti consente questo). Puoi vendere un prodotto che utilizza codice open source con licenza GPL, ma devi rilasciare il codice con la stessa licenza open source GPL."
Mi sono permesso di evidenziare la parte importante del discorso, e per la quale hai già ricevuto la mia risposta (vedi link).
Da notare che avevi scritto UTILIZZA, ed è esattamente in questo contesto che si inserisce la mia risposta che dimostra in che modo è possibile che ciò avvenga SENZA violare la GPL.
Come vedi leggere qualcosa non implica che la si comprenda.
Infatti. Lo ribadisco. Non puoi utilizzare codice GPL dentro un codice proprietario sia includendolo sia linkandolo. Quello che puoi fare, come hai detto anche tu, è rilasciare due applicazioni o un'applicazione e un plugin indipendenti ciascuno con la sua licenza uno dei due GPL e l'altro proprietario che comunicano tra di loro. In questo modo non viene violata alcuna licenza. Leggi con più attenzione...
Incollare a ripetizione le stesse cose non risolve il TUO problema di comprensione: vedi sopra.
Incollo a ripetizione perché ancora non conosci o non vuoi ammettere di conoscere la licenza GPL.
Quanto al mio ultimo commento, non aggiunge altro che qualche dettaglio più tecnico per far capire la questione a chi non era stato in grado di capirlo fino ad allora.
Tra l'altro avresti potuto, e dovuto se ne avessi avuto le conoscenze, correggermi quando ho scritto appositamente RPC anziché IPC nell'elenco di cui prima, perché è il secondo, e non il primo, che calza nello scenario di cui stiamo parlando.
Questo a ulteriore dimostrazione, se ce ne fosse ancora bisogno, che continui a non capire i termini della questione, e a non possedere il minimo bagaglio tecnico necessario per poter affrontare certi temi.
D'altra parte la conoscenza non la si acquisisce certo a colpi di ricerche su internet...
Non l'ho nemmeno letto quando ho visto che andavi fuori tema. Qui non c'è nulla di tecnico da sapere. Stiamo parlando di licenze software e non di programmazione. Non sono interessato a fare il programmatore lo lascio fare a te...
Da Erotavlas_turbo: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
"Vuoi (vorresti) esser sicuro di non ricadere mai nelle fallacie pertinenti alla crittografia? Fornisco un economico servizio di auditing [questo termine tecnico lo usiamo così anche in italiano] di sicurezza, con sconti per il software [diversamente; ndr] libero".
Adesso incolla qui quello che hai appioppato a questo professionista, così vedremo le LEGGERE differenze che emergono fra le due cose
La tua è una traduzione con interpretazione che a mio avviso cambia il significato...
Vuoi (vorresti) esser sicuro che il tuo codice non finisca mai nel sito Crypto Fails?
Fornisco un economico servizio di revisione di sicurezza, con sconti per il software libero.
Cercare di ribaltare la frittata è perfettamente inutile. La discussione era accesa, ma questo rientra nel normale giogo dei forum. E' soltanto DOPO che l'ha fatta fuori dal vaso, con questo:
"Per fortuna c'è qualcuno che ogni tanto ragione e accende il cervello..."
che hai ricevuto una risposta col tono che meriti. Per essere chiari: il TUO stesso tono.
Quanto all'ignoranza, ribadisco che ci vuole proprio una gran faccia tosta, detto da uno che è dimostrato continuare a parlare di cose che non capisce e di cui non ha chiaramente background tecnico per affrontare certi temi.
Per il resto ho risposto puntualmente proprio sul merito, come può banalmente verificare chiunque.
La tua ultima uscita è il classico vittimismo nonché tentativo di ribaltare la frittata di chi non è in grado di continuare a sostenere una discussione ormai divenuta troppo scomoda.
Classico pattern visto e rivisto, specialmente coi fanatici delle pseudo-religioni di cui, purtroppo, internet è pieno.
Sei tu che hai alzato i toni con ComputArte e dopo io ho apprezzato il suo commento, rileggi prego post #92.
Io credo che tu ti senta al di sopra e infatti specifichi molte volte di guardare la tua firma. Ma chi ti credi di essere? Solo perché lavori alla intel? Hai vinto il premio turing o il premio nobel? Non mi pare...hai fatto qualche scoperta utile? Non mi pare... Se un bravo programmatore? Complimenti, però cerca di essere più umile.
I veri grandi sono gli umili e tu l'umiltà non sai nemmeno dove abita...
Ma quale vittimismo: tu difendi a oltranza il settore del software proprietario e non ammetti il nocciolo della questione...
Erotavlas_turbo
23-03-2016, 22:16
Originariamente inviato da Erotavlas_turbo Guarda i messaggi
L'offuscamento del codice è usato per software con licenza closed source come i software commerciali e in generale per rendere difficile il reverse engineering...
A cosa serve offuscare un codice rilasciato con licenza open source soprattutto copyleft e aperta come GPL? E' una contraddizione.
A cosa serve è semplice: aggirare la viralità di questa licenza liberticida.
Se mi costringi a dover rilasciare il codice GPL che utilizzo, allora lo faccio, ma rendendolo sostanzialmente incomprensibile, vanificando, nei fatti, il motivo per cui è nata questa licenza.
Finalmente ci siamo arrivati. Tu vuoi utilizzare il lavoro di altri gratis per i tuoi scopi. Il lavoro di altri è rilasciato con licenza GPL per il bene del software libero e della comunità però a causa dei vincoli della licenza GPL, che tu non vuoi rispettare, cerchi di offuscare il codice cosi che gli altri non possano utilizzare il tuo lavoro.
Sei veramente un opportunista affermando questo. Ma che bravo che sei...
Sei una bella persona ad ogni messaggio emerge sempre di più la tua personalità...
Poi c'è chi afferma che fare reverse engineering è semplice...
Direi che è un sempliciotto a fare affermazioni del genere.
Un po' come quelli che fanno affermazioni campate per aria su codice open o closed source.
Non ho niente da replicare...
cdimauro
23-03-2016, 22:43
Scusa non mi ero accorto di chi fossi, adesso è tutto più chiaro...
Non lo è affatto, ma ne parlo meglio dopo.
Certo, rilasciare un codice open source con la licenza più aperta possibile e copyleft come la GPL e offuscare il codice sono due concetti filosoficamente e praticamente contrapposti...
Senz'altro, ma l'importante è il fine: scardinare i deliri della licenza GPL.
Fammi un esempio di codice offuscato rilasciato sotto licenza GPL. Se non lo conosci spiegami il perché uno sviluppatore che rilascia il codice tramite licenze GPL dovrebbe offuscare il codice.
Te l'ho spiegato nel precedente commento #121.
Questa vorrei che tu la spiegassi...virali e liberticidi?
Non c'è molto da spiegare: sono gli effetti della licenza GPL.
Virale perché contamina il codice con cui viene a contatto.
Liberticida perché è fondata su costrizioni per chi ne fa uso (due delle famigerate colonne sono, infatti, costrizioni e non "libertà", come vengono falsamente definite).
Tu sei talmente inquadrato dalle società a scopo di lucro come la tua intel che non sai nemmeno cosa sia la free software foundation e la licenza GPL.
Intel è uno dei maggiori contributori di Linux, di open source in generale, e di GPL in particolare, oltre ad avere stretti rapporti con realtà come la FSF.
Soltanto nel mio (piccolo) distaccamento c'è, al piano sotto al mio, un collega che ha rilasciato più di 10000 (DIECIMILA) patch al kernel di Linux. Senza contare poi le centinaia e centinaia di patch che sono state rilasciate da altri miei peer per GDB.
Sciacquati la bocca prima di parlare di cose che non conosci. Dimostri soltanto di essere il cieco fanatico integralista che deve andare a prescindere contro le multinazionali brutte e cattie.
Da Erotavlas_turbo: Grazie alle persone come te esistono le aziende che guadagno alle spalle degli utenti attraverso la profilazione e la pubblicità Contento tu...
Per me la libertà personale è fondamentale. Preferisco pagare un servizio che avere un servizio apparentemente gratis mentre in realtà pago con la mia libertà il costo del servizio.
De gustibus. Ma di quali libertà "personali" parli, visto che le informazioni raccolte sono ANONIME?!?
Ma quale complottismo, non sai di cosa parli. Magari sei un esperto di programmazione e informatica, ma a cultura generale non sei messo benissimo...
In tal caso potresti farmi delle lezioni. Comincia pure, e fammi vedere cos'è che mi sarei perso.
Veramente? Non mi pare...
Ecco qui le risposte che hanno smontato le tue tre precedenti bufale:
1) Falso. Lo dimostra il caso OpenSSH.
Lo dimostrano pure le recentissime falle venite fuori dopo diversi anni esclusivamente grazie al lavoro di review di Google e Red Hat (che sono aziende che hanno precisi interessi).
2) Falso. Il fatto che non siano disponibili i sorgenti non è, logica alla mano, dimostrazione che un software sia inaffidabile. Può benissimo essere affidabilissimo. Semplicemente il codice che lo genera non è disponibile a tutti.
3) Falso anche questo. Mai sentito parlare di reverse engineering?
Infatti. Lo ribadisco. Non puoi utilizzare codice GPL dentro un codice proprietario sia includendolo sia linkandolo. Quello che puoi fare, come hai detto anche tu, è rilasciare due applicazioni o un'applicazione e un plugin indipendenti ciascuno con la sua licenza uno dei due GPL e l'altro proprietario che comunicano tra di loro. In questo modo non viene violata alcuna licenza. Leggi con più attenzione...
Già fatto, e ti ho dimostrato, riportando le TUE parole, che è possibile UTILIZZARE (verbo che TU hai usato in quel contesto) codice GPL in un software chiuso, senza violarne la licenza.
Questo risolverebbe, peraltro, i problemi di cui stavate discutendo.
Incollo a ripetizione perché ancora non conosci o non vuoi ammettere di conoscere la licenza GPL.
In tal caso potresti farmi vedere da dov'è che hai dedotto che non la conoscessi?
Quotami e DIMOSTRALO. Altrimenti potrei pensare che sei un falso e un mistificatore, come l'altro tuo compagno di merende.
Non l'ho nemmeno letto quando ho visto che andavi fuori tema.
Non ero affatto andato fuori tema. Vedi sopra.
E per essere chiari, sei TU che hai parlato di UTILIZZARE, codice GPL.
Qui non c'è nulla di tecnico da sapere. Stiamo parlando di licenze software e non di programmazione. Non sono interessato a fare il programmatore lo lascio fare a te...
Su questo non c'erano dubbi.
Da Erotavlas_turbo: "Want to make sure your code never ends up on Crypto Fails? I provide an inexpensive security auditing service, with discounts for free software!"
La tua è una traduzione con interpretazione che a mio avviso cambia il significato...
Vuoi (vorresti) esser sicuro che il tuo codice non finisca mai nel sito Crypto Fails?
Fornisco un economico servizio di revisione di sicurezza, con sconti per il software libero.
No, tu hai affermato ben altro. Perché non riporti quello che hai messo in bocca a quell'analista?
Sei tu che hai alzato i toni con ComputArte e
Tu non conosci i precedenti con lui, e il suo sistematico ricorso a menzogne e mistificazioni. Come ha fatto, e per tale motivo gli ho dato del bugiardo e mistificatore.
dopo io ho apprezzato il suo commento, rileggi prego post #92.
No, tu sei andato ben oltre, infangando anche gli altri utenti che avevano espresso la loro opinione.
E peraltro la mia diatriba con ComputArte non ti autorizza a ricorrere a toni da osteria con chi non s'è comportato allo stesso modo con te.
Io credo che tu ti senta al di sopra e infatti specifichi molte volte di guardare la tua firma.
L'ho fatto UNA volta, e IN RISPOSTA a una TUA affermazione (che t'è andata male :asd:).
Vedo che ti trovi bene nel ruolo di mistificatore.
Ma chi ti credi di essere?
Uno di tanti.
Solo perché lavori alla intel?
Non ho bisogno di titoli nobiliari: le tue tecnoballe le ho smontate con FATTI concreti, che t'avrei riportato anche se lavorassi per una bottega.
Hai vinto il premio turing o il premio nobel? Non mi pare...hai fatto qualche scoperta utile? Non mi pare...
Premesso che di quello che ho fatto nella mia vita di programmatore non devo dar conto a te, dove vorresti arrivare con questa fallacia logica?
Dovrei parlare di questioni tecniche soltanto se fossi in possesso di qualcuna di queste caratteristiche?
In una discussione contano i FATTI le ARGOMENTAZIONI. A prescindere dai titoli nobiliari.
Certo, nel tuo caso manca tutto, e dovresti prenderne atto, ma continui col tuo vacuo stillicidio...
Se un bravo programmatore?
Anche se fosse, quale sarebbe il problema?
Complimenti, però cerca di essere più umile.
I veri grandi sono gli umili e tu l'umiltà non sai nemmeno dove abita...
Non ho bisogno di essere umile con chi spavaldamente ha scritto questo
"potresti farti assumere in qualche azienda tipo Microsoft..."
salvo poi trovarsi davanti a uno che non è un pinco pallino qualsiasi.
Chi è causa del suo mal, pianga sé stesso...
Ma quale vittimismo: tu difendi a oltranza il settore del software proprietario
Io difendo il software, nella sua interezza.
Sono i fanatici integralisti come te, che lo dividono fra codice buono, e brutto e cattivo.
e non ammetti il nocciolo della questione...
Che sarebbe? Parla chiaro.
cdimauro
23-03-2016, 22:51
Originariamente inviato da Erotavlas_turbo Guarda i messaggi
L'offuscamento del codice è usato per software con licenza closed source come i software commerciali e in generale per rendere difficile il reverse engineering...
A cosa serve offuscare un codice rilasciato con licenza open source soprattutto copyleft e aperta come GPL? E' una contraddizione.
Finalmente ci siamo arrivati. Tu vuoi utilizzare il lavoro di altri gratis per i tuoi scopi. Il lavoro di altri è rilasciato con licenza GPL per il bene del software libero e della comunità però a causa dei vincoli della licenza GPL, che tu non vuoi rispettare, cerchi di offuscare il codice cosi che gli altri non possano utilizzare il tuo lavoro.
Sei veramente un opportunista affermando questo. Ma che bravo che sei...
Sei una bella persona ad ogni messaggio emerge sempre di più la tua personalità...
Non hai capito una mazza di quello che avevo scritto. Il problema è la VIRALITA' della licenza GPL, che ti obbliga a rilasciare TUTTO il TUO codice, anche se ne includi poche righe coperte da GPL.
In questo modo costringe a rilasciare "il lavoro di altri gratis" (parole tue!).
Non ho, invece, problemi ad accettare licenze di altro tipo, come la LGPL, perché ne comprendo le finalità: quel che prendi, se lo modifichi, lo rimetti in circolo. Il tutto senza intaccare la montagna di codice che hai già sviluppato.
Ma la GPL, no: la sua viralità è micidiale, e pertanto le tecniche per aggirarla che ho elencato, incluso l'offuscamento del codice, le ritengo pienamente legittime per difendersi da questa peste bubbonica dell'informatica.
Cioè? Vuoi dire che hai rilasciato codice sorgente chiuso che contiene codice con licenza GPL? O hai rilasciato codice sorgente chiuso nel quale hai sostituito il codice con licenza GPL con altro codice con licenza che permette di chiudere il codice sorgente? La prima possibilità non è ammessa dalla licenza GPL e la stai violando se l'hai fatto, la seconda non ha nulla a che fare con la licenza GPL e quindi sei fuori tema...
Ho semplicemente aggirato la licenza come ci fu consigliato dai consulenti legali che l'azienda assume. Ha ragione cdimauro in questo caso, tutto sta nelle parole della licenza: per loro stessa ammissione se usi del codice gpl - cioé ti limiti ad usare e NON INCORPORARE una funzionalità, cioé se "fisicamente" risiede su una entità esterna, ad esempio un processo con sorgente open che il tuo software propietario ha creato allo scopo di linkare la libreria e usarla - puoi linkare e fare quello che ti pare.
Sulle FAQ presenti sul sito www.gnu.org è scritto che è considerato un caso borderline ma lascia intendere che è accettato perché a livello formale rispetta alla lettera la licenza.
Corretto nei confronti dello spirito con cui è stata scritta la licenza? No. Lecito? Sì.
ComputArte
24-03-2016, 09:23
Non serve tirate in ballo Wikipedia, che peraltro non è né un'enciclopedia né tanto meno un vocabolario: basta una conoscenza primordiale e pre-scolastica per capire che se uno dice una menzogna è, di conseguenza, un bugiardo.
E in tutto ciò non c'è nulla di offensivo: si tratta di mera constatazione.
Ma constatazione di cosa?!
DIMOSTRALO :ciapet:
...perchè ancora ti sfugge il significato intimo delle parole di cui stai abusando!
PS wikipedia è la fonte di chi non conosce, ed ignora per mancanza di cultura....anche questa è una constatazione che emerge agli occhi di chi legge le tue affermazioni autorefernziali :read:
....chiaramente affermazioni "tecniche" MANIPOLATE, PARZIALIZZATE, MISTIFICATE ed "OFFUSCATE" che nulla hanno a che fare con il mondo REALE :mc:
Cosa non ti è chiaro del fatto ha ricevuto quel trattamento DOPO che l'ha fatta fuori dal vaso con quella battuta offensiva (questo sì) nei confronti di chi ha semplicemente espresso un'idea diversa dalla sua (peraltro con ampie argomentazioni)?
Dove la vedi questa "continuità"?
...mi rendo conto che tu non hai la benché minima consapevolezza e sensibilità per realizzare la tua ineducazione...ma di questo oramai siamo consci tutti ;)
Il fatto che ti rivolgi alle persone con una presupponenza di unilaterale percezione di superiorità è sintomo di grande insicurezza, ma questo certamente non tocca il tuo ego autoreferenziale :sofico: ...ma ti invito a considerare l'"idea" che stiamo dialogando e che ognuno può avere opinioni ed idee diverse .... basate sulla conoscenza e la considerazione di fatti , molte volte oggettivi....che fanno emergere delle verità innegabili , verso le quali molte volte , fai sforzi erculei nel tentativo di applicare il tuo filtro parziale e non intellettualmente onesto!
Quindi ti ripeto la domanda alla quale NON hai risposto ( e si potrebbe ipotizzare un tua fuga dalla questione che in gergo militaresco ha una definizione basata sulla constatazione !!! :D :
"MA veramente pensi che fare lo slalom sulle problematiche di cui si disquisisce per accendere il “tuo faretto” su caratteristiche limitrofe ed insignificanti, sia efficace?!?!
L’affidabilità qui è tirata in ballo non per l’azienda che ha scritto il codice per fare il suo profitto!
Certo che deve essere affidabile per lei, altrimenti andrebbe a zappare la terra, invece di stare in ICT….
Qui si disquisisce sulla affidabilità PER L’UTENTE e nello specifico nella CERTEZZA DI NON ESSERE SPIATI.
Alias, che nel codice CHIUSO non sia implementata una “porticina di servizio” che renda fruibile all’azienda la chiave e l’algoritmo di criptazione ALIAS, che protegga la comunicazione dall’intrusione dell’ “omino di mezzo” , ma che lei le informazioni se le CIUCCIA TUTTE IN CHIARO!
Cosa di questa ipotesi non ti va bene?!?!?!?!
Al solito, ti mostri per quel che sei: un falso e mistificatore.
....ah-ha-ha....ancora abusi di parole e concetti a te ignoti e che la tua ineducazione ti impedisce di percepire... riporti definizioni che non capisci ed utilizzi a sproposito, parole offensive....dai fai uno sforzo sociale, ne acquisirai in simpatia ;)
Come diceva Mina: parole, parole, parole.
Ho fatto a pezzi quelle bufale fin dal primo commento che ho scritto, dimostrandone con CONCRETI esempi la falsità.
Non è con vuote parole che puoi pensare di ribaltare la frittata, come sei solito fare.
Ma come?!?!... citi Mina e nei sei l'interprete migliore in questa conversazione :mc:
PS le mie parole sono contestualizzate alla conversazione alla "magnitudo" delle tue affermazioni colabrodo...è sufficiente rileggere , invece di lanciarsi in offese che saturano una cavo orale piccino ed a senso unico :read:
E qui torna la tua vena di bugiardo e mistificatore, visto che non ho mai pronunciato nulla del genere.
Anche perché manca una metrica oggettiva per definire quanto un software sia "più sicuro" di un altro: condizione necessaria affinché si possa effettuare un confronto.
Ovviamente sono sicuro (!) che nessuno si degnerà di portare una tale definizione: è sempre più comodo perdere un sacco di tempo scrivendo wall-of-text privi di concreti contenuti.
...ancora offese per incapacità a rispondere in maniera lineare alla domanda di cui sopra e che per tua comodità, segue:
ALLO SCOPO DI VALUTARE SE UN SW POSSA CONTENERE O NO PORTE DI SERVIZIO O CODICE MALEVOLO CHE ABBIA LA FUNZIONE DI SPIARE L’UTENTE, E' MIGLIORE UN CODICE APERTO O UN CODICE CHIUSO?!
....guarda più semplice di così , proprio non si può!:Prrr:
Ma chi mai l'avrebbe negato questo? :rolleyes: Ho soltanto riportato una mia riflessione sulla ridicola criminalizzazione di qualcosa che, in realtà, non fa alcun male, ed è, anzi, una comodità per gli utenti.
Ma d'altra parte di che mi meraviglio? La mistificazione è il tuo pane quotidiano...
Allora caro furbastro ( che è lontano da furbo! ) in queste tue affermazioni ti riferisci al fenomeno da me citato della profilazione messa in atto dalla OTT.
E per te è una “comodità” che “non fa alcun male” alla luce della quale ribadisci che sono un mistificatore….vedi caro CDIMAURO, sei inconsistente come la neve al sole del Sahara…
Ho parlato di profilazione incrociata nella quale è inclusa tutta una serie di fenomeni quali anche lo spionaggio industriale….ma tu chiaramente per sviare l’attenzione, parzializzare ed offuscare, ti limiti ai banner pubblicitari….e tu saresti un “tecnico intellettualmente onesto”??!?!....
Please!
:asd:
No comment...
In realtà ero abbastanza serio, e non hai idea delle perversioni che nel frattempo mi sono venute fuori pensando a un meccanismo di offuscamento del codice che facesse rimpiangere il disassemblato di un tool di reverse engineering. :asd:
Esattamente. E la cosa interessante è che risulta pure ampiamente fattibile, con linguaggi staticamente tipati.
Oggi scrivere parser di linguaggi anche molto complessi come il C++ è abbastanza abbordabile, e generare codice dall'AST da essi prodotto è ancora più semplice.
Poi, come dicevo sopra, il resto lo deve fare la fantasia: di modi per offuscare il codice ne esistono tanti, e cambiare gli identificatori con roba generata casualmente è soltanto il primo, banale, passettino di una serie di mostruosità degne del peggior inquisitore.
http://www.gifanimate.com/data/media/130/diavolo-immagine-animata-0130.gif
Quindi secondo te, una volta offuscato il codice NESSUNO che prova ad analizzarlo si accorge di questa operazione condotta ex ante prima del rilascio finale?! :mc:
In altre parole: coloro che sono in grado di fare ingeneria inversa sui codici di fronte ad uno di questi apparentemente SANO, MA OFFUSCATO, riuscirebbero a trovare traccia di questa “mistificazione” ( concetto a te caro, poco capito, ma qui contestualizzato! )?:huh:
ComputArte
24-03-2016, 09:43
Direi che è un sempliciotto a fare affermazioni del genere.
Un po' come quelli che fanno affermazioni campate per aria su codice open o closed source.
....il sempliciotto CDIMAURO?!?! :sofico:
Stai parlando di te stesso! :D
Un raggio di luce nell'oscurtità!!!!
Ma visto che hai la memoria corta e come al solito ti rivolgi agli altri con appelltivi che ti calzano a pennello:
Commento #81
Originariamente inviato da: cdimauro
Premesso questo, non è vero che il software closed non si possa verificare. Intanto c'è il reverse engineering che ho citato prima. Poi ci sono società di analisi della sicurezza che possono accedere ai sorgenti e validarli.
....dove è evidente che tu parli di una azione che possa effettuare chiunque...( con approccio da "sempliciotto" DOCG) ...tranne poi tentare di aggustare il tiro dopo che Calabar ti scrive :
E il reverse engineering? Suvvia, già non è semplice esaminare il codice in chiaro, figuriamoci cercare di dedurre tutto in reverse engineering.
E TU, CDIMAURO:
Beh, è proprio quello che viene ampiamente fatto sia da ricerca falle di sicurezza, sia dai pirati/cracker.
Non è una possibilità remota. Tutt'altro.
BUHAHAHAHAHAHAHA!
....domanda per te: ma il mondo REALE coincide con le tue quattro pareti da laboratorio o la realtà è moooooooolto più ricca, diversa ed infinitamente variegata ( nel bene e nel male)?!? :D
PS invece di fare lo slalom rispondi coerente e circostanziato a ciò che ti scrive Erotavlas_turbo ;)
matteop3
24-03-2016, 11:14
Cosa ci sarebbe di male in tutto ciò? Si tratta di informazioni ANONIME atte a generare una pubblicità più mirata, e dunque più utile sia per le aziende sia per i consumatori.
Anonime? Ma se si basa tutto sulla profilazione personale.
Detto questo, qui potrebbe partire un dibattito filosofico che esula dalla tecnologia (e a cui, a puro naso, non mi sembri incline, visto il tuo spiccato senso pratico), ma sarebbe OT, mentre sulle questioni IT mi sembra che il thread abbia ormai già ampiamente detto quel che poteva dire.
Gli unici ad avere problemi con tutto ciò sono i complottisti che ci vedono chissà quali oscure trame delle lobbbbbbby del potereeeee giudo-masso-pluto-sionista...
Lungi da me accostarmi ai commenti da rivoluzionari da tastiera di alcuni utenti qui, ma non farti tentare anche tu nello straw man argument. Sono quasi certo che tu sappia benissimo che moltissimi di coloro che non condividono questo tipo di business (quello pubblicitario-profilativo) non siano fanatici complottisti.
cdimauro
24-03-2016, 13:48
Ma constatazione di cosa?!
DIMOSTRALO :ciapet:
...perchè ancora ti sfugge il significato intimo delle parole di cui stai abusando!
Nulla, è tutto chiarissimo: menzogna -> bugiardo. Semplicissimo.
PS wikipedia è la fonte di chi non conosce, ed ignora per mancanza di cultura....anche questa è una constatazione che emerge agli occhi di chi legge le tue affermazioni autorefernziali :read:
Si vede che non mi conosci e, dunque, non sai cosa ne pensi di Wikipedia, che non mi sono sognato di consultare (e che in ogni non sarebbe servita).
....chiaramente affermazioni "tecniche" MANIPOLATE, PARZIALIZZATE, MISTIFICATE ed "OFFUSCATE" che nulla hanno a che fare con il mondo REALE :mc:
Di che vai cianciando adesso?
...mi rendo conto che tu non hai la benché minima consapevolezza e sensibilità per realizzare la tua ineducazione...ma di questo oramai siamo consci tutti ;)
Una rondine non fa primavera.
Il fatto che ti rivolgi alle persone con una presupponenza di unilaterale percezione di superiorità è sintomo di grande insicurezza, ma questo certamente non tocca il tuo ego autoreferenziale :sofico: ...ma ti invito a considerare l'"idea" che stiamo dialogando e che ognuno può avere opinioni ed idee diverse .... basate sulla conoscenza e la considerazione di fatti , molte volte oggettivi....che fanno emergere delle verità innegabili , verso le quali molte volte , fai sforzi erculei nel tentativo di applicare il tuo filtro parziale e non intellettualmente onesto!
Le chiacchiere lasciano il tempo che trovano: nella discussione sono state fatte delle affermazioni che non stanno in piedi, e su quelle ho risposto.
Poi sei arrivato tu con le tue menzogne e i continui tentativi di mistificazione, e il picciotto ha colto la palla al balzo per offendere, prendendosi una randellata di reazione.
Sic et simpliciter.
Quindi ti ripeto la domanda alla quale NON hai risposto ( e si potrebbe ipotizzare un tua fuga dalla questione che in gergo militaresco ha una definizione basata sulla constatazione !!! :D :
"MA veramente pensi che fare lo slalom sulle problematiche di cui si disquisisce per accendere il “tuo faretto” su caratteristiche limitrofe ed insignificanti, sia efficace?!?!
L’affidabilità qui è tirata in ballo non per l’azienda che ha scritto il codice per fare il suo profitto!
Certo che deve essere affidabile per lei, altrimenti andrebbe a zappare la terra, invece di stare in ICT….
Qui si disquisisce sulla affidabilità PER L’UTENTE e nello specifico nella CERTEZZA DI NON ESSERE SPIATI.
Alias, che nel codice CHIUSO non sia implementata una “porticina di servizio” che renda fruibile all’azienda la chiave e l’algoritmo di criptazione ALIAS, che protegga la comunicazione dall’intrusione dell’ “omino di mezzo” , ma che lei le informazioni se le CIUCCIA TUTTE IN CHIARO!
Cosa di questa ipotesi non ti va bene?!?!?!?!
Le caratteristiche di cui si parla non sono limitrofe, ma BASILARI al discorso che si stava facendo. Nel momento in cui affermi che un codice chiuso è per definizione inaffidabile, hai proferito una tecnobestialità che, se presa per vera da chi non ne capisce, svaluta il reale status di un software.
Software che, come già detto, può benissimo essere stato implementato senza porte di servizio.
....ah-ha-ha....ancora abusi di parole e concetti a te ignoti e che la tua ineducazione ti impedisce di percepire... riporti definizioni che non capisci ed utilizzi a sproposito, parole offensive....dai fai uno sforzo sociale, ne acquisirai in simpatia ;)
Non sono qui per rendermi simpatico. Se hai qualcosa che non ti quadra, quotami e dimostrami dove sbaglio. Ma evita di appiopparmi falsità.
Ma come?!?!... citi Mina e nei sei l'interprete migliore in questa conversazione :mc:
Lo specchio riflesso era in uso alle elementari.
PS le mie parole sono contestualizzate alla conversazione alla "magnitudo" delle tue affermazioni colabrodo...è sufficiente rileggere , invece di lanciarsi in offese che saturano una cavo orale piccino ed a senso unico :read:
Chiacchiere, ma sostanza zero. Come al solito.
...ancora offese per incapacità a rispondere in maniera lineare alla domanda di cui sopra e che per tua comodità, segue:
ALLO SCOPO DI VALUTARE SE UN SW POSSA CONTENERE O NO PORTE DI SERVIZIO O CODICE MALEVOLO CHE ABBIA LA FUNZIONE DI SPIARE L’UTENTE, E' MIGLIORE UN CODICE APERTO O UN CODICE CHIUSO?!
....guarda più semplice di così , proprio non si può!:Prrr:
E' una risposta che dipende da chi dovrebbe valutare il codice, e dalla realizzazione di quest'ultimo.
Allora caro furbastro ( che è lontano da furbo! ) in queste tue affermazioni ti riferisci al fenomeno da me citato della profilazione messa in atto dalla OTT.
E per te è una “comodità” che “non fa alcun male” alla luce della quale ribadisci che sono un mistificatore….vedi caro CDIMAURO, sei inconsistente come la neve al sole del Sahara…
Ho parlato di profilazione incrociata nella quale è inclusa tutta una serie di fenomeni quali anche lo spionaggio industriale….ma tu chiaramente per sviare l’attenzione, parzializzare ed offuscare, ti limiti ai banner pubblicitari….e tu saresti un “tecnico intellettualmente onesto”??!?!....
Please!
:asd:
Adesso dalla profilazione sei passato addirittura allo spionaggio industriale. Poi sarei io il furbastro.
Quindi secondo te, una volta offuscato il codice NESSUNO che prova ad analizzarlo si accorge di questa operazione condotta ex ante prima del rilascio finale?! :mc:
In altre parole: coloro che sono in grado di fare ingeneria inversa sui codici di fronte ad uno di questi apparentemente SANO, MA OFFUSCATO, riuscirebbero a trovare traccia di questa “mistificazione” ( concetto a te caro, poco capito, ma qui contestualizzato! )?:huh:
Ma di che stai parlando adesso? Mi sai che hai mischiato un po' di cose.
Riporta a cosa si riferirebbe la mistificazione, altrimenti non ti posso fornire una risposta completa.
Una parziale sì: un codice open source offuscato può essere molto più difficile da analizzare del disassemblato ottenuto per reverse engineering di uno chiuso.
Inoltre l'offuscamento lo si può abilitare esclusivamente per la build di produzione. In parole povere: si sviluppa col sorgente intellegibile, e soltanto quando si deve tirare fuori l'eseguibile da distribuire agli utenti lo si offusca opportunamente (generandone una copia, ovviamente: l'originale rimane così com'è) in modo da renderlo praticamente inutilizzabile.
....il sempliciotto CDIMAURO?!?! :sofico:
Stai parlando di te stesso! :D
Un raggio di luce nell'oscurtità!!!!
Altra mistificazione. Ma vediamo cosa ti sei inventato adesso.
Ma visto che hai la memoria corta e come al solito ti rivolgi agli altri con appelltivi che ti calzano a pennello:
Commento #81
Originariamente inviato da: cdimauro
Premesso questo, non è vero che il software closed non si possa verificare. Intanto c'è il reverse engineering che ho citato prima. Poi ci sono società di analisi della sicurezza che possono accedere ai sorgenti e validarli.
....dove è evidente che tu parli di una azione che possa effettuare chiunque...( con approccio da "sempliciotto" DOCG) ...
E certo, siccome le società di analisi della sicurezza sono tutte composte da persone qualunque, e i reverser li trovi in piazza a giocare a briscola... :doh:
tranne poi tentare di aggustare il tiro dopo che Calabar ti scrive :
E il reverse engineering? Suvvia, già non è semplice esaminare il codice in chiaro, figuriamoci cercare di dedurre tutto in reverse engineering.
E TU, CDIMAURO:
Beh, è proprio quello che viene ampiamente fatto sia da ricerca falle di sicurezza, sia dai pirati/cracker.
Non è una possibilità remota. Tutt'altro.
BUHAHAHAHAHAHAHA!
....domanda per te: ma il mondo REALE coincide con le tue quattro pareti da laboratorio o la realtà è moooooooolto più ricca, diversa ed infinitamente variegata ( nel bene e nel male)?!? :D
Fra cui si trova gente che pretenderebbe di mettermi in bocca cose che non mi sono mai sognato di affermare.
Dove avrei scritto che quelle cose le potrebbe fare un utente qualunque?
L'unica cosa che hai dimostrato, sebbene non ce ne fosse alcun bisogno, è che continui a essere un falso e un mistificatore.
PS invece di fare lo slalom rispondi coerente e circostanziato a ciò che ti scrive Erotavlas_turbo ;)
Già fatto. Aspetto le sue repliche, se avrà ancora voglia di essere messo in croce per le tecno-balle che proferisce.
Anonime? Ma se si basa tutto sulla profilazione personale.
I tuoi dati sensibili non sono profilati. Le informazioni sono raccolte per fornire pubblicità mirata a un energumeno di cui si conosce l'IP e/o il cookie.
A queste aziende non interessa sapere se ti chiami Mario Rossi, ma i tuoi gusti, quello che ti serve, di cosa t'interessi, in modo da indirizzare meglio le loro proposte.
D'altra parte la raccolta di dati sensibili attiene alla privacy, e ci sono leggi che la regolano. Le aziende non possono fare quello che vogliono.
Detto questo, qui potrebbe partire un dibattito filosofico che esula dalla tecnologia (e a cui, a puro naso, non mi sembri incline, visto il tuo spiccato senso pratico), ma sarebbe OT, mentre sulle questioni IT mi sembra che il thread abbia ormai già ampiamente detto quel che poteva dire.
Il "problema" è che viviamo in un mondo reale, e non in uno teorico.
In teoria dalla collisione di protoni nell'LHC potrebbero essere prodotti microbuchi neri in grado di fagocitare la materia del nostro pianeta. In pratica la probabilità è la stessa che ciò avvenga spontaneamente. Ergo: talmente piccola da essere praticamente trascurabile. Ecco perché ha senso che l'LHC sia stato costruito e abbia portato i risultati che conosciamo.
Lungi da me accostarmi ai commenti da rivoluzionari da tastiera di alcuni utenti qui, ma non farti tentare anche tu nello straw man argument. Sono quasi certo che tu sappia benissimo che moltissimi di coloro che non condividono questo tipo di business (quello pubblicitario-profilativo) non siano fanatici complottisti.
E' vero, potrebbe essere, anche se il pensiero dominante che riscontro è quello complottista.
In ogni caso faccio presente che l'utente ha sempre la possibilità di scegliere di non farsi profilare, scegliendo le soluzioni a lui più confacenti, oppure potendosene creare di proprie (se ne è in grado, oppure può contribuire a realizzarle).
matteop3
24-03-2016, 15:43
La tua è una traduzione con interpretazione che a mio avviso cambia il significato...
Vuoi (vorresti) esser sicuro che il tuo codice non finisca mai nel sito Crypto Fails?
Fornisco un economico servizio di revisione di sicurezza, con sconti per il software libero.
Tralasciando il fatto che la sua traduzione è corretta, hai, tra parentesi, bellamente ignorato il secondo link che ti avevo dato: http://www.thoughtcrime.org/blog/telegram-crypto-challenge/
http://www.hwupgrade.it/forum/showpost.php?p=43485175&postcount=70
ComputArte
25-03-2016, 07:48
Anonime? Ma se si basa tutto sulla profilazione personale.
Detto questo, qui potrebbe partire un dibattito filosofico che esula dalla tecnologia (e a cui, a puro naso, non mi sembri incline, visto il tuo spiccato senso pratico), ma sarebbe OT, mentre sulle questioni IT mi sembra che il thread abbia ormai già ampiamente detto quel che poteva dire.
Lungi da me accostarmi ai commenti da rivoluzionari da tastiera di alcuni utenti qui, ma non farti tentare anche tu nello straw man argument. Sono quasi certo che tu sappia benissimo che moltissimi di coloro che non condividono questo tipo di business (quello pubblicitario-profilativo) non siano fanatici complottisti.
Occio Matteop3...
...rivolgerti a CDIMAURO in questa maniera può implicare il beccarsi del bugiardo, complottista e menzognero....
:ciapet:
cdimauro
25-03-2016, 08:08
Il solito troll. matteop3 non s'è comportato come te, per cui non corre alcun pericolo. Anzi, ha intavolato una discussione civile, senza ricorrere a battutine da due soldi né tanto meno al tuo strumento retorico preferito (la mistificazione).
ComputArte
25-03-2016, 08:18
Nulla, è tutto chiarissimo: menzogna -> bugiardo. Semplicissimo.
Si vede che non mi conosci e, dunque, non sai cosa ne pensi di Wikipedia, che non mi sono sognato di consultare (e che in ogni non sarebbe servita).
Di che vai cianciando adesso?
Una rondine non fa primavera.
Ora deliri anche....
....solita tattica di citare passi parziali per portare la tua farneticazione sul significato di singole parole decontestualizzate....ma smettila di giullareggiare!
:mc:
Il discorso è incentrato se la crittografia su codice chiuso sia sicura ( lato utente).
:read:
Le chiacchiere lasciano il tempo che trovano: nella discussione sono state fatte delle affermazioni che non stanno in piedi, e su quelle ho risposto.
....chiarissimo: le tue risposte inconsistenti che seguono!
Poi sei arrivato tu con le tue menzogne e i continui tentativi di mistificazione, e il picciotto ha colto la palla al balzo per offendere, prendendosi una randellata di reazione.
Sic et simpliciter.
...menzogne...picciotto...randellata?!?:hic:
....torna fra noi!
Le caratteristiche di cui si parla non sono limitrofe, ma BASILARI al discorso che si stava facendo. Nel momento in cui affermi che un codice chiuso è per definizione inaffidabile, hai proferito una tecnobestialità che, se presa per vera da chi non ne capisce, svaluta il reale status di un software.
Software che, come già detto, può benissimo essere stato implementato senza porte di servizio
Tu scrivi bestialità, senza tecno! :D
Ma hai veramente seri problemi di compendonio....
La domanda la hanno capita anche i sassi e tu continui a buttarla in caciara generalizzando la caratteristica di sicurezza....
Sei peggiore dei maghi inesperti da programma di talent show che non riescono a fare i numeri! :sofico: :doh:
PS per sicurezza si intende quella dell'utente a NON essere SPIATO: un codice chiuso non può essere controllato, mentre quello aperto si....fattene una ragione e smettila di TROLLARE -TROLLARE - TROLLARE :fagiano:
Non sono qui per rendermi simpatico. Se hai qualcosa che non ti quadra, quotami e dimostrami dove sbaglio. Ma evita di appiopparmi falsità.
....ma quali falsità....lo vedi che apri bocca e gli dai fiato!
rileggi le righe sopra e per una volta nella tua vita ESCI ( vade retro ...:Prrr: ) dalla posizione di negazionista ad aoltranza e vesti i panni dell'utente che utilizza i servizi delle OTT , GRATUITI e SICURI....che in realtà non sono nè l'uno , nè l'altro.
Lo specchio riflesso era in uso alle elementari.
Chiacchiere, ma sostanza zero. Come al solito.
Sei tornato alle elementari....
E' una risposta che dipende da chi dovrebbe valutare il codice, e dalla realizzazione di quest'ultimo.
Questa è la tua risposta definitiva alla domanda ( che ripropongo sotto )....la vuoi veramente accendere?!?
ALLO SCOPO DI VALUTARE SE UN SW POSSA CONTENERE O NO PORTE DI SERVIZIO O CODICE MALEVOLO CHE ABBIA LA FUNZIONE DI SPIARE L'UTENTE, E' MIGLIORE UN CODICE APERTO O UN CODICE CHIUSO?!
....cioè...nel tuo mondo favolistico, la risposta è :DIPENDE!!!!
Quindi secondo te si possono porre sullo stesso piano codici chiusi da retroingegnerizzare e codici aperti eventualmente offuscati?!?!
Già il fatto che ci sia offuscamento , non depone bene nenache per il codice aperto....ma questa falla passare per una miamenzogna, ok! ;)
....veramente sei ilare!....non ho detto simpatico, giù la guardia! :ciapet:
Adesso dalla profilazione sei passato addirittura allo spionaggio industriale. Poi sarei io il furbastro.
Ma di che stai parlando adesso? Mi sai che hai mischiato un po' di cose.
Riporta a cosa si riferirebbe la mistificazione, altrimenti non ti posso fornire una risposta completa.
Una parziale sì: un codice open source offuscato può essere molto più difficile da analizzare del disassemblato ottenuto per reverse engineering di uno chiuso.
Inoltre l'offuscamento lo si può abilitare esclusivamente per la build di produzione. In parole povere: si sviluppa col sorgente intellegibile, e soltanto quando si deve tirare fuori l'eseguibile da distribuire agli utenti lo si offusca opportunamente (generandone una copia, ovviamente: l'originale rimane così com'è) in modo da renderlo praticamente inutilizzabile.
Altra mistificazione. Ma vediamo cosa ti sei inventato adesso.
E certo, siccome le società di analisi della sicurezza sono tutte composte da persone qualunque, e i reverser li trovi in piazza a giocare a briscola... :doh:
Fra cui si trova gente che pretenderebbe di mettermi in bocca cose che non mi sono mai sognato di affermare.
Dove avrei scritto che quelle cose le potrebbe fare un utente qualunque?
L'unica cosa che hai dimostrato, sebbene non ce ne fosse alcun bisogno, è che continui a essere un falso e un mistificatore.
Già fatto. Aspetto le sue repliche, se avrà ancora voglia di essere messo in croce per le tecno-balle che proferisce.
I tuoi dati sensibili non sono profilati. Le informazioni sono raccolte per fornire pubblicità mirata a un energumeno di cui si conosce l'IP e/o il cookie.
A queste aziende non interessa sapere se ti chiami Mario Rossi, ma i tuoi gusti, quello che ti serve, di cosa t'interessi, in modo da indirizzare meglio le loro proposte.
D'altra parte la raccolta di dati sensibili attiene alla privacy, e ci sono leggi che la regolano. Le aziende non possono fare quello che vogliono.
Il "problema" è che viviamo in un mondo reale, e non in uno teorico.
In teoria dalla collisione di protoni nell'LHC potrebbero essere prodotti microbuchi neri in grado di fagocitare la materia del nostro pianeta. In pratica la probabilità è la stessa che ciò avvenga spontaneamente. Ergo: talmente piccola da essere praticamente trascurabile. Ecco perché ha senso che l'LHC sia stato costruito e abbia portato i risultati che conosciamo.
E' vero, potrebbe essere, anche se il pensiero dominante che riscontro è quello complottista.
In ogni caso faccio presente che l'utente ha sempre la possibilità di scegliere di non farsi profilare, scegliendo le soluzioni a lui più confacenti, oppure potendosene creare di proprie (se ne è in grado, oppure può contribuire a realizzarle).
....:sofico:
ComputArte
25-03-2016, 08:24
Il solito troll. matteop3 non s'è comportato come te, per cui non corre alcun pericolo. Anzi, ha intavolato una discussione civile, senza ricorrere a battutine da due soldi né tanto meno al tuo strumento retorico preferito (la mistificazione).
...ancora farfugli di mistificazione....non sai nè il significato e non nè riconsci il funzionamento....visto che lo stai utilizzando a piena tastira...suvvia, un pò di onestà intellettuale!
cdimauro
25-03-2016, 08:33
Ora deliri anche....
Toh, e questa non sarebbe un'offesa, immagino.
....solita tattica di citare passi parziali per portare la tua farneticazione sul significato di singole parole decontestualizzate....ma smettila di giullareggiare!
:mc:
Solite vuote parole. Passiamo avanti.
Il discorso è incentrato se la crittografia su codice chiuso sia sicura ( lato utente).
:read:
Può essere sicura, e ho già fornito una risposta più precisa.
....chiarissimo: le tue risposte inconsistenti che seguono!
Ovviamente ti guardi bene dal provare che siano inconsistenti: ti dobbiamo credere sulla parola. Solo perché lo dici tu...
...menzogne...picciotto...randellata?!?:hic:
....torna fra noi!
Ho già dimostrato che siano menzogne: le tue e le sue, che ha seguito presto le tue orme.
Tu scrivi bestialità, senza tecno! :D
Ma hai veramente seri problemi di compendonio....
La domanda la hanno capita anche i sassi e tu continui a buttarla in caciara generalizzando la caratteristica di sicurezza....
Sei peggiore dei maghi inesperti da programma di talent show che non riescono a fare i numeri! :sofico: :doh:
Tutto molto tecnico e pertinente alla discussione, non c'è che dire.
PS per sicurezza si intende quella dell'utente a NON essere SPIATO: un codice chiuso non può essere controllato, mentre quello aperto si....fattene una ragione e smettila di TROLLARE -TROLLARE - TROLLARE :fagiano:
Ho già dimostrato che quest'asserzione è del tutto falsa. Ma è chiaro che un complottista come te non può accettarla.
Singolare che poi cerchi di appiopparmi l'etichetta di troll, quando è proprio il tuo comportamento a inquadrarsi come tale.
....ma quali falsità....lo vedi che apri bocca e gli dai fiato!
rileggi le righe sopra e per una volta nella tua vita ESCI ( vade retro ...:Prrr: ) dalla posizione di negazionista ad aoltranza e vesti i panni dell'utente che utilizza i servizi delle OTT , GRATUITI e SICURI....che in realtà non sono nè l'uno , nè l'altro.
Al solito chiacchiere molte, e nessuna argomentazione sul merito.
Questa è la tua risposta definitiva alla domanda ( che ripropongo sotto )....la vuoi veramente accendere?!?
ALLO SCOPO DI VALUTARE SE UN SW POSSA CONTENERE O NO PORTE DI SERVIZIO O CODICE MALEVOLO CHE ABBIA LA FUNZIONE DI SPIARE L'UTENTE, E' MIGLIORE UN CODICE APERTO O UN CODICE CHIUSO?!
....cioè...nel tuo mondo favolistico, la risposta è :DIPENDE!!!!
E' l'unica risposta concreta che si può dare alla tua domanda, visto che non dici assolutamente nulla sulle caratteristiche di entrambi i tipi di codice.
Quindi secondo te si possono porre sullo stesso piano codici chiusi da retroingegnerizzare e codici aperti eventualmente offuscati?!?!
Su quale piano? Nemmeno questo hai definito.
Già il fatto che ci sia offuscamento , non depone bene nenache per il codice aperto....ma questa falla passare per una miamenzogna, ok! ;)
Più che altro non ci capisce adesso che c'entri l'offuscamento.
....veramente sei ilare!....non ho detto simpatico, giù la guardia! :ciapet:
...:sofico:
Idem con patate: battutine da sue soldi, e nessuna sostanza. Da buon troll.
Erotavlas_turbo
26-03-2016, 20:37
Ho semplicemente aggirato la licenza come ci fu consigliato dai consulenti legali che l'azienda assume. Ha ragione cdimauro in questo caso, tutto sta nelle parole della licenza: per loro stessa ammissione se usi del codice gpl - cioé ti limiti ad usare e NON INCORPORARE una funzionalità, cioé se "fisicamente" risiede su una entità esterna, ad esempio un processo con sorgente open che il tuo software propietario ha creato allo scopo di linkare la libreria e usarla - puoi linkare e fare quello che ti pare.
Sulle FAQ presenti sul sito www.gnu.org è scritto che è considerato un caso borderline ma lascia intendere che è accettato perché a livello formale rispetta alla lettera la licenza.
Corretto nei confronti dello spirito con cui è stata scritta la licenza? No. Lecito? Sì.
Si è quello che ho detto nei precedenti post. Non puoi utilizzare codice GPL in codice proprietario sia includendolo sia linkandolo. Se le due applicazioni GPL e proprietaria sono indipendenti puoi utilizzare il codice GPL. Però questo secondo caso non si applica a Signal e Whatsapp che sono il nocciolo della questione da cui tutto è iniziato.
Erotavlas_turbo
26-03-2016, 20:48
Non hai capito una mazza di quello che avevo scritto. Il problema è la VIRALITA' della licenza GPL, che ti obbliga a rilasciare TUTTO il TUO codice, anche se ne includi poche righe coperte da GPL.
Ma quale viralità? Non sai di cosa parli. Se non esistesse la licenza GPL non esisterebbe il movimento del software libero e non ci sarabbe GNU/linux. Quindi saremmo nelle mani di Microsoft e Apple :muro: :doh:
In questo modo costringe a rilasciare "il lavoro di altri gratis" (parole tue!).
Dove ho detto questo? Non mettere in bocca ad altri cose che non hanno detto.
Ho detto questo:
ll lavoro di altri è rilasciato con licenza GPL per il bene del software libero e della comunità però a causa dei vincoli della licenza GPL, che tu non vuoi rispettare, cerchi di offuscare il codice cosi che gli altri non possano utilizzare il tuo lavoro.
Non ho, invece, problemi ad accettare licenze di altro tipo, come la LGPL, perché ne comprendo le finalità: quel che prendi, se lo modifichi, lo rimetti in circolo. Il tutto senza intaccare la montagna di codice che hai già sviluppato.
Ma la GPL, no: la sua viralità è micidiale, e pertanto le tecniche per aggirarla che ho elencato, incluso l'offuscamento del codice, le ritengo pienamente legittime per difendersi da questa peste bubbonica dell'informatica.
Senza GPL non ci sarebbe il software libero (https://www.gnu.org/licenses/why-not-lgpl.en.html)...il software libero è un concetto più ampio del software open source. Però forse tu non lo puoi comprendere visti i commenti precedenti a favore del software proprietario e di quello che non tutela gli utenti, ma le multinazionali del software...
Erotavlas_turbo
26-03-2016, 20:51
Tralasciando il fatto che la sua traduzione è corretta, hai, tra parentesi, bellamente ignorato il secondo link che ti avevo dato: http://www.thoughtcrime.org/blog/telegram-crypto-challenge/
http://www.hwupgrade.it/forum/showpost.php?p=43485175&postcount=70
E' corretta? :eek:
E' un'interpretazione, la traduzione letterale è un'altra...
Non mi interessano i link di privati a scopo di lucro o meno. Trovami una comparativa equa e aperta migliore di quella della EFF e sarò il primo a cambiare idea.
Erotavlas_turbo
26-03-2016, 20:54
Anonime? Ma se si basa tutto sulla profilazione personale.
Lungi da me accostarmi ai commenti da rivoluzionari da tastiera di alcuni utenti qui, ma non farti tentare anche tu nello straw man argument. Sono quasi certo che tu sappia benissimo che moltissimi di coloro che non condividono questo tipo di business (quello pubblicitario-profilativo) non siano fanatici complottisti.
Qui siamo d'accordo...
matteop3
26-03-2016, 21:25
Non mi interessano i link di privati a scopo di lucro o meno. Trovami una comparativa equa e aperta migliore di quella della EFF e sarò il primo a cambiare idea.
Ma almeno li hai letti quei post? Sii sincero.
Tu stai bocciando a priori il loro contenuto sulla base di chi li ha scritti, ti rendi conto?
In che modo il chi dovrebbe delegittimare il cosa? Se la Gioconda fosse stata dipinta da Hitler in persona, non è che il suo valore artistico diminuirebbe, eh.
Per farla breve, quei link spiegano in maniera logicamente ineccepibile perché il crypto-contest proposto da Telegram è pura omeopatia (o, come si dice nel campo, "olio di serpente"), l'identità dell'autore è completamente irrilevante. Le affermazioni sono tutte scritte e ben motivate e, fossero anche uscite da Satana in persona, sono effettivamente corrette. Basta leggere (e capire), eh.
Erotavlas_turbo
26-03-2016, 21:37
Senz'altro, ma l'importante è il fine: scardinare i deliri della licenza GPL.
Ma quali deliri, secondo me tu stai delirando. Ti ripeto senza licenza GPL non ci sarebbe GNU/linux...
Te l'ho spiegato nel precedente commento #121.
Ti avevo chiesto un esempio, comunque va bene lo stesso.
Fammi un esempio di codice offuscato rilasciato sotto licenza GPL. Se non lo conosci spiegami il perché uno sviluppatore che rilascia il codice tramite licenze GPL dovrebbe offuscare il codice
Non c'è molto da spiegare: sono gli effetti della licenza GPL.
Virale perché contamina il codice con cui viene a contatto.
Liberticida perché è fondata su costrizioni per chi ne fa uso (due delle famigerate colonne sono, infatti, costrizioni e non "libertà", come vengono falsamente definite).
Te l'ho già detto e adesso ho la conferma che non hai cultura. Magari se un ottimo programmatore, ma non conosci il significato delle parole come libertà...
Intel è uno dei maggiori contributori di Linux, di open source in generale, e di GPL in particolare, oltre ad avere stretti rapporti con realtà come la FSF.
Soltanto nel mio (piccolo) distaccamento c'è, al piano sotto al mio, un collega che ha rilasciato più di 10000 (DIECIMILA) patch al kernel di Linux. Senza contare poi le centinaia e centinaia di patch che sono state rilasciate da altri miei peer per GDB.
Sciacquati la bocca prima di parlare di cose che non conosci. Dimostri soltanto di essere il cieco fanatico integralista che deve andare a prescindere contro le multinazionali brutte e cattie.
Certo a intel fa comodo portare avanti linux. La maggioranza dei dispositivi in circolazione (smartphone, sistemi embedded, web server, supercomputer, etc.) usa il kernel linux. Solo nel settore PC domina windows...
Fare CPU ottime senza supporto software è come darsi la zappa sui piedi. Le società che contribuiscono allo sviluppo del kernel linux lo fanno semplicemente perché gli costerebbe molto di più svilupparsi un kernel e SO da sole. Non lo fanno per motivi etici, stai tranquillo.
Intel dal punto di vista della trasparenza dovrebbe nascondersi (http://www.tomshw.it/news/intel-scorretta-con-amd-multa-ue-da-1-miliardo-confermata-58793) e cosi anche i suoi dipendenti dovrebbero abbassare la testa (http://www.pcprofessionale.it/news/hw/amd-e-intel-una-pace-da-125-miliardi-di-dollari-per-amd/) quando si parla di trasparenza...
Senza queste pratiche intel adesso sarebbe scomparsa...
De gustibus. Ma di quali libertà "personali" parli, visto che le informazioni raccolte sono ANONIME?!?
Ma sei convinto? O parli solo per parlare?
Ecco qui le risposte che hanno smontato le tue tre precedenti bufale:
1) Falso. Lo dimostra il caso OpenSSH.
Lo dimostrano pure le recentissime falle venite fuori dopo diversi anni esclusivamente grazie al lavoro di review di Google e Red Hat (che sono aziende che hanno precisi interessi).
Chi ha detto che il software open source non è esente da bug? Ho solo detto che il software open source è affidabile e trasparente in quanto se ci sono bug inseriti volutamente o meno prima o poi vengono fuori.
2) Falso. Il fatto che non siano disponibili i sorgenti non è, logica alla mano, dimostrazione che un software sia inaffidabile. Può benissimo essere affidabilissimo. Semplicemente il codice che lo genera non è disponibile a tutti.
Invece si. Non avere i sorgenti significa doversi fidare dello sviluppatore e dopo lo scandalo Prism NSA chi continua a fidarsi è solo un folle...
3) Falso anche questo. Mai sentito parlare di reverse engineering?
Ancora? Facendo reverse engineering può scoprire molte cose, ma non arrivare alla trasparenza di un codice aperto.
Già fatto, e ti ho dimostrato, riportando le TUE parole, che è possibile UTILIZZARE (verbo che TU hai usato in quel contesto) codice GPL in un software chiuso, senza violarne la licenza.
Ti ripeto e lo ribadisco. Non puoi utilizzare codice GPL dentro un codice proprietario sia includendolo sia linkandolo. Quello che puoi fare, come hai detto anche tu, è rilasciare due applicazioni o un'applicazione e un plugin indipendenti ciascuno con la sua licenza uno dei due GPL e l'altro proprietario che comunicano tra di loro. In questo modo non viene violata alcuna licenza. Leggi con più attenzione...
Questo risolverebbe, peraltro, i problemi di cui stavate discutendo.
No. Perché Signal è GPL mentre Whatsapp è proprietario. Non ci sono dettagli di cosa sia stato fatto. Ho anche chiesto sul blog di Signal e mi hanno risposto:
I can only point you to public information regarding WhatsApp. That is all that has been posted by us.
Quello che è certo è che non hanno ne incluso o linkato il codice di Signal ne rilasciato due applicazioni (o applicazione con plugin) in quanto avrebbero dovuto rilasciare la licenza GPL della parte di codice GPL, cosa che non è avvenuta.
In tal caso potresti farmi vedere da dov'è che hai dedotto che non la conoscessi?
Quotami e DIMOSTRALO. Altrimenti potrei pensare che sei un falso e un mistificatore, come l'altro tuo compagno di merende.
Dalle tue parole. Continui a confondere lo scopo e il significato della licenza GPL.
Non ero affatto andato fuori tema. Vedi sopra.
E per essere chiari, sei TU che hai parlato di UTILIZZARE, codice GPL.
Si te l'ho ribadito qualche periodo più in alto in questo post.
No, tu hai affermato ben altro. Perché non riporti quello che hai messo in bocca a quell'analista?
Lo ripeto, se non vuoi che il tuo codice sia analizzato sul mio blog, ti offro una revisione a basso costo...onesto...
Tu non conosci i precedenti con lui, e il suo sistematico ricorso a menzogne e mistificazioni. Come ha fatto, e per tale motivo gli ho dato del bugiardo e mistificatore.
Non mi pare...almeno fino ai post precedenti la tua risposta.
No, tu sei andato ben oltre, infangando anche gli altri utenti che avevano espresso la loro opinione.
Non volevo infangare nessuno. Ho solo detto che difficilmente si incontra gente che accende il cervello.
E peraltro la mia diatriba con ComputArte non ti autorizza a ricorrere a toni da osteria con chi non s'è comportato allo stesso modo con te.
L'ho fatto UNA volta, e IN RISPOSTA a una TUA affermazione (che t'è andata male :asd:).
Vedo che ti trovi bene nel ruolo di mistificatore.
Sei hai bisogno di specificare chi sei, significa che quello che dici ha poco valore. Io non sento il bisogno di dire chi sono, sono sufficienti le mie parole.
Non ho bisogno di titoli nobiliari: le tue tecnoballe le ho smontate con FATTI concreti, che t'avrei riportato anche se lavorassi per una bottega.
Premesso che di quello che ho fatto nella mia vita di programmatore non devo dar conto a te, dove vorresti arrivare con questa fallacia logica?
Dovrei parlare di questioni tecniche soltanto se fossi in possesso di qualcuna di queste caratteristiche?
In una discussione contano i FATTI le ARGOMENTAZIONI. A prescindere dai titoli nobiliari.
Allora perché fai lo spavaldo e borioso dicendo di leggere la tua firma? Non mi pare che tu sia un genio anche perché altrimenti non staresti scrivendo in questo forum...senza offesa per nessuno.
Certo, nel tuo caso manca tutto, e dovresti prenderne atto, ma continui col tuo vacuo stillicidio...
Può essere. Detto da uno come te è un complimento.
Non ho bisogno di essere umile con chi spavaldamente ha scritto questo
"potresti farti assumere in qualche azienda tipo Microsoft..."
salvo poi trovarsi davanti a uno che non è un pinco pallino qualsiasi.
Chi è causa del suo mal, pianga sé stesso...
Vedi ti ripeti. salvo poi trovarsi davanti a uno che non è un pinco pallino qualsiasi. Scusa ma chi sei? Solo perché lavori a intel? Conosco persone che fanno lavori meno retribuiti e tecnologici, ma sono molto più umili e semplici di te.
Io difendo il software, nella sua interezza.
Sono i fanatici integralisti come te, che lo dividono fra codice buono, e brutto e cattivo.
Scusa hai saltato un aggettivo il software proprietario. Non usare parole delle quali nemmeno conosci il significato...
Che sarebbe? Parla chiaro.
Ancora?
Whatsapp non può utilizzare il codice di Signal. Poiché non puoi utilizzare codice GPL dentro un codice proprietario sia includendolo sia linkandolo. Quello che puoi fare, come hai detto anche tu, è rilasciare due applicazioni (o un'applicazione e un plugin indipendenti) ciascuna con la sua licenza una delle due GPL e l'altra proprietaria che comunicano tra di loro.
Erotavlas_turbo
26-03-2016, 21:49
Ma almeno li hai letti quei post? Sii sincero.
Tu stai bocciando a priori il loro contenuto sulla base di chi li ha scritti, ti rendi conto?
In che modo il chi dovrebbe delegittimare il cosa? Se la Gioconda fosse stata dipinta da Hitler in persona, non è che il suo valore artistico diminuirebbe, eh.
Per quanto riguarda Crypto Fail si. Lo sto bocciando a priori dopo aver letto il suo sito. Non lo trovo uno trasparente.
L'altro non lo sto bocciando a priori. Sto solo dicendo che non lo considero affidabile alla pari della EFF.
Per farla breve, quei link spiegano in maniera logicamente ineccepibile perché il crypto-contest proposto da Telegram è pura omeopatia (o, come si dice nel campo, "olio di serpente"), l'identità dell'autore è completamente irrilevante. Le affermazioni sono tutte scritte e ben motivate e, fossero anche uscite da Satana in persona, sono effettivamente corrette. Basta leggere (e capire), eh.
Supponendo che i link abbiano ragione, le loro tesi andrebbero a inficiare l'analisi della EFF? No. Stanno affermando che il crypto-contest è poco sensato. Quali altri software tra quelli presenti nell'analisi della EFF o altri che non conosco propongo un contest? 0.
Ripeto l'unica analisi che conosco di cui ci possiamo fidare è quella della EFF. Pronto a cambiare idea con un'analisi migliore, fatta da un ente imparziale e trasparente...
Ma quali deliri, secondo me tu stai delirando. Ti ripeto senza licenza GPL non ci sarebbe GNU/linux...
Ma non è vero che non esisterebbero alternative a Microsoft ed Apple. I *BSD, ad esempio, esistono e funzionano.
Ti avevo chiesto un esempio, comunque va bene lo stesso.
Fammi un esempio di codice offuscato rilasciato sotto licenza GPL. Se non lo conosci spiegami il perché uno sviluppatore che rilascia il codice tramite licenze GPL dovrebbe offuscare il codice
Magari potrebbe essere costretto, proprio per la citata viralità della GPL. Se devi scrivere un programma, e usi (per motivi prettamente tecnici) codice GPL, tutto il tuo codice dovrà essere distribuito con quella licenza, anche se non vuoi. Siccome, magari, sviluppare ex-novo costerebbe eccessivamente, si ingoia il rospo e si prova ad offuscare il più possibile il codice.
Tra l'altro, ripeto, questa operazione non deve necessariamente essere fatta a mano dallo sviluppatore.
Te l'ho già detto e adesso ho la conferma che non hai cultura. Magari se un ottimo programmatore, ma non conosci il significato delle parole come libertà...
Ma pure la BSD è una licenza libera, secondo la definizione di libertà. Pensa, puoi prendere codice BSD e farci il ca**o che ti pare.
Certo a intel fa comodo portare avanti linux. La maggioranza dei dispositivi in circolazione (smartphone, sistemi embedded, web server, supercomputer, etc.) usa il kernel linux. Solo nel settore PC domina windows...
Fare CPU ottime senza supporto software è come darsi la zappa sui piedi. Le società che contribuiscono allo sviluppo del kernel linux lo fanno semplicemente perché gli costerebbe molto di più svilupparsi un kernel e SO da sole. Non lo fanno per motivi etici, stai tranquillo.
Intel dal punto di vista della trasparenza dovrebbe nascondersi (http://www.tomshw.it/news/intel-scorretta-con-amd-multa-ue-da-1-miliardo-confermata-58793) e cosi anche i suoi dipendenti dovrebbero abbassare la testa (http://www.pcprofessionale.it/news/hw/amd-e-intel-una-pace-da-125-miliardi-di-dollari-per-amd/) quando si parla di trasparenza...
Senza queste pratiche intel adesso sarebbe scomparsa...
Ma tutte le aziende che contribuiscono a Linux lo fanno per averne un ritorno economico. Pensi che Google e Red Hat lo facciano per motivi etici? Per il bene dell'umanità?
Il punto è, quanto codice resta (e di che qualità) se elimini tutto quello scritto dalle aziende non etiche?
Chi ha detto che il software open source non è esente da bug? Ho solo detto che il software open source è affidabile e trasparente in quanto se ci sono bug inseriti volutamente o meno prima o poi vengono fuori.
E lui ti ha detto che ci sono aziende che hanno accesso ai sorgenti dei software proprietari. E che i bug vengono fuori anche in questi.
Certo, IN TEORIA, il software libero sarebbe più semplice da controllare, ma gira e rigira è sempre qualche azienda a trovare vulnerabilità.
Ah, se avessi un'impresa che si occupa di analisi del software, non ti metteresti a raccontare balle riguardo le falle nel software proprietario, per il semplice fatto che perderesti la credibilità e falliresti in una settimana.
Invece si. Non avere i sorgenti significa doversi fidare dello sviluppatore e dopo lo scandalo Prism NSA chi continua a fidarsi è solo un folle...
Lo scandalo, comunque, riguardava i DATI, mica il codice. Il problema è:"Cosa succede quando il pacchetto va dal nodo A al nodo B della Rete?" Man-in-the-middle ed altre tecniche usate da NSA e soci sono valide a prescindere.
Quindi, semmai, dovremmo concentrarci sui formati (che DEVONO essere standard e ben documentati, secondo me) e su come proteggere i nostri dati. Per intenderci, a me interessa proteggere un foglio elettronico se lo invio a te, indipendentemente dal software che ho usato per generarlo.
Ah, per controlli di questo di tipo, in realtà, è "sufficiente" tenere sempre sotto controllo il traffico dati che passa attraverso il proprio modem/router.
Ancora? Facendo reverse engineering può scoprire molte cose, ma non arrivare alla trasparenza di un codice aperto.
A meno che il codice in questione non sia scritto alla membro di segugio. Se io scrivo un programma molto grosso in C, e al termine uso un tool anche solo per cambiare nomi di funzioni e variabili con cose tipo "ajkshdl", voglio proprio vedere quanto ci metti a capire che cavolo fa quel codice.
cdimauro
27-03-2016, 08:08
Ma quale viralità? Non sai di cosa parli.
In tal cosa potresti dirmi cosa succederebbe se includessi alcune righe coperte da GPL in una mia applicazione, e poi rilasciassi soltanto i binari di quest'ultima?
Se non esistesse la licenza GPL non esisterebbe il movimento del software libero e non ci sarabbe GNU/linux.
E chi se ne frega! Questo è un ALTRO discorso. Ne parlo meglio dopo.
Quindi saremmo nelle mani di Microsoft e Apple :muro: :doh:
Tanto per cambiare, ecco un'altra fallacia logica: quella del pendio scivoloso.
No, non è affatto detto. Ai miei tempi tanto software era di DOMINIO PUBBLICO. Prima che arrivasse la GPL e la sua guerra ideologica.
Dove ho detto questo? Non mettere in bocca ad altri cose che non hanno detto.
Ho detto questo:
ll lavoro di altri è rilasciato con licenza GPL per il bene del software libero e della comunità però a causa dei vincoli della licenza GPL, che tu non vuoi rispettare, cerchi di offuscare il codice cosi che gli altri non possano utilizzare il tuo lavoro.
Ho "semplicemente" utilizzato quello che avevi scritto in merito alla GPL, e che calzava esattamente per il software proprietario. Ma vedo che "stranamente" non hai riportato TUTTO quello che avevi scritto, e che ovviamente era pertinente alla questione. Lo faccio io. Ecco qui:
"Tu vuoi utilizzare il lavoro di altri gratis per i tuoi scopi."
che, guarda caso, era proprio quello che TI avevo quotato.
Dunque sì: ti ho messo in bocca parole che TU hai detto. :read:
A questo punto sarebbe interessante sapere cosa ne pensi della viralità della GPL sul codice proprietario: è o non è voler "utilizzare il lavoro di altri gratis per i tuoi scopi"? Rispondi, e fallo in maniera chiara, senza giri di parole.
Senza GPL non ci sarebbe il software libero (https://www.gnu.org/licenses/why-not-lgpl.en.html)...il software libero è un concetto più ampio del software open source.
Premesso che quello tu chiami libero, in realtà è software PESANTEMENTE VINCOLATO (e, dunque, tutt'altro che libero), come ho già detto, non me ne può fregar di meno.
Se non ci fosse la GPL, ci sarebbe sicuramente altro: di licenze realmente libere ce ne sono a palate, con quella "principe" che è rappresentata dal dominio pubblico. Fortunatamente tanti sviluppatori l'hanno capito, ed è il motivo per cui l'adozione della GPL per nuovi progetti è in costante calo.
Ma, nuovamente, ciò di cui parli è UN ALTRO discorso, non pertinente a quanto stiamo discutendo.
Però forse tu non lo puoi comprendere visti i commenti precedenti a favore del software proprietario e di quello che non tutela gli utenti, ma le multinazionali del software...
Continui con le tue menzogne e mistificazioni. Mi basta riquotarmi:
"Io difendo il software, nella sua interezza.
Sono i fanatici integralisti come te, che lo dividono fra codice buono, e brutto e cattivo."
E' corretta? :eek:
E' un'interpretazione, la traduzione letterale è un'altra...
La traduzione letterale è quella che ho fornito. Che poi non ti piaccia è ovvio, visto che non porta acqua al tuo mulino.
Non mi interessano i link di privati a scopo di lucro o meno.
Quindi non t'interessa se una cosa sia vera o falsa: giudichi soltanto sulla base di chi fa certe affermazioni.
Complimenti per la logica impeccabile, e per il tua splendida volontà di ricerca della verità...
Trovami una comparativa equa e aperta migliore di quella della EFF e sarò il primo a cambiare idea.
Non è pertinente. Quella pagina espone delle precise questioni tecniche che sono perfettamente valide, e a cui Telegram "stranamente" non ha risposto.
Se hai qualcosa da dire a riguardo, puoi benissimo scrivere un commento. Anche se ne dubito fortemente, perché hai detto tu stesso che non sei un programmatore, per cui non ne hai la conoscenze.
E per questo motivo è insensato che tu richieda un'altra "comparativa": se non sei in grado di comprendere il contenuto di quel sito, non saresti in grado di fare lo stesso con un'altra dimostrazione tecnica.
Ciò che tu vorresti, invece, è il classico numerino che può leggere chiunque, e rilasciato da qualcuno di cui ti fidi.
Ma quali deliri, secondo me tu stai delirando.
Ed ecco un'altra offesa.
Ti ripeto senza licenza GPL non ci sarebbe GNU/linux...
Vedi sopra: non me ne può fregar di meno.
Ti avevo chiesto un esempio, comunque va bene lo stesso.
Fammi un esempio di codice offuscato rilasciato sotto licenza GPL. Se non lo conosci spiegami il perché uno sviluppatore che rilascia il codice tramite licenze GPL dovrebbe offuscare il codice
Non sei uno sviluppatore, e l'hai scritto tu stesso. Anche se prendessi il classico esempio della funzione di Fibonacci, l'offuscassi, e lo mettessi su GitHub con licenza GPL, non capiresti ugualmente.
Dunque, che chiedi a fare? E' del tutto inutile.
Te l'ho già detto e adesso ho la conferma che non hai cultura. Magari se un ottimo programmatore, ma non conosci il significato delle parole come libertà...
Te l'avevo già detto: perché non me lo spieghi tu allora? "Stranamente" non hai risposto: chissà come mai.
Nello specifico, potresti QUOTARMI e DIMOSTRARE dov'è che avrai mostrato di non conoscere il significato di "libertà". Accomodati pure.
Certo a intel fa comodo portare avanti linux. La maggioranza dei dispositivi in circolazione (smartphone, sistemi embedded, web server, supercomputer, etc.) usa il kernel linux. Solo nel settore PC domina windows...
Fare CPU ottime senza supporto software è come darsi la zappa sui piedi. Le società che contribuiscono allo sviluppo del kernel linux lo fanno semplicemente perché gli costerebbe molto di più svilupparsi un kernel e SO da sole. Non lo fanno per motivi etici, stai tranquillo.
Chi ha mai detto che non avrebbero interessi nel farlo? E' ovvio che sia così. Com'è altrettanto ovvio che se non ci fosse Linux, ci sarebbe un altro s.o. a ricevere le stesse attenzioni (e tra parentesi, per alcuni progetti noi supportiamo BSD. Non ricordo se NetBSD o FreeBSD adesso).
Com'è altrettanto ovvio che Linux non sarebbe dov'è adesso senza gli enormi contributi di aziende private: circa l'80 percento del codice proviene, infatti, da loro.
Intel dal punto di vista della trasparenza dovrebbe nascondersi (http://www.tomshw.it/news/intel-scorretta-con-amd-multa-ue-da-1-miliardo-confermata-58793) e cosi anche i suoi dipendenti dovrebbero abbassare la testa (http://www.pcprofessionale.it/news/hw/amd-e-intel-una-pace-da-125-miliardi-di-dollari-per-amd/) quando si parla di trasparenza...
Non vedo perché: è roba passata, per cui ha già pagato, e che è convenuto anche ad AMD.
Ma immagino che ogni mattina ti alzi e ti fustighi col gatto a nove a code, in ricordo delle atrocità commesse ai bei tempi del regime fascista...
Senza queste pratiche intel adesso sarebbe scomparsa...
Vedi che ti piace molto il pendio scivoloso.
Ma sei convinto? O parli solo per parlare?
Ne ho già parlato anche con Matteo. Anche qui, "stranamente", non sei intervenuto. Però te ne vieni a lamentare adesso: ma guarda un po'...
Chi ha detto che il software open source non è esente da bug? Ho solo detto che il software open source è affidabile e trasparente in quanto se ci sono bug inseriti volutamente o meno prima o poi vengono fuori.
Falso: saltano fuori SE vengono scoperti. E questo NON è dimostrato.
Vuoi fornirla tu una DIMOSTRAZIONE? Ecco qui:
IPOTESI: sia x un qualunque software open source, y un bug in esso presente, e z il tempo in cui l'intera umanità avrà cessato di esistere (leggi: non ci saranno sicuramente più "occhi" per analizzare il codice)
TESI: y verrà [sicuramente] scoperto in un tempo t < z
DIMOSTRAZIONE: accomodati pure. :D
Invece si. Non avere i sorgenti significa doversi fidare dello sviluppatore e dopo lo scandalo Prism NSA chi continua a fidarsi è solo un folle...
Che ci si debba fidare dello sviluppatore te l'ho già detto, e sono d'accordo. Che il software, solo per questo, NON sia affidabile è una tua opinione priva di fondamento. Vuoi dimostrare anche questo? Ecco qui:
IPOTESI: sia x un qualunque software closed source e y l'insieme di tutte le funzionalità "malware" (vedi i messaggi precedenti in merito)
TESI: esiste almeno una z, appartenente a y, che è sicuramente contenuta in x.
DIMOSTRAZIONE: accomodati pure. :D
Ancora? Facendo reverse engineering può scoprire molte cose, ma non arrivare alla trasparenza di un codice aperto.
Nessuno ha mai detto questo, mi pare. Vedi anche i messaggi precedenti.
Ciò che conta è che la tua asserzione sia falsa. Se, invece, ritieni che sia vera, puoi dimostrare anche questa. Ecco qui:
IPOTESI: sia x un qualunque software closed source, y l'insieme di tutti gli sviluppatori, z il sottoinsieme stretto di y di quelli che hanno lavorato a x
TESI: non esiste w appartenente a y - z tale per cui w possa analizzare x.
DIMOSTRAZIONE: accomodati pure. :D
Ti ripeto e lo ribadisco. Non puoi utilizzare codice GPL dentro un codice proprietario sia includendolo sia linkandolo. Quello che puoi fare, come hai detto anche tu, è rilasciare due applicazioni o un'applicazione e un plugin indipendenti ciascuno con la sua licenza uno dei due GPL e l'altro proprietario che comunicano tra di loro. In questo modo non viene violata alcuna licenza. Leggi con più attenzione...
E' inutile che cerchi di rigirare la frittata: ho già riportato INTEGRALMENTE quello che TU avevi scritto e in cui la TUA ultima frase parla di UTILIZZARE codice GPL.
La mia affermazione rimane, pertanto, pertinente.
No. Perché Signal è GPL mentre Whatsapp è proprietario. Non ci sono dettagli di cosa sia stato fatto. Ho anche chiesto sul blog di Signal e mi hanno risposto:
I can only point you to public information regarding WhatsApp. That is all that has been posted by us.
Quello che è certo è che non hanno ne incluso o linkato il codice di Signal ne rilasciato due applicazioni (o applicazione con plugin) in quanto avrebbero dovuto rilasciare la licenza GPL della parte di codice GPL, cosa che non è avvenuta.
Ti è chiaro o no il significato della coniugazione che ho usato per il verbo risolvere? Ecco qui:
"risolverebbe"
Dalle tue parole. Continui a confondere lo scopo e il significato della licenza GPL.
Falso: questa è una cosa che succede a te, perché nel tuo immaginario non ci può essere l'uno senza l'altro. Perfino Pino90 ti ha DIMOSTRATO che così non è.
In ogni caso visto che, a tuo dire, non la conoscerei, mi spiegheresti com'è che avrei tirato fuori quei meccanismi per aggirarla? Mi spiegheresti com'è che avrei tirato fuori l'offuscamento del codice per neutralizzarla? Volendo dar credito alle tue falsità, in teoria non avrei potuto far nulla del genere, visto che dovrei esser a conoscenza degli inghippi della GPL per poterli far fuori.
Invece dopo l'ultima mia discussione sull'offuscamento del codice ti sei stracciato le vesti e te ne sei addirittura uscito scandalizzato:
"Finalmente ci siamo arrivati. Tu vuoi utilizzare il lavoro di altri gratis per i tuoi scopi. Il lavoro di altri è rilasciato con licenza GPL per il bene del software libero e della comunità però a causa dei vincoli della licenza GPL, che tu non vuoi rispettare, cerchi di offuscare il codice cosi che gli altri non possano utilizzare il tuo lavoro.
Sei veramente un opportunista affermando questo. Ma che bravo che sei...
Sei una bella persona ad ogni messaggio emerge sempre di più la tua personalità..."
Delle due l'una: o quello che ho scritto non si applica alla GPL, oppure non hai motivo di lagnarti per la mia trovata.
E se si applica alla GPL, allora direi che la conosco. Almeno quanto basta per poterla aggirare. :read:
Che poi non ti piaccia e la cosa ti sdegni non è in discussione, e non me ne può fregar di meno: è la sostanza che conta.
Si te l'ho ribadito qualche periodo più in alto in questo post.
In maniera parziale e occultando quello che TU STESSO avevi scritto, però.
Ma ti ho riportato nuovamente tutto, per comodità.
Lo ripeto, se non vuoi che il tuo codice sia analizzato sul mio blog, ti offro una revisione a basso costo...onesto...
Idem come sopra: non è la traduzione corretta. Stai mettendo in bocca a quell'analista cose che non ha mai detto.
Non mi pare...almeno fino ai post precedenti la tua risposta.
L'ho ampiamente dimostrato, ma se c'è qualcosa con cui non sei d'accordo, puoi sempre QUOTARMI e DIMOSTRARE che non ci sarebbe stata alcuna mistificazione da parte di ComputArte. :read:
Non volevo infangare nessuno. Ho solo detto che difficilmente si incontra gente che accende il cervello.
E questa non sarebbe un'offesa nei confronti di quelli che, a tuo dire, non capirebbero?
Sei hai bisogno di specificare chi sei, significa che quello che dici ha poco valore. Io non sento il bisogno di dire chi sono, sono sufficienti le mie parole.
Allora perché fai lo spavaldo e borioso dicendo di leggere la tua firma?
Certo che hai proprio una gran faccia tosta nel cercare di ribaltare la frittata, dopo che sei stato TU ad aver scritto questo:
"potresti farti assumere in qualche azienda tipo Microsoft..."
io mi sono limitato a rispondere a questa tua sparata.
Infatti nella discussione non ho mai avuto bisogno di tirare fuori alcun titolo nobiliare, e non l'avrei fatto se TU non mi avessi costretto a uscire allo scoperto per risponderti DOPO quello che avevi scritto. :read:
Prenditi le TUE responsabilità, una buona volta.
Non mi pare che tu sia un genio anche perché altrimenti non staresti scrivendo in questo forum...senza offesa per nessuno.
ROFL. E quindi i genii non dovrebbero frequentare i forum? Da quando? Anzi: solo perché lo dici tu? :roftl:
Puoi DIMOSTRARE anche questo, per caso? Ecco qui:
IPOTESI: sia x un genio e y l'insieme delle persone che frequentano i forum
TESI: x non appartiene a y.
DIMOSTRAZIONE: accomodati pure. :asd:
Può essere. Detto da uno come te è un complimento.
E due: anche tu amante dello specchio riflesso?
Comunque ho già ampiamente dimostrato che parli di cose che non conosci, e continui a scrivere soltanto perché devi continuare la tua battaglia ideologica a favore del software diversamente libero e contro le multinazionali brutte e cattive.
Vedi ti ripeti. salvo poi trovarsi davanti a uno che non è un pinco pallino qualsiasi. Scusa ma chi sei? Solo perché lavori a intel?
Ripeto quando c'è da ripetere, visto che torni sullo STESSO argomento. :read:
Per il resto ti ho già risposto sopra.
Conosco persone che fanno lavori meno retribuiti e tecnologici, ma sono molto più umili e semplici di te.
Caro Erotavlas_turbo, te lo dico da amico (cit.): non me ne può fregar di meno!
Sei TU che hai tirato in ballo i titoli nobiliari, e hai ricevuto la risposta che meritavi. Vattelo a fare tu il giro dell'umiltà, e prenditi la responsabilità per quello che hai affermato spavaldamente.
Scusa hai saltato un aggettivo il software proprietario. Non usare parole delle quali nemmeno conosci il significato...
Ma non la smetti mai di trollare e mistificare? Vabbé, che non ti rimane molto.
Ancora?
Whatsapp non può utilizzare il codice di Signal. Poiché non puoi utilizzare codice GPL dentro un codice proprietario sia includendolo sia linkandolo. Quello che puoi fare, come hai detto anche tu, è rilasciare due applicazioni (o un'applicazione e un plugin indipendenti) ciascuna con la sua licenza una delle due GPL e l'altra proprietaria che comunicano tra di loro.
Già risposto: vedi sopra. U-TI-LI-ZZA-RE. PO-TRE-BBE.
Per quanto riguarda Crypto Fail si. Lo sto bocciando a priori dopo aver letto il suo sito. Non lo trovo uno trasparente.
Checché tu ne dica, quel che ha scritto è perfettamente valido. Che poi TU non lo riesca a comprendere, perché ti mancano le conoscenze tecniche, è un altro paio di maniche.
L'altro non lo sto bocciando a priori. Sto solo dicendo che non lo considero affidabile alla pari della EFF.
Ma no, non lo bocci a priori: è solo che a TUO insindacabile giudizio è l'EFF che può dare il patentino di credibilità al software.
Supponendo che i link abbiano ragione, le loro tesi andrebbero a inficiare l'analisi della EFF? No. Stanno affermando che il crypto-contest è poco sensato. Quali altri software tra quelli presenti nell'analisi della EFF o altri che non conosco propongo un contest? 0.
Ripeto l'unica analisi che conosco di cui ci possiamo fidare è quella della EFF. Pronto a cambiare idea con un'analisi migliore, fatta da un ente imparziale e trasparente...
E certo, siccome l'hai detto tu, e l'ha detto l'EFF che hai assurto a ruolo di ente credibile, dobbiamo crederti sulla parola.
Invece se uno si permette di fornire un'analisi tecnica del meccanismo di funzionamento di Telegram, non gli si può credere perché non è l'EFF...
P.S. Non ho tempo né voglia di rileggere.
Erotavlas_turbo
30-03-2016, 21:20
Ma non è vero che non esisterebbero alternative a Microsoft ed Apple. I *BSD, ad esempio, esistono e funzionano.
Certo i BSD esistono, ma la loro diffusione è pressoché nulla escluso qualche eccezione (https://en.wikipedia.org/wiki/Usage_share_of_operating_systems) .
Magari potrebbe essere costretto, proprio per la citata viralità della GPL. Se devi scrivere un programma, e usi (per motivi prettamente tecnici) codice GPL, tutto il tuo codice dovrà essere distribuito con quella licenza, anche se non vuoi. Siccome, magari, sviluppare ex-novo costerebbe eccessivamente, si ingoia il rospo e si prova ad offuscare il più possibile il codice.
Tra l'altro, ripeto, questa operazione non deve necessariamente essere fatta a mano dallo sviluppatore.
E' proprio questo il punto. Se utilizzi codice GPL perché è troppo costoso o ci vuole troppo tempo sviluppare ex-novo è giusto che rilasci la tua applicazione con lo stessa licenza in modo tale che la comunità possa beneficiare di questo. Tu vuoi solo guadagnare e prendere da codice open source senza dare nulla? Mi pare abbastanza disonesto dal punto di vista pratico ed etico...
Se il rospo non ti piace, puoi benissimo evitare di usare il codice GPL e usare codice BSD, MIT, etc.
Ma pure la BSD è una licenza libera, secondo la definizione di libertà. Pensa, puoi prendere codice BSD e farci il ca**o che ti pare.
Libero non significa questo. Libero significa che se tu utilizzi del lavoro altrui per i tuoi scopi allora dovrà compensare facendo in modo che altri possano utilizzare il tuo lavoro. Si tratta di proteggere l'evoluzione della conoscenza senza imporre limitazioni come codice chiuso, brevetti, royalties, etc. E' come se una nuova scoperta nella fisica che è stata fatta a partire dalla conoscenza pregressa, praticamente ogni scoperta, non venisse resa pubblica...
Ma tutte le aziende che contribuiscono a Linux lo fanno per averne un ritorno economico. Pensi che Google e Red Hat lo facciano per motivi etici? Per il bene dell'umanità?
Il punto è, quanto codice resta (e di che qualità) se elimini tutto quello scritto dalle aziende non etiche?
Certo non ho detto che Google o Red Hat siano buone. Ho solo detto che le aziende beneficiano molto del progetto GNU/Linux e del codice GPL e per questo contribuiscono in modo molto proficuo allo sviluppo. E' una questione di prendere e restituire. E per fortuna che esiste la licenza GPL altrimenti questo bilancio non ci sarebbe solo con licenze BSD, MIT, etc. Pensa quanto costerebbe e che qualità avrebbe un sistema operativo e il resto dei programmi sviluppati internamente da ogni azienda, come fa Microsoft? Avremmo X sistemi operativi diversi.
E lui ti ha detto che ci sono aziende che hanno accesso ai sorgenti dei software proprietari. E che i bug vengono fuori anche in questi.
Certo, IN TEORIA, il software libero sarebbe più semplice da controllare, ma gira e rigira è sempre qualche azienda a trovare vulnerabilità.
Si e no. Dipende ci sono anche sviluppatori indipendenti. Certo se un'azienda ha X sviluppatori molto competenti è molto probabile che siano loro a trovare i problemi. Ma questo è nei loro interessi che poi diventa un vantaggio per la comunità grazie alla più volte citata licenza GPL.
Ah, se avessi un'impresa che si occupa di analisi del software, non ti metteresti a raccontare balle riguardo le falle nel software proprietario, per il semplice fatto che perderesti la credibilità e falliresti in una settimana.
Si certo. Chi ha mai detto questo?
Lo scandalo, comunque, riguardava i DATI, mica il codice. Il problema è:"Cosa succede quando il pacchetto va dal nodo A al nodo B della Rete?" Man-in-the-middle ed altre tecniche usate da NSA e soci sono valide a prescindere.
Quindi, semmai, dovremmo concentrarci sui formati (che DEVONO essere standard e ben documentati, secondo me) e su come proteggere i nostri dati. Per intenderci, a me interessa proteggere un foglio elettronico se lo invio a te, indipendentemente dal software che ho usato per generarlo.
Ah, per controlli di questo di tipo, in realtà, è "sufficiente" tenere sempre sotto controllo il traffico dati che passa attraverso il proprio modem/router.
Lo scandalo riguardava il furto di dati e il controllo delle comunicazioni attraverso sistemi illeciti e fraudolenti come falle e backdoor appositamente lasciate nei codici open e closed source. Per proteggere i dati è necessario e spesso anche sufficiente un buon sistema di trasmissione che utilizza la crittografia, niente di più, indipendentemente dal formato dei dati.
A meno che il codice in questione non sia scritto alla membro di segugio. Se io scrivo un programma molto grosso in C, e al termine uso un tool anche solo per cambiare nomi di funzioni e variabili con cose tipo "ajkshdl", voglio proprio vedere quanto ci metti a capire che cavolo fa quel codice.
Dipende. Se fosse facile fare reverse engineering, ci sarebbero molte meno applicazioni proprietarie.
Erotavlas_turbo
30-03-2016, 22:32
In tal cosa potresti dirmi cosa succederebbe se includessi alcune righe coperte da GPL in una mia applicazione, e poi rilasciassi soltanto i binari di quest'ultima?
Questo non è ammesso dalla licenza GPL come ben sai. La staresti violando. Dovresti rilasciare il sorgente della tua applicazione. Come ho detto in precedenza e ripeto. Se utilizzi codice GPL perché è troppo costoso o ci vuole troppo tempo sviluppare ex-novo è giusto che rilasci la tua applicazione con lo stessa licenza in modo tale che la comunità possa beneficiare di questo. Tu vuoi solo guadagnare e prendere da codice open source senza dare nulla? Mi pare abbastanza disonesto dal punto di vista pratico ed etico...
E chi se ne frega! Questo è un ALTRO discorso. Ne parlo meglio dopo.
Vorrei vedere quanti software utilizzi direttamente e indirettamente che utilizzano la licenza GPL. Il movimento del software libero è rivolto a proteggere l'evoluzione della conoscenza senza imporre limitazioni come codice chiuso, brevetti, royalties, etc.
Tanto per cambiare, ecco un'altra fallacia logica: quella del pendio scivoloso.
Quale fallacia? E' la realtà dei fatti... (https://en.wikipedia.org/wiki/Usage_share_of_operating_systems)
No, non è affatto detto. Ai miei tempi tanto software era di DOMINIO PUBBLICO. Prima che arrivasse la GPL e la sua guerra ideologica.
Vedi commenti sopra sul significato di libertà della diffusione della conoscenza.
Ho "semplicemente" utilizzato quello che avevi scritto in merito alla GPL, e che calzava esattamente per il software proprietario. Ma vedo che "stranamente" non hai riportato TUTTO quello che avevi scritto, e che ovviamente era pertinente alla questione. Lo faccio io. Ecco qui:
"Tu vuoi utilizzare il lavoro di altri gratis per i tuoi scopi."
che, guarda caso, era proprio quello che TI avevo quotato.
Dunque sì: ti ho messo in bocca parole che TU hai detto. :read:
Ti ripeto. Se rileggi il post del thread lo capisci anche tu. Con utilizzare intendo e intendevo che non è possibile utilizzare il codice sorgente o linkare una libreria con licenza GPL dentro un codice proprietario. Se si tratta di rilasciare due applicazioni che comunicano tra loro ognuno con la propria licenza, non ci sono problemi.
Lo ripeto. Se tu utilizzi codice scritto da altri per qualunque motivo, mancanza di soldi o tempo o voglia, è giusto che anche gli altri possano riutilizzare il tuo lavoro.
A questo punto sarebbe interessante sapere cosa ne pensi della viralità della GPL sul codice proprietario: è o non è voler "utilizzare il lavoro di altri gratis per i tuoi scopi"? Rispondi, e fallo in maniera chiara, senza giri di parole.
Mi ripeto per l'ennesima volta. Libero significa diffondere la conoscenza e mantenere la libertà degli utilizzatori. Se tu utilizzi del lavoro altrui per i tuoi scopi allora dovrai compensare facendo in modo che altri possano utilizzare il tuo lavoro. Si tratta di proteggere l'evoluzione della conoscenza senza imporre limitazioni come codice chiuso, brevetti, royalties, etc.
Premesso che quello tu chiami libero, in realtà è software PESANTEMENTE VINCOLATO (e, dunque, tutt'altro che libero), come ho già detto, non me ne può fregar di meno.
L'unico vincolo del software libero GPL è quello di restare libero e diffondere la conoscenza senza scopi diversi.
Se non ci fosse la GPL, ci sarebbe sicuramente altro: di licenze realmente libere ce ne sono a palate, con quella "principe" che è rappresentata dal dominio pubblico. Fortunatamente tanti sviluppatori l'hanno capito, ed è il motivo per cui l'adozione della GPL per nuovi progetti è in costante calo.
Ma, nuovamente, ciò di cui parli è UN ALTRO discorso, non pertinente a quanto stiamo discutendo.
Certo per esempio su Github (https://github.com/blog/1964-license-usage-on-github-com) la licenza più diffusa è MIT di dominio pubblico e la seconda è la licenza libera GPL.
Continui con le tue menzogne e mistificazioni. Mi basta riquotarmi:
"Io difendo il software, nella sua interezza.
Sono i fanatici integralisti come te, che lo dividono fra codice buono, e brutto e cattivo."
Quali menzogne? Tu difendi gli interessi privati degli sviluppatori o delle aziende anziché la diffusione della conoscenza attuata dal software libero GPL in primis.
La traduzione letterale è quella che ho fornito. Che poi non ti piaccia è ovvio, visto che non porta acqua al tuo mulino.
La traduzione letterale non ha quel significato, poi a me non interessa di Crypto Fail visto che è un privato di scarsa attendibilità.
Quindi non t'interessa se una cosa sia vera o falsa: giudichi soltanto sulla base di chi fa certe affermazioni.
Complimenti per la logica impeccabile, e per il tua splendida volontà di ricerca della verità...
Non essendo un esperto di sicurezza, mi fido di un ente imparziale e terzo, fino a prova contraria, come la EFF. Non mi fido di privati che si fanno pagare per revisioni del codice. Non ho tempo da perdere per leggere la loro analisi.
Invece posso valutare la revisione di persone indipendenti come il secondo link.
Non è pertinente. Quella pagina espone delle precise questioni tecniche che sono perfettamente valide, e a cui Telegram "stranamente" non ha risposto.
Strano è l'unica analisi comparativa disponibile. Pronto a cambiare idea se mi trovi un ente terzo senza scopo di lucro che ha fatto una comparativa di tipo tecnico.
Se hai qualcosa da dire a riguardo, puoi benissimo scrivere un commento. Anche se ne dubito fortemente, perché hai detto tu stesso che non sei un programmatore, per cui non ne hai la conoscenze.
E per questo motivo è insensato che tu richieda un'altra "comparativa": se non sei in grado di comprendere il contenuto di quel sito, non saresti in grado di fare lo stesso con un'altra dimostrazione tecnica.
Non sono un programmatore e non mi interessa esserlo. Posso comprendere vari linguaggi di programmazione a un livello medio-alto. Mi intendo di sicurezza solo a livello base. Ho conoscenza approfondita di informatica teorica, algoritmi e teorica della complessità computazionale. Non avendo conoscenze sufficienti in materia di sicurezza, mi fido maggiormente di un ente terzo senza scopo di lucro che faccia una comparativa che della mia analisi personale o dell'analisi di qualche privato che lo fa a scopo di lucro.
Ciò che tu vorresti, invece, è il classico numerino che può leggere chiunque, e rilasciato da qualcuno di cui ti fidi.
Si e no. Un valore numerico esprime in modo netto il livello di sicurezza, ma sottintende un'analisi tecnica esaustiva. Come ho detto, non avendo sufficiente competenza in materia, preferisco l'analisi di un ente fidato...
Ed ecco un'altra offesa.
Cioè? Tu dici che quello che dico sono deliri e io rispondo che tu stai delirando e ti sembra un'offesa? Io non mi sento offeso e non dovresti esserlo nemmeno tu in quanto hai detto la stessa cosa. Se io sono convinto di un fatto non mi sento offeso a sentirmi dire che le mie affermazioni sono dei deliri.
Vedi sopra: non me ne può fregar di meno.
Vorrei vedere quanti software utilizzi direttamente e indirettamente che utilizzano la licenza GPL.
Non sei uno sviluppatore, e l'hai scritto tu stesso. Anche se prendessi il classico esempio della funzione di Fibonacci, l'offuscassi, e lo mettessi su GitHub con licenza GPL, non capiresti ugualmente.
Dunque, che chiedi a fare? E' del tutto inutile.
Ripeto. Non sono un programmatore e non mi interessa esserlo. Posso comprendere vari linguaggi di programmazione a un livello medio-alto. Però ho conoscenza approfondita di informatica teorica, algoritmi e teorica della complessità computazionale. Fammi un esempio pratico di quello che dici. Un progetto reale con licenza GPL e codice offuscato.
Te l'avevo già detto: perché non me lo spieghi tu allora? "Stranamente" non hai risposto: chissà come mai.
Nello specifico, potresti QUOTARMI e DIMOSTRARE dov'è che avrai mostrato di non conoscere il significato di "libertà". Accomodati pure.
Libero significa avere la possibilità di utilizzare un software sviluppato seguendo la filosofia della condivisione della conoscenza rispettando la libertà di utilizzo da parte degli utenti e degli sviluppatori.
Tue parole a proposito della non esistenza di GNU/Linux in assenza della licenza GPL. Vedi sopra: non me ne può fregar di meno.
Chi ha mai detto che non avrebbero interessi nel farlo? E' ovvio che sia così. Com'è altrettanto ovvio che se non ci fosse Linux, ci sarebbe un altro s.o. a ricevere le stesse attenzioni (e tra parentesi, per alcuni progetti noi supportiamo BSD. Non ricordo se NetBSD o FreeBSD adesso).
Com'è altrettanto ovvio che Linux non sarebbe dov'è adesso senza gli enormi contributi di aziende private: circa l'80 percento del codice proviene, infatti, da loro.
Ripeto che le aziende beneficiano molto del progetto GNU/Linux e del codice GPL e per questo contribuiscono in modo molto proficuo allo sviluppo. E' una questione di prendere e restituire. E per fortuna che esiste la licenza GPL altrimenti questo bilancio non ci sarebbe solo con licenze BSD, MIT, etc. Pensa quanto costerebbe e che qualità avrebbe un sistema operativo e il resto dei programmi sviluppati internamente da ogni azienda, come fa Microsoft? Avremmo X sistemi operativi diversi.
Non vedo perché: è roba passata, per cui ha già pagato, e che è convenuto anche ad AMD.
Come no. AMD se intel non avesse giocato sporco con pratiche scorrette avrebbe la stessa se non più grande quota di mercato. Ai tempi in cui è successo il fatto, AMD dominava sia lato CPU sia lato GPU. E' storia...
Ma immagino che ogni mattina ti alzi e ti fustighi col gatto a nove a code, in ricordo delle atrocità commesse ai bei tempi del regime fascista...
Bei tempi? Non sai cosa dici. Ti ricordo che il fascismo è vietato dalla costituzione italiana. Forse tu non vivi in Italia. Ah già in uno stato dove la storia è stata ancora peggiore.
Vedi che ti piace molto il pendio scivoloso.
E' una mia idea. I fatti dicono che ai tempi in cui è successo il fatto, AMD dominava sia lato CPU sia lato GPU.
Ne ho già parlato anche con Matteo. Anche qui, "stranamente", non sei intervenuto. Però te ne vieni a lamentare adesso: ma guarda un po'...
Lo ribadisco.
Falso: saltano fuori SE vengono scoperti. E questo NON è dimostrato.
Vuoi fornirla tu una DIMOSTRAZIONE? Ecco qui:
IPOTESI: sia x un qualunque software open source, y un bug in esso presente, e z il tempo in cui l'intera umanità avrà cessato di esistere (leggi: non ci saranno sicuramente più "occhi" per analizzare il codice)
TESI: y verrà [sicuramente] scoperto in un tempo t < z
DIMOSTRAZIONE: accomodati pure. :D
Che ci si debba fidare dello sviluppatore te l'ho già detto, e sono d'accordo. Che il software, solo per questo, NON sia affidabile è una tua opinione priva di fondamento. Vuoi dimostrare anche questo? Ecco qui:
IPOTESI: sia x un qualunque software closed source e y l'insieme di tutte le funzionalità "malware" (vedi i messaggi precedenti in merito)
TESI: esiste almeno una z, appartenente a y, che è sicuramente contenuta in x.
DIMOSTRAZIONE: accomodati pure. :D
Nessuno ha mai detto questo, mi pare. Vedi anche i messaggi precedenti.
Ciò che conta è che la tua asserzione sia falsa. Se, invece, ritieni che sia vera, puoi dimostrare anche questa. Ecco qui:
IPOTESI: sia x un qualunque software closed source, y l'insieme di tutti gli sviluppatori, z il sottoinsieme stretto di y di quelli che hanno lavorato a x
TESI: non esiste w appartenente a y - z tale per cui w possa analizzare x.
DIMOSTRAZIONE: accomodati pure. :D
Chi ti ha detto che sono fatti dimostrati o dimostrabili? Quello che sto affermando, si basa sull'analisi dei dati a disposizione e sulla storia dell'informatica. Non ci sono certezze assolute. Del resto se conosci l'informatica, la maggioranza dei settori di essa è basata su euristiche e non ci sono dimostrazione del perché del funzionamento.
E' inutile che cerchi di rigirare la frittata: ho già riportato INTEGRALMENTE quello che TU avevi scritto e in cui la TUA ultima frase parla di UTILIZZARE codice GPL.
La mia affermazione rimane, pertanto, pertinente.
Ma quale frittata. Rileggi il periodo. Io parlo dell'impossibilità di includere o linkare codice GPL dentro codice proprietario. UTILIZZARE si riferiva a questo fatto.
Ti è chiaro o no il significato della coniugazione che ho usato per il verbo risolvere? Ecco qui:
"risolverebbe"
No.
Falso: questa è una cosa che succede a te, perché nel tuo immaginario non ci può essere l'uno senza l'altro. Perfino Pino90 ti ha DIMOSTRATO che così non è.
Non è cosi. Non ho bisogno di Pino per avere dimostrazioni. Dovevi fare il matematico se ti piacciano tanto le dimostrazioni. Per me è sufficiente leggere la licenza GPL sul sito della FSF.
In ogni caso visto che, a tuo dire, non la conoscerei, mi spiegheresti com'è che avrei tirato fuori quei meccanismi per aggirarla? Mi spiegheresti com'è che avrei tirato fuori l'offuscamento del codice per neutralizzarla? Volendo dar credito alle tue falsità, in teoria non avrei potuto far nulla del genere, visto che dovrei esser a conoscenza degli inghippi della GPL per poterli far fuori.
Quello che sto dicendo e che non conosci o non capisci il significato della licenza GPL. Tu vuoi usare il codice GPL per i tuoi scopi e rilasciare codice chiuso. Sei furbo...eticamente disonesto, infatti difendi anche intel dicendo che AMD ci ha guadagnato dalla scandalo e furto di intel. E' come dire che i clienti e l'ambiente ci hanno guadagnato dalla scandalo volkswagen...
Invece dopo l'ultima mia discussione sull'offuscamento del codice ti sei stracciato le vesti e te ne sei addirittura uscito scandalizzato:
"Finalmente ci siamo arrivati. Tu vuoi utilizzare il lavoro di altri gratis per i tuoi scopi. Il lavoro di altri è rilasciato con licenza GPL per il bene del software libero e della comunità però a causa dei vincoli della licenza GPL, che tu non vuoi rispettare, cerchi di offuscare il codice cosi che gli altri non possano utilizzare il tuo lavoro.
Sei veramente un opportunista affermando questo. Ma che bravo che sei...
Sei una bella persona ad ogni messaggio emerge sempre di più la tua personalità..."
Delle due l'una: o quello che ho scritto non si applica alla GPL, oppure non hai motivo di lagnarti per la mia trovata.
E se si applica alla GPL, allora direi che la conosco. Almeno quanto basta per poterla aggirare. :read:
Lo ribadisco, tu sei come la barzelletta del fregare insieme ed essere fregato da solo. Vuoi prendere la conoscenza e il lavoro di altri licenza GPL gratis, ma non vuoi dare niente indietro. Veramente un esempio da seguire...
Che poi non ti piaccia e la cosa ti sdegni non è in discussione, e non me ne può fregar di meno: è la sostanza che conta.
In maniera parziale e occultando quello che TU STESSO avevi scritto, però.
Ma ti ho riportato nuovamente tutto, per comodità.
Idem come sopra: non è la traduzione corretta. Stai mettendo in bocca a quell'analista cose che non ha mai detto.
Si certo hai ragione...:muro:
L'ho ampiamente dimostrato, ma se c'è qualcosa con cui non sei d'accordo, puoi sempre QUOTARMI e DIMOSTRARE che non ci sarebbe stata alcuna mistificazione da parte di ComputArte. :read:
Cosa dovrei dimostrare? Ti piacciono da morire le dimostrazioni...
E questa non sarebbe un'offesa nei confronti di quelli che, a tuo dire, non capirebbero?
Non volevo offendere nessuno è una riflessione dopo l'analisi dei commenti...
Certo che hai proprio una gran faccia tosta nel cercare di ribaltare la frittata, dopo che sei stato TU ad aver scritto questo:
"potresti farti assumere in qualche azienda tipo Microsoft..."
Era una battuta, essendo un bravo programmatore adepto alle multinazionali senza scrupoli come intel, potresti provare...
io mi sono limitato a rispondere a questa tua sparata.
Infatti nella discussione non ho mai avuto bisogno di tirare fuori alcun titolo nobiliare, e non l'avrei fatto se TU non mi avessi costretto a uscire allo scoperto per risponderti DOPO quello che avevi scritto. :read:
Prenditi le TUE responsabilità, una buona volta.
Uscire allo scoperto? Ma se hai un firma grande con scritto "@LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro". Perché senti il bisogno di fare ciò? Per far vedere chi sei e che sei bravo? Io non sento il bisogno di dire chi sono, le mie parole parlano per me...
ROFL. E quindi i genii non dovrebbero frequentare i forum? Da quando? Anzi: solo perché lo dici tu? :roftl:
Puoi DIMOSTRARE anche questo, per caso? Ecco qui:
IPOTESI: sia x un genio e y l'insieme delle persone che frequentano i forum
TESI: x non appartiene a y.
DIMOSTRAZIONE: accomodati pure. :asd:
Qui voglio una tua dimostrazione del contrario visto che ti piacciono le dimostrazioni. E' noto che geni frequentano questo forum...
E due: anche tu amante dello specchio riflesso?
Comunque ho già ampiamente dimostrato che parli di cose che non conosci, e continui a scrivere soltanto perché devi continuare la tua battaglia ideologica a favore del software diversamente libero e contro le multinazionali brutte e cattive.
Grazie alle tue dimostrazioni mi sento molto meglio. Io continuo a scrivere e perdo tempo solo perché non mi piace vedere scritte certe cose a riguardo del software libero.
Ripeto quando c'è da ripetere, visto che torni sullo STESSO argomento. :read:
Per il resto ti ho già risposto sopra.
Caro Erotavlas_turbo, te lo dico da amico (cit.): non me ne può fregar di meno!
Sei TU che hai tirato in ballo i titoli nobiliari, e hai ricevuto la risposta che meritavi. Vattelo a fare tu il giro dell'umiltà, e prenditi la responsabilità per quello che hai affermato spavaldamente.
Si, il problema è che tu credi di essere superiore solo perché puoi dimostrare tutto e gli altri non lo possono fare? Solo perché lavori alla intel? Hai una mega firma, etc? Dimostra a te stesso di stare con i piedi per terra...
Ma non la smetti mai di trollare e mistificare? Vabbé, che non ti rimane molto.
Per affermare ciò, mi occorre che tu dimostri che io sono un troll, dopo averlo definito.
Già risposto: vedi sopra. U-TI-LI-ZZA-RE. PO-TRE-BBE.
Rileggi il periodo. Io parlo dell'impossibilità di includere o linkare codice GPL dentro codice proprietario. UTILIZZARE si riferiva a questo fatto.
Checché tu ne dica, quel che ha scritto è perfettamente valido. Che poi TU non lo riesca a comprendere, perché ti mancano le conoscenze tecniche, è un altro paio di maniche.
Complimenti per checché... Comunque ti ripeto che non avendo sufficienti conoscenze in termini di sicurezza informatica, preferisco fidarmi di enti terzi imparziali e non a scopo di lucro come la EFF.
Ma no, non lo bocci a priori: è solo che a TUO insindacabile giudizio è l'EFF che può dare il patentino di credibilità al software.
E certo, siccome l'hai detto tu, e l'ha detto l'EFF che hai assurto a ruolo di ente credibile, dobbiamo crederti sulla parola.
Invece se uno si permette di fornire un'analisi tecnica del meccanismo di funzionamento di Telegram, non gli si può credere perché non è l'EFF...
Ti ripeto. Trovami un'analisi comparativa migliore di quella della EFF, fatta da qualcuno con la stessa storia e autorevolezza, e sarò felice di cambiare idea. Fino a quando mi riporterai, o mi riporterete, analisi fatte da un privato come Crypto Fail, dopo aver letto il suo messaggio di about, mi verrà da ridere...
cdimauro
31-03-2016, 06:27
Certo i BSD esistono, ma la loro diffusione è pressoché nulla escluso qualche eccezione (https://en.wikipedia.org/wiki/Usage_share_of_operating_systems) .
Non hai capito quello che GTKM voleva dire. Se non ci fosse Linux, il suo posto lo avrebbe potuto benissimo prendere uno dei vari BSD, e dunque la sua diffusione sarebbe stata decisamente superiore rispetto a quella che ha ora.
E' proprio questo il punto. Se utilizzi codice GPL perché è troppo costoso o ci vuole troppo tempo sviluppare ex-novo è giusto che rilasci la tua applicazione con lo stessa licenza in modo tale che la comunità possa beneficiare di questo. Tu vuoi solo guadagnare e prendere da codice open source senza dare nulla? Mi pare abbastanza disonesto dal punto di vista pratico ed etico...
Se il rospo non ti piace, puoi benissimo evitare di usare il codice GPL e usare codice BSD, MIT, etc.
Non vedo perché si dovrebbe rilasciare TUTTA l'applicazione soltanto per alcune righe di codice GPL.
Se vuoi preservare il codice che è stato rilasciato dalla comunità puoi benissimo usare licenze come la LGPL, che sono nate per questo scopo senza i micidiali effetti virali della GPL: se fai modifiche al codice LGPL, poi sei costretto a rilasciare QUELLE modifiche, e NON TUTTO IL TUO codice.
Il problema di cui sopra, quindi, sorge soltanto la GPL, perché con la LGPL è ampiamente circoscritto.
Ciò precisato, l'altro grosso problema è che tanto codice è stato rilasciato come GPL, e non come LGPL, altrimenti non staremmo qui a discutere. E siccome non si può reinventare sempre la ruota, se ti serve un pezzo di codice che è già disponibile come GPL, e non hai tempo per adattarne o scriverne un altro, ecco che se non stai attento a quello che fai puoi trovarti nei guai.
Libero non significa questo. Libero significa che se tu utilizzi del lavoro altrui per i tuoi scopi allora dovrà compensare facendo in modo che altri possano utilizzare il tuo lavoro. Si tratta di proteggere l'evoluzione della conoscenza senza imporre limitazioni come codice chiuso, brevetti, royalties, etc. E' come se una nuova scoperta nella fisica che è stata fatta a partire dalla conoscenza pregressa, praticamente ogni scoperta, non venisse resa pubblica...
Questa è la TUA (e di Stallman) RI-definizione del significato di libertà.
Dalla Treccani (http://www.treccani.it/vocabolario/liberta/):
1.
a. L’esser libero, lo stato di chi è libero
[...]
b. In senso astratto e più generale, la facoltà di pensare, di operare, di scegliere a proprio talento, in modo autonomo
2. Con sign. più limitati:
a. L’esser libero da vincoli, freni o impedimenti
c. In qualche caso, libera facoltà
Come vedi la tua ridefinizione NON s'inquadra con ciò che s'intende nella lingua italiana, sia formalmente sia comunemente.
Certo non ho detto che Google o Red Hat siano buone. Ho solo detto che le aziende beneficiano molto del progetto GNU/Linux e del codice GPL e per questo contribuiscono in modo molto proficuo allo sviluppo. E' una questione di prendere e restituire. E per fortuna che esiste la licenza GPL altrimenti questo bilancio non ci sarebbe solo con licenze BSD, MIT, etc.
L'essere non-GPL NON implica che una licenza non consenta di "prendere e restituire". Infatti molti progetti con licenza BSD, MIT, ecc. vengono costantemente migliorati ANCHE (e soprattutto) col contributo di aziende.
Pensa quanto costerebbe e che qualità avrebbe un sistema operativo e il resto dei programmi sviluppati internamente da ogni azienda, come fa Microsoft? Avremmo X sistemi operativi diversi.
Ci sono già diversi s.o. open source che NON hanno licenza GPL, i quali dimostrano che il tuo scenario non è realistico.
Esempio classico: il kernel e buona parte del codice di OS X, che rimane BSD pur essendo impiegato pesantemente da Apple.
Si e no. Dipende ci sono anche sviluppatori indipendenti. Certo se un'azienda ha X sviluppatori molto competenti è molto probabile che siano loro a trovare i problemi. Ma questo è nei loro interessi che poi diventa un vantaggio per la comunità grazie alla più volte citata licenza GPL.
Ciò non toglie che anche col software chiuso vengano trovati parecchi bug: dagli stessi sviluppatori (perché per loro ovviamente il codice è aperto), dalle aziende di analisi che ne hanno accesso, e da quelle che non ne ne hanno accesso (e ricorrono al reverse engineering).
Lo scandalo riguardava il furto di dati e il controllo delle comunicazioni attraverso sistemi illeciti e fraudolenti come falle e backdoor appositamente lasciate nei codici open e closed source. Per proteggere i dati è necessario e spesso anche sufficiente un buon sistema di trasmissione che utilizza la crittografia, niente di più, indipendentemente dal formato dei dati.
Considerato che tu stesso ammetti che falle e backdoor sarebbero state inserite in codice open e closed, direi che la questione è chiusa.
Dipende. Se fosse facile fare reverse engineering, ci sarebbero molte meno applicazioni proprietarie.
Pendio scivoloso anche qui: sono due cose completamente indipendenti e scollegate.
Le applicazioni proprietarie esistono a prescindere dal fatto che sia possibile o meno fare reverse engineering sul loro codice.
...
Scusami, ma si vede proprio che non sei un programmatore. Per te, "libertà" significa che se uso 100 righe di codice GPL in un mio software da 100000 (CENTOMILA) devo rilasciare TUTTO, ossia anche le MIE 99900 righe. Questa è l'assurdità della GPL (e ripeto, io sono un political note installer del sito personale di Stallman, oltre ad essere iscritto alla mailing list "libreplanet-discuss").
Prendere e restituire significa che se io modificassi un codice GPL allora dovrei, GIUSTAMENTE, rendere pubbliche le mie modifiche e permettere a tutti di beneficiarne.
La GPL, invece, e lo sai benissimo, vuole che se io scrivessi un software del livello, che so, di MATLAB e lo linkassi ad una libreria coperta da GPL, dovrei "restituire" anche tutte le parti che non c'entrano minimamente con la libreria in questione. L'assurdo è questo. Io invece credo che ogni sviluppatore debba essere LIBERO di decidere come rilasciare il frutto del SUO lavoro.
Domani posso pure decidere di rilasciare un software sotto GPLv3, magari perché mi interessa solo che la gente veda come scrivo codice, insomma, "per curriculum", ma deve essere una MIA scelta, e non un'imposizione dovuta al fatto che ho usato 100 righe di codice GPL in un programma immenso.
Direi che la diatriba ormai stà stancando e visto che non è propriamente in topic direi che è il caso di finirla seduta stante
cdimauro
31-03-2016, 08:57
Avevo quasi finito una replica all'ultimo commento di Erotavlas_turbo, ma a questo punto evito di riportarla, e mi allineo alla richiesta della moderazione.
Spero che i lettori riescano a farsi ugualmente una corretta opinione sulla scorta di quanto sia stato già scritto nel thread.
Erotavlas_turbo
31-03-2016, 21:32
Ok perfetto. Concludo con questi due Freedom or Power (https://www.gnu.org/philosophy/freedom-or-power.html), BSD license problem (https://www.gnu.org/licenses/bsd.en.html).
Ok, Whatsapp ha annunciato di aver abilitato la crittografia end-to-end, buona notizia, e eff sul suo sito ha aggiornato il tutto in tal senso.
Va tutto bene ma mi rimane solo il dubbio che, non essendo disponibili i sorgenti, non è possibile sapere la bontà/"genuinità" dell'implementazione, considerando anche il fatto non trascurabile che il protocollo sicuro di Moxie Marlinspike ha ricevuto a partire dal 2013 ben 2,25 miliardi di dollari di finanziamento dall'Open Technology, la quale a sua volta ha il suo principale fondatore nel governo degli Stati Uniti (tramite "Broadcasting Board of Governors" e "the Department of State").
Erotavlas_turbo
06-04-2016, 09:16
Ok, Whatsapp ha annunciato di aver abilitato la crittografia end-to-end, buona notizia, e eff sul suo sito ha aggiornato il tutto in tal senso.
Va tutto bene ma mi rimane solo il dubbio che, non essendo disponibili i sorgenti, non è possibile sapere la bontà/"genuinità" dell'implementazione, considerando anche il fatto non trascurabile che il protocollo sicuro di Moxie Marlinspike ha ricevuto a partire dal 2013 ben 2,25 miliardi di dollari di finanziamento dall'Open Technology, la quale a sua volta ha il suo principale fondatore nel governo degli Stati Uniti (tramite "Broadcasting Board of Governors" e "the Department of State").
Completamente d'accordo. Mi quoto e aggiorno quello che ho detto in un form precedente.
Questo lo dici tu. La EFF (https://www.eff.org/secure-messaging-scorecard), che è molto più attendibile di tutti noi qui nel forum oltre a tutti i link che sono stati riportati, ha valutato come:
Whatsapp 2/7 punti
Telegram chat pubbliche 4/7 punti
Telegram chat private 7/7 punti
Signal 7/7 punti
Whatsapp 6/7 punti: sicuro sulla fiducia del codice sorgente chiuso
Telegram chat pubbliche 4/7 punti: non sicuro
Telegram chat private 7/7 punti: sicuro codice aperto
Signal 7/7 punti: sicuro codice aperto
matteop3
06-04-2016, 12:55
Whatsapp 6/7 punti: sicuro sulla fiducia del codice sorgente chiuso
Telegram chat pubbliche 4/7 punti: non sicuro
Telegram chat private 7/7 punti: sicuro codice aperto
Signal 7/7 punti: sicuro codice aperto
Ripeto, valutare la reale sicurezza in base a questi punti è ingenuo, dato che si tratta di un giudizio puramente qualitativo e non quantitativo.
Parlando di protocolli crittografici e2e Telegram utilizza MTProto, proprietario e dalla pessima reputazione. Whatsapp (e Signal, ovviamente) utilizza Signal Protocol (ora si chiama così), open source ed elogiato da tutti i migliori crittografi del mondo. Il sorgente: https://github.com/WhisperSystems/libsignal-protocol-java
Ripeto, valutare la reale sicurezza in base a questi punti è ingenuo, dato che si tratta di un giudizio puramente qualitativo e non quantitativo.
Diciamo che l'analisi di eff è qualitativa sui 7 aspetti analizzati più vitali/fondamentali (sono i cardini).
Sono d'accordo con te per quanto riguarda Signal e Telegram, invece non concordo per niente sulla questione Whatsapp, chiarisco: uso Whatsapp tranquillamente insieme ad altri instantM, la svolta che ha preso non può che farmi piacere, ecc., ma dire che usa CERTAMENTE il MEDESIMO protocollo di Signal lo prenderei con le pinze (anzi, è proprio sbagliato finché un qualche esterno indipendente non lo accerta; cazzo pure con i teoremi matematici è così).
Hanno fatto una dichiarazione in tal senso ma, un conto è una dichiarazione e un conto è poterlo dimostrare a chi non fa parte dello staff di whatsapp: in tale contesto è fondamentale poter verificare e, se tieni i sorgenti chiusi, nessuno esterno a whatspp può verificare niente.
Quindi, con Signal è stato possibile una minuziosa analisi esterna (nonostante il mega finanziamento del governo degli USA, che finanzia massicciamente pure Tor), con Whatsapp non è possibile: l'annunciare che usa il medesimo protocollo OGGETTIVAMENTE non vuol dire che sia così, non vuol dire che non vi siano state certe modifiche orientate al core business di Facebook.
Una delle prime cose BASICHE che dicono perfino alle matricole di informatica (ma te lo dicono pure negli istituti tecnici) quando si parla di sicurezza è che il protocollo è una cosa, l'implementazione è totalmente un'altra (sia per eventuale errori implementativi non in malafede, sia per scopi "particolari").
Ora, stiamo inoltre parlando di un'azienda che ha il suo core business nella massiccia profilazione dell'utente, quindi capirai che la cosa oggettivamente ingenua è il non porsi il benché minimo dubbio, almeno qualche puntino interrogativo dovrebbe saltare fuori; niente di sconvolgente ehhh, ma solo ricordarsi di quel puntino interrogativo nel caso tu volessi comunicare ai tuoi amiconi di preparare per il giorno seguente quel quintale di tritolo ;)
E a quel demente che parla di "Isis ringrazia", ricordo per la millesima volta che per preparazione attentati non hanno usato alcun programma con crittografia, hanno comunicato con sms in stra-chiaro tramite un loro codice mentale e tramite cellulari usa e getta, perché? Semplicemente perché non si fidano (e io avrei fatto lo stesso, magari anche loro sapevano che il governo USA finanzia di brutto alcuni dei tool considerati "sicuri").
matteop3
06-04-2016, 17:45
Diciamo che l'analisi di eff è qualitativa sui 7 aspetti analizzati più vitali/fondamentali (sono i cardini).
Sono d'accordo con te per quanto riguarda Signal e Telegram, invece non concordo per niente sulla questione Whatsapp, chiarisco: uso Whatsapp tranquillamente insieme ad altri instantM, la svolta che ha preso non può che farmi piacere, ecc., ma dire che usa CERTAMENTE il MEDESIMO protocollo di Signal lo prenderei con le pinze (anzi, è proprio sbagliato finché un qualche esterno indipendente non lo accerta; cazzo pure con i teoremi matematici è così).
Hanno fatto una dichiarazione in tal senso ma, un conto è una dichiarazione e un conto è poterlo dimostrare a chi non fa parte dello staff di whatsapp: in tale contesto è fondamentale poter verificare e, se tieni i sorgenti chiusi, nessuno esterno a whatspp può verificare niente.
Quindi, con Signal è stato possibile una minuziosa analisi esterna (nonostante il mega finanziamento del governo degli USA, che finanzia massicciamente pure Tor), con Whatsapp non è possibile: l'annunciare che usa il medesimo protocollo OGGETTIVAMENTE non vuol dire che sia così, non vuol dire che non vi siano state certe modifiche orientate al core business di Facebook.
Una delle prime cose BASICHE che dicono perfino alle matricole di informatica (ma te lo dicono pure negli istituti tecnici) quando si parla di sicurezza è che il protocollo è una cosa, l'implementazione è totalmente un'altra (sia per eventuale errori implementativi non in malafede, sia per scopi "particolari").
Ora, stiamo inoltre parlando di un'azienda che ha il suo core business nella massiccia profilazione dell'utente, quindi capirai che la cosa oggettivamente ingenua è il non porsi il benché minimo dubbio, almeno qualche puntino interrogativo dovrebbe saltare fuori; niente di sconvolgente ehhh, ma solo ricordarsi di quel puntino interrogativo nel caso tu volessi comunicare ai tuoi amiconi di preparare per il giorno seguente quel quintale di tritolo ;)
E a quel demente che parla di "Isis ringrazia", ricordo per la millesima volta che per preparazione attentati non hanno usato alcun programma con crittografia, hanno comunicato con sms in stra-chiaro tramite un loro codice mentale e tramite cellulari usa e getta, perché? Semplicemente perché non si fidano (e io avrei fatto lo stesso, magari anche loro sapevano che il governo USA finanzia di brutto alcuni dei tool considerati "sicuri").
Per la profilazione possono utilizzare metadati vari e grafi sociali, i contenuti della chat non possono usarli perché non hanno modo di accedervi.
Personalmente non ho particolari motivi per ritenere che Whatsapp stia bluffando, anche perché Moxie Marlinspike ha personalmente aiutato Whatsapp Inc. ad integrare Signal Protocol in Whatsapp.
Supponiamo, per assurdo, che Whatsapp mantenga segretamente dei database coi contenuti delle chat di tutti; beh, non sarebbe diverso da quello che fa Telegram (che non capisco perché la gente continui a definire open source, Signal è open source).
Il demente dell'"Isi ringrazia" è nell'altro thread. :P
cdimauro
06-04-2016, 20:15
Non sarebbe meglio continuare nell'altro thread? Questo ormai ha esaurito il suo scopo (vedi anche intervento del moderatore).
Erotavlas_turbo
06-04-2016, 21:46
Ripeto, valutare la reale sicurezza in base a questi punti è ingenuo, dato che si tratta di un giudizio puramente qualitativo e non quantitativo.
Parlando di protocolli crittografici e2e Telegram utilizza MTProto, proprietario e dalla pessima reputazione. Whatsapp (e Signal, ovviamente) utilizza Signal Protocol (ora si chiama così), open source ed elogiato da tutti i migliori crittografi del mondo. Il sorgente: https://github.com/WhisperSystems/libsignal-protocol-java
Il protocollo MTProto è proprietario nuovo e ha una cattiva reputazione probabilmente. Fino a prova contraria non è stato ancora bucato e la usa implementazione su Telegram è aperta.
Il protocollo Signal/Textsecure è aperto basato su standard affermati. Fino a prova contraria non si conosce la sua implementazione su Whatsapp che rimane chiusa.
Per questo preferisco continuare a utilizzare Telegram chat private anziché Whatsapp.
Erotavlas_turbo
06-04-2016, 21:48
Diciamo che l'analisi di eff è qualitativa sui 7 aspetti analizzati più vitali/fondamentali (sono i cardini).
Sono d'accordo con te per quanto riguarda Signal e Telegram, invece non concordo per niente sulla questione Whatsapp, chiarisco: uso Whatsapp tranquillamente insieme ad altri instantM, la svolta che ha preso non può che farmi piacere, ecc., ma dire che usa CERTAMENTE il MEDESIMO protocollo di Signal lo prenderei con le pinze (anzi, è proprio sbagliato finché un qualche esterno indipendente non lo accerta; cazzo pure con i teoremi matematici è così).
Hanno fatto una dichiarazione in tal senso ma, un conto è una dichiarazione e un conto è poterlo dimostrare a chi non fa parte dello staff di whatsapp: in tale contesto è fondamentale poter verificare e, se tieni i sorgenti chiusi, nessuno esterno a whatspp può verificare niente.
Quindi, con Signal è stato possibile una minuziosa analisi esterna (nonostante il mega finanziamento del governo degli USA, che finanzia massicciamente pure Tor), con Whatsapp non è possibile: l'annunciare che usa il medesimo protocollo OGGETTIVAMENTE non vuol dire che sia così, non vuol dire che non vi siano state certe modifiche orientate al core business di Facebook.
Una delle prime cose BASICHE che dicono perfino alle matricole di informatica (ma te lo dicono pure negli istituti tecnici) quando si parla di sicurezza è che il protocollo è una cosa, l'implementazione è totalmente un'altra (sia per eventuale errori implementativi non in malafede, sia per scopi "particolari").
Ora, stiamo inoltre parlando di un'azienda che ha il suo core business nella massiccia profilazione dell'utente, quindi capirai che la cosa oggettivamente ingenua è il non porsi il benché minimo dubbio, almeno qualche puntino interrogativo dovrebbe saltare fuori; niente di sconvolgente ehhh, ma solo ricordarsi di quel puntino interrogativo nel caso tu volessi comunicare ai tuoi amiconi di preparare per il giorno seguente quel quintale di tritolo ;)
E a quel demente che parla di "Isis ringrazia", ricordo per la millesima volta che per preparazione attentati non hanno usato alcun programma con crittografia, hanno comunicato con sms in stra-chiaro tramite un loro codice mentale e tramite cellulari usa e getta, perché? Semplicemente perché non si fidano (e io avrei fatto lo stesso, magari anche loro sapevano che il governo USA finanzia di brutto alcuni dei tool considerati "sicuri").
Sostanzialmente d'accordo.
Erotavlas_turbo
06-04-2016, 21:52
Per la profilazione possono utilizzare metadati vari e grafi sociali, i contenuti della chat non possono usarli perché non hanno modo di accedervi.
Personalmente non ho particolari motivi per ritenere che Whatsapp stia bluffando, anche perché Moxie Marlinspike ha personalmente aiutato Whatsapp Inc. ad integrare Signal Protocol in Whatsapp.
Io invece non mi fido ne di Moxie ne di altre persone, solo di un'implementazione trasparente.
Supponiamo, per assurdo, che Whatsapp mantenga segretamente dei database coi contenuti delle chat di tutti; beh, non sarebbe diverso da quello che fa Telegram (che non capisco perché la gente continui a definire open source, Signal è open source).
Telegram client è open source quindi le chat segrete e2e utilizzano codice open source. Telegram server è closed source per questo le chat pubbliche non sono sicure.
Erotavlas_turbo
06-04-2016, 21:52
Non sarebbe meglio continuare nell'altro thread? Questo ormai ha esaurito il suo scopo (vedi anche intervento del moderatore).
Ok, quale?
cdimauro
06-04-2016, 21:54
Questo (http://www.hwupgrade.it/forum/showthread.php?t=2764475).
P.S. Esiste il multiquote.
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.