Link alla notizia: http://www.hwupgrade.it/news/software/13786.html

Peter Torr, program manager di Microsoft, ha aperto un blog nel quale discutere dei problemi di sicurezza di Firefox

Click sul link per visualizzare la notizia.

ma da quale pulpito viene la predica... che mondo.

Originariamente inviato da elminister
ma da quale pulpito viene la predica... che mondo.

Che vuol dire scusa? :confused:

Originariamente inviato da teogros
Che vuol dire scusa? :confused:


che sentire un program manager di microsoft accusare gli altri produttori di sw di essere un vericolo di spyware è una cosa che sta meglio a zelig piuttosto che su un sito di hardware :)

E' vero che non è firmato digitalmente. E allora? IE lo è ma non mi sembra che questo sia utile a qualcosa.....

:rotfl:

Si,xkè c'è qualche alternativa allo scaricare IE dal sito microzozz? :asd: Non mi pare che ci siano in giro dei pazzi che mirrorano i file di wupdate :asd:

premesso che nessun software è esente da falle o pseudo tali, credo che alla m$ non siano più rimasti colpi in canna da sparare...anzicchè cercare di migliorare IE, attaccano "gratuitamente" firefox... bah! :rolleyes:

Poteva anche dire:

"magari dicendo così quei 10milioni di utenti tornano ad usare IE"

Ma che rosicone :D

Originariamente inviato da riaw
che sentire un program manager di microsoft accusare gli altri produttori di sw di essere un vericolo di spyware è una cosa che sta meglio a zelig piuttosto che su un sito di hardware :)

Mi pare una castroneria... anche perchè ormai contro MS ci si scaglia per qualsiasi cosa: se fanno software poco protetti sono dei brocchi perchè veicolano spyware, se lo fanno gli altri invece va bene; se fanno software protetto e chiuso gli si da contro perchè sono difficili da utilizzare, non si integrano con software altrui e così via (vedi tutte le lagne per l'Sp2 e il nuovo Windows Server 2003)... IMHO basterebbe un po' di obiettività in più: non mi pare che questo tizio abbia detto che Firefox fa schifo (anche se molti che usa Firefox hanno detto questo di IE), ha semplicemente fatto delle constatazioni che non mi sembrano così tanto fuoriluogo...

Ma tanto ormai quando si legge MS parte il flame! :rolleyes: ;)

Originariamente inviato da TNR Staff
:rotfl:

Si,xkè c'è qualche alternativa allo scaricare IE dal sito microzozz? :asd: Non mi pare che ci siano in giro dei pazzi che mirrorano i file di wupdate :asd:

vero;)

Originariamente inviato da TNR Staff
:rotfl:

Si,xkè c'è qualche alternativa allo scaricare IE dal sito microzozz? :asd: Non mi pare che ci siano in giro dei pazzi che mirrorano i file di wupdate :asd:

Mi sa che devi rileggerti la news perchè c'hai capito poco! :asd: :asd: ;)

cmq sia il fatto che di firefox nn sia disponibile neanche un md5sum per controllarne l'autenticità mi sembra un errore strategico... anke se cmq effettivamente nessuno aveva sollevato il problema fin'ora...

cmq sia Gnome c'è l'ha insegnato ... il repository può essere lamerato...

Originariamente inviato da teogros
Mi pare una castroneria... anche perchè ormai contro MS ci si scaglia per qualsiasi cosa: se fanno software poco protetti sono dei brocchi perchè veicolano spyware, se lo fanno gli altri invece va bene; se fanno software protetto e chiuso gli si da contro perchè sono difficili da utilizzare, non si integrano con software altrui e così via (vedi tutte le lagne per l'Sp2 e il nuovo Windows Server 2003)... IMHO basterebbe un po' di obiettività in più: non mi pare che questo tizio abbia detto che Firefox fa schifo (anche se molti che usa Firefox hanno detto questo di IE), ha semplicemente fatto delle constatazioni che non mi sembrano così tanto fuoriluogo...

Ma tanto ormai quando si legge MS parte il flame! :rolleyes: ;)


se vai nella sez. apple microsoft io l'ho pure difesa.......
non attacco ms in quanto ms, ma per le cappellate che ogni tanto fa, tipo questa......
che si impegnino per sviluppare sistemi contro gli spyware è cosa MOLTO nobile, il problema è che a un manager microsoft capita casualmente di parlare contro firefox proprio mentre questo sta prendendo piede, che coincidenza eh?
se poi a questo aggiungi che l'accusa viene da chi ha tentato di veicolare spyware con microsoft office la cosa assume un nonsochè di ironico :)

Originariamente inviato da bort_83
cmq sia il fatto che di firefox nn sia disponibile neanche un md5sum per controllarne l'autenticità mi sembra un errore strategico... anke se cmq effettivamente nessuno aveva sollevato il problema fin'ora...

cmq sia Gnome c'è l'ha insegnato ... il repository può essere lamerato...


l'md5 serve a controllare che il file scaricato sia integro (non contenga errori) non che sia autentico.

Originariamente inviato da riaw
se vai nella sez. apple microsoft io l'ho pure difesa.......
non attacco ms in quanto ms, ma per le cappellate che ogni tanto fa, tipo questa......
che si impegnino per sviluppare sistemi contro gli spyware è cosa MOLTO nobile, il problema è che a un manager microsoft capita casualmente di parlare contro firefox proprio mentre questo sta prendendo piede, che coincidenza eh?
se poi a questo aggiungi che l'accusa viene da chi ha tentato di veicolare spyware con microsoft office la cosa assume un nonsochè di ironico :)

Mi pare faccia parte del libero mercato la possibilità di "parlar male" dei competitor, soprattutto quando iniziano a prender campo! Non mi sembra una cosa così deprecabile! Le cappellate le fanno tutti... da MS a Apple: il problema è che se un errore è presente in un sw utilizzato da 10 persone la risonanza è diversa rispetto ad un software utilizzato da 1000 persone... mi pare abbastanza banale!

Dovete capire la mentalità...
Non sono buoni a scrivere software affidabile ma si sono auto-proclamati certificatori di quello altrui...
Anzi, mirano a ben altro (vedi Palladium).

Se non ci fosse l'amministrazione Bush l'antitrust avrebbe placato buona parte delle loro ambizioni di dominio del mondo.

Originariamente inviato da teogros
non mi pare che questo tizio abbia detto che Firefox fa schifo (anche se molti che usa Firefox hanno detto questo di IE), ha semplicemente fatto delle constatazioni che non mi sembrano così tanto fuoriluogo...

E`vero, quel che dice si riassume in quanto segue:

·Installing Firefox requires downloading an unsigned binary from a random web server

·Installing unsigned extensions is the default action in the Extensions dialog

·There is no way to check the signature on downloaded program files

·There is no obvious way to turn off plug-ins once they are installed

·There is an easy way to bypass the "This might be a virus" dialog
[...]
I personally don't care if people choose to run Firefox or Linux or any other software on their computers -- it's their computer, after all -- but we'll never get past the spyware / adware problem if people continue to think that installing unsigned code from random web sites is A Good Idea.

So, at this point in time, installing (and using) Firefox encourages exactly the sort of behaviour we are trying to steer people away from, and to me that makes it part of the problem, not the solution.


Pero`:
1) (uso FF in inglese) Tools -> extensions -> posso selezionare un'estensione, e ho la scelta tra disinstallarla e (via click destro), disabilitarla. Questo mi pare risponda al suo penultimo punto
2) I binari sgli ftp di mozilla org SONO firmati via sha1sum. E` pero` vero che tali firme NON sono facilmente accessibili, e potrebbero essere piu` pubblicizzate. Peraltro NON e` necessariamente vero che si deve scaricare firefox "da un webserver a caso"
3) per quanto riguarda le signature dei programmi scaricati dovrei rileggere cosa intende di preciso, ma cosi` su due piedi direi che non e` colpa del browser.

Per la serie l'"obiettivita` latita" le altre critiche mi paiono invece fondate, rappresentando o vere debolezze o punti su cui e` possibile migliorare (magari con un'extension :D )

D'altronde, pero`, saro paranoico, ma tale critica proprio del tutto innocente & candida non mi pare.

Originariamente inviato da teogros
Mi pare faccia parte del libero mercato la possibilità di "parlar male" dei competitor,

E allora qual'e` il problema quando lo fanno a proposito di microsoft? :D

Originariamente inviato da teogros
Mi pare faccia parte del libero mercato la possibilità di "parlar male" dei competitor, soprattutto quando iniziano a prender campo! Non mi sembra una cosa così deprecabile! Le cappellate le fanno tutti... da MS a Apple: il problema è che se un errore è presente in un sw utilizzato da 10 persone la risonanza è diversa rispetto ad un software utilizzato da 1000 persone... mi pare abbastanza banale!

Fa anche parte del libero mercato "parlar male" dei fornitori che screditano i propri concorrenti ;)

Contando che di sw non firmati digitalmente installati sul PC ce ne sono diversi (senza contare la quantita' abnorme di crak,keygen etc. che vengono lanciati giornalmente da una quantita' innumerevole di utenti) paventare che l'installer di firefox possa avere spyware al proprio interno è un po' terroristico ,se Mr.Torr avesse così tanto a cuore la questione avrebbe dovuto fare un comunicato per tutti i sw sprovvisti di firma digitale che si installano e non solo per chi ha sottratto un 10% di quota ad internet explorer..

IE non fà poi così schifo...
vorrei piuttosto la possibilità di tenere outlook express lontano dai miei pc

Originariamente inviato da Ikitt_Claw
E allora qual'e` il problema quando lo fanno a proposito di microsoft? :D

Nessuno, infatti mi pare che nessuno vi stia limitando in questo! ;)

Originariamente inviato da riaw
l'md5 serve a controllare che il file scaricato sia integro (non contenga errori) non che sia autentico.

Ciao,
non è detto: se su www.mozilla.org venisse reso scaricabile l'hash MD5 delle varie versioni ufficiali, anche scaricando mozilla da un qualsiasi altro sito basterebbe ricalcolarsi l'hash MD5 del file scaricato e compararlo a quello ufficiale.
In questo caso le possibiltà di contraffazione sono davvero basse (bisognerebbe effettuare delle modifiche che non "vengano viste" dall'algoritmo MD5, cosa molto difficile...).

Ciao. :)

Patetico... mi vien da ridere

Originariamente inviato da Passy
Patetico... mi vien da ridere

Ridi! :asd: :rotfl:






















:sofico: :rolleyes: ;)

Originariamente inviato da shodan
non è detto: se su www.mozilla.org venisse reso scaricabile l'hash MD5 delle varie versioni ufficiali, anche scaricando mozilla da un qualsiasi altro sito basterebbe ricalcolarsi l'hash MD5 del file scaricato e compararlo a quello ufficiale.
In questo caso le possibiltà di contraffazione sono davvero basse (bisognerebbe effettuare delle modifiche che non "vengano viste" dall'algoritmo MD5, cosa molto difficile...).

Si ma il punto e` che, parlando in generale, md5 o altri algoritmi di hash mi garantiscono una cosa sola: l'integrita`. Ovvero so che quello che e` stato scaricato sul mio PC e` la stessa "cosa" (a meno di contraffazioni per ora praticamente impossibili) che risiede sul server.

Pero` se qualcuno buca il server, manipola gli archivi e ricalcola gli hash, il gioco e` fatto.
Con la firma digitale propriamente detta tale manipolazione e` ben piu` difficile, perche` occorrerebbe rifirmare gli archivi con una chiave riconosciuta valida (nel senso presente sui keyserver pubblici) e attendibile, nel senso che la firma dei binari di firefox da parte di un tizio qualunque ha un peso ben diverso rispetto a quella di uno sviluppatore mozilla, e anzi insospettirebbe piu` di una persona.

Originariamente inviato da Ikitt_Claw
Si ma il punto e` che, parlando in generale, md5 o altri algoritmi di hash mi garantiscono una cosa sola: l'integrita`. Ovvero so che quello che e` stato scaricato sul mio PC e` la stessa "cosa" (a meno di contraffazioni per ora praticamente impossibili) che risiede sul server.

Pero` se qualcuno buca il server, manipola gli archivi e ricalcola gli hash, il gioco e` fatto.
Con la firma digitale propriamente detta tale manipolazione e` ben piu` difficile, perche` occorrerebbe rifirmare gli archivi con una chiave riconosciuta valida (nel senso presente sui keyserver pubblici) e attendibile, nel senso che la firma dei binari di firefox da parte di un tizio qualunque ha un peso ben diverso rispetto a quella di uno sviluppatore mozilla, e anzi insospettirebbe piu` di una persona.

Questo è un'ottimo spunto di discussione. Direi che al di la dell'utilizzo di firma digitale, basterebbe che la società che ha i diritti di Firefox (non la conosco), in qualche modo "garantisse" la distribuzione dello stesso su determinati mirror in base a criteri di sicurezza stabiliti da loro! Sarebbe già un passo avanti, IMHO!

Originariamente inviato da teogros
Questo è un'ottimo spunto di discussione. Direi che al di la dell'utilizzo di firma digitale, basterebbe che la società che ha i diritti di Firefox (non la conosco), in qualche modo "garantisse" la distribuzione dello stesso su determinati mirror in base a criteri di sicurezza stabiliti da loro! Sarebbe già un passo avanti, IMHO!

Detta societa` dovrebbe essere la Mozilla Foundation.
Se le mie conoscenze di sicurezza informatica (ancora deboluccie invero :D ) mi sostengono, direi che dovrebbe bastare firmare digitalmente, da parte di Mozilla Foundation, il file con le signature md5 per garantire l'autenticita` del prodotto.
Magari sarebbe scomodo per l'utente smaliziato da verificare, allo stato attuale delle cose.

Scusate, ma la "certificazione di sicurezza" chi la rilascia? Non sono società legate a Microsoft? No, perchè se è così possiamo stare freschi. Secondo me è comee per i driver sul PC. Istallo tranquillamente driver che non hanno passato il test di "certificazione" eppure funziona tutto (c'è da dire che qui si' che bisognerebbe pagare Miscrosoft per avere la certificazione).
Ci sono installati gli spyware da chissa quale programma? Chi se ne frega....esistono altri programmi come Ad-aware, spybot, ecc...che cercano, trovano ed eliminano. Ha ragione chi ha detto che anziche preoccuparsi delle "falle" altrui sarebbe il caso che i signori di M$ stessero zitti lavorando ai loro problemi. Si vede che nessuno di loro ha letto (o sentito) quel passo della Bibbia in cui si parla di Travi e pagliuzze....(se mi capite...)

...un conto è avere dei driver nn certificati perché magari un pò vecchi(ma firmati dal produttore), un conto è nn avere nemmeno la firma...
...Uso beatamente FF...ma quest'idea nn mi dispiacerebbe, perché in effetti è già successo con alcuni programmi p2p di riscontrare modifiche mirate fatte "a metà strada" tra il produttore e il consumatore....e nn solo con il p2p...è una cosa molto diffusa.

...parte il flame.
Meno male che ci sono sempre i suoi avvocati in pectore che la difendono a spada tratta (con pochi argomenti, ma tanta solerzia e pervicacia).
Ihihhihi loro non alimentano il flame; eh no!!
Bah, scusate l'OT va...

Originariamente inviato da Vik Viper
...parte il flame.
Meno male che ci sono sempre i suoi avvocati in pectore che la difendono a spada tratta (con pochi argomenti, ma tanta solerzia e pervicacia).
Ihihhihi loro non alimentano il flame; eh no!!
Bah, scusate l'OT va...

Pochi argomenti? Il tuo post mi pare un inno al flame, più che all'argomentazione... :rolleyes: Che commenti utili e sensati... :rolleyes:

Credo che il problema sia più complesso.
Con le potenzialità attuali della rete ho l'impressione che tutti i software, almeno quelli in commercio per i comuni mortali, sia nodeficitari.
E' normale che le software-houses tentino tutti i colpi per proteggere i propri prodotti, ma è anche vero che spesso la causa della diffusione di molti virus (aldilà dei deficenti che li producono) vada ricercata nell'uso indiscriminato che molti utenti fanno di internet.
Il problema delle firma digitale dei prodotti rientra in una normativa internazionale: infatti in caso di gravi perdite di dati, riuscendo a dimostrare la assoluta colpevolezza del software utilizzato e l'assoluta non colpevolezza degli utenti che lo utilizzano, riuscendo a certificare un certo danno patrominiale, allora ci si può rivalere contro la software-house, naturalmente si tratta di operazioni molto complesse e costose che spesso si chiudono tacitamente, ma questo è il diritto internazionale; certo se ci becchiamo un bel virus, anche nel caso in cui riesce a danneggiarci il disco fisso o magari la cpu, sicuramente non intenteremo una causa contro MR. GATES o contro MOZILLA, tuttavia se il danno capitasse alla Banca Centrale d'America, che comunque credo usi la rete Apple, o ad uno dei famosi centri univarsitari quali MIT... sicuramente il discordo potrebbe cambiare.
COMUNQUE ALLA FINE DEI CONTI L'UNICA E VERA SOLUZIONE CHE IO HO RISCONTRATO E' QUELLA DI PROVVEDERE SEMESTRALMENTE AD UNA FORMATTAZIONE... SEMESTRE NUOVO VITA NUOVA.

Non vorrei dire una C@zz@t@...ma a me pare che la firma digitale bisogna pagarla a M$...

il punto non è scatenare flames quando si parla di microzozz, ma pensa tu se un pm (quindi si suppone un addetto ai lavori) debba indicare come problemi di ff 2 problemi che in realtà riguardano altri software (il popup di errore di 7zip e quello vuoto causato da un baco di mcafee) ... questo secondo mostra subito la malafede di chi ha scritto l'articolo, anche se alcune delle considerazioni che ha fatto sono degne di note (firma digitale e sicurezza del contenuto scaricato) ... cmq sono un paio d'anni che uso ff, e anche quando era in beta e crashava allegramente (tipo le versioni sotto la 0.6) era decisamente MEGLIO di ie ..

ciao, giullo

Originariamente inviato da Giullo
[...]ma pensa tu se un pm (quindi si suppone un addetto ai lavori) debba indicare come problemi di ff 2 problemi che in realtà riguardano altri software (il popup di errore di 7zip e quello vuoto causato da un baco di mcafee) ... questo secondo mostra subito la malafede di chi ha scritto l'articolo, anche se alcune delle considerazioni che ha fatto sono degne di note[...]
Condivido. Personalmente della malafede (innocenza sino a prova contraria) ho solo un certo sospetto, ma il sospetto c'e` eccome...

In realta' i pacchetti di Firefox
e Thunderbird sono firmati con le chiavi
GPG. Forse non e' cosi' immediato il controllo,
ma è sempre possibile:

http://bmagyarkuti.blogspot.com/2004/12/validating-your-firefox-installer-file.html

E Alexa dove lo mettiamo???? Non e' forse uno spyware
presente proprio nel software Microsoft?
Quali degli spyware-remover (ad-aware, spybot, etc) e'
firmato digitalmente? L'unico non gratuito, vero?

Originariamente inviato da Ikitt_Claw
Si ma il punto e` che, parlando in generale, md5 o altri algoritmi di hash mi garantiscono una cosa sola: l'integrita`. Ovvero so che quello che e` stato scaricato sul mio PC e` la stessa "cosa" (a meno di contraffazioni per ora praticamente impossibili) che risiede sul server.

Pero` se qualcuno buca il server, manipola gli archivi e ricalcola gli hash, il gioco e` fatto.
Con la firma digitale propriamente detta tale manipolazione e` ben piu` difficile, perche` occorrerebbe rifirmare gli archivi con una chiave riconosciuta valida (nel senso presente sui keyserver pubblici) e attendibile, nel senso che la firma dei binari di firefox da parte di un tizio qualunque ha un peso ben diverso rispetto a quella di uno sviluppatore mozilla, e anzi insospettirebbe piu` di una persona.

Ciao,
in effetti se qualcuno bucasse i server di mozilla, con la sola chiave MD5 non ci fai molto; il mio voleva essere solo uno spunto.

Decisamente più sicura e attendibile sarebbe la firma con un sistema di chiavi pubblica/privata.

Ciao. :)

ma questo Torr è un folle!!, nel suo sito non fa altro che screditare firefox per ogni cosa che legge! ed ovviamente lo compara a ie, che se non ha le stesse funzioni, allora vuol dire che non le ha perché si dimostrano insicure...e c'è pure gente che gli da ragione... ma è proprio fuori di testa sta gente!!!!

Originariamente inviato da ozeta
ma questo Torr è un folle!!, nel suo sito non fa altro che screditare firefox per ogni cosa che legge! ed ovviamente lo compara a ie, che se non ha le stesse funzioni, allora vuol dire che non le ha perché si dimostrano insicure...e c'è pure gente che gli da ragione... ma è proprio fuori di testa sta gente!!!!

Direi che forse è il caso di moderarsi.

E' partita la campagna di denigrazione di Microsoft, segno che non sanno dove sbattere la testa .


in 10 anni che uso il pc e che installo programmi di ogni genere non ho mai verificato se fosse firmato o no .


Non è che questa cosa sia una minaccia che con l'introduzione di palladium firefox sarà censurato?

Ritengo l'argomento "deviante":
1) Neanche la maggior parte dei drivers per l'hardware
che usiamo e' firmata digitalmente (se si esclude una
versione ogni 4 dei drivers audio e video)
2) Nello stesso software Microsoft ci sono gli spyware
(Alexa Related, e pure il nuovo windowsupdate e' uno
spyware, "chiama casa"....)
3) Per rimuovere lo spyware si usano ad-aware e
spybot, che NON sono firmati digitalmente.

Questa notizia e' deviante e partigiana.

Certo che questo Peter Torr poteva prendersi la briga di scaricarsi Firefox e farsi magari un giretto sul ftp prima di dire cose che alla fine non sono vere. Questo è quello che ho trovato in 30 secondi sul ftp ufficiale di mozilla.

ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0/MD5SUMS
ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0/SHA1SUMS
ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0/KEY
ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0/win32/it-IT/Firefox%20Setup%201.0.exe.asc

se solo avese voluto avrebbe potutto controllare tutto quello che voleva.

ciao ;)

Originariamente inviato da teogros
Mi pare faccia parte del libero mercato la possibilità di "parlar male" dei competitor, soprattutto quando iniziano a prender campo!


infatti nessuno gli sta dicendo che non deve farlo, solo che, se lo fa, che almeno si accettino le critiche ;)

poveritti non sanno più come pararsi il culo quelli della microzoz

Io intanto da quando uso Firefox ho risolto TUTTI i problemi di Hijackers, CWS, e schifezze simili... per non parlare della navigabilità dei siti nettamente migliorata , della personalizzabilità, e tutte le ciliegine che i navigatori con IExplorer si perdono. Torr... come i tori un vero uomo...:rotfl: :fuck: :Prrr:

Proporrei agli amministratori di aggiungere un emoticon colle corna molto utile per le notizie attinenti Macrozozz.

guardate ho letto anche il reply che mr. torr scrive dopo ... semplicemente patetico ... quando si dice "arrampicarsi sugli specchi" :)

giullo

Originariamente inviato da teogros
Mi pare faccia parte del libero mercato la possibilità di "parlar male" dei competitor, soprattutto quando iniziano a prender campo! Non mi sembra una cosa così deprecabile! Le cappellate le fanno tutti... da MS a Apple: il problema è che se un errore è presente in un sw utilizzato da 10 persone la risonanza è diversa rispetto ad un software utilizzato da 1000 persone... mi pare abbastanza banale!

Denigrare gli altri non fa parte del libero mercato. Il libero mercato si fonda sul perfetto contrario: inserirsi in un mercato senza dittature monopolistiche con un'idea migliore delle altre o offerta a condizioni più favorevoli per la clientela che è così libera di scegliere.

Denigrare gli altri integra invece gli estremi di un illecito penale. In questo caso viene sottilmente notata una stronzata mentre il proprio software che viola le leggi sulla concorrenza (avete letto da ultimo la decisione dell'Unione che ha portato Macrozozz a pubblicare una versione di Winzozz senza player multimediale???) viene fatto fatto passare per un prodotto "nella media". Che sia nella media quanto a vulnerabilità rispetto agli altri browser è davvero una barzelletta.

E si ricordi che precedentemente anche la decisione di diffondere Winzozz con annesso il browser sollevò polemiche, azioni legali (da parte dei produttori di Netscape) e condanne al pagamento di multe.

Originariamente inviato da OSMIUM
Denigrare gli altri non fa parte del libero mercato. Il libero mercato si fonda sul perfetto contrario: inserirsi in un mercato senza dittature monopolistiche con un'idea migliore delle altre o offerta a condizioni più favorevoli per la clientela che è così libera di scegliere.

Denigrare gli altri integra invece gli estremi di un illecito penale. In questo caso viene sottilmente notata una stronzata mentre il proprio software che viola le leggi sulla concorrenza (avete letto da ultimo la decisione dell'Unione che ha portato Macrozozz a pubblicare una versione di Winzozz senza player multimediale???) viene fatto fatto passare per un prodotto "nella media". Che sia nella media quanto a vulnerabilità rispetto agli altri browser è davvero una barzelletta.

E si ricordi che precedentemente anche la decisione di diffondere Winzozz con annesso il browser sollevò polemiche, azioni legali (da parte dei produttori di Netscape) e condanne al pagamento di multe.

Inutile abbassarsi a "discutere" con uno che continua a scrivere Winzozz, Microzozz e così via e che magari almeno una volta l'ha installato e usato quasi sicuramente senza pagarlo.

scusate ragazzi mi è venuto un dubbio...
ma è possibile creare estensioni di firefox "cattive" ?
cioe' che agiscono da spyware, virus, formattatore di hard-disk o cose varie?

Originariamente inviato da speedwago
scusate ragazzi mi è venuto un dubbio...
ma è possibile creare estensioni di firefox "cattive" ?
cioe' che agiscono da spyware, virus, formattatore di hard-disk o cose varie?

certo che si può,ne ho già incontrate 2 , più che altro barre , dialers, spyreware ma non m'hanno fregato .:D

Però ti viene fuori la schermata di installazione dell'extension, devi essere te a cliccare su OK , per ora non lo fanno in automatico come in IE .

se vuoi un esempio chiamami in pvt che non posso mettere il link sul forum, anche se sarebbe utile e tutti come sito .:D

Originariamente inviato da teogros
Inutile abbassarsi a "discutere" con uno che continua a scrivere Winzozz, Microzozz e così via e che magari almeno una volta l'ha installato e usato quasi sicuramente senza pagarlo.

Soprattutto quando non si è in grado di replicare.

Originariamente inviato da OSMIUM
Soprattutto quando non si è in grado di replicare.

Basta che ti rileggi i post addietro e trovi tutte le repliche alle tue innovative accuse. Dimenticavo: non troverai frecciatine a Firefox nelle mie pseudo-repliche, spero riuscirai lo stesso ad interpretarle! ;)

Secondo me, alla luce di quanto letto, mi viene solo da pensare che è TUTTO fatto apposta per farci (stra)parlare di IE e FF.
Io lo uso regolarmente da 2 anni (dalla 0.5) e gli unici crash li ho avui con la JRE, evidentemente non ancora collaudata a dovere.
Non me le sento di dire che IE è un cesso, il suo lo fa, ma non dimentichiamoci che fino alla 6.05 (l'attuale) era un colabrodo x cookies, ActiveX, codici maligni ecc ecc. Non venite a dirmi che non è vero. Tutto sommato, trovo la "sparata" di Mr. Torr decisamente eccessiva e palesemente pubblicitaria.

KvL

Originariamente inviato da KVL
Secondo me, alla luce di quanto letto, mi viene solo da pensare che è TUTTO fatto apposta per farci (stra)parlare di IE e FF.
Io lo uso regolarmente da 2 anni (dalla 0.5) e gli unici crash li ho avui con la JRE, evidentemente non ancora collaudata a dovere.
Non me le sento di dire che IE è un cesso, il suo lo fa, ma non dimentichiamoci che fino alla 6.05 (l'attuale) era un colabrodo x cookies, ActiveX, codici maligni ecc ecc. Non venite a dirmi che non è vero. Tutto sommato, trovo la "sparata" di Mr. Torr decisamente eccessiva e palesemente pubblicitaria.

KvL

Sono abbastanza d'accordo con te!

P.s.
Di dove sei intorno a firenze?

per quanto riguarda l'installer, potrebbe anche aver ragione. Il rischio di installare versioni modificate e pericolose c'è. Ma il fatto delle estensioni, mi pare una boiata pazzesca. Quando ne installi una, esce la finestra di dialogo, grossa quanto una casa, che ti avverte del rischio; senza contare che ne hai pieno controllo (abilita/disabilita, installa/disinstalla), cosa che nel mondo IE, anche con l'avvento del sp2, non esiste. Per i paranoici, FF lo puoi utilizzare anche con il tema di default, senza WeatherFox (le previsioni le vedi in TV), senza flashgot ecc...

Firenze Sud (come zona), tu?
Ah, dimenticavo: perchè Torr non ha detto che Ad-Aware e SpuBOT NON sono firmati? forse perchè ripuliscono la m€rda che si racimola in copiosa quantità con IE?

Torrna da dove sei venuto...

Originariamente inviato da KVL
Firenze Sud (come zona), tu?
Ah, dimenticavo: perchè Torr non ha detto che Ad-Aware e SpuBOT NON sono firmati? forse perchè ripuliscono la m€rda che si racimola in copiosa quantità con IE?

Torrna da dove sei venuto...

Strada! Conosci? Te di dove di preciso?

Originariamente inviato da teogros
Strada! Conosci? Te di dove di preciso?

PVT, conosco, conosco...

Originariamente inviato da teogros
Basta che ti rileggi i post addietro e trovi tutte le repliche alle tue innovative accuse. Dimenticavo: non troverai frecciatine a Firefox nelle mie pseudo-repliche, spero riuscirai lo stesso ad interpretarle! ;)

Delle mie capacità ermeneutiche non posso lamentarmi. ;)

Devo cmq riconoscere che se non ci fosse IE io non avrei imparato tante cose sugli Hijackers e schifezze varie. :D

Cazz, neppure la mia morosa è firmata digitalmente!

Cosa posso fare? Secondo voi devo lasciarla perchè inficia la mia sicurezza???

Aiutatemi, vi prego!!

M$ è alla canna del gas... quando perde quote di mercato, o denigra i competitor o se li compra... mi fanno solo ridere..
ciò non toglie che xp sia un buon sistema operativo. Purtroppo tutti i sysop M$ (e quindi anche IE) devono la loro diffusione alla pirateria.. se l'utonto fosse costretto a sganciare la grana per acquistare windows ci sarebbe il dominio di linux in ambito soho con i vari mozilla e firefox.

Io penso che la maggior stabilità e sicurezza di FF rispetto ad IE non possa essere messa in discussione(almeno da chi li ha provati entrambi), in ogni caso bisogna ammettere che finchè il rapporto tra utenti IE e FF sarà 10 ad 1 è chiaro che falle, codici maligni e stronz@te varie affliggeranno sempre in maggior misura IE...

(spero vivamente che oltre i 10 milioni di persone che hanno scaricato Firefox non abbiano tutti scaricato backdoor nei loro sistemi)

Di sicuro il loro OS ne è pieno :D

Chi è senza peccato scagli la prima pietra...
Reagalerò una copia della bibbia a stò Troll

Originariamente inviato da Fedx
Io penso che la maggior stabilità e sicurezza di FF rispetto ad IE non possa essere messa in discussione(almeno da chi li ha provati entrambi), in ogni caso bisogna ammettere che finchè il rapporto tra utenti IE e FF sarà 10 ad 1 è chiaro che falle, codici maligni e stronz@te varie affliggeranno sempre in maggior misura IE...

:mano:

grazie di esistere firefox, spero di infettarmi solo con te, se proprio dovrà succedermi.

Originariamente inviato da Fedx
bisogna ammettere che finchè il rapporto tra utenti IE e FF sarà 10 ad 1 è chiaro che falle, codici maligni e stronz@te varie affliggeranno sempre in maggior misura IE...
Saresti cosi` gentile da spiegarmi le motivazioni? Non credo di coglierle appieno.

Semplicemente perchè se fossi l'imbecille di turno che vuole scrivere codice spyware, malware ecc cercherei di farlo funzionare a dovere su IE piuttosto che su FF

Originariamente inviato da cocaran
grazie di esistere firefox, spero di infettarmi solo con te, se proprio dovrà succedermi.


:asd:


cmq anche ff per quanto possa essere + sicuro di IE ha anche lui i suoi bug, non e' che con FF si e' in una botte di ferro

Il software perfetto non esiste...si valutano pro e contro e poi ognuno fa la sua scelta..l'importante è che questa non sia imposta!

Sarà ma i problemi che ho avuto con IE non li ho MAI riscontrati con Firefox :rolleyes:

il problema , secondo me, è l'INTEGRAZIONE di IE con windows (e col kernel chiaramente) .... la maggior parte delle vulnerabilità sono del KERNEL, IE è semplicemente un mezzo per esploitarle ... se IE non venisse eseguito nello stesso spazio di memoria del kernel penso che il 90% dei suoi bachi non sarebbe così dannoso ... sono uno sviluppatore ma NON un esperto di sicurezza, se ho detto qualche castroneria cazziatemi pure!

ciao, giullo

Originariamente inviato da Giullo
il problema , è secondo me, l'INTEGRAZIONE di IE con windows (e col kernel chiaramente) che crea così tanti problemi .... la maggior parte delle vulnerabilità sono del KERNEL, IE è semplicemente un mezzo per esploitarli ... se IE non venisse eseguito nello stesso spazio di memoria del kernel penso che il 90% dei suoi bachi non sarebbe così dannoso ... sono uno sviluppatore ma NON un esperto di sicurezza, se ho detto qualche castroneria cazziatemi pure!

Completamente daccordo. La scelta di integrare IE è stata fatta per motivi che tutti conosciamo bene, e che vanno contro ogni buon senso. Ora, che IE sia un browser decente è soggettivo; che sia pieno di bachi è una realtà (e che vari di questi non verranno mai corretti è altrettanta realtà: http://die.leox.com/ie_unpatched/). Alla luce di queste scelte tecniche fatte solo per convenienza commergiale, la fiducia che si può dare all'azienda microsoft è veramente poca.

Frima digitale e hash (md5 o sha1 che sia) sono 2 cose diverse. Quest'ultima dice solo che il file è integro e bisogna controllarla da un sito attendibile, certamente basterebbe questa per l'installer di firefox e un programmino qualsiasi come md5sum.
La firma digitale oltre a fornire le garanzie di un hash garantisce anche che chi ha creato quel software è esattamente chi dice di essere (mozzilla.org nel nostro caso) grazie ad un meccanimo di solito a chiavi pubbliche e private (asimmetrico).
Che questo concetto sia compatibile con il modello di sviluppo OpenSource è discutibile cmq.
Concordo su alcuni punti con Mr. Torr ma direi che sono inezie rispetto ai problemi di IE (soprattutto con le versioni fino alla 6).

Originariamente inviato da prova
Cazz, neppure la mia morosa è firmata digitalmente!

Cosa posso fare? Secondo voi devo lasciarla perchè inficia la mia sicurezza???

Aiutatemi, vi prego!!

Non devi lasciarla, devi farla semplicemente firmare da un "organo" apposito che ne stabilisce e certifica l'autenticità. Io "casualmente" sono l'unico al mondo che "firma" digitalmente le morose altrui, se vuoi possiamo metterci d'accordo in privato. Garantisco l'autenticità a vita :sofico:

Originariamente inviato da Fedx
Semplicemente perchè se fossi l'imbecille di turno che vuole scrivere codice spyware, malware ecc cercherei di farlo funzionare a dovere su IE piuttosto che su FF
E se (notare il se) far funzionare il malware fosse piu` difficile su FF rispetto che su IE?

gli unici problemi mostruosi e terremoti informatici che ho incontrato con IE sono avvenuti quando tenevo le opzioni di default IE (prima di sp2) che installavano i controlli Activex firmati senza dirti niente .... purtroppo anche se son firmati spesso sono spyware o barrette del cavolo che riempioni di pubblicità IE

adesso che ho messo la richiesta x tutti gli scaricamenti "nascosti" sono tranquillo

p.s. uso IE per scelta, non per "attaccamento stupido a MS"
p.p.s. secondo me qui ci sono molti che usano FF perchè "è figo"

ciao

...il sig.M$ potra' dire quello che vuole sugli spyware, pero' da quando uso FireFox, ADAWARE si rileva assolutamente inutile. Una scansione a settimana e SEMPRE zero spyware...mah..sara' un caso...

Originariamente inviato da bertoz85

p.p.s. secondo me qui ci sono molti che usano FF perchè "è figo"

ciao


può anche essere, io lo uso perchè ha i tab e la navigazione fra i tab è 10 volte più comoda.
poi quando sviluppo un sito lo testo su ff, mi dimentico di testarlo su ie, e passo qualche ora a renderlo compatibile con ie :D

"E se (notare il se) far funzionare il malware fosse piu` difficile su FF rispetto che su IE?"

Questo proverebbe che FF è programmato molto meglio, tuttavia ripeto che per me un effettivo paragone andrebbe fatto a parità di diffusione. Quanta gente dice(e in parte sono d'accordo) che utilizzare Linux in rete ti tiene al riparo dal 90% del codice "malvagio", ma se tutti usassero Linux? molto probabilmente salterebbero fuori exploit e virus a non finire anche per questo SO.

Originariamente inviato da Fedx
Questo proverebbe che FF è programmato molto meglio, tuttavia ripeto che per me un effettivo paragone andrebbe fatto a parità di diffusione.
O a parita` di attacchi?
Quanta gente dice(e in parte sono d'accordo) che utilizzare Linux in rete ti tiene al riparo dal 90% del codice "malvagio", ma se tutti usassero Linux?
Ma se fosse programmato, strutturato, usato diversamente? No, eh?

molto probabilmente salterebbero fuori exploit e virus a non finire anche per questo SO.
Chi ti dice che non ci sia gia` ricerca attiva sotto questo punto di vista?
Non potrebbe essere che i problemi di sicurezza sarebbero diversi (si sta parlando di software diversi dopotutto)

Ikitt_Claw capisco il tuo punto di vista ma forse stiamo andanto un pò troppo sul condizionale...

Rimane il fatto che, per un motivo o per un altro, in ambito di sicurezza personale ci sono software migliori di altri e a mio avviso FF è uno di questi.

Originariamente inviato da DjLode
Non devi lasciarla, devi farla semplicemente firmare da un "organo" apposito che ne stabilisce e certifica l'autenticità. Io "casualmente" sono l'unico al mondo che "firma" digitalmente le morose altrui, se vuoi possiamo metterci d'accordo in privato. Garantisco l'autenticità a vita :sofico:

ROTFL! :D

GRANDIOSA!!! :D :D :D :D :D

Originariamente inviato da Fedx
Ikitt_Claw capisco il tuo punto di vista ma forse stiamo andanto un pò troppo sul condizionale...
Secondo me no. Anzi, secondo me e` un po` troppo ardito dire "ah, se fosse piu` diffuso avrebbe problemi di sicurezza" (notare il periodo della certezza, non della possibilita`).
Non si puo` dire, semplicemente. La diffusione in quanto tale non inficia la sicurezza intrinseca di un programma: non e` che le vulnerabilita` nascono per magia, se il mio Hello World e` senza bug (ovviamente previa verifica, analisi, dimostrazione, non sulla fiducia) quando lo uso io e i miei amici del bar, rimarrebbe senza bug anche se lo usassero in 5 milioni.

Certo, piu` la base di utenza si allarga piu` si trovano utenti ingenui, ma questo direi che intacca marginalmente la bonta` di un prodotto SW (diventa un problema di come un SW viene usato, non di come e` fatto).

Ehm ... Claw, mi dispiace contraddirti, ma ha ragione l'utente che afferma che è più sicuro un sistema meno diffuso.
Se non credi alle mie parole, allora fidati di quelle di migliaia di analisti ed esperti in un tutto il mondo [molti interventi e articoli li avresti potuti trovare anche qui]

Semplicemente è una questione di numeri e di bastardaggine del genio di turno. Se tu fossi uno di quegli infami che creano virus/maleware/spyware e, come tutti noi, avessi dei vincoli temporali, spenderesti il tuo tempo [risorsa scarsa per eccellenza] programmando un software maligno che può infettare il pc di solo un paio di utenti che adottano il software Puffo Explorer, oppure cercheresti di provocare più danni possibili creando qualcosa di nocivo per un software adottato da un paio di miliardi di persone in tutto il mondo come è Internet Explorer?

Tutto qua.

E' lo stesso motivo per cui su Lunix vi sono meno virus: è infinitamente meno diffuso, quindi non è [ancora] di interesse rilevante per i virus writer.

E' un ragionamento abbastanza ovvio ;)

*Er*

P.S. Circa il tuo Hello World senza bug: non ESISTONO software senza bug.
Nè mai, temo, esisteranno.
Si può solo sperare che nessuno li exploiti in modo troppo bastardo.

Il bello è che l'80% del software che fa girare i PC non è firmato digitalmente, dai driver ai plugin più stupidi... per non parlare dei programmi MS pre XP :) e che se ho Ofice 2000 mi mette delle backdoor perchè non è firmato digitalmente? Ma va là Rosiconi!!!

P.S. tanto per dire ora utilizzo FireFox e ho risanato questo PC che si inchiodava quando ero su Internet e utilizzavo altri programmi in contemporanea :D

Originariamente inviato da prova
Ehm ... Claw, mi dispiace contraddirti, ma ha ragione l'utente che afferma che è più sicuro un sistema meno diffuso.
Se non credi alle mie parole, allora fidati di quelle di migliaia di analisti ed esperti in un tutto il mondo [molti interventi e articoli li avresti potuti trovare anche qui]

Semplicemente è una questione di numeri e di bastardaggine del genio di turno. Se tu fossi uno di quegli infami che creano virus/maleware/spyware e, come tutti noi, avessi dei vincoli temporali, spenderesti il tuo tempo [risorsa scarsa per eccellenza] programmando un software maligno che può infettare il pc di solo un paio di utenti che adottano il software Puffo Explorer, oppure cercheresti di provocare più danni possibili creando qualcosa di nocivo per un software adottato da un paio di miliardi di persone in tutto il mondo come è Internet Explorer?

Tutto qua.

E' lo stesso motivo per cui su Lunix vi sono meno virus: è infinitamente meno diffuso, quindi non è [ancora] di interesse rilevante per i virus writer.

E' un ragionamento abbastanza ovvio ;)

*Er*

P.S. Circa il tuo Hello World senza bug: non ESISTONO software senza bug.
Nè mai, temo, esisteranno.
Si può solo sperare che nessuno li exploiti in modo troppo bastardo.


Sinceramente, altre volte se ne è parlato di questa problematica, e sono sempre più convinto che la diffusione, da un punto di vista tecnico, c'entri ben poco.

Su linux un malware verrebbe individuato in mezzo secondo dato che la totalità dei sft che ci girano sono aperti, quindi visibili a chiunque. Non considerando poi, che il concetto di "autoeseguibile_senza_la_triplice_volontà_dell'utente" è inesistente; mi riferisco a:

./configure
make
make install (quest'ultimo con i privilegi di root)

Originariamente inviato da Fedx
Questo proverebbe che FF è programmato molto meglio, tuttavia ripeto che per me un effettivo paragone andrebbe fatto a parità di diffusione. Quanta gente dice(e in parte sono d'accordo) che utilizzare Linux in rete ti tiene al riparo dal 90% del codice "malvagio", ma se tutti usassero Linux? molto probabilmente salterebbero fuori exploit e virus a non finire anche per questo SO.

C'è da dire che nel mercato server Linux è diffuso tanto quanto Windows, eppure la sicurezza di Linux viene considerata maggiore.
Poi vuoi mettere entrare in Windows come amministratore, e in Linux come utente?

Io sono passato a FF più per curiosità che altro. Per onestà devo dire che, usando un po' di accortezza, non ho MAI avuto problemi di sicurezza con IE, neanche bazzicando su siti "a rischio" (naturalmente con firewall, antivirus, antispy & anti adware ecc).

L'unica cosa in cui trovo (da non esperto) veramente superiore FF rispetto IE è il tabbed browsing. Se proprio vogliamo ci mettiamo anche che FF è più leggero (ma io non me ne accorgo molto perchè ho un pc piuttosto buono).

Il vero problema di FF è che ci si scontra con un sacco di piccole magagne dovute al fatto che molti, molti e ancora molti siti non lo supportano al 100%. Anche in questo stesso sito ho riscontrato dei piccoli errori di visualizzazione nella homepage.
Ironia della sorte, il sito della GdF è pieno di errori se lo navighi con FF. Loro perseguono quelli che montano SW pirata ma allo stesso tempo penalizzano chi usa legittimamente software con licenza free :(

Per non parlare poi di tutti i comodissimi programmini che si integrano alla perfezione con IE e con FF lo fanno alla menopeggio (quando non funzionano proprio per niente).
Ciao

Originariamente inviato da paolor_it
Il vero problema di FF è che ci si scontra con un sacco di piccole magagne dovute al fatto che molti, molti e ancora molti siti non lo supportano al 100%. Anche in questo stesso sito ho riscontrato dei piccoli errori di visualizzazione nella homepage.
Ironia della sorte, il sito della GdF è pieno di errori se lo navighi con FF. Loro perseguono quelli che montano SW pirata ma allo stesso tempo penalizzano chi usa legittimamente software con licenza free :(

Per non parlare poi di tutti i comodissimi programmini che si integrano alla perfezione con IE e con FF lo fanno alla menopeggio (quando non funzionano proprio per niente).
Ciao
Forse il problema non è di FF ma di chi fa siti in quel modo?
mi viene in mente la frase:"il bue che da del cornuto all'asino"...

Originariamente inviato da prova
Ehm ... Claw, mi dispiace contraddirti,
Contraddici pure, mica mi offendo. Basta che ci siano le argomentazioni, dal canto mio son sempre disposto ad imparare

ma ha ragione l'utente che afferma che è più sicuro un sistema meno diffuso.
Se non credi alle mie parole, allora fidati di quelle di migliaia di analisti ed esperti in un tutto il mondo [molti interventi e articoli li avresti potuti trovare anche qui]
Non mi fido delle tue parole semplicemente perche' non motivi, tutto qua :)
Dici, e dite, semplicemente "e' ovvio che sia cosi', dai", ma io tanta ovvieta' mica c ela vedo... Anche gli interventi citati devono essermi sfuggiti evidentemente, saresti cosi' gentile da darmi qualche puntatore?
Di converso, leggevo giusto qualche giorno fa nell'introduzione del Virus Writing HOWTO che anche l'autore sostiene che il discorso "linux ha meno virus perche e' meno diffuso" e', as is, una mezza balla. ;)

Semplicemente è una questione di numeri e di bastardaggine del genio di turno. Se tu fossi uno di quegli infami che creano virus/maleware/spyware e, come tutti noi, avessi dei vincoli temporali, spenderesti il tuo tempo [risorsa scarsa per eccellenza] programmando un software maligno che può infettare il pc di solo un paio di utenti che adottano il software Puffo Explorer, oppure cercheresti di provocare più danni possibili creando qualcosa di nocivo per un software adottato da un paio di miliardi di persone in tutto il mondo come è Internet Explorer?
Cercherei di attaccare il bersaglio che offre il maggior compromesso tra facilita' e visibilita', e non credo di seguire una linea di pensiero molto strana. La sede centrale della Banca d'Italia, per dire, e' sicuramente una preda molto ambita. Eppure mi pare che il grosso delle rapine si concentri su filiali e uffici periferici, che sono ben piu' facili da attaccare (o mi sono perso qualcosa di clamoroso?)

Che maggiore diffusione implichi maggiore visibilita' e maggiori tentativi di attacco mi pare ovvio anche a me, non e' in discussione questo. Ma qui (e da altre parti, mi pare) si postula che la vulnerabilita' di un dato SW (ovvero la percentuale di attacchi A SEGNO, il fattore che determina la effettiva sicurezza del sistema) sia funzione della sua diffusione... E come piu' volte ripetuto, a questa conclusione mi mancano un passaggio o due.


E' lo stesso motivo per cui su Lunix vi sono meno virus: è infinitamente meno diffuso, quindi non è [ancora] di interesse rilevante per i virus writer.
Beh, ma e' di un certo interesse, eccome, per scrittori di exploit, trojan, rootkit etc. etc. Perche' questi si e i virus writer no? C'e' del lobbismo tra i pirati informatici? ;)
O forse questo discorso di diffusione -> vulnerabilita' fa un po' acqua?

P.S. Circa il tuo Hello World senza bug: non ESISTONO software senza bug.
Nè mai, temo, esisteranno.
Si può solo sperare che nessuno li exploiti in modo troppo bastardo.
Provo a contraddirti...
Se qualcuno vuole exploitare questo,


int main() {}


Il software sicuro (ragionevolmente, direi) si puo' scrivere. E' solo molto (ma molto) piu' difficile da realizzare. Banalizzare tutto e ridurre tutto a "tutto e' insicuro" mi pare alternativamente eccesso di paranoia o occessiva generalizzazione...

int main() {}


Il programma più utile della storia :D

Il software sicuro (ragionevolmente, direi) si puo' scrivere. E' solo molto (ma molto) piu' difficile da realizzare. Banalizzare tutto e ridurre tutto a "tutto e' insicuro" mi pare alternativamente eccesso di paranoia o occessiva generalizzazione...

Dato che un programma vero è migliaia di volte più lungo e più incasinato, se riesci a superare il limite del:
"teoricamente possibile, tecnicamente irrealizzabile"
penso farai subito soldi a palate.

Il betatesting, se ben fatto, è la parte dello sviluppo di un programma che assorbe più lavoro, tempo e risorse.
Ecco, credo che sia giusta la via di mezzo tra il non farlo {}, e farne troppo facendo uscire un programma però obsoleto.


Un programma è DI PRINCIPIO insicuro, è la sua sicurezza che và dimostrata.
L'approccio "è sicuro finchè non mi dimostri il contrario" è suicida, oltre che certamente, di volta in volta, di parte del programma in causa.

Quindi visto che nessuno si è arricchito scrivendo codice pulito non mi pare che dubitare di principio sia fonte di paranioa o eccessiva generalizzazione.

"Fidarsi è bene, non fidarsi è meglio"
Aggiungo io: "Tutto il resto a vostro rischio e pericolo" :o :sofico: :)

Originariamente inviato da FAM

int main() {}

Il programma più utile della storia :D
E` un'implementazione di /bin/true ;)
E si, direi (e so gia` che me ne pentiro`) che mi avanzo a dire che e` bug-less ;)

Dato che un programma vero è migliaia di volte più lungo e più incasinato, se riesci a superare il limite del:
"teoricamente possibile, tecnicamente irrealizzabile"
penso farai subito soldi a palate.
La sicurezza assoluta ovviamente non esiste, ne`, credo di essere in grado di avanzare il limite in questo senso. Pero`, diamine, qui si postula l'opposto mi pare...

Un programma è DI PRINCIPIO insicuro, è la sua sicurezza che và dimostrata.
Chiaramente.

L'approccio "è sicuro finchè non mi dimostri il contrario" è suicida, oltre che certamente, di volta in volta, di parte del programma in causa.
Chi e` che ha mai detto questo?

Quindi visto che nessuno si è arricchito scrivendo codice pulito non mi pare che dubitare di principio sia fonte di paranioa o eccessiva generalizzazione.
E quindi nulla puo` essere piu` sicuro di IE?
Un conto e` dire "FF non e` IE, sara` quindi per questo piu` sicuro" (cosa che peraltro nessuno qui ha mai detto, mi pare), un'altro e` dire "FF e` un browser come IE, quindi sara` insicuro come IE" (oppure "tutti gli OS sono [in]sicuri allo stesso modo").
Ed entrambe le asserzioni mi paiono un po`, come dire, grezze ecco.


Comunque, non vorrei si deviassa a parlare del sesso degli angeli (gia` mi pare che si dicano cose leggermente diverse...
Tutto e` nato da questa frase:

bisogna ammettere che finchè il rapporto tra utenti IE e FF sarà 10 ad 1 è chiaro che falle, codici maligni e stronz@te varie affliggeranno sempre in maggior misura IE...
Ovvero, riassumendo, dal riproporsi dell'implicazione
"meno diffuso -> meno vulnerabile", che ora come ora mi pare ancora indimostrata...

Come non è dimostrato che la metodologia open source sia intrinsecamente migliore di quella closed source nell'ambito della sicurezza. ;)

Originariamente inviato da Ikitt_Claw


Il software sicuro (ragionevolmente, direi) si puo' scrivere. E' solo molto (ma molto) piu' difficile da realizzare. Banalizzare tutto e ridurre tutto a "tutto e' insicuro" mi pare alternativamente eccesso di paranoia o occessiva generalizzazione...

Perfettamente concorde. Si sentono fin troppo spesso sparate su tutto ciò che non è Macrozozz di questo tipo: non è diffuso ecco perchè sembra meglio; il software perfetto non esiste.

Programmi perfetti non esistono ma sostenere per questo che tra la monnezza di Macrozozz e i tanti programmi che funzionano (molto) meglio non ci sia differenza mi sembra come chi cerca di sostenere che la Terra è al centro e il Sole le gira attorno.

Se vi trovate così bene con IE bastando una quarantina di programmi per ovviare alle falle (positivo comprare computer-ninja per farli girare con 3 quarti della potenza assorbita da tutti questi programmini) liberissimi di farlo. ;)
Io al prossimo formattone levo di mezzo pure il Norton e ci metto un antivirus più leggero. Trovo assurdo avere un computer che gira come se fosse un 486...
Da quando ho scoperto FireFox Internet è tutt'un'altra storia!!!

Azz che bel FUD...e in quanti ci hanno creduto...
FF _è_ firmato, tramite standard di cifratura pgp/gpg. E' uno standard presente su quasi tutti i sistemi informatici (forse tranne uno).

Originariamente inviato da Ikitt_Claw


Comunque, non vorrei si deviassa a parlare del sesso degli angeli (gia` mi pare che si dicano cose leggermente diverse...
Tutto e` nato da questa frase:

bisogna ammettere che finchè il rapporto tra utenti IE e FF sarà 10 ad 1 è chiaro che falle, codici maligni e stronz@te varie affliggeranno sempre in maggior misura IE...

Ovvero, riassumendo, dal riproporsi dell'implicazione
"meno diffuso -> meno vulnerabile", che ora come ora mi pare ancora indimostrata...



Ok quel "è chiaro" è un'espressione troppo forte, comunque l'implicazione sarebbe:

meno diffuso -> meno soggetto ad attacchi

non ho mai detto che tutti i software sono uguali, ci mancherebbe altro, nè che la vulnerabilità è solo funzione della diffusione di un software. Cavolo sarebbe una situazione piuttosto squallida:(

Mi limito a dire che paragonare la vulnerabilità di due sw così differentemente diffusi è difficile. In fondo vale sempre la legge dei grandi numeri...Se ci fosse un rapporto 1 ad 1 tra IE e FF e la situazione restasse la stessa si potrebbe, a mio avviso, affermare con sicurezza che FF è meno vulnerabile.

Poi una domanda(forse idiota): il codice di FF è open source, se IE è effettivamente scritto così male alla microsoft non potrebbero dare un'occhiata a quello di FF?:p

Originariamente inviato da cdimauro
Come non è dimostrato che la metodologia open source sia intrinsecamente migliore di quella closed source nell'ambito della sicurezza. ;)
Vero, per quel che mi riguarda. Posso pero' iniziare ad azzardare la dimostrazione che la metodologia open source garantisce maggiore trasparenza, che ha ripercussioni anche sul fronte della sicurezza (es: presenza di backdoor)

Originariamente inviato da Fedx
Ok quel "è chiaro" è un'espressione troppo forte, comunque l'implicazione sarebbe:

meno diffuso -> meno soggetto ad attacchi
Implicazione sulla quale sostanzialmente concordo.

Originariamente inviato da ilsensine
Azz che bel FUD...e in quanti ci hanno creduto...
FF _è_ firmato, tramite standard di cifratura pgp/gpg. E' uno standard presente su quasi tutti i sistemi informatici (forse tranne uno).

No no... Pure su quello :) E' solo che devi fare entrare nella zucca di "certi" sviluppatori che possono adeguarsi gli standard anche se usano un "certo" sistema informatico. Più che FUD è semplice ignoranza in buona fede del sig. Torr circa le pratiche di distribuzione gnu. E' bello vedere che un "guru" del software si ritrova nello stesso tipo di imbarazzo di un normale utente che non sa se autorizzare un plugin super-sicuro e firmatissimo dall'ultimo produttore di dialer. L'MD5 è comunque più che sufficiente per sapere se hai scaricato una versione tampered da un mirror.

Originariamente inviato da Ikitt_Claw
Vero, per quel che mi riguarda. Posso pero' iniziare ad azzardare la dimostrazione che la metodologia open source garantisce maggiore trasparenza, che ha ripercussioni anche sul fronte della sicurezza (es: presenza di backdoor)
Dipende sempre dalle capacità chi analizza i sorgenti... ;)

Originariamente inviato da cdimauro
Dipende sempre dalle capacità chi analizza i sorgenti... ;)
Beh, dipende sempre dalla capacita` di chi controlla, non solo di chi analizza i sorgenti ;) Se chi mi fa un security auditing e` un babbeo, potrei esser strapieno di backdoor e non scoprirlo... :D

Il punto e` che per via della disponibilita` di sorgenti, col software opensource posso fare tutti i controlli che voglio, sempre. Col software proprietario... Dipende, spesso no :)

Tu no, ma qualcun altro sì, appunto. ;)

Originariamente inviato da cdimauro
Tu no, ma qualcun altro sì, appunto. ;)
Ma quel qualcuno potrebbe non essere in grado di analizzare i sorgenti :D

Originariamente inviato da ilsensine
Azz che bel FUD...e in quanti ci hanno creduto...
FF _è_ firmato, tramite standard di cifratura pgp/gpg. E' uno standard presente su quasi tutti i sistemi informatici (forse tranne uno).
Esattamente!

Per contro, chi mi garantisce che un'onestissima ditta produttrice di dialer non certifichi il proprio sw?

Chi sono gli enti certificatori?

Quali sono la procedura e gli standard per certificare un sw windows-based?

Chiunque siano, anche qualora fosse M$, l'esperienza sui prefissi a tariffazione che Telecom vende appunto a chi produce dialer mi dimostra che la certezza assoluta non la possono fornire nemmeno i certificati, visto che AFAIK sono pur sempre dei prodotti di mercato; la cui lista peraltro, per star tranquilli sul serio, credo vada costantemente aggiornata tramite WinUpdate (se la memoria non m'inganna, ricordo di aggiornamenti consigliati da M$ proprio a seguito della revoca di certificati non piu' validi).

Originariamente inviato da Ikitt_Claw
Ma quel qualcuno potrebbe non essere in grado di analizzare i sorgenti :D

Verissimo, ma ciò non toglie che se i sorgenti di un kernel possono non essere "analizzati" dalla moltitudine di utenti, ciò non toglie che bastano 1000 utenti che sappiano analizzarli per capire se all'interno ci siano o meno "schifezze". E, credo, sia di difficile realizzazione un complotto "mondiale" che veda coinvolta la moltitudine di programmatori in grado di analizzare i sorgenti in modo tale da non diffondere e non informare della presenza di, appunto, eventuali schifezze.

Faccio un esempio:

Io utente non programmatore, pur avendo a disposizione i sorgenti di una qualsiasi applicazione, non sono in grado di leggerli. Bene, ma ho cdimauro, fek, ilsensine, ikitt_claw in grado di leggerli e comprenderli.

E, come loro, almeno una milionata di altre persone in grado di studiarne e valutarne il contenuto. Ora, tralasciando la validità o meno del codice, se non ci sono malware, backdoor, spyware o altra robaccia, lo vedranno tutti e viceversa. Difficile pensare invece, che i suddetti siano tutti daccordo sul non diffondere eventuali problematiche, dato che, sono persone non legate le une alle altre ne dallo sviluppo, ne dalla "casa madre".

Invece, in un software proprietario, chiuso, questa stessa garanzia , come viene attuata? Ci sono persone o figure addette ad una, come dire, supervisione?!?

Onde evitare un qualsiasi tipo di fraintendimento, dico che questa non è una mia provocazione, ma una domanda pura e semplice perchè, sinceramente, per i software proprietari, non ho la minima idea di come funzioni la faccenda.

Thx.

RaouL.

Originariamente inviato da RaouL_BennetH
Verissimo, ma ciò non toglie che se i sorgenti di un kernel possono non essere "analizzati" dalla moltitudine di utenti, ciò non toglie che bastano 1000 utenti che sappiano analizzarli per capire se all'interno ci siano o meno "schifezze". E, credo, sia di difficile realizzazione un complotto "mondiale" che veda coinvolta la moltitudine di programmatori in grado di analizzare i sorgenti in modo tale da non diffondere e non informare della presenza di, appunto, eventuali schifezze.
Beh, questa e`, a grandi linee, la tesi che sostengo anch'io ;)

Io utente non programmatore, pur avendo a disposizione i sorgenti di una qualsiasi applicazione, non sono in grado di leggerli. Bene, ma ho cdimauro, fek, ilsensine, ikitt_claw in grado di leggerli e comprenderli.
Beh, invero e` alquanto frequente che io passi la mano in questo senso (dipende dall'applicazione, comunque) :huh:

espresso in forma piu` intellegibile l'ultimo periodo

:asd::asd::asd::asd::asd::asd::asd::asd:

Originariamente inviato da RaouL_BennetH
Invece, in un software proprietario, chiuso, questa stessa garanzia , come viene attuata? Ci sono persone o figure addette ad una, come dire, supervisione?!?


E che importa? :) Voglio dire, fino a che punto ha rilevanza un'osservazione tecnica contraria alla politica aziendale? La garanzia NON PUO' essere attuata nello stesso identico modo dell'open source. Non è tanto una questione di competenza (nonostante quello che si scrive sui propri blog) quanto di interesse, come hai giustamente osservato. Paradossalmente - ma solo per chi non capisce GPL e affini - nulla nega che le stesse competenze che lavorano nelle comunità open source abbiano un proprio interesse commerciale nell'operare sul codice aperto, la differenza è che ciò che fanno è rilasciato in base a specifiche condizioni della licenza originale.

Non a caso molti governi (compreso il nostro) hanno già redatto o proposto le linee guida circa l'adozione dell'open source nelle rispettive pubbliche amministrazioni proprio perchè non è "opportuno" affidare ad un singolo produttore di software (il cui interesse nel libero mercato può non coincidere con quello della nazione) la funzionalità dei propri sistemi. Alcuni poi, come la Germania, affidano a professionisti lo studio e la realizzazione di apposite distribuzioni, e ci sono anche alcune agenzie governative "discretamente" sensibili ai problemi di sicurezza che - pur non dichiarando cosa usano in "produzione" - oggi studiano i sistemi open source in pieno rispetto della GPL (tipo http://www.nsa.gov/selinux/).

Come dire... tutti un tempo erano sicuri che la Terra era piatta... :asd:

Originariamente inviato da Ikitt_Claw
Ma quel qualcuno potrebbe non essere in grado di analizzare i sorgenti :D
Esatto. E poiché il concetto vale per entrambe le metodologie, direi che i vantaggi dell'open source di cui parlavi prima vengono a cadere... ;)

Originariamente inviato da cdimauro
Esatto. E poiché il concetto vale per entrambe le metodologie, direi che i vantaggi dell'open source di cui parlavi prima vengono a cadere... ;)
Ma direi proprio di no ;)

La trasparenza deriva dal fatto che tutti gli "atti" sono pubblici. Sempre verificabili da chiunque (che ne abbia le possibilita`, ovvio), ovunque, comunque.
Direi che si ricalca la definizione stessa di "trasparenza".

La possibilita` di controllo previo accordo (closed source) non mi pare esattamente la stessa cosa.

Originariamente inviato da Ikitt_Claw
Ma direi proprio di no ;)

La trasparenza deriva dal fatto che tutti gli "atti" sono pubblici. Sempre verificabili da chiunque (che ne abbia le possibilita`, ovvio), ovunque, comunque.
Direi che si ricalca la definizione stessa di "trasparenza".

...e va detto anche che l'assoluta liberta' di trasparenza del codice insita nelle licenze FOSS e' in pratica, per la legge dei grandi numeri, quasi un sinonimo di garanzia.

La possibilita` di controllo previo accordo (closed source) non mi pare esattamente la stessa cosa.

...ed inoltre i vari NDA sottoscritti da un programmatore o da un team di essi, e' in pratica un'arma a doppio taglio; poiche' se un domani tizio, che ha avuto accesso al codice proprietario, difficilmente potra' essere tutelato da cause legali qualora decidesse di lavorare ad un progetto concorrente al suddetto.
E come al solito si finirebbe nella spirale di sentenze di tribunali tipiche delle litigation company: SCO docet!

Per cui nelle licenze closed, nonostante sia (come anche nelle licenze open, s'intende!) riportato a caratteri cubitali la mancanza di garanzie per l'uso del prodotto, fornito appunto ''as is'', non e' proprio pensabile, in termini pratici, alcuna tutela per nessuno, IMHO.

Come dicevo pocanzi invece, il FOSS in teoria non ne fornisce lostesso, in pratica te le da'.

Originariamente inviato da Ikitt_Claw
La possibilita` di controllo previo accordo (closed source) non mi pare esattamente la stessa cosa.
Il famoso accordo della Microsoft per farsi dare una sbirciatina ai codici prevede che :
1- Chi li guarda non possa lavorare successivamente a nessun progetto similare in concorrenza con Microsoft
2- Chi li guarda non può divulgare nulla ( neppure le personali impressioni ) su quanto visto
3- Microsoft é titolare non solo dei diritti sul codice scritto da loro , ma anche sulle correzioni e/o aggiunte fatte da altri che possono essere incorporate arbitrariamente senza chiedere nulla .
In pratica é solo una maniera per far fare del debugging al loro codice e farsi pure pagare per questo .

Originariamente inviato da Ikitt_Claw
Ma direi proprio di no ;)

La trasparenza deriva dal fatto che tutti gli "atti" sono pubblici. Sempre verificabili da chiunque (che ne abbia le possibilita`, ovvio), ovunque, comunque.
Direi che si ricalca la definizione stessa di "trasparenza".

La possibilita` di controllo previo accordo (closed source) non mi pare esattamente la stessa cosa.
OK, ma tu dicevi:
Posso pero' iniziare ad azzardare la dimostrazione che la metodologia open source garantisce maggiore trasparenza, che ha ripercussioni anche sul fronte della sicurezza (es: presenza di backdoor)
che non si lega bene con questo:
Beh, dipende sempre dalla capacita` di chi controlla, non solo di chi analizza i sorgenti Se chi mi fa un security auditing e` un babbeo, potrei esser strapieno di backdoor e non scoprirlo...
Quindi la sicurezza va a braccetto con la competenza: la trasparenza di per sé non garantisce nulla. ;)

Originariamente inviato da cdimauro
Quindi la sicurezza va a braccetto con la competenza: la trasparenza di per sé non garantisce nulla. ;)
Certo, su questo hai ragione, ma la trasparenza rende possibile a un numero maggiore di persone competenti di poter controllare, e sopratutto rende possibile a persone non legate per interesse o non bloccate con qualche sistema di fare un controllo, cosa che col closed source non può essere per definizione (se lo possono controllare tutti allora non è più closed - non si parla di software libero eh! attenti a non confondere)

Originariamente inviato da DjMix
Certo, su questo hai ragione, ma la trasparenza rende possibile a un numero maggiore di persone competenti di poter controllare,
Indubbiamente, ma non sai quante sono. E non sai neppure quante sono le persone qualificate che fanno lo stesso lavoro su progetti closed source.
e sopratutto rende possibile a persone non legate per interesse o non bloccate con qualche sistema di fare un controllo, cosa che col closed source non può essere per definizione (se lo possono controllare tutti allora non è più closed - non si parla di software libero eh! attenti a non confondere)
Concordo.

Originariamente inviato da cdimauro
Indubbiamente, ma non sai quante sono. E non sai neppure quante sono le persone qualificate che fanno lo stesso lavoro su progetti closed source.
In realtà, risulta estremamente difficile quantificare il numero esatto, ma molto molto facile identificarne esattamente almeno una parte. Risulta impossibile sui progetti closed source.

Originariamente inviato da cdimauro
Quindi la sicurezza va a braccetto con la competenza: la trasparenza di per sé non garantisce nulla. ;)
Io parto dalla trasparenza, c'e` qualcosa da obiettare su questo? ;)

Originariamente inviato da cdimauro
Quindi la sicurezza va a braccetto con la competenza: la trasparenza di per sé non garantisce nulla. ;)

La "trasparenza" garantisce agli altri il rigore formale di un sistema di qualsiasi natura (matematico, fisico, giuridico, economico, informatico, ecc.) e se ci sono ingegneri, medici, astronauti e ottimi panettieri è perchè gli ambienti educativi e scientifici sono aperti e messi continuamente in discussione. Questo non potrebbe avvenire se sui libri di testo delle scuole ci fosse una NDA. La "competenza" è un presupposto alla propria professione che viene grossolanamente associato alla busta paga o al nome del datore di lavoro analogamente al calciatore professionista ultrapagato che dopo poco si può benissimo rivelare un costoso incapace. Il fatto è che, non esistendo un metodo per stabilire l'assoluta competenza di una o più persone, ci sono invece precise regole per definire la "trasparenza" dei progetti. Il fatto (di nuovo) è che l'autore del blog in questione si presuppone "competente" ma per molti questa "investitura" aziendale o accademica che sia conta poco di fronte al fatto che costui non ha ben presente a cosa servono quelle stringhe buffe in un file MD5SUM. Al contrario milioni di persone "incompetenti" lo sanno. In questo specifico caso il nostro sig. Torr ha rischiato di "beccarsi" chissacosa per una sua lacuna, quindi una persona "competente" ha posto un GRAVE :eekk: rischio alla sicurezza. Quindi, non sapendo se e cosa abbia mai scritto il sig. Torr, direi che è meglio che milioni di presunti incompetenti vedano valanghe di sorgenti perchè in questo caso la sicurezza non è andata a braccetto di un bel nulla, mentre una chiacchierata coi colleghi prima di postare bestialità su un blog non avrebbe fatto male. E ci metto l'occhiolino pure io, là... ;)

Originariamente inviato da DjMix
In realtà, risulta estremamente difficile quantificare il numero esatto, ma molto molto facile identificarne esattamente almeno una parte. Risulta impossibile sui progetti closed source.
Appunto per questo non è possibile sbilanciarsi verso l'una o l'altra metodologia: mancano dei dati oggettivi.

Originariamente inviato da Ikitt_Claw
Io parto dalla trasparenza, c'e` qualcosa da obiettare su questo? ;)
Cedo alla violenza... :D

Originariamente inviato da melarido
La "trasparenza" garantisce agli altri il rigore formale di un sistema di qualsiasi natura (matematico, fisico, giuridico, economico, informatico, ecc.)
Il problema, come già detto, non è dato dalla trasparenza in sé ma da chi sono questi "altri".
e se ci sono ingegneri, medici, astronauti e ottimi panettieri è perchè gli ambienti educativi e scientifici sono aperti e messi continuamente in discussione.
Dimentichi la questione dei brevetti e delle informazioni riservate: ci sono ingegneri, dottori, ecc. il cui lavoro non passerà così facilmente davanti agli occhi di tutti, o non c'arriverà mai. Eppure continuano ad esserci degli ottimi ingegneri, dottori, ecc. che fanno a meno di queste informazioni.

Non è il metodo di fruizione delll'informazione in sé a influenzare le capacità dei singoli.
Questo non potrebbe avvenire se sui libri di testo delle scuole ci fosse una NDA.
Vedi sopra. E comunque se consideriamo la situazione della scuola, forse è meglio calare un velo pietoso. Purtroppo. :muro:
La "competenza" è un presupposto alla propria professione che viene grossolanamente associato alla busta paga o al nome del datore di lavoro analogamente al calciatore professionista ultrapagato che dopo poco si può benissimo rivelare un costoso incapace.
E' chiaro che quando parlo di "competenza" non mi riferisco a questo tipo di persone: ci mancherebbe! :)
Il fatto è che, non esistendo un metodo per stabilire l'assoluta competenza di una o più persone, ci sono invece precise regole per definire la "trasparenza" dei progetti.
D'accordo, ma in questo modo spostiamo l'oggetto della discussione verso altri lidi, che non sono la stessa cosa, come ho già fatto notare... ;)
Il fatto (di nuovo) è che l'autore del blog in questione si presuppone "competente" ma per molti questa "investitura" aziendale o accademica che sia conta poco di fronte al fatto che costui non ha ben presente a cosa servono quelle stringhe buffe in un file MD5SUM. Al contrario milioni di persone "incompetenti" lo sanno.
OK, che questo signore l'abbia sparata grossa per difendere il suo posto di lavoro, penso che sia più che chiaro. Ma i milioni di incompetenti per me restano tali, se non conoscono la differenza fra un checksum MD5 e un file firmato digitalmente (con PGP o altro).

Da questo punto di vista penso che, tutto sommato, il polverone che ha sollevato potrebbe rivelarsi molto utile alla comunità open source, e ai "milioni di incompetenti". Speriamo bene. :p
In questo specifico caso il nostro sig. Torr ha rischiato di "beccarsi" chissacosa per una sua lacuna, quindi una persona "competente" ha posto un GRAVE :eekk: rischio alla sicurezza. Quindi, non sapendo se e cosa abbia mai scritto il sig. Torr, direi che è meglio che milioni di presunti incompetenti vedano valanghe di sorgenti perchè in questo caso la sicurezza non è andata a braccetto di un bel nulla, mentre una chiacchierata coi colleghi prima di postare bestialità su un blog non avrebbe fatto male. E ci metto l'occhiolino pure io, là... ;)
Il tuo discorso è viziato, però, dall'assunzione che il sig. Torr sia una persona competente. Competenza che non è comprovata certo dalla posizione che investe, e di fatti s'è visto cosa è stato "capace" di dire. ;)

Originariamente inviato da cdimauro
Appunto per questo non è possibile sbilanciarsi verso l'una o l'altra metodologia: mancano dei dati oggettivi.

Ciao cdmauro,

comprendo il tuo ragionamento ma non sono completamente d'accordo.

Credo sia infatti un dato di fatto che nel software open source sia più "difficile" trovare backdoor e simili, se non altro perchè, potendo chiuque analizzare il software, gli autori correrebbero per lo meno il rischio di una figuraccia. :)

Questo ragionamento invece cade miseramente per il software closed. ;)

Ciao. :)

Ottimo prodotto Firefox, lo uso da circa 2 mesi e va una meraviglia.
Le scusanti, le accuse e l'arrampicarsi sugli specchi di MS, non mi interessano.
L'unico dato di fatto è che x adesso Firefox è qualitativamente sopra IE.
Infatti è meno pesante, più sicuro(e di brutto), più funzionale, questo lo si nota dopo 15 minuti di utilizzo dalla prima installazione.

Originariamente inviato da shodan
Ciao cdmauro,

comprendo il tuo ragionamento ma non sono completamente d'accordo.

Credo sia infatti un dato di fatto che nel software open source sia più "difficile" trovare backdoor e simili, se non altro perchè, potendo chiuque analizzare il software, gli autori correrebbero per lo meno il rischio di una figuraccia. :)

Questo ragionamento invece cade miseramente per il software closed. ;)

Ciao. :)
Mi trovi in parte d'accordo, esclusivamente su questo discorso delle backdoor. Se consideriamo un software completamente chiuso (detenuto esclusivamente da una società), è chiaro che POTENZIALMENTE si potrebbe incorrere in problemi di questo tipo. Dico potenzialmente perché dipende sempre dal tipo di software in oggetto: sono pochi quelli per cui avrebbe senso / interesse inserire eventualmente una backdoor.

Ci sono, però, anche casi di software chiuso, ma non del tutto: soltanto ai "concorrenti" o comunque a settori "non desiderati". E' il caso di Windows, di cui è possibile la visione del 97% dei sorgenti da parte dei governi "amici". Di F-Secure, che ha in licenza l'engine di Kaspersky. Della Id, che ha sempre rilasciato in licenza l'intero engine dei giochi ha sviluppato. Ecc. ecc.

Insomma, la questione non è così semplice come si possa pensare...

Originariamente inviato da cdimauro
Mi trovi in parte d'accordo, esclusivamente su questo discorso delle backdoor. Se consideriamo un software completamente chiuso (detenuto esclusivamente da una società), è chiaro che POTENZIALMENTE si potrebbe incorrere in problemi di questo tipo. Dico potenzialmente perché dipende sempre dal tipo di software in oggetto: sono pochi quelli per cui avrebbe senso / interesse inserire eventualmente una backdoor.

Ci sono, però, anche casi di software chiuso, ma non del tutto: soltanto ai "concorrenti" o comunque a settori "non desiderati". E' il caso di Windows, di cui è possibile la visione del 97% dei sorgenti da parte dei governi "amici". Di F-Secure, che ha in licenza l'engine di Kaspersky. Della Id, che ha sempre rilasciato in licenza l'intero engine dei giochi ha sviluppato. Ecc. ecc.

Insomma, la questione non è così semplice come si possa pensare...

Ciao,

indubbiamente se il software chiuso è tale solo per le società concorrenti ma non per tutti le cose migliorano. :)

Se non ricordo male però se si vuole visionare il codice di Windows poi ci sono delle fortissime limitazioni sia nello scrivere codice che si assomogli anche solo lontanamente a quello visionato sia nel pubblicare dati su quanto visto. Quindi, correggimi se sbaglio, nel caso Microsoft mettesso uno spyware (o roba del genere) in un suo s.o. e uno sviluppatore se ne accorgesse guardando il codice, questi non potrebbe poi denunciare la cosa.

Ciao. :)

PS: uno vorrei che si pensassa che io sia un paranoico che guarda tutti i software chiusi come scatole piene di ogni sorta di cosa dannosa... semplicemente a livello teorico reputo il software open meno soggetto a "nascondere" cose non proprio "pulite".

Su questo sono d'accordo e mi pare anche ovvio. ;)

Non conosco i limiti della licenza MS per accedere ai sorgenti di Windows, ma non credo che possa arrivare ad impedire a un governo di (incazzarsi e) pubblicare la notizia se si accorge che parte del codice viola i diritti sanciti dalla legge in esso vigente.