Linux più sicuro per Evans Data Corp.

[cdimauro]

Quote:

Originariamente inviato da afterburner
Ci sono cose di cui si puo' essere sicuri ma non dimostrabili con metodogia tesi-ipotesi-cvd ..

Il mondo è pieno di assiomi e postulati, ma hanno motivo di esistere.

Quote:

la metodologia per dimostrare la sicurezza di un sistema informatico comprende anche la statistica

Anche, vuol dire ne esistono altre: quali sono?

Quote:

e le statistiche sono a favore dei sistemi server open-source.

I numeri forse, ma non le statistiche...

Quote:

MIO DIO!!! Senti, dopo questa non me la sento di continuare la discussione ...
rieccomi .. e invece continuo!

Benissimo. Ritorniamo al discorso. Tu hai scritto: "La sicurezza di un software openSource e' proprio data dal fatto che chiunque puo' leggere i sorgenti e le cappelle vengono fuori."
Hai detto sopra che ci sono cose che non si possono dimostrare, pur essendone sicuri. Bene. In questo caso sarebbe abbastanza difficile: dovresti provare che qualunque sistema open source è sicuro (per i motivi che hai esposto). Per smontare la tua affermazione, invece, basta trovare almeno un esempio per cui non sia verificata: MOLTO più semplice, indubbiamente.
A questo punto costruire un esempio che non soddisfi la tua tesi si tratta di un puro esercizio di logica. Riesci ad arrivarci da solo, o preferisci che ti spiatelli la prima soluzione che mi passa per la testa?

Quote:

EHHHH??? Spiegami dove mi sono smentito ..

E fortuna che avevo usato il grassetto per evidenziarlo... Comunque, te lo scrivo dopo...

Quote:

Non sto parlando dell'implementazione dell'algoritmo! Sto parlando dell'algoritmo stesso! Ci sono programmi di cifratura che usano algoritmi non pubblici e si credono sicuri perche' l'algoritmo e' segreto .. ci sono programmi di cifratura (tipo openssl o pgp) che usano algoritmi pubblici e sono sicuri perche' l'algoritmo puo' essere studiato da chiunque.
Quelli con algoritmo segreto usano algoritmi da dilettanti e con un po' di debugging scopri che fa un po' di xor, scopri l'algoritmo e scopri il punto debole. RSA non ha punti deboli.

Ecco, finalmente ci sei arrivato: è l'algoritmo la chiave di tutto, non il fatto che sia pubblico o privato. Se riesco a dimostrare che un algoritmo è NP-Completo, che sia reso pubblico o no, non intaccherà MAI la sua sicurezza. Lo posso benissimo tenere nascosto e dormire ugualmente sonni tranquilli, perché tanto con cambierebbe niente.

Quote:

Il discorso e' analogo per il software opensource .. l'analogia con i software di cifratura e' algoritmo<->sorgente
Sorgente close = security by obscurity
Sorgente open = tutti lo possono analizzare e far notare i bug di sicurezza

Vedi, a parte il discorso di cui sopra, che già basta a mettere un muro di separazione fra le due cose, il problema è che non è assolutamente provato che il fatto che un sorgente sia pubblico garantisca automaticamente che vengano fatti notare i bug di sicurezza. Come non è provato che di un sorgente chiuso non si possano trovare efficacemente i bug di sicurezza.

Quote:

Se non capisci neancora, prendi il tuo certificato di laurea, riportalo all'universita' dove te l'han dato e di' loro che non sei degno di possederlo

Vediamo se riesci a capire tu, invece, come stanno i termini della questione: mi sembra che la sicurezza che ostentavi all'inizio vacilli non poco.
L'università e i titoli lasciali stare: io non li ho tirati in ballo, perché non ne ho avuto bisogno. Sarebbe un segno di debolezza: meglio affidarsi ai fatti e alla logica...

[cdimauro]

Quote:

Originariamente inviato da DioBrando
mi sn perso qlc pagina...

Anche troppe.

Quote:

morale della favola chi è contro l'open source ( sviluppo in generale e sicurezza?)

Chi, io? Sono sempre stato a favore...

[afterburner]

Quote:

Originariamente inviato da cdimauro
Il mondo è pieno di assiomi e postulati, ma hanno motivo di esistere.

Mumble mumble .. non mi hai convinto. Comunque un assioma non e' dimostrabile e partendo da assiomi diversi arrivi a teorie diverse: nel campo dei reali 1+1=2 .. se crei un campo (nel senso di corpo commutativo) a 2 elementi che soddisfi tutti gli assiomi per essere definito campo algebrico hai che 1+1=0

Quote:

Hai detto sopra che ci sono cose che non si possono dimostrare, pur essendone sicuri. Bene. In questo caso sarebbe abbastanza difficile: dovresti provare che qualunque sistema open source è sicuro (per i motivi che hai esposto). Per smontare la tua affermazione, invece, basta trovare almeno un esempio per cui non sia verificata: MOLTO più semplice, indubbiamente.
A questo punto costruire un esempio che non soddisfi la tua tesi si tratta di un puro esercizio di logica. Riesci ad arrivarci da solo, o preferisci che ti spiatelli la prima soluzione che mi passa per la testa?

Impossibile provare che qualsiasi sistema OS e' sicuro .. nulla da eccepire. Nel termine sistema includo anche il fattore umano sysman e users quindi se il sys e' un pippone il sistema sara' sicuramente meno sicuro di un sistema server windows dove il sys ha i controcoglioni .. questo l'avevo gia' detto all'inizio del thread.
Resto dell'idea che a parita' di skillness dei sysman, un sistema server basato su linux e' piu' sicuro.

Quote:

E fortuna che avevo usato il grassetto per evidenziarlo... Comunque, te lo scrivo dopo...

Ma lo sai che browser uso? Lo usava Alan Turing
Cmq adesso ho visto ..
"tra due algoritmi esponenziali .. preferisco quello open"
Sono entrambi esponenziali ovviamente e non mi sembra di smentirmi .. Preferisco un algoritmo che posso analizzare io ed il mondo matematico piuttosto di uno closed che magari han sbagliato a dimostrare essere NP oppure lo e' solo per un sottoinsieme di casi

Quote:

Ecco, finalmente ci sei arrivato: è l'algoritmo la chiave di tutto, non il fatto che sia pubblico o privato. Se riesco a dimostrare che un algoritmo è NP-Completo, che sia reso pubblico o no, non intaccherà MAI la sua sicurezza. Lo posso benissimo tenere nascosto e dormire ugualmente sonni tranquilli, perché tanto con cambierebbe niente.

In parte ti ho risposto sopra .. quanti matematici hai assoldato per dimostrare che e' Nondeteterministic Polinomial? Ci sono algoritmi che dimostri essere NP in 4 passaggi, altri richiedono 4 pagine o 4 libri .. Sicuro sia veramente NP? Sicuro lo sia per tutte le possibili stringhe di input? Sicuro non ci sia un sottoinsieme di queste che lo porta ad essere P?
Piu' gente lo vede, piu' se lo studia il mondo scientifico, piu' ritengo sia sicuro .. RSA e' solo uno degli esempi

Quote:

Vediamo se riesci a capire tu, invece, come stanno i termini della questione: mi sembra che la sicurezza che ostentavi all'inizio vacilli non poco.

Mai vacilled!! Io sono sicuro di quello che dico e al di la' delle statistiche .. qua i server li gestisco io e so dove ci sono piu' rogne

Quote:

L'università e i titoli lasciali stare: io non li ho tirati in ballo, perché non ne ho avuto bisogno. Sarebbe un segno di debolezza: meglio affidarsi ai fatti e alla logica...

Pienamente ragione e ti chiedo scusa .. Se faccio quello che faccio non e' certo perche' sono ING. informatico ma perche' mi sono fatto il culo su libri e documentazione che a ingegneria non sanno neanche cosa sono (pero' gli studi hanno aiutato parecchio a velocizzare lettura e comprensione )

[maxone78]

Quote:

Originariamente inviato da cdimauro
Porca £($/&%$"! Non avrei MAI immaginato che mi venissi a molestare anche qui!!!!

Scusate l'OT...

Ahahahaahaahahahaahah
ciao Cesarone, ti aspetto sempre a casa mia


PS: mi raccomando, comportati bene qui sul forum



Scusate tutti anche me per l'OT

[DioBrando]

Quote:

Originariamente inviato da cdimauro
Anche troppe.

vabbè quando torno dalle vacanze definitivamente , rileggerò con + accuratezza

Quote:

Chi, io? Sono sempre stato a favore...

non dispongo di conoscenze/nozioni/esperienza così profonde da rispondere punto per punto alle obiezioni proposte da te e da fek ma mi limito a guardare quello che ho davanti.

Se davvero l'open source fosse una filosofia che non garantisce risultati all'altezza nè come sicurezza nè come riuscita di un qualsiasi applicativo allora dovremmo per forza di cose notare un netto dominio dei programmi closed src/proprietari in qualsiasi campo...e invece le cose n stanno così.

Apache domina il settore dei web servers, Firefox è un browser dalle caratteristiche sicuramente superiori a IE ( lo stop-popup integrato è sinonimo di sicurezza, l'assenza di pacchetti cumulativi di patch vuol dire che il prodotto è cmq riuscito abb bene a differenza del pari MS ecc...), Thunderbird idem nei confronti di Outlook e si potrebbe ancora andare avanti...

Se ci sn tutti questi ottimi progetti intorno a noi ( e ce ne sn parecchi, basta dare un'occhiata a sourgeforce.net o al già citato freshmeat), se ci sn persone che consapevolmente adottano Debian e l'OpenSSL, se ci sn AZIENDE che scelgono linux per i propri servers e altre cche investono miliardi su miliardi in questo modo di sviluppare non credo sia così facile bollare il tutto come un qlc di "poco sicuro" o "metodologia errata", altrimenti dovremmo dire per simmetria che tutte le persone prima citate sn degli idioti perchè non affidano le proprie sorti a un Windows a un IIS a un XXX...

Al di là dei sofismi tecnici e delle procedure + o - collaudate, l'esperienza dà una diversa visione delle cose...
Perchè se non è sempre vero che + teste sn meglio di una ( a volte il progetto può subire dei ritardi o entrare in st-by perchè vi è una confusione a livello organizzativo), non è nemmeno sempre vero che - persone, ma PAGATE e seguite a livello dirigenziale-manageriale, sfornino prodotti all'altezza della concorrenza e giustifichino magari il prezzo alto per l'utente finale.


Non considerare ciò che abbiamo davantial di là delle proprie preferenze è da persone miopi, non di mentalità aperta

capito Cesarone?

[cdimauro]

Quote:

Originariamente inviato da afterburner
Mumble mumble .. non mi hai convinto.

In cosa non t'avrei convinto?

Quote:

Impossibile provare che qualsiasi sistema OS e' sicuro .. nulla da eccepire.

OK, quindi finalmente cade questa tesi.

Quote:

Nel termine sistema includo anche il fattore umano sysman e users quindi se il sys e' un pippone il sistema sara' sicuramente meno sicuro di un sistema server windows dove il sys ha i controcoglioni .. questo l'avevo gia' detto all'inizio del thread.

Bene, ma questo è un altro discorso, e intacca tanto Linux quanto Windows.

Quote:

Resto dell'idea che a parita' di skillness dei sysman, un sistema server basato su linux e' piu' sicuro.

Possibile, ma rimane sempre un'opinione personale...

Quote:

Ma lo sai che browser uso? Lo usava Alan Turing

Quello scritto con la sua famosa macchina?

Quote:

Cmq adesso ho visto ..
"tra due algoritmi esponenziali .. preferisco quello open"
Sono entrambi esponenziali ovviamente e non mi sembra di smentirmi ..

Quindi sono egualmente "sicuri", è questo il punto.

Quote:

Preferisco un algoritmo che posso analizzare io ed il mondo matematico piuttosto di uno closed che magari han sbagliato a dimostrare essere NP oppure lo e' solo per un sottoinsieme di casi

E' vero che può capire di sbagliare una dimostrazione (siamo pur sempre esseri umani ), ma mi sembra obiettivamente difficile che gente di un certo calibro che lavora a roba come questa possa fallire in un esercizio che si risolve spesso in poco tempo.
Quando un algoritmo si ritiene NP-completo, è un po' come il profumo della primavera: lo senti nell'aria ; da lì a passare alla dimostrazione sarà soltanto una questione di tempo.

Quote:

In parte ti ho risposto sopra .. quanti matematici hai assoldato per dimostrare che e' Nondeteterministic Polinomial? Ci sono algoritmi che dimostri essere NP in 4 passaggi, altri richiedono 4 pagine o 4 libri .. Sicuro sia veramente NP? Sicuro lo sia per tutte le possibili stringhe di input? Sicuro non ci sia un sottoinsieme di queste che lo porta ad essere P?

Vedi sopra: se hai avuto modo di studiare/lavorarci, ti sei fatto un'idea di cosa voglia dire essere NP-Completo per un algoritmo; un'idea che ti permette di confrontare la complessità di un algoritmo con quella di un altro "candidato"; da lì alla dimostrazione formale non è che serva un'orda di matematici agguerriti. Questa branca dell'informatica sarà anche un po' ostica e poco conosciuta, ma è anche una delle più studiate dagli informatici, e da tempo.
Se all'università hai avuto modo di studiarla, avrai sicuramente visto tanti esempi di problemi NP-Completi, oltre a quelli che i professori sadicamente propinano agli studenti agli scritti con loro somma disperazione...

Quote:

Piu' gente lo vede, piu' se lo studia il mondo scientifico, piu' ritengo sia sicuro .. RSA e' solo uno degli esempi

De gustibus. La mia opinione in questo ramo dell'informatica/matematica l'ho esposta chiaramente, e non credo di essere il solo a sostenerla...

Quote:

Mai vacilled!! Io sono sicuro di quello che dico e al di la' delle statistiche ..

Ehm. Anche sull'intrinseca sicurezza dei sistemi open source?.

Quote:

qua i server li gestisco io e so dove ci sono piu' rogne

OK. Questa non è materia su cui possa disquisire.

Quote:

Pienamente ragione e ti chiedo scusa .. Se faccio quello che faccio non e' certo perche' sono ING. informatico ma perche' mi sono fatto il culo su libri e documentazione che a ingegneria non sanno neanche cosa sono (pero' gli studi hanno aiutato parecchio a velocizzare lettura e comprensione )

Indubbiamente. Io ho coronato la mia esperienza universitaria dopo parecchi anni (meglio tardi che mai ), ma alle spalle ne avevo tanti altri passati a gironzolare fra i meandri di tanti sistemi...

[cdimauro]

Quote:

Originariamente inviato da DioBrando
vabbè quando torno dalle vacanze definitivamente , rileggerò con + accuratezza

OK.

Quote:

non dispongo di conoscenze/nozioni/esperienza così profonde da rispondere punto per punto alle obiezioni proposte da te e da fek ma mi limito a guardare quello che ho davanti.

Puoi sempre rispondere solamente alle cose su cui ti senti di intavolare una discussione.

Quote:

Se davvero l'open source fosse una filosofia che non garantisce risultati all'altezza nè come sicurezza nè come riuscita di un qualsiasi applicativo allora dovremmo per forza di cose notare un netto dominio dei programmi closed src/proprietari in qualsiasi campo...e invece le cose n stanno così.

Le argomentazioni di fek sono ben chiare in merito: non è possibile applicare alcune metodologie all'OSS. Personalmente, e l'ho già scritto, dal punto di vista formale non vedo differenze fra OSS e CSS, ma da quello pratico mi sembra che non esistano esempi a favore dell'OSS.
Ciò non dimostra che il CSS è migliore a priore: si "spaghetti software" di questo tipo il mondo ne è pieno, sfortunamente...

Quote:

Se ci sn tutti questi ottimi progetti intorno a noi ( e ce ne sn parecchi, basta dare un'occhiata a sourgeforce.net o al già citato freshmeat), se ci sn persone che consapevolmente adottano Debian e l'OpenSSL, se ci sn AZIENDE che scelgono linux per i propri servers e altre cche investono miliardi su miliardi in questo modo di sviluppare non credo sia così facile bollare il tutto come un qlc di "poco sicuro" o "metodologia errata", altrimenti dovremmo dire per simmetria che tutte le persone prima citate sn degli idioti perchè non affidano le proprie sorti a un Windows a un IIS a un XXX...

Difatti la mia esperienza non porta certo a queste conclusioni, e da quel che ho scritto mi sembra che ciò traspaia, no?

Quote:

Al di là dei sofismi tecnici e delle procedure + o - collaudate, l'esperienza dà una diversa visione delle cose...
Perchè se non è sempre vero che + teste sn meglio di una ( a volte il progetto può subire dei ritardi o entrare in st-by perchè vi è una confusione a livello organizzativo), non è nemmeno sempre vero che - persone, ma PAGATE e seguite a livello dirigenziale-manageriale, sfornino prodotti all'altezza della concorrenza e giustifichino magari il prezzo alto per l'utente finale.

Indubbiamente. Vedi sopra.

Quote:

Non considerare ciò che abbiamo davantial di là delle proprie preferenze è da persone miopi, non di mentalità aperta

capito Cesarone?

Io sì, e da tempo. Rileggiti bene il thread, e poi eventualmente ne riparliamo...

x max: ok, faccio il bravo. Appena possibile passo a trovarti e a prendermi qualche infarto a Silent Hill 4...