Linux, scoperto bug critico in attività da 9 anni

[freesailor]

Quote:

Originariamente inviato da LeaderGL2

...vabbe` pero` mentire sul contenuto degli stessi link che posti mi sembra imbarazzante; nel post c'e` scritto tutt'altro. C'e` scritto che chi si occupa delle issue di sicurezza non va considerato piu` importante di chi si occupa di tutte le altre issues e che tutti i bug hanno la stessa dignita`.

A dire la verità lui "refuses to bother with the whole security circus".

Ora, che MS abbia sempre avuto una sottovalutazione dell'aspetto sicurezza è noto (ricordo ancora con raccapriccio le dichiarazioni da Vispa Teresa al tempo della presentazione delle ActiveX) e che ci abbiano messo troppo tempo per capirlo e rimediare è pure vero.
Ma le ActiveX erano del 1996, quando "sicurezza informatica" era una cosa da pochi strambi fissati, e MS ha cominciato con Vista a mettere delle belle pezze di sicurezza nel 2007, ma lo sviluppavano dal 2001.

Qui Torvalds parla di "circo della sicurezza", con netto tono spregiativo ed evidente sottovalutazione, nel 2008!
Ed allora era già chiaro a tutti cosa fosse la sicurezza informatica e perchè fosse importante.
E' piuttosto evidente che riteneva le critiche alla sicurezza più un fastidio che una cosa di primaria importanza.
Direi che è oggettivamente una toppata non da poco, e lo era anche otto anni fa, nonostante il tentativo finale di mitigare la sua posizione.

[freesailor]

Quote:

Originariamente inviato da devilred

mah! secondo me l'unico linux che poteva competere con xp era RED HAT. il problema e' che il sistema operativo deve essere considerato anche dal fattore software e ubuntu e varie erano anni dietro. il sistema si e' evoluto, e' finita l'era del cubo rotante col doppio maglio perforante. la gente vuole facilita' e funzionalita', nel mondo linux c'e' solo caos.

Questo è un problema, serissimo (e concordo che l'unico Linux che potrei consigliare per l'uso casalingo è Red Hat o, almeno per gli utenti evoluti, il suo clone non supportato CentOS).
L'altro ormai chiaro problema è che l'unico vantaggio di Linux è rimasto la gratuità, importante fin che si vuole ma chi ha voglia di "risparmiare" 150 euro di licenza Windows per infilarsi in ... Linux? E non sto a rimarcarne tutti i difetti perchè non voglio suscitare flame.

Adesso ormai è pure chiaro che, purtroppo, nei fatti l'open source non garantisce neppure da bug di sicurezza gravi e incancreniti.
A differenza di quanto mi diceva, convinto, un collega dieci anni fa ("Ma c'è davvero gente che va a controllare il codice open?", "Ma certo che c'è, scherzi?"), stiamo scoprendo un'altro svantaggio dell'affidare lo sviluppo ed il controllo da una "community" nei fatti "irresponsabile" sul software distribuito e largamente basata sul volontariato (si, certo, c'è Red Hat, IBM, Intel ecc., sarei curioso di sapere per esempio quanto IBM lo fa convintamente e a beneficio della "community" e quanto per mantenere "un piede dentro", metti che ...).

[GTKM]

Quote:

Originariamente inviato da freesailor

A dire la verità lui "refuses to bother with the whole security circus".

Ora, che MS abbia sempre avuto una sottovalutazione dell'aspetto sicurezza è noto (ricordo ancora con raccapriccio le dichiarazioni da Vispa Teresa al tempo della presentazione delle ActiveX) e che ci abbiano messo troppo tempo per capirlo e rimediare è pure vero.
Ma le ActiveX erano del 1996, quando "sicurezza informatica" era una cosa da pochi strambi fissati, e MS ha cominciato con Vista a mettere delle belle pezze di sicurezza nel 2007, ma lo sviluppavano dal 2001.

Qui Torvalds parla di "circo della sicurezza", con netto tono spregiativo ed evidente sottovalutazione, nel 2008!
Ed allora era già chiaro a tutti cosa fosse la sicurezza informatica e perchè fosse importante.
E' piuttosto evidente che riteneva le critiche alla sicurezza più un fastidio che una cosa di primaria importanza.
Direi che è oggettivamente una toppata non da poco, e lo era anche otto anni fa, nonostante il tentativo finale di mitigare la sua posizione.

Leggete la sua biografia. Lo sviluppo di Linux è iniziato "per caso", e comunque sempre perché si divertiva a smanettare col codice a basso livello, cercando di utilizzare meglio le risorse. Tutta la questione sicurezza è venuta fuori solo quando hanno introdotto il supporto alle reti (mica l'ha fatto da solo eh).

Il resto è un tentativo di implementazione dello standard POSIX, laddove possibile. Ma il punto è che 'sto kernel non è mai nato "da kernel". Non è che lui una mattina si è svegliato e ha deciso di scriverne uno. Stava semplicemente giocando con MINIX e sviluppando un emulatore di terminale. Sono tutte cose che trovate scritte, nero su bianco.

[LMCH]

Quote:

Originariamente inviato da freesailor

A dire la verità lui "refuses to bother with the whole security circus".

Ora, che MS abbia sempre avuto una sottovalutazione dell'aspetto sicurezza è noto (ricordo ancora con raccapriccio le dichiarazioni da Vispa Teresa al tempo della presentazione delle ActiveX) e che ci abbiano messo troppo tempo per capirlo e rimediare è pure vero.
Ma le ActiveX erano del 1996, quando "sicurezza informatica" era una cosa da pochi strambi fissati, e MS ha cominciato con Vista a mettere delle belle pezze di sicurezza nel 2007, ma lo sviluppavano dal 2001.

Qui Torvalds parla di "circo della sicurezza", con netto tono spregiativo ed evidente sottovalutazione, nel 2008!
Ed allora era già chiaro a tutti cosa fosse la sicurezza informatica e perchè fosse importante.
E' piuttosto evidente che riteneva le critiche alla sicurezza più un fastidio che una cosa di primaria importanza.
Direi che è oggettivamente una toppata non da poco, e lo era anche otto anni fa, nonostante il tentativo finale di mitigare la sua posizione.

Il contesto, se non lo capisci finisci con lo sputtanarti.

Nello specifico se si considera la breve frase che citi NEL CONTESTO DEL POST COMPLETO di Torvalds si comprende ( SE si ha una comprensione accettabile dell'inglese scritto)
che "security circus" non era riferito alla sicurezza del SO, ma a quelli che per varie ragioni si focalizzano eccessivamente sulla sicurezza, trascurando altri aspetti altrettanto importanti ( tipo la stabilità del sistema, non a caso cita come esempio di bug "altrettanto importanti" quelli che causano crash del sistema).

In poche parole "security CIRCUS" non significa "sicurezza del sistema operativo"
e NEL CONTESTO del messaggio a cui ti riferivi la cosa era estremamente chiara:

Quote:

Btw, and you may not like this, since you are so focused on security, one
reason I refuse to bother with the whole security circus is that I think
it glorifies - and thus encourages - the wrong behavior.

It makes "heroes" out of security people, as if the people who don't just
fix normal bugs aren't as important.

In fact, all the boring normal bugs are _way_ more important, just because
there's a lot more of them. I don't think some spectacular security hole
should be glorified or cared about as being any more "special" than a
random spectacular crash due to bad locking.

Security people are often the black-and-white kind of people that I can't
stand. I think the OpenBSD crowd is a bunch of masturbating monkeys, in
that they make such a big deal about concentrating on security to the
point where they pretty much admit that nothing else matters to them.

To me, security is important. But it's no less important than everything
*else* that is also important!

Linus

[matsnake86]

CentOS per uso domestico....
Se vuoi trollare almeno cerca di essere credibile...

[ronin789]

Originariamente inviato da ronin789
...che nel mondo linux ci sia solo caos, è un tuo punto di vista che è esattamente opposto al mio...
...al seguente link, potrai trovare distribuzioni che funzionano benissimo:

http://distrowatch.com/

...

Quote:

Originariamente inviato da devilred

sai qual'e' il problema??? che quelli che ragionano come te non calcolano il fattore newbie, la gente vuole fare tutto e subito e sappiamo bene che questo con linux non esiste. la gente sente dire che per aprire i pacchetti RAR ci vuole winrar e su linux non lo trovano perche' ha un altro nome, e non hanno nessuna intenzione di imparare ( questo giusto per dirne una delle tante ). ma poi l'ho visto e pagato a mie spese, linux e' un casino anche se sto pensando a un ritorno.

...
fai come faccio io... te lo installi linux in dual boot con win 10 e, a seconda dello umore, avvii o linux o win 10
...

[fano]

Quote:

Originariamente inviato da matsnake86

CentOS per uso domestico....
Se vuoi trollare almeno cerca di essere credibile...

Stai riferendoti a me? Noi CentOS lo installiamo sui nostri server e sui sistemi che distribuiamo... poi per me in azienda con Linux son troppo fissati e ci costringono ad usare una CentOS anche sui nostri desktop almeno fosse un Ubuntu
(Windows con Visual Studio ce l'hanno solo alcuni privilegiati in azienda ).

Comunque:

1. Se cambia il kernel è molto probabile che anche la vecchia libc non funzioni più ergo DEVI ricompilare oh se devi ricompilare tutto! E se come nel nostro caso hai driver proprietari che ci siamo scritti noi?
2. ... quindi molti sistemi restano con kernel vecchi ed insicuri per sempre!
3. Linus Torvalds stesso dichiara che "i bug di sicurezza NON sono più importanti degli altri"
4. Usando linguaggi come C/C++ NON ci sono sistemi operativi sicuri (sì anche Windows e MacOS avranno sempre bug se basta uno "sbordamento" per scalare i privilegi e accedere alla memoria del kernel)

P.S. A chi diceva "si informi": io su Linux in C su sistemi embedded real time ci lavoro da 15 anni quindi dire che non so come funziona è un po' un'esagerazione... vorrei non saperlo, ma purtroppo lo so

[freesailor]

Quote:

Originariamente inviato da LMCH

Il contesto, se non lo capisci finisci con lo sputtanarti.

Nello specifico se si considera la breve frase che citi NEL CONTESTO DEL POST COMPLETO di Torvalds si comprende ( SE si ha una comprensione accettabile dell'inglese scritto)
che "security circus" non era riferito alla sicurezza del SO, ma a quelli che per varie ragioni si focalizzano eccessivamente sulla sicurezza, trascurando altri aspetti altrettanto importanti ( tipo la stabilità del sistema, non a caso cita come esempio di bug "altrettanto importanti" quelli che causano crash del sistema).

In poche parole "security CIRCUS" non significa "sicurezza del sistema operativo"
e NEL CONTESTO del messaggio a cui ti riferivi la cosa era estremamente chiara:

Guarda che "il contesto" l'avevo compreso perfettamente ed è inutile che ricopi tutto il messaggio, che avevo letto interamente.
E ribadisco che uno che, con evidente fastidio, dice che "ci sono cose altrettanto importanti" è uno a cui della sicurezza gliene importa una beata fava.
Nel 2008.

In pratica, Linux è stato fatto da uno smanettone, per hobby ("I'm doing a (free) operating system (just a hobby, won't be big and professional like gnu) for 386(486) AT clones"), e tale è rimasta la mentalità della "comunità Linux".
Il che spiega una marea di cose.

[freesailor]

Quote:

Originariamente inviato da matsnake86

CentOS per uso domestico....
Se vuoi trollare almeno cerca di essere credibile...

Certo che rispondere facendo finta di non aver visto la frase "almeno per gli utenti evoluti" non fa fare bella figura. Sappilo.

CentOS è un sistema robusto, esiste anche in installazione desktop, si basa sull'unica distribution contemporaneamente diffusa e veramente professionale ed ha una interfaccia semplice da usare e non troppo diversa da quella di Windows (o di qualsiasi GUI decente), che nonostante sia uno standard non tutte le distribuzioni hanno per default.

Se poi uno vuole soffrire ulteriormente ed usare Unity, perchè Ubuntu è il Linux "per uso desktop/domestico", faccia pure. Cavoli suoi. Ma certo non lo consiglierei a nessuno, come non consiglierei per esempio Arch o SUSE. Al massimo, Mint.

Ma, al super-massimo, gli direi: lascia perdere, lascia perdere pure CentOS, spendi 150 euro per Windows e vivi tranquillo con un prodotto professionale fatto apposta per te e non per gli smanettoni.

[fano]

Quote:

Originariamente inviato da freesailor

Guarda che "il contesto" l'avevo compreso perfettamente ed è inutile che ricopi tutto il messaggio, che avevo letto interamente.
E ribadisco che uno che, con evidente fastidio, dice che "ci sono cose altrettanto importanti" è uno a cui della sicurezza gliene importa una beata fava.
Nel 2008.

Ma poi non capisco perché sto Torvalds ce l'ha sempre con le scimmie a volte ubriache a volte sotto crack:

"The thing that has always disturbed me about O_DIRECT is that the whole interface is just stupid, and was probably designed by a deranged monkey on some serious mind-controlling substances."--Linus

(traggo dal manuale di un comando a caso dell'API C:
https://linux.die.net/man/2/open)

ah e malloc è apparentemente bacata su Linux:
http://www.amaryllistechnology.com/m.../malloc.3.html

Quote:

Originariamente inviato da freesailor

In pratica, Linux è stato fatto da uno smanettone, per hobby ("I'm doing a (free) operating system (just a hobby, won't be big and professional like gnu) for 386(486) AT clones"), e tale è rimasta la mentalità della "comunità Linux".
Il che spiega una marea di cose.

Infatti il problema non è Linux, ma la gente che lo usa e pensare che alternative anche gratuite esistono (no non parlo di Cosmos che è in pre-alpha) come per esempio le varie incarnazioni di BSD, Haiku OS ecc...

La mia impressione è che Linux fu trascinato dagli eventi un OS che manco si sapeva come stava in piedi (a suon di accrocchi) che è finito per essere usato ovunque.

La domanda resta perché?
Forse Google si è resa conto della cappellata di basare Android su Linux: https://github.com/fuchsia-mirror/magenta ?

P.S. perché su Cent OS deve essere del gruppo "audio" per sentire beh... l'audio? Ha senso?

[cdimauro]

Quote:

Originariamente inviato da Piedone1113

Questa è una battuta molto poco felice però:
quelle stesse righe di codice sono state vista sia dai programmatori MS, sia da quelli Intel, sia a quelli IBM.

Appunto. E' la battuta di uno che sa cosa significhi sviluppare codice, e che considera ridicola la formulazione della "legge" di cui sopra.

Quote:

L'unica soluzione a questo problema è: se tutti i programmatori delle maggiori compagnie IT non hanno vista prima il bug, figuriamoci quanti ce ne sono da decenni sui software closed scritti da una sola parte di essi.
Non credi?

Non c'è una relazione fra le due cose, perché non sai quanti e chi hanno avuto accesso al codice closed. Che ovviamente è "open" per gli addetti ai lavori (come pure alle aziende esterne che ne hanno accesso).

Quote:

Originariamente inviato da Bellaz89

http://yarchive.net/comp/linux/gcc_v...stability.html

kernel space != user space

Non si tratta solo di kernel space: i problemi ci sono anche in user space.

Un'applicazione può smettere di funzionare passando da una distro a un'altra perché, ad esempio, non trova più libncurse, che è stata divisa in due librerie.

Oppure perché la libreria che gli serve c'è, ma è di una versione diversa, ovviamente incompatibile con quella che si aspetta.

Questo rimanendo in user space, ma altri s.o. garantisco API e ABI stabili anche in kernel space.

Quote:

Originariamente inviato da fano

La mia impressione è che Linux fu trascinato dagli eventi un OS che manco si sapeva come stava in piedi (a suon di accrocchi) che è finito per essere usato ovunque.

La domanda resta perché?
Forse Google si è resa conto della cappellata di basare Android su Linux: https://github.com/fuchsia-mirror/magenta ?

Secondo me il motivo è questo:

"The Magenta Kernel (kernel/...) is under the MIT License, a copy of which may be found in kernel/LICENSE"

Come ripeto da un pezzo, l'industry sta progressivamente abbandonando la famigerata GPL, in favore di licenze commercial-friendly.

[Piedone1113]

Quote:

Originariamente inviato da cdimauro

Non c'è una relazione fra le due cose, perché non sai quanti e chi hanno avuto accesso al codice closed. Che ovviamente è "open" per gli addetti ai lavori (come pure alle aziende esterne che ne hanno accesso).

Per forza di cose il codice closed è meno visionato (come numero di persone) di quello open.
La differenza è che se un bug sfugge alla prima release del codice difficilmente sarà rilevato dopo in assenza di moduli o chiamate nuove che ne faranno uso ( a meno che il bug non provochi anche instabilità), con codice open ci sarà sempre qualcuno che avrà voglia di spulciare per curiosità e/o passione.
Di suo il codice closed permette maggior sicurezza perchè i bug "nascosti" non possono essere sfruttati se non per coincidenze fortuite, mentre in quelle open sono sempre in chiaro, bisogna solo leggere per trovarle (impossibile con il closed, se non per gli autori stessi).
Per esempio tra win e linux possono eeserci 100 falle ogni 1, ma le falle di windows magari non verranno mai sfruttate, quelle di linux sono in attesa di essere trovate.

Ps Dato un numero sufficiente di occhi, tutti i bug vengono a galla
Se ti riferisci a questa di legge, è giustissima, il bello è che non dice se i bug verranno pachati o sfruttati.

[blackshard]

Quote:

Originariamente inviato da devilred

sai qual'e' il problema??? che quelli che ragionano come te non calcolano il fattore newbie, la gente vuole fare tutto e subito e sappiamo bene che questo con linux non esiste. la gente sente dire che per aprire i pacchetti RAR ci vuole winrar e su linux non lo trovano perche' ha un altro nome, e non hanno nessuna intenzione di imparare ( questo giusto per dirne una delle tante ). ma poi l'ho visto e pagato a mie spese, linux e' un casino anche se sto pensando a un ritorno.

Se ad un newbie gli dai un PC windows i pacchetti RAR manco li apre se non installa winrar, e se non sa che il coso che apre i RAR si chiama winrar, anche windows diventa uncasinochemmammamia.

[blackshard]

Quote:

Originariamente inviato da fano

Ma poi non capisco perché sto Torvalds ce l'ha sempre con le scimmie a volte ubriache a volte sotto crack:

"The thing that has always disturbed me about O_DIRECT is that the whole interface is just stupid, and was probably designed by a deranged monkey on some serious mind-controlling substances."--Linus

O_DIRECT è abbastanza controverso. Dovrebbe abilitarti ad aprire file bypassando cache e tutto il resto, ma diventa impossibile da usare perché dipende dall'hardware e sei costretto a leggere e scrivere file a blocchi di dimensioni parti ad un settore, cosa abbastanza assurda e decisamente poco portabile.

Quote:

Originariamente inviato da fano

(traggo dal manuale di un comando a caso dell'API C:
https://linux.die.net/man/2/open)

Ti riferisci al flag ASYNC_IO? Un bug abbastanza banale di cui ti viene anche fornito il workaround e, probabilmente, non si può sistemare facilmente senza riarrangiare parte del codice, oppure forse non si può proprio fare. Più che un bug è una limitazione aggirabile.

Quote:

Originariamente inviato da fano

ah e malloc è apparentemente bacata su Linux:
http://www.amaryllistechnology.com/m.../malloc.3.html

malloc è libc, non del kernel linux

Quote:

Originariamente inviato da fano

Forse Google si è resa conto della cappellata di basare Android su Linux: https://github.com/fuchsia-mirror/magenta ?

Se google non avesse scelto il kernel linux a quest'ora lo stava ancora progettando android...
Tutto le baggianate tirate in ballo quando si parla di linux del kernel monolitico, bloated, e bla bla bla fanno tanto scena, ma intanto il kernel linux può essere compilato tanto per stare in 50 megabyte, con valanghe di driver al seguito per hardware generico come per un PC, e tanto stare in 500 kbyte selezionando accuratamente quello che serve, come accade sui router.

Quote:

Originariamente inviato da fano

P.S. perché su Cent OS deve essere del gruppo "audio" per sentire beh... l'audio? Ha senso?

Certo che ha senso: se l'accesso ai file dei device è ristretto agli utenti del gruppo audio devi essere membro del gruppo audio per poter accedere ai device!

[LMCH]

Quote:

Originariamente inviato da freesailor

Guarda che "il contesto" l'avevo compreso perfettamente ed è inutile che ricopi tutto il messaggio, che avevo letto interamente.
E ribadisco che uno che, con evidente fastidio, dice che "ci sono cose altrettanto importanti" è uno a cui della sicurezza gliene importa una beata fava.
Nel 2008.

Verba volant, scripta manent.
Il contenuto di quanto postato da Torvalds non è quello che dici tu.
Estrarre una breve frase dal suo contesto (che in questo caso era fondamentale per comprendere cosa si intendeva per "security CIRCUS") per poi attribuirle il contesto ed il significato che ti fa più comodo funziona solo se nessuno va a verificare alla fonte.

Per spiegare il concetto mooolto sinteticamente:
useresti un sistema operativo super-sicuro, senza falle di sicurezza, ma che ogni tanto va in crash facendoi perdere dati ed ore di lavoro?

Il succo del discorso di Torvalds era quello, concentrarsi su e glorificare solo l'aspetto della sicurezza è un comportamento sbagliato visto che non è l'unico aspetto importante per un sistema operativo.

Quote:

Originariamente inviato da freesailor

In pratica, Linux è stato fatto da uno smanettone, per hobby ("I'm doing a (free) operating system (just a hobby, won't be big and professional like gnu) for 386(486) AT clones"), e tale è rimasta la mentalità della "comunità Linux".
Il che spiega una marea di cose.

È iniziato così, MA POI poi con il contributo fondamentale di un esercito di altri sviluppatori è diventato qualcosa di molto più grande.
La "mentalità della comunità Linux" è evidente in quello che ha prodotto: un sistema operativo usato in ogni genere di settore proprio per la sua superiorità qualitativa sotto TUTTI gli aspetti importanti.

[fano]

Quote:

Originariamente inviato da blackshard

O_DIRECT è abbastanza controverso. Dovrebbe abilitarti ad aprire file bypassando cache e tutto il resto, ma diventa impossibile da usare perché dipende dall'hardware e sei costretto a leggere e scrivere file a blocchi di dimensioni parti ad un settore, cosa abbastanza assurda e decisamente poco portabile.

Ti riferisci al flag ASYNC_IO? Un bug abbastanza banale di cui ti viene anche fornito il workaround e, probabilmente, non si può sistemare facilmente senza riarrangiare parte del codice, oppure forse non si può proprio fare. Più che un bug è una limitazione aggirabile.

No parlavo sempre di O_DIRECT vedi questo è un problema anche mio come uno può essere serio quando la butta sempre in caciara parlando di scimmie sotto crack?

Quote:

Originariamente inviato da blackshard

malloc è libc, non del kernel linux

Sarà pure come dici, ma la stessa malloc dichiara che il bug è di Linux (del kernel) non di malloc:

By default, Linux follows an optimistic memory allocation strategy. This means that when malloc() returns non-NULL there is no guarantee that the memory really is available. This is a really bad bug. In case it turns out that the system is out of memory, one or more processes will be killed by the infamous OOM killer

(noto che nelle recenti versione di "man malloc" hanno cambiato un po' la frase e non è più un "really bad bug" della serie "non è un baco è una feauture" ci ho provato a farlo con un mio cliente una volta... non era contento affatto )

Quote:

Originariamente inviato da blackshard

Se google non avesse scelto il kernel linux a quest'ora lo stava ancora progettando android...

A parte che Google non ha progettato Android ma ha aquisito la start up che lo stava realizzando e quindi ormai l'idea di usare un kernel linux pathcato + una VM Java era ben radicata e definita nel progetto.

Io credo se Google e le altre corporation investissero soldi in un OS serio faremmo veramente passi avanti enormi...

@cdimauro sicuramente la licenza GPL è uno dei problemi di Linux per uso commerciale, ma ce sono anche altri uno è Linus Torvalds stesso che ha un carattere ecco un po' particolare, ma anche altri membri della community hanno "problemi".
Anche il modo in cui vengono fatte le cose "per tentativi" quanti sottosistemi audio sono esistiti in Linux io ricordo: OSS, Alsa, PulseAudio...

Stendiamo un lato pietoso su X tecnologia che risale a quando? Anni '70?

Quote:

Originariamente inviato da blackshard

Tutto le baggianate tirate in ballo quando si parla di linux del kernel monolitico, bloated, e bla bla bla fanno tanto scena, ma intanto il kernel linux può essere compilato tanto per stare in 50 megabyte, con valanghe di driver al seguito per hardware generico come per un PC, e tanto stare in 500 kbyte selezionando accuratamente quello che serve, come accade sui router.

Qui stiamo parlando di un discorso tecnico non "alla fine funzionicchia" e in 50 Megabyte dai siamo serii cosa ci fai? Se sei fortunato forse ti funziona a linea di comando, ma appena hai già un sistema esotico come i portatili Lenovo di cui parlavamo la settimana scorsa beh tanti auguri a farlo bootare!

Fare un kernel monolitico negli anni '90 era una baggianata e lo è sempre stato, probabilmente il meglio sta nel mezzo infatti Mac OSX e Windows sono kernel ibridi, BeOs / Haiku OS non è del tutto chiaro se siano completamente microkernel nemmeno loro...

Cosmos? Non rientra nelle normali definizioni wikepedia lo metterebbe con Singularity in "language-based system":

https://en.wikipedia.org/wiki/Language-based_system

Quote:

Originariamente inviato da blackshard

Certo che ha senso: se l'accesso ai file dei device è ristretto agli utenti del gruppo audio devi essere membro del gruppo audio per poter accedere ai device!

No, non ce l'ha: stiamo parlando di un desktop (poi concordo che CentOS/ Red Hat Enterprise Linux non sono pensate per desktop, ma per server senza manco GUI) come può aver senso che l'utente non possa manco ascoltarsi un po' di musica?

Linus Torvalds stesso concorda su questo: come diavolo si aggiunge una stampante su Linux?

http://www.zdnet.com/article/linus-t...nuxs-security/

qui ha ragione la troppa sicurezza è un male! Infatti ha senso solo nel kernel e in pochi altri posti "sensibili"... io mi diverto a dire Linux è così sicuro che se non hai la password di root non puoi fare niente

[LMCH]

Quote:

Originariamente inviato da Piedone1113

Per forza di cose il codice closed è meno visionato (come numero di persone) di quello open.
La differenza è che se un bug sfugge alla prima release del codice difficilmente sarà rilevato dopo in assenza di moduli o chiamate nuove che ne faranno uso ( a meno che il bug non provochi anche instabilità), con codice open ci sarà sempre qualcuno che avrà voglia di spulciare per curiosità e/o passione.
Di suo il codice closed permette maggior sicurezza perchè i bug "nascosti" non possono essere sfruttati se non per coincidenze fortuite, mentre in quelle open sono sempre in chiaro, bisogna solo leggere per trovarle (impossibile con il closed, se non per gli autori stessi).
Per esempio tra win e linux possono eeserci 100 falle ogni 1, ma le falle di windows magari non verranno mai sfruttate, quelle di linux sono in attesa di essere trovate.

Ps Dato un numero sufficiente di occhi, tutti i bug vengono a galla
Se ti riferisci a questa di legge, è giustissima, il bello è che non dice se i bug verranno pachati o sfruttati.

Hai presente la crittografia ? Quella dove TUTTO ruota intorno alla sicurezza?
È li che è emerso per primo che la "security by obscurity" degli algoritmi è inferiore dall'usare algoritmi aperti, visionabili, analizzabili da tutti e sopratutto verificabili da tutti.

Poi anche nel settore del software si è visto da decenni che il codice chiuso non è più sicuro, anzi, spesso ci sono falle note lasciate li a marcire per anni pensando che se si nasconde un merdone sotto il tappeto nessuno noterà il rigonfiamento e la puzza.

I black hat da anni usano metodi e tool di ricerca di potenziali falle che prescindono dall'accesso al codice sorgente originale, mentre dall'altro lato non avere accesso ai sorgenti complica la vita a quelli che cercano la fonte del bug per poterlo correggere.
Per questo ad esempio, a distanza di anni da quando Microsoft ha capito (a forza di bastonate) che la sicurezza è importante, continua comunque ad avere molti più problemi.

[cdimauro]

Quote:

Originariamente inviato da Piedone1113

Per forza di cose il codice closed è meno visionato (come numero di persone) di quello open.
La differenza è che se un bug sfugge alla prima release del codice difficilmente sarà rilevato dopo in assenza di moduli o chiamate nuove che ne faranno uso ( a meno che il bug non provochi anche instabilità), con codice open ci sarà sempre qualcuno che avrà voglia di spulciare per curiosità e/o passione.

Entrambe le cose, su software closed e open, non dimostrano nulla: sono solo speranze.

Quote:

Di suo il codice closed permette maggior sicurezza perchè i bug "nascosti" non possono essere sfruttati se non per coincidenze fortuite, mentre in quelle open sono sempre in chiaro, bisogna solo leggere per trovarle (impossibile con il closed, se non per gli autori stessi).
Per esempio tra win e linux possono eeserci 100 falle ogni 1, ma le falle di windows magari non verranno mai sfruttate, quelle di linux sono in attesa di essere trovate.

Assolutamente d'accordo.

Quote:

Ps Dato un numero sufficiente di occhi, tutti i bug vengono a galla
Se ti riferisci a questa di legge, è giustissima, il bello è che non dice se i bug verranno pachati o sfruttati.

Questa "legge" non soltanto non è una legge, ma non è nemmeno "giusta", visto che esprime soltanto un'altra speranza.

A parte questo, scendendo nel più tecnico nonché formale, questa "legge", così formulata, si potrebbe benissimo applicare al famigerato "problema dell'arresto (stop/halt)", che è un teorema (quindi dimostrato formalmente) della teoria della computabilità.

Ora, che una speranza abbia la forza di smontare un teorema (ripeto: formalmente dimostrato) mi pare leggermente esagerato, no?

Quote:

Originariamente inviato da blackshard

O_DIRECT è abbastanza controverso. Dovrebbe abilitarti ad aprire file bypassando cache e tutto il resto, ma diventa impossibile da usare perché dipende dall'hardware e sei costretto a leggere e scrivere file a blocchi di dimensioni parti ad un settore, cosa abbastanza assurda e decisamente poco portabile.

Se O_DIRECT è POSIX, beh, ci sono s.o. POSIX-compliant che la implementano (correttamente).

Quote:

Ti riferisci al flag ASYNC_IO? Un bug abbastanza banale di cui ti viene anche fornito il workaround e, probabilmente, non si può sistemare facilmente senza riarrangiare parte del codice, oppure forse non si può proprio fare. Più che un bug è una limitazione aggirabile.

Se è un bug dovrebbe essere già stato corretto, secondo le affermazioni (non tue, sia chiaro) di chi sostiene che: "appena si scopre un bug in un codice open source viene subito corretto". E di conseguenza non dovrebbero esistere nemmeno i workaround: non c'è bisogno, perché tanto c'è subito il fix.

Quote:

malloc è libc, non del kernel linux

Come già detto da fano, nonché riportato nella descrizione, la malloc si affida al kernel, e se questo gli restituisce un puntatore non nullo... altro non può fare che accettarlo e usarlo.

Quote:

Certo che ha senso: se l'accesso ai file dei device è ristretto agli utenti del gruppo audio devi essere membro del gruppo audio per poter accedere ai device!

E al gruppo video per accedere alla GUI? C'è pure un gruppo keyboard per poter usare la tastiera?

Quote:

Originariamente inviato da LMCH

La "mentalità della comunità Linux" è evidente in quello che ha prodotto: un sistema operativo usato in ogni genere di settore proprio per la sua superiorità qualitativa sotto TUTTI gli aspetti importanti.

O semplicemente perché è il più supportato (fra i s.o. open), e dunque è comodo poterlo sfruttare.

Quote:

Originariamente inviato da fano

Qui stiamo parlando di un discorso tecnico non "alla fine funzionicchia" e in 50 Megabyte dai siamo serii cosa ci fai? Se sei fortunato forse ti funziona a linea di comando,

Con 50MB ti fai un'ISO bootabile di AROS con tanto di interfaccia grafica e applicazioni annesse.

Quote:

Originariamente inviato da LMCH

Hai presente la crittografia ? Quella dove TUTTO ruota intorno alla sicurezza?
È li che è emerso per primo che la "security by obscurity" degli algoritmi è inferiore dall'usare algoritmi aperti, visionabili, analizzabili da tutti e sopratutto verificabili da tutti.

Poi anche nel settore del software si è visto da decenni che il codice chiuso non è più sicuro, anzi, spesso ci sono falle note lasciate li a marcire per anni pensando che se si nasconde un merdone sotto il tappeto nessuno noterà il rigonfiamento e la puzza.

I black hat da anni usano metodi e tool di ricerca di potenziali falle che prescindono dall'accesso al codice sorgente originale, mentre dall'altro lato non avere accesso ai sorgenti complica la vita a quelli che cercano la fonte del bug per poterlo correggere.
Per questo ad esempio, a distanza di anni da quando Microsoft ha capito (a forza di bastonate) che la sicurezza è importante, continua comunque ad avere molti più problemi.

Invece funziona meglio come ha scritto "Piedone", di cui condivido integralmente ciò ha scritto su questa parte.

La crittografia, invece, è una cosa completamente diversa.

Com'è anche vero che nessuno sano di mente metterebbe in giro lo schema dell'antifurto di casa sua, solo perché milioni di occhi potrebbero trovare eventuali falle nella sua sicurezza...

[Piedone1113]

Quote:

Originariamente inviato da cdimauro

Entrambe le cose, su software closed e open, non dimostrano nulla: sono solo speranze.

Assolutamente d'accordo.

Questa "legge" non soltanto non è una legge, ma non è nemmeno "giusta", visto che esprime soltanto un'altra speranza.

Taglio il resto, ma dimentichi che non esistono solo leggi universali, ma anche leggi probabilistiche che solo leggi scientifiche a tutti gli effetti (hai presente le leggi di fisica quantistica?).
Quando Archimede disse: datemi un un punto di appoggio ed una leva sufficientemente lunga e vi sollevo il mondo in molti si misero a ridere.

Quella legge (che difatti non è una legge) dice Dato un numero sufficienti di occhi (che è un insieme compreso tra 1 e infinito) tutti i bug vengono a galla (su un insieme finito).
Tutto dipende da quante righe di codice sono presenti e da quanti la visionano.
Ma questo è un discorso più teorico che pratico.

che poi non c'è bisogno di formulare una legge scientifica per una cosa così ovvia.
La mia frase successiva:
Se ti riferisci a questa di legge, è giustissima, il bello è che non dice se i bug verranno pachati o sfruttati si riferisce a quella che definisci speranza (se un numero sufficiente di occhi cerca bug nel codice verranno trovati tutti, ma non sappiamo se i bug verranno trovati da chi vuole pachare o da chi vuole creare exploit, che è quello che succede tutti i giorni con tutti i tipi di software.)

[cdimauro]

Purtroppo non c'è niente che ti garantisca che un numero sufficiente di occhi possa trovare proprio TUTTI i bug di un software. Specialmente coi software che sono via via sempre più complicati.

Anche le leggi probabilistiche sono comunque... leggi. Dietro ci sono formule e teoremi.

Inoltre stai assumendo che tutti gli "occhi" siano uguali: non è così.