[sicurezza] violato freedesktop

[Mason]

http://gstreamer.freedesktop.org/

boh magari tra un po si sapra di piu

[RaouL_BennetH]

Ho letto del loro msg sul sito, ma non ho capito a che "code" si riferiscano, dato che, non riesco a capire a cosa servirebbe "rubare" un codice aperto. Oppure, come al solito, ho capito fischi per fiaschi.

[Mason]

il codice libero non si ruba, si cerca di metterci delle vulnerabilita' per aver accesso a tutti i pc con quel prg compilato o avere privilegi superiori, siccomen su freedesktop di roba ce ne sta(server x, lib grafiche per x, lib per desktop manager), e una preda appetibile.

era successo tempo fa anche con il kernel di linux, ma se ne sono accorti quasi subito.

[RaouL_BennetH]

Quote:

Originariamente inviato da Mason
il codice libero non si ruba, si cerca di metterci delle vulnerabilita' per aver accesso a tutti i pc con quel prg compilato o avere privilegi superiori, siccomen su freedesktop di roba ce ne sta(server x, lib grafiche per x, lib per desktop manager), e una preda appetibile.

era successo tempo fa anche con il kernel di linux, ma se ne sono accorti quasi subito.

a maggior ragione non me lo spiego... cioè, come faccio a "nascondere" una backdoor, una vulnerabilità, un exploit, in un codice aperto??

Cioè, devo aspettarmi che tutti quelli che lo leggono (e che sono capaci di capirne il significato) se ne accorgano. Se così non è, allora di sicuro c'è qualcosa che mi sfugge

[Mason]

beh non e che son 3 righe di codice, e di solito io mi fido quando compilo un codice, spero che qualcuno lo guardi per curiosita' (come mi e successo), ma a volte (visto solo quella del kernel)son inseriti errori subdoli se si devono sfruttare questi bachi.

quello del kernel era un controllo di uguaglianza nel if messo ad assegnamento, che se lo leggi velocemente non ci fai piu di tanto caso.

diciamo che l'integrita del codice di cui ti fidi e affidato alle stessi sviluppatori, che se notano qualcosa di anomalo sulle macchine indagano fino a risalire al motivo.

cmq un baco in tale ambito difficilmente e utilizzabile, vuoi perche e difficile non lasciare nessuna traccia del proprio passaggio che non sia notata, sia perche una volta che usi tale espediente per i tuoi scopi i rischi che ti beccano balzano da vicino a 0 a vicino a 100, e poi dura pochi giorni la possibilita' di sfruttarlo, dopo si patcha tutto(o cmq devi cercarti macchine che abbiano versioni vecchie).

[RaouL_BennetH]

Quote:

Originariamente inviato da Mason
beh non e che son 3 righe di codice, e di solito io mi fido quando compilo un codice, spero che qualcuno lo guardi per curiosita' (come mi e successo), ma a volte (visto solo quella del kernel)son inseriti errori subdoli se si devono sfruttare questi bachi.

quello del kernel era un controllo di uguaglianza nel if messo ad assegnamento, che se lo leggi velocemente non ci fai piu di tanto caso.

diciamo che l'integrita del codice di cui ti fidi e affidato alle stessi sviluppatori, che se notano qualcosa di anomalo sulle macchine indagano fino a risalire al motivo.

cmq un baco in tale ambito difficilmente e utilizzabile, vuoi perche e difficile non lasciare nessuna traccia del proprio passaggio che non sia notata, sia perche una volta che usi tale espediente per i tuoi scopi i rischi che ti beccano balzano da vicino a 0 a vicino a 100, e poi dura pochi giorni la possibilita' di sfruttarlo, dopo si patcha tutto(o cmq devi cercarti macchine che abbiano versioni vecchie).

thx per i chiarimenti.