Linux, scoperto bug critico in attività da 9 anni

Questo è un problema, serissimo (e concordo che l'unico Linux che potrei consigliare per l'uso casalingo è Red Hat o, almeno per gli utenti evoluti, il suo clone non supportato CentOS).
L'altro ormai chiaro problema è che l'unico vantaggio di Linux è rimasto la gratuità, importante fin che si vuole ma chi ha voglia di "risparmiare" 150 euro di licenza Windows per infilarsi in ... Linux? E non sto a rimarcarne tutti i difetti perchè non voglio suscitare flame.

Adesso ormai è pure chiaro che, purtroppo, nei fatti l'open source non garantisce neppure da bug di sicurezza gravi e incancreniti.
A differenza di quanto mi diceva, convinto, un collega dieci anni fa ("Ma c'è davvero gente che va a controllare il codice open?", "Ma certo che c'è, scherzi?"), stiamo scoprendo un'altro svantaggio dell'affidare lo sviluppo ed il controllo da una "community" nei fatti "irresponsabile" sul software distribuito e largamente basata sul volontariato (si, certo, c'è Red Hat, IBM, Intel ecc., sarei curioso di sapere per esempio quanto IBM lo fa convintamente e a beneficio della "community" e quanto per mantenere "un piede dentro", metti che ...).

Leggete la sua biografia. Lo sviluppo di Linux è iniziato "per caso", e comunque sempre perché si divertiva a smanettare col codice a basso livello, cercando di utilizzare meglio le risorse. Tutta la questione sicurezza è venuta fuori solo quando hanno introdotto il supporto alle reti (mica l'ha fatto da solo eh).

Il resto è un tentativo di implementazione dello standard POSIX, laddove possibile. Ma il punto è che 'sto kernel non è mai nato "da kernel". Non è che lui una mattina si è svegliato e ha deciso di scriverne uno. Stava semplicemente giocando con MINIX e sviluppando un emulatore di terminale. Sono tutte cose che trovate scritte, nero su bianco.

Il contesto, se non lo capisci finisci con lo sputtanarti.

Nello specifico se si considera la breve frase che citi NEL CONTESTO DEL POST COMPLETO di Torvalds si comprende ( SE si ha una comprensione accettabile dell'inglese scritto)
che "security circus" non era riferito alla sicurezza del SO, ma a quelli che per varie ragioni si focalizzano eccessivamente sulla sicurezza, trascurando altri aspetti altrettanto importanti ( tipo la stabilità del sistema, non a caso cita come esempio di bug "altrettanto importanti" quelli che causano crash del sistema).

In poche parole "security CIRCUS" non significa "sicurezza del sistema operativo"
e NEL CONTESTO del messaggio a cui ti riferivi la cosa era estremamente chiara:

CentOS per uso domestico....
Se vuoi trollare almeno cerca di essere credibile...

Originariamente inviato da ronin789
...che nel mondo linux ci sia solo caos, è un tuo punto di vista che è esattamente opposto al mio...
...al seguente link, potrai trovare distribuzioni che funzionano benissimo:

http://distrowatch.com/

...



...
fai come faccio io... te lo installi linux in dual boot con win 10 e, a seconda dello umore, avvii o linux o win 10
...

Stai riferendoti a me? Noi CentOS lo installiamo sui nostri server e sui sistemi che distribuiamo... poi per me in azienda con Linux son troppo fissati e ci costringono ad usare una CentOS anche sui nostri desktop almeno fosse un Ubuntu
(Windows con Visual Studio ce l'hanno solo alcuni privilegiati in azienda ).

Comunque:

[LIST=1]
[*]Se cambia il kernel è molto probabile che anche la vecchia libc non funzioni più ergo DEVI ricompilare oh se devi ricompilare tutto! E se come nel nostro caso hai driver proprietari che ci siamo scritti noi?
[*]... quindi molti sistemi restano con kernel vecchi ed insicuri per sempre!
[*]Linus Torvalds stesso dichiara che "i bug di sicurezza NON sono più importanti degli altri"
[*]Usando linguaggi come C/C++ NON ci sono sistemi operativi sicuri (sì anche Windows e MacOS avranno sempre bug se basta uno "sbordamento" per scalare i privilegi e accedere alla memoria del kernel)
[/LIST]

P.S. A chi diceva "si informi": io su Linux in C su sistemi embedded real time ci lavoro da 15 anni quindi dire che non so come funziona è un po' un'esagerazione... vorrei non saperlo, ma purtroppo lo so

Guarda che "il contesto" l'avevo compreso perfettamente ed è inutile che ricopi tutto il messaggio, che avevo letto interamente.
E ribadisco che uno che, con evidente fastidio, dice che "ci sono cose altrettanto importanti" è uno a cui della sicurezza gliene importa una beata fava.
Nel 2008.

In pratica, Linux è stato fatto da uno smanettone, per hobby ([I]"I'm doing a (free) operating system (just a hobby, won't be big and professional like gnu) for 386(486) AT clones"[/I]), e tale è rimasta la mentalità della "comunità Linux".
Il che spiega una marea di cose.

Certo che rispondere facendo finta di non aver visto la frase "almeno per gli utenti evoluti" non fa fare bella figura. Sappilo.

CentOS è un sistema robusto, esiste anche in installazione desktop, si basa sull'unica distribution contemporaneamente diffusa e veramente professionale ed ha una interfaccia semplice da usare e non troppo diversa da quella di Windows (o di qualsiasi GUI decente), che nonostante sia uno standard non tutte le distribuzioni hanno per default.

Se poi uno vuole soffrire ulteriormente ed usare Unity, perchè Ubuntu è il Linux "per uso desktop/domestico", faccia pure. Cavoli suoi. Ma certo non lo consiglierei a nessuno, come non consiglierei per esempio Arch o SUSE. Al massimo, Mint.

Ma, al super-massimo, gli direi: lascia perdere, lascia perdere pure CentOS, spendi 150 euro per Windows e vivi tranquillo con un prodotto professionale fatto apposta per te e non per gli smanettoni.

Ma poi non capisco perché sto Torvalds ce l'ha sempre con le scimmie a volte ubriache a volte sotto crack:

"The thing that has always disturbed me about O_DIRECT is that the whole interface is just stupid, and was probably designed by a deranged monkey on some serious mind-controlling substances."--Linus

(traggo dal manuale di un comando a caso dell'API C:
https://linux.die.net/man/2/open)

ah e malloc è apparentemente bacata su Linux:
http://www.amaryllistechnology.com/...3/malloc.3.html



Infatti il problema non è Linux, ma la gente che lo usa e pensare che alternative anche gratuite esistono (no non parlo di Cosmos che è in pre-alpha) come per esempio le varie incarnazioni di BSD, Haiku OS ecc...

La mia impressione è che Linux fu trascinato dagli eventi un OS che manco si sapeva come stava in piedi (a suon di accrocchi) che è finito per essere usato ovunque.

La domanda resta perché?
Forse Google si è resa conto della cappellata di basare Android su Linux: https://github.com/fuchsia-mirror/magenta ?

P.S. perché su Cent OS deve essere del gruppo "audio" per sentire beh... l'audio? Ha senso?

Appunto. E' la battuta di uno che sa cosa significhi sviluppare codice, e che considera ridicola la formulazione della "legge" di cui sopra.

Non c'è una relazione fra le due cose, perché non sai quanti e chi hanno avuto accesso al codice closed. Che ovviamente è "open" per gli addetti ai lavori (come pure alle aziende esterne che ne hanno accesso).

Non si tratta solo di kernel space: i problemi ci sono anche in user space.

Un'applicazione può smettere di funzionare passando da una distro a un'altra perché, ad esempio, non trova più libncurse, che è stata divisa in due librerie.

Oppure perché la libreria che gli serve c'è, ma è di una versione diversa, ovviamente incompatibile con quella che si aspetta.

Questo rimanendo in user space, ma altri s.o. garantisco API e ABI stabili anche in kernel space.

Secondo me il motivo è questo:

"The Magenta Kernel (kernel/...) is under the MIT License, a copy of which may be found in kernel/LICENSE"

Come ripeto da un pezzo, l'industry sta progressivamente abbandonando la famigerata GPL, in favore di licenze commercial-friendly.