Chrome vs Explorer: come spiegare in parole semplici che open-source è migliore?

3

Perché open-source è migliore in parole semplici?

Ieri ho parlato in un laboratorio di biciclette fai-da-te. C'è un PC (con XP in esecuzione) che l'applicazione principale sta controllando e-mail (niente di veramente serio).

Ho trovato estremamente difficile spiegare perché gli standard di sicurezza open-source sono migliori, che la sicurezza-attraverso-oscurità non è l'approccio giusto, che non si può fare affidamento sull'essere un algoritmo segreto ...

Qualche altra idea in arrivo - come spiegare in parole semplici perché open-source è più sicuro?

(o forse no, forse i riparatori di biciclette avevano ragione - dovrei usare IE)

    
posta Michal Stefanow 25.12.2011 - 18:51
fonte

7 risposte

10

Il software open source non è necessariamente migliore o più sicuro.

Laddove l'open source ha un vantaggio è il potenziale per gli individui indipendenti interessati alla sicurezza di esaminare il codice sorgente e, auspicabilmente, il modello concettuale per un dato progetto software. Questo vantaggio dipende da:

  • recensione da parte di persone qualificate
  • feedback dal revisore al progetto sulle potenziali debolezze o vulnerabilità nel codice sorgente, algoritmi e procedure
  • il progetto che fissa i punti deboli e le vulnerabilità segnalati
  • il progetto sta diventando più istruito su ciò che rende il software più sicuro

Dato abbastanza iterazioni di quanto sopra, qualsiasi software, non solo l'open source diventa più sicuro della media. Molte società a codice chiuso eseguono revisioni di sicurezza del software. Alcuni addirittura portano in terze parti per garantire relazioni indipenti e obiettive. Un progetto che fornisce open source consente a un vasto pubblico di rivedere qualsiasi parte del software portando trasparenza al processo di revisione e all'implementazione del software. La differenza con la maggior parte dei programmi a codice chiuso è che il processo e l'implementazione sono inaccessibili agli utenti. Un utente non può determinare se un pezzo di software closed source è stato sottoposto a revisione di sicurezza. E nella maggior parte dei casi un utente non può determinare se un pezzo di software open source è stato sottoposto a revisione di sicurezza. L'unica differenza è che, dato un utente abbastanza competente, l'utente può controllare lo stato del processo open source, ma non può controllare lo stato del processo closed source.

    
risposta data 26.12.2011 - 00:15
fonte
5

Il motivo per cui dovrebbero utilizzare chrome vs IE non si riduce a open source vs proprietario. Chrome è un browser moderno. IE6 e 7 non lo sono, IE8 è quasi un browser moderno e IE9 non verrà rilasciato su Win XP, ma Chrome si aggiornerà periodicamente all'ultima versione stabile. Non utilizzando un browser moderno che sia aggiornato, la tua esperienza di navigazione sarà più lenta, avrai più vulnerabilità di sicurezza e più problemi di navigazione. IE 8 è il primo browser IE a passare ACID2 (conformità agli standard Web), ma continua a fallire miseramente nei test ACID3 (20/100) mentre passano tutti Chrome / Safari / Firefox / Opera / etc.

Inoltre, Chrome ha molte funzionalità di sicurezza che non erano presenti nella versione precedente di IE.

La questione di "è open source più o meno sicuro di quella proprietaria" non verrà data risposta per argomento. Ci sono buoni argomenti in entrambi i modi: avere accesso completo al codice sorgente consente sia ai cappelli bianchi che a quelli neri di individuare più facilmente le vulnerabilità, quindi le vulnerabilità si troveranno più facilmente - buone quando sono i cappelli bianchi e cattivi quando sono i cappelli neri. Le persone sono ancora abbastanza brave nel reverse engineering / trovare buchi nelle app closed source; ma è molto più facile quando la fonte è disponibile.

    
risposta data 29.12.2011 - 23:08
fonte
4

Mi piace la risposta di @ this.josh dove dice che Open Source non è automaticamente migliore o più sicuro. È il processo di sviluppo e il controllo qualità che conta di più, il resto è una questione di preferenze personali.

Ecco alcuni pensieri che ti vengono in mente quando considero l'utilizzo di IE creato con un processo di sviluppo proprietario

Considerando la quantità di trasparenza che MSFT ha messo in campo, considererei Microsoft un moderno modello di ruolo nel modo in cui viene sviluppato il software sicuro (per non escludere altri fornitori rispettabili).

Certi individui possono contestare il rischio / minaccia di una particolare vulnerabilità (come fa @Rook nei commenti sopra). Quando un tale problema di sicurezza si trova nel mondo FOSS è che un "fork" (o patch) viene creato da un contributore. Questo individuo può essere uno sviluppatore esperto o un principiante. Il problema è che queste patch una tantum sono spesso create al di fuori di un processo SDLC e quindi aumentano il rischio da un processo / conformità prospettiva. È un rischio che vale la pena prendere? Spesso è una decisione aziendale / personale che dipende da chi possiede e gestisce il computer.

Dato che hai menzionato che stanno usando XP (un sistema operativo che ha più di 10 anni) è probabile che non abbiano mantenuto il PC. Indipendentemente dal sistema operativo, sono necessarie patch e aggiornamenti per mantenere un sistema sicuro. Questo vale per il software open source e closed source e entrambi IE e Chrome hanno affrontato questo particolare problema.

Bottom line / TL; DR

Lo sviluppo open source o closed source non cambia molto sulla sicurezza di un software. Ogni approccio ha aspetti positivi e negativi, e nella maggior parte dei casi pregiudizi personali su quale approccio è "corretto".

Finché il software del computer viene scritto dagli esseri umani, ci saranno dei difetti di sicurezza.

    
risposta data 29.12.2011 - 17:24
fonte
2

Misurare la sicurezza di un determinato software non è un compito facile. Ci sono strumenti che fanno questo, ma dipendono soprattutto dall'accesso al codice sorgente. Nel caso di un browser la situazione è un po 'più semplice dal momento che è più facile testare gli strumenti di fuzzing, tuttavia questo farà parte dei test standard per il software mainstream, quindi i risultati potrebbero essere inconcludenti.

Gli argomenti riguardanti open contro closed source hanno imperversato per anni - e una strong argomentazione avanzata dagli incumbent di closed source è che, poiché i loro prodotti sono molto più usati, attirano quindi molta più attenzione da parte di persone che cercano di compromettersi il prodotto. Tuttavia questo è un argomento che non si applica più a MSIE vs Chrome vs Firefox. E il record storico di MSIE sulla sicurezza mostra che ha avuto molte altre vulnerabilità segnalate e serie rispetto a Chrome e Firefox.

Ma mentre è difficile misurare la sicurezza di un pezzo di software, è più semplice misurare molti altri aspetti della qualità di un software, specialmente se è stato scritto in un ben definito standard. Ancora una volta MSIE (storicamente) si confronta male sia con le prestazioni sia con la conformità agli standard rispetto a Chrome e Firefox.

Un'ulteriore considerazione è lo sforzo richiesto per garantire che le vulnerabilità nel software siano corrette. Ciò non significa solo che il fornitore fornisce una correzione, il che significa installarlo su tutta la base di utenti. Chrome è particolarmente adatto per aggiornarsi in modo trasparente.

Come altri hanno menzionato, MSIE è profondamente legato al sistema operativo sottostante. Che rende l'applicazione di patch un processo complesso.

E naturalmente c'è il modello economico sottostante. Mentre MSIE, Firefox e Chrome sono tutti gratuiti (come nella birra gratis) i modelli finanziari sottostanti sono molto diversi. Non ha senso che Microsoft mantenga i prodotti a lungo termine, specialmente quando è strettamente integrato con un intero sistema operativo. E Windows XP sta arrivando alla fine del suo ciclo di vita del supporto. L'aggiornamento di un sistema operativo è molto più doloroso dell'aggiornamento di un browser e l'architettura software di Chrome e Firefox rende molto più semplice avere il prodotto più recente (e quindi il più sicuro) disponibile per l'uso.

Dr. La lettera di E. D. V. Nunez discute la più ampia importanza economica e sociale del software libero e open source molto più eloquentemente di quanto possa io.

Poi c'è la domanda di tutti gli altri componenti che entrano nel fare un browser. Uno che è stato discusso molto recentemente è il root di CA in bundle con un browser. IMHO, tutti i principali fornitori servono male i loro clienti in questo settore. Tuttavia, nel caso Microsoft, esiste una probabilità molto maggiore di conflitto tra i suoi interessi e quelli dell'utente rispetto a Chrome e Firefox.

Un'ulteriore considerazione è il raggruppamento di servizi con il prodotto. Nel caso di un browser, in particolare quello utilizzato per la webmail, una buona individuazione del phishing dovrebbe essere una preoccupazione primaria. IME, il servizio di Google (implementato in Firefox e Chrome) è molto più completo e più rapidamente aggiornato rispetto a quello di MSIE.

Alla fine della giornata, mentre l'esperienza mi ha insegnato ad essere molto attento a ipse dixit, se la tua opinione viene cercata, ci sono dei limiti ai quali dovresti andare per giustificare ciò. Altrimenti, non direi a un cardiochirurgo quale sia il miglior tipo di stent, presumo che lei abbia una certa conoscenza del soggetto che è parte del suo valore per la società e sarebbe difficile per lei impararmi senza un molto tempo dedicato a entrambi da noi.

Dove non abbiamo abbastanza informazioni per valutare appieno le argomentazioni avversarie, allora una soluzione ragionevole è guardare le persone che discutono i casi e considerare come potrebbero trarne beneficio o perdere presentando un caso fuorviante. Siamo tornati di nuovo all'economia: costa un sacco di soldi per scrivere un browser, Google e Mozilla non ne traggono alcun beneficio diretto. Microsoft lo fa.

    
risposta data 29.12.2011 - 12:31
fonte
2

Se è open source, probabilmente è gratuito (come nella "birra gratis"). Se è gratuito, è molto più probabile che ne valga la pena.

Un pezzo di software, specialmente uno così complesso e orientato alla rete come un browser Web, sarà sicuro solo nella misura in cui è mantenuto : ci devono essere persone da qualche parte, che cercano pazientemente bug e correggono loro e pubblicano prontamente le patch e stabiliscono e rafforzano le politiche di sviluppo che discriminano l'aspetto di nuovi bug o almeno rendono più facili i bug di tracciamento. Del resto, il track record di Chrome / Google sembra essere leggermente migliore di quello di IE / Microsoft (in particolare nella parte "pubblicazione rapida"). Personalmente preferirei Chrome a IE per la ragione quella , non a causa dell'apertura alla fonte.

Quando il software è open source, puoi partecipare personalmente allo sforzo di tracciamento dei bug. Ma a meno che tu non lo faccia effettivamente, l'apertura della fonte fa poca differenza per la sicurezza. La dicotomia aperta / chiusa è abbastanza ortogonale rispetto alla sicurezza reale. Non è così ovvio come sembra: c'è (era) una scuola di pensiero diffusa che afferma che essere riduce la sicurezza open source, in base al fatto che mostrare il codice sorgente rende più facile per i potenziali attaccanti trova buchi sfruttabili. Lo stato attuale dei prodotti software, in particolare i browser Web e i sistemi operativi, ha dimostrato che questa idea è falsa.

    
risposta data 29.12.2011 - 15:10
fonte
1

Non l'ho mai definito come un open source è meglio della domanda proprietaria.

Internet Explorer si aggancia al sistema operativo e quindi aumenta la superficie che può essere attaccata quando vengono rilevate vulnerabilità sfruttabili. Alcuni di questi possono essere hook di livello inferiore nel sistema operativo che consentono un compromesso a livello di base che interesserà tutti gli account utente.

Detto questo, Microsoft ha lavorato molto dalla versione 6 (Exploit Master?) che ha dato un grosso contributo per portarlo alla parità con la sicurezza offerta dai supplenti.

Firefox e Chrome operano nello spazio utente e pertanto le loro vulnerabilità di exploit dovrebbero influire solo sull'account utente. Anche se negli ultimi anni si è dimostrato sufficiente per fare esattamente ciò che lo scrittore di malware intende fare. Un sacco di bontà desiderabili esistono nello spazio utente, quindi non è necessario prendere il controllo del sistema operativo.

Quindi il presunto guadagno è quello che desideri disinfettare? L'intero sistema operativo che di solito è una proposta "nuke from orbit" o il profilo utente / account contaminato che può essere salvato dopo il backup dei dati cancellato nello scenario peggiore, lasciando intatto il sistema operativo.

IRL sotto le operazioni aziendali, non ti fidi veramente né di IE né dei supplenti, copia i dati degli utenti e reimmagini la macchina compromessa in quanto non puoi mai essere certo che la disinfezione abbia funzionato o che non ci sia un compromesso multilivello possibile laddove lo spazio utente è compromesso permettendo per un exploit locale che ha permesso di compromettere il sistema operativo. Questo è il modo in cui la maggior parte dei malware funziona ora. Viene caricato per l'orso, spacca lo scafo esterno e poi cerca le saldature rotte nello scafo interno per raggiungere il centro morbido e succoso.

Abbiamo iniziato a utilizzare Firefox perché eravamo bloccati in Windows 95 dal nostro software ERP e gli exploit bisettimanali in IE6 erano troppo per tenere il passo. Firefox richiede un accesso amministrativo per l'aggiornamento, quindi ora è un dischetto tra Internet Explorer che verrà aggiornato una volta al mese da MS o Chrome, che si aggiorna automaticamente in background man mano che i problemi vengono rilevati e risolti. Gli aggiornamenti di sicurezza, la loro tempestiva pubblicazione (responsabilità del produttore del software) e la loro installazione tempestiva (la vostra responsabilità) sono ciò che è importante per essere sicuri. Mentre si può dire che Microsoft ritarda, Firefox e Chrome hanno lasciato cadere la palla più volte. Sono tutti gestiti da umani che sottovalutano le vulnerabilità. Open Source può essere più veloce da applicare se ci si mette in testa. Ho usato pacchetti meno conosciuti che fanno sembrare Microsoft molto veloce a questo scopo.

Essendo un vero bisogno di concentrazione se sei interessato ad aumentare la consapevolezza della sicurezza è più importante educare le persone che la maggior parte del malware si è spostato su prodotti Adobe, Java e altri plugin di terze parti.

    
risposta data 25.12.2011 - 20:03
fonte
-1

Per fonte chiusa:  Q: è sicuro?  A: Non lo so  Q: come posso scoprirlo?  A: Non puoi. Devi fidarti di Microsoft (o di chiunque).

Per open source:  Q: è sicuro?  A: Non lo so  Q: come posso scoprirlo  A: chiedi l'opinione di un esperto, Google per un elenco, ...

    
risposta data 30.12.2011 - 03:06
fonte

Leggi altre domande sui tag