Puoi dare a terze parti il potere di controllare quale codice sta funzionando il tuo server?

0

Le applicazioni Web sui server spesso svolgono attività in cui gli utenti devono fidarsi di loro, ad es. memorizzazione sicura delle password.
Esiste un modo per consentire all'utente di convincersi che il server sta effettivamente facendo ciò che dovrebbe fare, ad es. controllando che stia davvero eseguendo una compilazione non modificata del codice sorgente che è pubblicamente disponibile?

    
posta Benjoyo 06.09.2015 - 22:47
fonte

1 risposta

1

La domanda credo sia più generale che proteggere le password.

Is there any way of letting the user convince himself that the server is actually doing what it is supposed to do, e.g. by checking that it is really executing an unmodified compilation of the source code that is publicly available?

Esiste un consorzio di aziende (Microsoft e altre ...) chiamato Trusted Computing Group che ha l'obiettivo di utilizzare hardware e software per farlo.

Tuttavia, l'iniziativa è controversa in quanto proteggerebbe anche l'utente da se stesso. Richard Stallman si è opposto con fermezza all'iniziativa e lo chiama treacherous computing: una delle sue preoccupazioni era che il TC sarebbe stato utilizzato da Hollywood per imporre il DRM su una sola macchina.

In pratica - questo ha raggiunto un'altezza nella cosiddetta controversia sulla crittografia AACS nel 2007-9 + con il cracking di Blu Ray. Se TC fosse stata applicata allora una grande percentuale dei televisori e lettori DVD del mondo sarebbe stata murata.

Da allora, il mercato libero e i consumatori sembrano aver prevalso sui "disegni infidi" dei consorzi dei media semplicemente perché non c'è alcun senso economico nel proteggere i consumatori contro se stessi e ancor meno nel senso economico nel far funzionare il televisore solo perché si scorreva senza protezione contenuti.

Torna alla tua domanda: è tecnicamente fattibile, ma non di gran lunga una caratteristica dei prodotti nei moderni sistemi operativi. Se si desidera eseguire il rollover, questo viene fornito con alcuni googling link

C'è un importante problema correlato a garantire l'integrità del codice distribuito; questo è gestito superbamente in git usando gli hash SHA1. Quando utilizzi Git per distribuire il tuo codice, hai garantita l'integrità.

    
risposta data 07.09.2015 - 08:33
fonte

Leggi altre domande sui tag