Just nu i M3-nätverket
Gå till innehåll
Pentti H

Det här med öppen källkod. Hur kan man veta?

Rekommendera Poster

Många linuxanvändare brukar lyfta fram det som kallas "öppen källkod" (open source) som innebär att "vem som helst" kan kontrollera koden själv för att se att den inte gör några dumheter och därför är säkrare än låst källkod. Det är ju naturligtvis en utmärkt idé.
Men, faktum är ju att "vem som helst" kan inte kontrollera koden, då den absoluta majoriteten av användarna inte har kunskapen utan får förlita sig på de få som kan den och de ännu färre som faktiskt kontrollerar koden, om det ens sker?
Hur vet vi att koden i t.ex. en Linuxdistrubition verkligen har kontrollerats?

Anledningen till att jag frågar är att jag, som en del kanske minns var ett stort fan av den kinesiska Linuxdistributionen "deepin" som jag använde länge trots att jag vet hur stor makt den kinesiska regimen har över alla inhemska företag. Jag förlitade mig på att åtminstone någon som kan läsa kod faktiskt gjort det med deepin. Nån måste ju ha gjort det, eller hur? Men sen slog det mig, kontrolleras koden efter varje uppdatering också? Det kanske inte finns något som kan användas i t.ex. cyberkrigsföring just nu, men torde enkelt gå att installera vid en uppdatering inbillar jag mig.
Jag lät min paranoia vinna och återgick till Linux Mint, men saknar ögongodiset av någon anledning så jag tittar på Feren OS (KDE-baserad nuförtiden) som är ganska nära deepin rent estetiskt.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Dom riktigt stora kommersiella distributionerna som ubuntu och redhat som tar betalt för utbildningar och support och grejjer, dom har antagligen kontrollmekanismer på plats. Och det går nog att gräva fram beskrivningar hur dom jobbar på deras site om du verkligen vill.

 

Mindre distributioner har nog inte samma möjligheter att kontrollera ändringar. Men sen så kontrollerar ju Linus väldigt mycket av de ändringar som går in i kärnan av linux. Men systemen runt om kring kan det nog finnas frågetecken runt.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
4 timmar sedan, skrev Mikael63:

Verkar som de bytt från Linux Mint till Ubuntu som grund med den senaste versionen
Från deras hemsida:

Feren OS is a British-made Linux Distribution that is based on Ubuntu, one of the most popular Linux Distributions out there and well regarded for rock solid stability. This means you'll be able to do more tasks without much of the fuss with Feren OS

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Vem som helst kanske inte betyder "alla" i kontexten. Men det kan vara allt från studenter, proffionella, hobbyprogrammerare, nördar eller företag. 

 

Att du inte kan läsa kod, betyder inte att du inte kan bidra. Ett sätt att bidra (indirekt) är att du hittar en bugg och rappoterar den kanske på githubsidan för projektet. Det som händer är att någon som kodar i projektet eller någon utifrån tittar på det som du rapporterat och levererar en patch på buggen. 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Du har en intressant frågeställning.

Eftersom det tycks finnas en hel del som jobbar med att hitta säkerhetshål så antar jag att det även finns de som, kanske, hoppas att det ska finnas något säkerhetshot i öppen källkod och få vara den förste som kan informera om det. Kanske just därför kan det vara så att Deepin och andra prylar från Kina granskas extra, både av myndigheter och av privathackare.

 

En illasinnad kod bör ju rimligen (men jag har inte vetskap om detta) vara "enkel" att peta in i en uppdatering.

Det är väl dock så att uppdateringarna rimligen bör passera någon form av kontroll innan de släpps tillgänglig via Uppdateringshanteraren. (Många program släpar ju efter flera versioner där)

 

Låt säga att teamet bakom Firefox lackar ur. De ser till att en uppdatering finns tillgänglig men inte som nerladdningsbar länk utan direkt via Firefox själv. (man brukar kunna se det under Om/About)

Uppdateringen installeras automatiskt och slår igenom när Firefox startar och vips skickas alla dina sparade lösenord iväg någonstans.

 

Ot. ska vi fortsätta med alternativ till Mint så tycker jag att elementary OS verkar okej. Har testat det i några omgångar men inte arbetat med den i egentlig mening.

 

Installerade Emmabuntüs på en trött iMac men kollade bara att allt fungerade innan jag gav bort den som "sovrums-tv".

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Naturligtvis finns det säkerhetshot i även i öppen källkod. En orsak är nuvarande uppdateringshysteri. Nya funktioner läggs till utan ingående testning. Ingen hinner kontrollera all ny kod genast. I princip bör man räkna med att uppdateringarna är β-versioner, ibland  α. Men det är större chans att bakdörrar och annan illvillig kod upptäcks och rapporteras.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
57 minuter sedan, skrev Mikael63:

Du har en intressant frågeställning.

Eftersom det tycks finnas en hel del som jobbar med att hitta säkerhetshål så antar jag att det även finns de som, kanske, hoppas att det ska finnas något säkerhetshot i öppen källkod och få vara den förste som kan informera om det. Kanske just därför kan det vara så att Deepin och andra prylar från Kina granskas extra, både av myndigheter och av privathackare.

 

En illasinnad kod bör ju rimligen (men jag har inte vetskap om detta) vara "enkel" att peta in i en uppdatering.

Det är väl dock så att uppdateringarna rimligen bör passera någon form av kontroll innan de släpps tillgänglig via Uppdateringshanteraren. (Många program släpar ju efter flera versioner där)

 

Låt säga att teamet bakom Firefox lackar ur. De ser till att en uppdatering finns tillgänglig men inte som nerladdningsbar länk utan direkt via Firefox själv. (man brukar kunna se det under Om/About)

Uppdateringen installeras automatiskt och slår igenom när Firefox startar och vips skickas alla dina sparade lösenord iväg någonstans.

 

Ot. ska vi fortsätta med alternativ till Mint så tycker jag att elementary OS verkar okej. Har testat det i några omgångar men inte arbetat med den i egentlig mening.

 

Installerade Emmabuntüs på en trött iMac men kollade bara att allt fungerade innan jag gav bort den som "sovrums-tv".

 

Jo, uppdateringar passerar ju en kontroll, men den kontrollen görs ju inte externt (inte förrän "långt" senare. Säger staten att nu ska ni göra si och så kommer ju deepin, inte minst för att staten är deras största kund (om nu Huawei inte blivit det på senare tid då de anammat den i sina laptops) att göra så och det passerar kontrollen tänker jag.

Säkert är det som du säger att just för att deepin är kinesiskt så torde det vara fler som är intresserade av att hitta något. Det är ju alltid en fjäder i hatten om inte annat.
Men har man nånsin hittat någon distro som haft fuffens för sig? deepin anklagades ju för det för ett par år sen då någon kollade nätverkstrafiken, men det visade ju sig vara ganska harmlöst.
Jag kan nu inte läsa kod, men jag kan tänka mig att det är ett digert jobb när man gör det, det lär väl vara några miljoner rader eller så...

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Manjaro har ju en fin programförklaring i alla fall...

"Your data not ours

Manjaro does not send any data to anybody. Why should it? It’s your data and you decide what you want to do with it. You can decide if you want to use services that finance themselves with the data you generate. But you also can decide to secure, hide and protect your data and use open source software which is directly available in Manjaro’s repositories and has been additionally checked by the package maintainer."

 

https://manjaro.org/features/under-your-control/

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
På 2020-01-24 på 13:22, skrev Pentti H:

Hur vet vi att koden i t.ex. en Linuxdistrubition verkligen har kontrollerats?

Bra fråga, för min egen del är det nog så att jag vet inte om koden verkligen har kontrollerats. Jag antar att den troligen har gjort det och att det finns tillräckligt många utvecklare för att någon ska hitta ifall det finns försök att smyga in illasinnad kod.

 

Linux Mint hade problem för några år sedan med hackade ISO filer, men där gick man ut snabbt och informerade om vad som hade hänt. 

 

Att få många användare att välja en viss distribution bygger på att användarna har förtroende för den. Av den anledningen antar jag det finns ett intresse av att hålla koden så fri det är möjligt från skadlig kod, för om detta slarvas lär det förr eller senare komma till kännedom och då är det lätt för användarna att bara byta till en annan distribution. 

 

Det som hände med Linux Mint visar att även Linux kan drabbas, men genom deras snabba agerande och öppenhet om vad som hade hänt, gör att jag har fortsatt förtroende för dem.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...