Il giorno 14 gennaio 2014 11:12, Mario Alexandro Santini < alexmario74@xxxxxxxxx> ha scritto: > > > > 2014/1/14 Fabrizio <fabritrento@xxxxxxxxx> > >> >> >> ma quindi alla fine non ho capito... le porte del bunker in caso di >> attacco devono essere aperte o chiuse? >> > > Immagino che tu le chiuderesti tutte come farebbe chiunque, ma magari ti > farebbe piacere sapere che una non si chiude bene o che si può comunque > aprire, in qualche modo, da fuori. > guarda, secondo me prima dell'attacco del nemico appicicare all'esterno della porta poco aperta un vademecum su come aprirla è da pazzi suicidi! che facciano almeno un pò di fatica per aprirla così intanto ci piazzo del C4 dall'interno :P > > Ovvero, stai parlando di cose in maniera superficiale e senza comprendere > appieno il problema. > può darsi non ho la presunzione di voler sempre aver ragione :) > > >> >> >>> >> e non si può non essere d'accordo al 100% su questo? >> >> > > Come vuoi, mi perdonerai se io, invece, mi allineo all'opinione tecnica > dei più grandi esperti al mondo di sicurezza informatica. > sono convinto che ce ne sono molti di quelli che la pensano come me! :) > > > >> dipende da quanto tempo resta in piedi il software bacato. Ma se sei che >> è bacato con una voragine e hai la necessità che funzioni senza >> interuzioni, che ne so, per un paio di giorni, non ti conviene rendere noti >> i sorgenti subito, ma al terzo giorno quando il server è spento. sei o non >> sei d'accordo su questo? >> > > Se ho bisogno di un server sicuro utilizzo un server che penso sia sicuro > e cerco di sistemarlo al meglio delle mie capacità. > e se sei cosciente di non averne avuta la posibilità e quindi sei cosciente che sia esposto a rischi in produzione e aperto al mondo? > > Se ho bisogno di un server per fare delle prove e non c'è su materiale che > devo proteggere, allora potrebbe anche non interessarmi che sia sicuro. > ovvio > > In entrambi i casi, mi farebbe piacere che i pregi come i difetti siano > pubblici. > > Perché in entrambi i casi mi affiderei comunque a software libero e mai a > software proprietario. > ma e se tra chi legge i difetti che hai reso pubblici c'è chi sta cercando proprio di mettere il tuo server ko? (ricordo che ha una voragine ed è in produzione) Io credo che la priorità assoluta sia di proteggere i dati, prima ancora del sistema. soprattutto se si parla di votazioni o di trasferimenti bancari. > > > >> >> sono daccordo in generale, quando il software è sviluppato seguendo le >> buone regole e in maniera aperta fin dall'inzio. Ma non sempre è così, e se >> un software in produzione ha bachi che solo tu che l'hai sviluppato ne sei >> a conoscenza, e ti serve assolutamente che rimanga in piedi altri 2 >> giorni... scusami tanto ma sei un coglione se dichiari al mondo che il tuo >> software ha un grosso baco e non solo lo descrivi, ma rendi noti i dettagli >> anche nei minimi particolari del difetto. Aspetti di spegnere il server, e >> poi lo rendi noto. E' questione di buon senso... >> > > Mettiamola così. > > Il software open source può essere sicuro se fatto bene, il software > proprietario non sai se è sicuro. > sono d'accordo al 100%! mai detto il contrario, ma è un altro il punto > > Perché la gente si ostina ad utilizzare del software proprietario? > Ma perché nella maggior parte dei casi non hai bisogno di un alto livello > di sicurezza. > o per ignoranza anche.. convinta che sia più sicuro e invece non lo è affatto. > > > >> >> proprio perchè era un colabrodo, se qualcuno avesse avuto la necessità di >> usarlo e patcharlo grossolanamente in segreto per tenerlo in piedi 2 >> settimane e poi spegnerlo, e solo dopo avesse pubblicato la patch, non >> gliene farei una colpa. >> >> > Insomma, per te è meglio non sapere, così non fa male. > Capisco, ma non posso condividere. La tua è una posizione tecnicamente non > giustificabile. > > eh lo so, un server colabrodo messo in produzione senza patch è già una situazione tecnicoamente non giustificabile. Ma era quello il punto di partenza! so anch'io che la premessa ideale è partire con un software aperto, testato, stabile. Ma se la condizione iniziale non è quella, non è un buon motivo per mandare a monte il progetto o renderlo chiuso... meglio che i sorgenti vengono rilasciati in ritardo, piuttosto che mai!!! Pensiamo invece alle battaglie contro chi si ostina a non rilasciare i sorgenti ne ora ne mai! Quello si!