<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Jun 28, 2020, 14:39 Lucio via SLiP <<a href="mailto:slip@liszt.softwareliberopinerolo.org">slip@liszt.softwareliberopinerolo.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Il 28/06/20 00:52, Valentino Bocchino via SLiP ha scritto:<br>
> perché come ha detto Lucio, <br>
> il software libero rimane comunque vulnerabile come tutti alle falle di <br>
> sicurezza, ma l'unica differenza sta nel fatto che sono tutte alla luce <br>
> del sole e spesso e volentieri risolvibili facilmente e in tempi più <br>
> rapidi.<br>
<br>
Questo non l'ho detto. In parte lo condivido, ovvero il fatto che il <br>
codice sia pubblicamente disponibile va a vantaggio della rapida <br>
scoperta e correzione delle falle di sicurezza, ma il fatto che poi <br>
questa rapida scoperta e correzione materialmente si realizzi è solo una <br>
presunzione.</blockquote></div></div><div dir="auto">Si scusami, non avevo specificato che da questo punto in poi: "ma l'unica differenza..." era un mio commento. Comunque sì, anch'io non sono completamente d'accordo con quel commento che ho scritto, perché la verità assoluta è molto difficile da raggiungere, ed io non sono ancora una divinità, infatti il mio commento non copre alcune eccezioni (infatti non è appunto sempre vero) caratterizzate da alcuni bug come quello citato da Lucio, che non sono stati gestiti nei migliori dei modi. Alla fine siamo esseri umani, e indipendentemente da tutto, facciamo errori in continuazione. </div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Un famoso esempio è l'integer overflow nella funzione do_brk() del <br>
kernel linux (vedi CVE-2003-0961), che permetteva ad un utente non <br>
privilegiato di diventare root senza saperne la password. Il bug è stato <br>
segnalato e corretto nel 2003, ma era lì sotto gli occhi di tutti gli <br>
sviluppatori da circa 10 anni e nessuno se n'era accorto...<br>
<br>
Ci sono molti altri esempi, magari non eclatanti come CVE-2003-0961, ma <br>
molto più recenti e comunque di un certo "spessore", che ci impediscono <br>
di dire "libero=più sicuro".<br>
<br>
> *Ho messo questo "disclaimer", in quanto dopo l'ennesima volta che mi <br>
> associo con Lucio, non vorrei che qualcuno di voi si facesse qualche <br>
> idea del genere e quindi volevo preventivamente mettere le cose in <br>
> chiaro (= non sono pilotato da Lucio, ma mi associo spesso alle sue idee <br>
> in quanto sono molto simili alle mie e quindi mi risulta comodo)<br>
<br>
Excusatio non petita, accusatio manifesta? Tranquillo, credo che nessuno <br>
si fosse posto il problema e poi essere d'accordo con me è abbastanza <br>
naturale, visto che ho sempre ragione... ;)<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Divertente il "visto che ho sempre ragione" :D</div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
-- <br>
SLiP mailing list<br>
<a href="mailto:SLiP@liszt.softwareliberopinerolo.org" target="_blank" rel="noreferrer">SLiP@liszt.softwareliberopinerolo.org</a><br>
<a href="https://liszt.softwareliberopinerolo.org/listinfo/slip" rel="noreferrer noreferrer" target="_blank">https://liszt.softwareliberopinerolo.org/listinfo/slip</a><br>
</blockquote></div></div></div>