[S.Li.P] Lettera alla ministra Azzolina

[Lucio]

Il 28/06/20 00:52, Valentino Bocchino via SLiP ha scritto:
> perché come ha detto Lucio, 
> il software libero rimane comunque vulnerabile come tutti alle falle di 
> sicurezza, ma l'unica differenza sta nel fatto che sono tutte alla luce 
> del sole e spesso e volentieri risolvibili facilmente e in tempi più 
> rapidi.

Questo non l'ho detto. In parte lo condivido, ovvero il fatto che il 
codice sia pubblicamente disponibile va a vantaggio della rapida 
scoperta e correzione delle falle di sicurezza, ma il fatto che poi 
questa rapida scoperta e correzione materialmente si realizzi è solo una 
presunzione.

Un famoso esempio è l'integer overflow nella funzione do_brk() del 
kernel linux (vedi CVE-2003-0961), che permetteva ad un utente non 
privilegiato di diventare root senza saperne la password. Il bug è stato 
segnalato e corretto nel 2003, ma era lì sotto gli occhi di tutti gli 
sviluppatori da circa 10 anni e nessuno se n'era accorto...

Ci sono molti altri esempi, magari non eclatanti come CVE-2003-0961, ma 
molto più recenti e comunque di un certo "spessore", che ci impediscono 
di dire "libero=più sicuro".

> *Ho messo questo "disclaimer", in quanto dopo l'ennesima volta che mi 
> associo con Lucio, non vorrei che qualcuno di voi si facesse qualche 
> idea del genere e quindi volevo preventivamente mettere le cose in 
> chiaro (= non sono pilotato da Lucio, ma mi associo spesso alle sue idee 
> in quanto sono molto simili alle mie e quindi mi risulta comodo)

Excusatio non petita, accusatio manifesta? Tranquillo, credo che nessuno 
si fosse posto il problema e poi essere d'accordo con me è abbastanza 
naturale, visto che ho sempre ragione... ;)