[Soci SLIP] Linux in biblioteca

Lucio Crusca lucio a sulweb.org
Gio 4 Gen 2018 17:38:06 CET

Messaggio precedente: [Soci SLIP] Linux in biblioteca
Prossimo messaggio: [Soci SLIP] La sicurezza non esiste (Patch PTI)
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]


Il 04/01/2018 15:59, Alessandro Pasotti ha scritto:
> Rewind:
 >
> Sto parlando della tua ultima affermazione: "perché nessun software è 
> intrinsecamente più sicuro di un altro."

Affermazione probabilmente infelice ed imprecisa. Se dico: «Nessun 
software può essere considerato intrinsecamente più sicuro di un altro 
solo perché è software libero» ti piace di più?

> 
> Questo non è vero: la sicurezza di un particolare software dipende da 
> molte metriche (linee di codice, linguaggio, I/O e chi più ne ha più ne 
> metta), ora se la logica non è un'opinione, la tua affermazione può 
> essere riscritta come "tutti i software sono intrinsecamente uguali per 
> quanto riguarda la sicurezza" 

Al netto di quanto detto sopra, probabilmente c'è anche una parte di 
verità in questa affermazione così come l'hai riscritta, se non altro da 
un punto di vista puramente teorico. Escludiamo per un attimo i software 
banali ed inutili ovvero quelli che non processano alcun input 
arbitrario (quindi escludiamo tutti gli Hello World e compagnia 
briscola). Quelli che restano, ovvero tutti quelli che hanno a che fare 
con input imprevedibile e che sono quelli utili, sono probabilmente 
tutti insicuri "allo stesso modo", se quel che cerchiamo è una garanzia 
di sicurezza a priori.

Ovviamente poi, se ci stacchiamo dalla teoria pura e sterile e facciamo 
i conti con la pratica, ci sono software più sicuri e meno sicuri ed il 
software libero è presumibilmente o statisticamente più sicuro (ma non 
intrinsecamente).

> Ma forse volevi dire che "tutti i _sistemi operativi_ sono 
> intrinsecamente uguali per quanto riguarda la sicurezza"? Anche questo 
> sarebbe facilmente confutabile.

No, non volevo dire quello, anche se l'idea di dire qualcosa di simile, 
ma con altre parole, mi stuzzica alquanto. Ovvero con le parole che ho 
usato per i programmi, qui sopra. In fondo un sistema operativo altro 
non è che un insieme di programmi (tornando sulla sterile teoria) e se 
la sicurezza di una catena dipende dall'anello più debole, quello che si 
può dire di un software in termini di sicurezza è valido anche per 
l'intero sistema.

La pratica continua ad essere un pochino diversa (per fortuna) e quindi 
un sistema operativo libero in pratica è presumibilmente e 
statisticamente più sicuro di uno proprietario, ma se un CED basa solo 
su questo le politiche di sicurezza della rete informatica, parte male. 
Ed è solo questo quello che volevo dire in pratica.

Messaggio precedente: [Soci SLIP] Linux in biblioteca
Prossimo messaggio: [Soci SLIP] La sicurezza non esiste (Patch PTI)
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

Maggiori informazioni sulla lista Soci