[Soci SLIP] Linux in biblioteca
Lucio Crusca
lucio a sulweb.org
Gio 4 Gen 2018 17:38:06 CET
Il 04/01/2018 15:59, Alessandro Pasotti ha scritto:
> Rewind:
>
> Sto parlando della tua ultima affermazione: "perché nessun software è
> intrinsecamente più sicuro di un altro."
Affermazione probabilmente infelice ed imprecisa. Se dico: «Nessun
software può essere considerato intrinsecamente più sicuro di un altro
solo perché è software libero» ti piace di più?
>
> Questo non è vero: la sicurezza di un particolare software dipende da
> molte metriche (linee di codice, linguaggio, I/O e chi più ne ha più ne
> metta), ora se la logica non è un'opinione, la tua affermazione può
> essere riscritta come "tutti i software sono intrinsecamente uguali per
> quanto riguarda la sicurezza"
Al netto di quanto detto sopra, probabilmente c'è anche una parte di
verità in questa affermazione così come l'hai riscritta, se non altro da
un punto di vista puramente teorico. Escludiamo per un attimo i software
banali ed inutili ovvero quelli che non processano alcun input
arbitrario (quindi escludiamo tutti gli Hello World e compagnia
briscola). Quelli che restano, ovvero tutti quelli che hanno a che fare
con input imprevedibile e che sono quelli utili, sono probabilmente
tutti insicuri "allo stesso modo", se quel che cerchiamo è una garanzia
di sicurezza a priori.
Ovviamente poi, se ci stacchiamo dalla teoria pura e sterile e facciamo
i conti con la pratica, ci sono software più sicuri e meno sicuri ed il
software libero è presumibilmente o statisticamente più sicuro (ma non
intrinsecamente).
> Ma forse volevi dire che "tutti i _sistemi operativi_ sono
> intrinsecamente uguali per quanto riguarda la sicurezza"? Anche questo
> sarebbe facilmente confutabile.
No, non volevo dire quello, anche se l'idea di dire qualcosa di simile,
ma con altre parole, mi stuzzica alquanto. Ovvero con le parole che ho
usato per i programmi, qui sopra. In fondo un sistema operativo altro
non è che un insieme di programmi (tornando sulla sterile teoria) e se
la sicurezza di una catena dipende dall'anello più debole, quello che si
può dire di un software in termini di sicurezza è valido anche per
l'intero sistema.
La pratica continua ad essere un pochino diversa (per fortuna) e quindi
un sistema operativo libero in pratica è presumibilmente e
statisticamente più sicuro di uno proprietario, ma se un CED basa solo
su questo le politiche di sicurezza della rete informatica, parte male.
Ed è solo questo quello che volevo dire in pratica.
Maggiori informazioni sulla lista
Soci