Italian community of Lazarus and Free Pascal
Programmazione => Componenti Aggiuntivi => Topic aperto da: DragoRosso - Aprile 10, 2024, 09:27:15 am
-
Vado un pò OT, ma guardate che cosa è successo ultimamente con le distribuzioni di Linux.
Ho seguito molto marginalmente la storia, ma mi pare di avere capito che delle utility "XZ" distribuite con Linux costituivano delle "backdoor", e non per difetto (tipo classico bug possibile in tutti i sistemi operativi e software di questo mondo) ma per volontà di uno degli sviluppatori.
Ritornando al discorso distribuzione del software, il fatto di distribuire un sorgente non garantisce alcunchè perchè sono veramente in pochi a poter leggere tra le righe di codice scritto magari in modo criptico o in assembler e riuscire a comprendere al volo se si stratta di codice "buono" o "nocivo".
Non è che il software "libero" sia più sicuro o meno, sia più "buono" o meno, il fatto che sia libero non implica alcunchè e non fornisce nulla di più (e neanche nulla di meno) rispetto ad un software commerciale tipicamente "blindato".
A questo riguardo, nel mondo del Pascal vedo che è abbastanza diffusa l'usanza che i software a pagamento abbiano l'opzione (con esborso economico o no) di fornitura dei sorgenti (non ulteriormente divulgabili).
Secondo me questo è un bel modo di approcciarsi al cliente, che in qualche modo si sente tutelato.
Io ad esempio uso solo componenti di cui ci sia il sorgente completo (e non importa se costa): ciò garantisce che, se un domani l'ambiente di sviluppo cambia e la società che ha sviluppato i componenti non adegua il suo prodotto, io comunque non rimanga "a piedi".
Con Delphi, ma penso anche con Lazarus, ci sono stati diversi casi in cui componenti di terze parti (senza sorgente completo) sono stati dismessi e i progetti su cui si basavano sono giocoforza stati rifatti (con dispendio di energie non indifferenti).
Devo dire che Delphi si è sempre prodigato per supplire ed alleviare le difficoltà ... vedasi Quick Report, Rave Report, etc ...
E dopo questa divagazione sul tema, meglio che continui a lavorare se no l'unica sorgente che vedrò è quella dell'acqua di fonte (con un tozzo di pane) .... ;D
-
Vado un pò OT, ma guardate che cosa è successo ultimamente con le distribuzioni di Linux.
Ho seguito molto marginalmente la storia, ma mi pare di avere capito che delle utility "XZ" distribuite con Linux costituivano delle "backdoor", e non per difetto (tipo classico bug possibile in tutti i sistemi operativi e software di questo mondo) ma per volontà di uno degli sviluppatori.
Ritornando al discorso distribuzione del software, il fatto di distribuire un sorgente non garantisce alcunchè perchè sono veramente in pochi a poter leggere tra le righe di codice scritto magari in modo criptico o in assembler e riuscire a comprendere al volo se si stratta di codice "buono" o "nocivo".
Non è che il software "libero" sia più sicuro o meno, sia più "buono" o meno, il fatto che sia libero non implica alcunchè e non fornisce nulla di più (e neanche nulla di meno) rispetto ad un software commerciale tipicamente "blindato".
...
Secondo me ci sono delle inesattezze che potrebbero nascere da esperienze personali o dalla mancata partecipazione al mondo open source.
Vorrei quindi aggiustare un po' il tiro.
backdook
In primo luogo, differentemente da come si potrebbe dedurre leggendo sopra, le backdoor non esistono solo nei programmi per Linux ma esistono dalla notte dei tempi. Si inseriscono (se voluto) in ogni programma per ogni sistema operativo.
Detto questo, rilasciare i sorgenti vuol dire maggiore trasparenza e lealtà nei confronti di chi sarà l'utente: un software open source potrebbe avere delle backdoor, perché no, ma il fatto che ti metto in condizione di saperlo, scagiona eticamente il programmatore e/o la casa produttrice. Inoltre ti mette nella condizione di poter fare un fork, di dichiarare di aver rimosso le backdoor e, ovviamente, di dover rilasciare a tua volta i sorgenti.
Un software free o a pagamento ma closed source, non da la possibilità né di venire a conoscenza della presenza di backdook (né di cose peggiori della backdoor) né ti da la possibilità di rimuovere ciò che non è di gradimento.
garanzia del software e sicurezza
Parlando di garanzia e sicurezza, il fatto che sia possibile che in un software open source possano essere presenti delle backdoor, non significa che scenda sullo stesso piano del software closed source. Non è così.
Grazie proprio all'open source ed alle capacità dei programmatori che possono farlo sono stati "smascherati" diversi software.
Ad esempio:
- la backdoor di Interbase (forse era la versione 6.1)
- l'uso del player clementine da parte di linux mint (cambiando nei sorgenti a proprio vantaggio il fee degli utenti)
Parlando di sicurezza, i sorgenti aperti sono anche ispezionabili e in caso ci si dovesse trovare tra le mani un bug, è possibile correggerlo o segnalarlo allo sviluppatore.
I programmi closed source, quando hanno dei problemi di sicurezza, diventano dei veicoli per gente non eticamente corretta.
Ad esempio:
La conclusione, a prescindere dalle convinzioni personali di tutti noi è che: il software open source non è privo di difetti ma permette di correggerli.
Nella realtà di questi anni, questo ha funzionato per diversi progetti e sostenere il contrario non credo sia oggettivo.
Detto questo, usiamo questo forum per rispondere alle richieste degli utenti: non possiamo continuare a farcire i thread delle nostre convinzioni personali.
Non fa bene al forum.
nomorelogic
Edit:
oltre al mea culpa per il (secondo me dovuto) chiarimento OT
segnalo questo link che riguarda le licenze di ext pascal (una panoramica fatta da me qualche tempo fa)
https://www.lazaruspascal.it/index.php?page=108 (https://www.lazaruspascal.it/index.php?page=108)
-
Termino, prometto che non proporrò più commenti personali. Giustamente ci sono altri modi e luoghi per questo.
backdook
In primo luogo, differentemente da come si potrebbe dedurre leggendo sopra, le backdoor non esistono solo nei programmi per Linux ma esistono dalla notte dei tempi
Ho precistao chiaramente :
.... e non per difetto (tipo classico bug possibile in tutti i sistemi operativi e software di questo mondo) ...
Il mio era un discorso per arrivare alla situazione di distribuzione usata molto comunemente per il PASCAL.
Questa affermazione, scusami la presa decisa di posizione, è follia pura ... è per questo motivo che sono contro il software free a priori.
.... un software open source potrebbe avere delle backdoor, perché no, ma il fatto che ti metto in condizione di saperlo, scagiona eticamente il programmatore e/o la casa produttrice ....
Chi agisce in questo modo dovrebbe essere messo agli arresti ... altro che scagionare ... e indipendentemente dalla situazione FREE o NON FREE, OPEN SOURCE o NON OPEN SOURCE. Il mondo non è libero, chi agisce ha responsabilità verso gli altri esserei viventi. Io non posso fare ciò che voglio adducendo "vedi, lo faccio alla luce del sole quindi non sono responsabile" e che c...o.
Detto ciò, con la premessa fatta inizialmente termino e sloggo. Interverrò solo ed esclusivamente per questioni tecniche legate a Lazarus / FPC. Questa volta in modo definitivo.
Chiedo scusa se ho interferito e ho ecceduto oltre lo scopo del forum, ma i problemi etici sono argomenti che mi stanno molto a cuore e non sono capace di starmene in silenzio.
Un saluto a tutti.
-
... ma i problemi etici sono argomenti che mi stanno molto a cuore e non sono capace di starmene in silenzio.
non bisogna stare in silenzio ma si deve parlare, soprattutto di problemi etici, ma nei thread appositi
altrimenti un thread tecnico che potrebbe chiudersi brevemente, diventa di diverse pagine con contenuti OT che ti fanno andar via la voglia di continuare a leggere
nomorelogic
-
Ragazzi, continuate pure qui..
ho splittato il topic in modo da lasciarvi uno spazio per esprimervi.
Stilgar
-
Cmq, giusto per buttare benzina sul fuoco.
Uno sviluppatore M$ ha trovato che su un pacchetto linux - non ricordo la distribuzione - si avevano improvvisamente dei rallentamenti.
Si parla di qualche millisecondo. Indagando ha trovato che era stato infilato un test che produceva cose strane che finivano nel pacchetto rilasciato. Ora non ricordo bene i dettagli del problema, ma risultato finale, linux era attaccabile da remoto.
A parte che il destino ha sempre un senso dell'umorismo sottile, essendo open source è stato possibile trovare il problema e rimuovere il commit da git.
Le cose open source hanno il vantaggio che una persona, chiunque, anche chi lavora per l'impero del male, può intervenire.
Quanti programmatori, persone preparate esistono al mondo che possono revisionare un sorgente? - a me ha fatto le pezze un russo, per dire... -e solo io potevo riuscirci nell'impresa di farsi cazziare per "l'inglese" da un russo-
Il problema dell'open source potrebbe essere che oggi c'è, domani non c'è più.
E qui entreremmo nell'annoso problema dei pacchetti dismessi/incompatibili che ti costringono a diventare pazzo furioso.
PS:
Io son pragmatico. Prendo il buono e il triste da entrambe le filosofie, l'importante è essere consci dei casini dove ti vai ad infilare in uno e l'altro caso.
Stilgar
-
A parte che il destino ha sempre un senso dell'umorismo sottile, essendo open source è stato possibile trovare il problema e rimuovere il commit da git.
Le cose open source hanno il vantaggio che una persona, chiunque, anche chi lavora per l'impero del male, può intervenire.
Infatti è questo il punto...
Non si tratta del senso dell'umorismo ma di possibilità: è stato possibile.
E questo a prescindere da quante siano le persone che possono fare una cosa del genere. Che poi, credetemi, di gente competente che lavora nell'open source ce n'è più di quanta immaginiate.
Se si parla di correzioni di Linux, di patch della sicurezza, di backdoor, ecc... è per un motivo semplice: è open source!
Ora la domanda 1: come si potrebbe fare a partecipare a migliorare e/o debuggare e/o verificare che ci sia codice etico un closed source?
Ok... è un po' retorica lo ammetto: non si può.
Domanda 2 allora: se il motivo fosse il prezzo, e quindi un programma FreeWare ed uno Open Source potrebbero essere equivalenti, per quale motivo dovrei pensare che nel FreeWare non ci sia qualcosa da nascondere?
Anche io sono pragmatico ed uso quello che mi fa più comodo.
Però questo non mi evita di fare delle riflessioni ed avere comunque delle preferenze. :)
Edit:
ho cambiato l'oggetto :)
-
Carissimi,
vorrei solo puntualizzare una cosa che secondo me è importante: l'incidente con xz (che comprometteva le librerie OpenSSL) è stata una operazione ad altissimo livello, probabilmente sponsorizzata da qualche stato, per avere in mano uno strumento formidabile di compromissione dei sistemi che utilizzano OpenSSL (tantissimi). Non è quindi riducibile allo sghiribizzo di un programmatore che sbrocca e decide di passare al lato oscuro.
Se avete tempo da perdere c'è una puntata del podcast di Matteo Flora in cui raccontano dell'accaduto https://open.spotify.com/episode/2VTKwtIm9TnoZePAPMF00J?si=uMZChNsbQ3KZOIkRgFisag&nd=1&dlsi=c2ca602e36bc4143 (https://open.spotify.com/episode/2VTKwtIm9TnoZePAPMF00J?si=uMZChNsbQ3KZOIkRgFisag&nd=1&dlsi=c2ca602e36bc4143) con toni scanzonati ma entrando nel merito.
Qui c'è un altro articolo che riporta altri link interessanti se uno ha voglia di approfondire: https://www.osnews.com/story/139070/open-source-is-about-more-than-just-code/ (https://www.osnews.com/story/139070/open-source-is-about-more-than-just-code/)
Comunque è buffo che il problema sia stato trovato da un ingegnere di Microsoft che si occupa di Postgres (db opensource) sulla piattaforma Azure. Vent'anni fa sarebbe sembrato l'inizio di una barzelletta...
-
Quando dicevo che il destino ha un senso del comico che è stupendo.
Cmq, grazie per i riferimenti puntuali al problema che ricordavo in termini sfumati avevo memorizzato esclusivamente la cosa buffa.
Stilgar.
-
Questa cosa non la sapevo proprio.
Grazie per averla riportata e per i link.