За что не любят Инфиум?

[lasuerte.livejournal.com]

За что куча людей, вполне лояльно относящихся к обычному кипу, так не любят инфиум и обзывают его полной фигнёй?
Я понимаю, за что многие не любят винду, классическую вообще козу отпущения, или, например, неро, понимаю, за что могут любить и не любить какие-нибудь там менеджеры закачек - они сильно отличаются и одни люди первостепенно важными считают одни функции, а другие - другие..
Но чем так глобально инфиум хуже кипа? Я в нём никаких объективных недостатков кроме разве что невозможности поставить себе шарик не находила. Неужели из-за шарика? В чём разница-то?

Comments

[sb16.livejournal.com]

Закрытый код не значит, что в софте есть бекдор и наоборот - открытый код никак не гарантирует, что в софтине нет бекдора.

[stiver-rus.livejournal.com]

Совершенно верно. А если на улице темно, то это еще не значит, что наступила ночь - возможно всего лишь солнечное затмение :) Речь всегда имет о вероятностях и с этой точки зрения я однозначно выбираю открытый код.

[lasuerte.livejournal.com]

И копаетесь в нём, чтобы убедиться в его чистоте?

[stiver-rus.livejournal.com]

Если на карту поставлена важная информация или значительная сумма денег, то да, естественно. Или сам, или спрашивая мнение покопавшихся до меня.

[sb16.livejournal.com]

Кен Томпсон наглядно показал всему миру, что открытый код ещё больше вводит в заблуждение (: Так что я доверяю только своему дебаггеру.

[expp.livejournal.com]

А что это за история с Кеном Томпсоном?

[sb16.livejournal.com]

http://en.wikipedia.org/wiki/Backdoor_(computing)#Reflections_on_Trusting_Trust

Данный дядя был разработчиком UNIX-софта, в частности компилятора C. Он как-то раз решил проверить на сколько надёжен опен-сорсный софт. Для этого он выпустил бинарик компилятора с бекдором, который при компиляции программы login добавлял в неё код, чтобы на любую машину можно было залогинится с его логином. Также бекдор добавлял сам себя каждый раз при перекомпиляции самого компилятора. Однако ни в исходниках login ни в исходниках компилятора никакого бекдора не было. Так как чтобы хоть что-то скомпилить надо сначала достать бинарный компилятор, а такой есть только у Кена, и в исходниках не было никакого намёка на противоправные действия, то все пользователи стали его жертвами. Далее он даже в дизассемблер вставил код, чтобы при дизасме софта с бекдором не было видно этого кода.

А вообще в мире опен-сорса подобные вещи не новость и говорить о его безопасности как минимум не корректно ни с одной точки зрения.

[stiver-rus.livejournal.com]

Боюсь Вы неправильно переводите :) "выпустил" и "стали" следует читать как "выпустил бы" и "стали бы", так как эксперимент Томпсона не вышел за стадию умозрительной статьи и локальной реализации на уровне proof of concept. Поэтому у нас к сожалению нет возможности оценить, насколько эффективной была бы такая схема и через какое время пользователи ее бы обнаружили.

[sb16.livejournal.com]

Во-первых, в статье написано что штука была выпущена на волю, во-вторых, гугл даст больше информации.

[stiver-rus.livejournal.com]

Как раз там написано, что _не_ была выпущена (This version was, officially, never released into the wild.) Все, что идет после "It is believed, however, that.. " переводится как "Одна бабка сказала, что .." :) Возьмите словарь, в конце концов.

В другом источнике то же самое: Ken says the crocked compiler was never distributed.

[sb16.livejournal.com]

Даже если конкретно эта штука никуда и не выплыла, это не отменяет случаев поизонинга репов Linux и Firefox несколько лет назад бекдорами и троянами.

[kisa-i-osya.livejournal.com]

Читаем про Conficker (http://blogs.pcmag.ru/node/1012) и вспоминаем сколько таких было и будет на закрытой ОС...

[dentudo.livejournal.com]

спасибо, повеселили! :)

На самом деле даже если предположить, что каждый второй разработчик OSS вписывает в код по бэкдору каждое воскресенье, то у нас с вами есть вполне реальная возможность прочитать весь код и обнаружить это. Берём исходники и читаем. Не доверяем компилятору - пишем свой в конце концов, чтобы собирать прочитанный код не боясь ничего :)

А вот с закрытым кодом такой возможности нет. Можно плясать с дебаггерами (вокруг скайпа кстати попробуйте с дебаггером, насколько я знаю танец получится забавным), фаерволлами смотреть что куда лезет - но эффективность будет заведомо меньше.

Свежий пример - Nokia и QT.

[sb16.livejournal.com]

На самом деле даже если предположить, что каждый второй разработчик OSS вписывает в код по бэкдору каждое воскресенье, то у нас с вами есть вполне реальная возможность прочитать весь код и обнаружить это. Берём исходники и читаем. Не доверяем компилятору - пишем свой в конце концов, чтобы собирать прочитанный код не боясь ничего :)

Это один из самых распространённых мифов мира Open Source. Согласитесь, ни вы ни ваши друзья сорсы каждый релиз не чекаете и сил написать полноценный C++ компилятор с нуля у вас не хватит. Так что не надо бред писать.

А вот с закрытым кодом такой возможности нет.

Берём в руки Hiew! И всё как на ладони. После получения определённого опыта сторонний софт уже не нужен и будет хватать ноутпада.

вокруг скайпа кстати попробуйте с дебаггером, насколько я знаю танец получится забавным

Вы насколько-то там знаете. Молодец! Кстати, StarForce тоже не взламывается никак, тем не менее RELOADED, HOODLUM и RAZOR1911 регулярно выпускают игры под ним уже без него. Более того, игры под StarForce выполняются не в машиноом коде, а в VM StarForce с собственным бинарным кодом. Товарищи из упомянутых групп перекомпиляют эту фигню в нормальный x86 код. Вы думаете Skype защищён круче, чем SF? Не смешите, да?

Вывод из всего этого простой. Open Source - игрушка для ламеров, которые от вида бинарика впадают в ступор и вообще предпочитают скрипты на перле программам на C++.

[dentudo.livejournal.com]

Это не миф. Любой человек действительно имеет возможность прочитать код. И то, что мало кто этой возможностью пользуется вовсе не делает её мифом. И не будем спорить о том, что если один человек из миллиарда имеющих возможность прочитает и найдёт, это станет известно всем уже на следующий день, что довольно неплохо дисциплинирует разработчиков, не позволяя им писать "абы как".

Про скайп - та же фигня. При чём тут старфорс? Я не хуже Вашего знаю, что код большинства программ можно исследовать. Но я писал о скайпе - не читал ни одной статьи об успешном исследовании этой программы, но читал о нескольких безуспешных.

[sb16.livejournal.com]

Это как раз-таки миф. Открытость кода редко дисциплинирует разработчиков. Если вы программер - глянте в код, в большинстве случаев там мясо, в котором разобраться намного сложнее, чем в бинарике. Всё ж компиляторы не идиотами писаны и бинарик обычно лучше исходников выходит. И ничего не станет известно на следующий день (:

Насчёт скайпа - я вообще ни разу не слышал чтобы в него лазали. Ну раз безуспешно лазали, значит вот такие вот идиоты лазали.

[kisa-i-osya.livejournal.com]

Не проецируйте свою малограмотность на всех, а? ;-)

[dentudo.livejournal.com]

Я программер почти никакой, и то, что весь код, в который я залезал посмотреть был мне понятен лишь укрепляет меня в моём мнении. Хреновый код и мастера программирования с трудом читают.
Поймите и примите одну простую вещь - открытый код лучше закрытого тем, что он открытый. Любой желающий может его прочитать, убедиться в отсутствии незаявленной функциональности и даже предложить автору исправление какого-либо ляпа. В закрытом коде - что написали то и написали, дебаггер даёт лишь своё представление о том, как выглядел код на основании бинаря. И всё.
Качество кода, наличие или отсутствие бэкдоров/глюков и грязных хаков зависит в первую очередь от программиста. И лишь во вторую от открытости.

Если Вам неймётся оспаривать очевидное - оспаривайте, но без меня. Я люблю конструктивные диалоги.

[kisa-i-osya.livejournal.com]

Единичный факт (и не факт, кстати, насколько помню) не опровергает статистику, которая говорит, что через древнюю дыру в протоколе Microsoft SMB ботнетчики отымели уже, по-моему, 10% всех компов в мире :-)

[sb16.livejournal.com]

А через дыру в старом BIND (версия 8 если не ошибаюсь) отымели кучу хостингов и что?

[kisa-i-osya.livejournal.com]

В том что для открытых систем такие эксцессы как с BIND -- редкий случай, исключение, о котором потом говорят годами, а для Windows, скажем, -- норма повседневного существования 8)

[sb16.livejournal.com]

Кто вам такие сказки нарассказывал? Во-первых, для винды это нифига не норма. Вспомните как часто были похаканы виндовые сервера? Во-вторых, как раз у опен-сорса и есть масса косяков из-за модели разработки. Посмотрите статистику как часто ломают серваки с сайтами на опен-сорсных движках на PHP - тоннами каждый день (: К тому же большинство опен-сорс программеров - дети и начинающие всякие, которых к написанию production ready продуктов вообще подпускать нельзя. Конечно есть и хорошие продукты с отличными программерами в команде, но среди закрытого софта это более частое явление.

[kisa-i-osya.livejournal.com]

Не норма? Выходит, что, зря Windows 7 сразу после установки выдает предупреждение: поставьте антивирус! ;-) А истории с Конфикером, Сламом, да любую пандемию возьмите -- это мне показалось? ;-)

Что до сайтов... Скажем, тот же Шарепойнт ломают почище, только скажите, он не стоит сотнями на каждом драном хостинге за пять баксов. Стоял бы -- его бы имели почем зря (впрочем, ща если Microsoft свой Web Server 2008 продвинет, думается, геммороя поприбавится).

Так, что не надо ляля.

[sb16.livejournal.com]

Антивирус нужен пользователям-идиотам, винда тут ни при чём, так что не надо ляля.

[kisa-i-osya.livejournal.com]

Антивирус нужен всем пользователям Windows. Альтернатива -- в течение недели подцепить всякой пакости, превратив машину в станцию очередного ботнета. Плюс хорошо бы персональный файрволл и систему проактивной защиты. На Mac OS X (не люблю, но факт) почему-то этого не требуется, хотя ее распространенность выросла в разы (раньше говорили "нет вирусов, потому, что она никому не нужна", сегодня уже не так).