Est sécurité par l`obscurité plus sûr que les logiciels open source?

Les utilisateurs de Linux citent souvent des avantages de sécurité comme l`une des raisons de préférer des logiciels open source. Étant donné que le code est ouvert pour tout le monde à voir, il y a plus de yeux cherchant les bogues potentiels. Ils se réfèrent à l`approche opposée, où le code est visible seulement pour les développeurs, comme la sécurité par l`obscurité. Seules quelques personnes peuvent voir le code, et les gens qui veulent profiter de bugs ne sont pas sur cette liste.

Bien que cette langue est commune dans le monde open source, ce n`est pas un problème spécifique à Linux. En fait, ce débat est plus que les ordinateurs. Donc, la question est réglée? Est une approche réellement plus sûr que l`autre, ou est-il possible qu`il y ait la vérité à la fois?

Qu`est-ce que la sécurité par l`obscurité?

Sécurité par l`obscurité est la dépendance à l`égard du secret comme moyen de protection des composants d`un système. Cette méthode est partiellement adoptée par les entreprises derrière les systèmes actuels d`exploitation commerciaux les plus réussis: Microsoft, Apple, et dans une moindre mesure, Google. L`idée est que si les mauvais acteurs ne savent pas un défaut existe, comment peuvent-ils en tirer profit?3 de Windows 98 Bugs Worth Revisiter3 de Windows 98 Bugs Worth RevisiterEst-ce juste la nostalgie qui me pousse attaché à ce système d`exploitation, ou Windows 98 était en fait bon de rappeler? Ce système d`exploitation publié il y a 15 ans a connu des hauts et des bas. Les critiques ont été assez dures ...Lire la suite

Vous et je ne peux pas prendre un pic au code qui exécutez Windows (sauf si vous arrive d`avoir une relation avec Microsoft). La même chose est vraie de MacOs. Google sources ouvertes les composants de base d`Android, mais la plupart des applications restent propriétaires. De même, Chrome OS est la source largement ouvert, sauf pour les bits particuliers qui Chrome séparé de chrome.

Quels sont les inconvénients?

Puisque nous ne pouvons pas voir ce qui se passe dans le code, nous devons faire confiance entreprises quand ils disent que leur logiciel est sécurisé. En réalité, ils peuvent avoir la meilleure sécurité dans l`industrie (comme cela semble être le cas avec les services en ligne de Google), ou ils peuvent avoir des trous flagrants qui s`attardent honteusement des années.

Sécurité par l`obscurité, à elle seule, ne fournit pas un système de sécurité. Ceci est considéré comme une donnée dans le monde de la cryptographie. Le principe de Kerckhoff fait valoir qu`un système de cryptage doit être sûr, même si les mécanismes tombent entre les mains de l`ennemi. Ce principe remonte tout le chemin du retour à la fin des années 1800.

La maxime de Shannon a suivi au 20e siècle. Il dit que les gens devraient concevoir des systèmes sous l`hypothèse que les adversaires immédiatement se familiariser avec eux.

Retour dans les années 1850, serrurier américain Alfred Hobbs a démontré comment crocheter les serrures état de l`art faites par les fabricants qui ont affirmé que le secret fait leurs conceptions plus sûres. Les gens qui font leurs moyens de subsistance (pour ainsi dire) crochetage obtiennent vraiment bon à crochetage. Tout simplement parce qu`ils ne peuvent pas avoir vu auparavant ne le rend pas impénétrable.

Cela peut être vu dans les mises à jour de sécurité régulières qui arrivent sur Windows, Mac OS, et d`autres systèmes d`exploitation propriétaires. Si vous conservez suffisamment privé de code devait garder les vices cachés, ils ne doivent être patché.

La sécurité par l`obscurité ne peut pas être la seule solution

Heureusement, cette approche est seulement partie du plan défensif ces entreprises prennent. Google récompense les gens qui découvrent des failles de sécurité dans Chrome, et il est presque le seul le seul géant technologique d`utiliser cette tactique.

entreprises propriétaires tech dépensent des milliards pour faire leur logiciel de sécurité. Ils ne se fient pas entièrement sur la fumée et des miroirs pour garder les méchants loin. , Ils comptent plutôt sur la sécurité que seule la première couche de défense, ce qui ralentit les attaquants vers le bas en le rendant plus difficile pour eux d`obtenir des informations sur le système qu`ils cherchent à infiltrer.

La chose est, parfois la menace ne vient pas de l`extérieur du système d`exploitation. La sortie de Windows 10 a montré de nombreux utilisateurs que le comportement indésirable peut provenir du logiciel lui-même. Microsoft a intensifié ses efforts pour recueillir des informations sur les utilisateurs de Windows afin de monétiser davantage son produit. Ce qu`il fait avec ces données, nous ne savons pas. Nous ne pouvons pas jeter un oeil sur le code pour voir. Et même si Microsoft ne s`ouvrir, il reste volontairement vague.Microsoft Soulage votre Windows 10 Questions concernant la confidentialitéMicrosoft Soulage votre Windows 10 Questions concernant la confidentialitéAvant la publication des créateurs de mise à jour, Microsoft se penche sur les préoccupations de la vie privée des gens au sujet de Windows 10. Mais cela sera suffisant pour apaiser les défenseurs de la vie privée?Lire la suite

Video: 001 b Installer Processing : débloquer la sécurité du Mac

Est-sécurité Open Source meilleur?

Lorsque le code source est public, plus les yeux sont disponibles pour repérer les vulnérabilités. S`il y a des bugs dans le code, la pensée va, alors quelqu`un va les repérer. Et ne pensez pas faufilant une porte dérobée dans votre logiciel. Quelqu`un remarquera, et ils vous appeler.

Peu de gens attendent les utilisateurs finaux de visualiser et de sens du code source. C`est pour les autres développeurs et experts de sécurité à faire. Nous pouvons dormir tranquille en sachant qu`ils font ce travail en notre nom.

Video: séminaire sécurité Open Source

Ou pouvons-nous? Nous pouvons établir un parallèle facile avec le gouvernement. Lorsque de nouvelles lois ou décrets sont passés, parfois des journalistes et des professionnels du droit scrutent le matériel. Parfois, il va sous le radar.

Video: L'Open Source, l'explication simple grâce à des Legos®

Bugs tels que heartbleed nous ont montré que la sécurité n`est pas garantie. Parfois, les insectes sont si obscurs qu`ils vont des décennies sans détection, même si le logiciel est utilisé par des millions (pour ne pas dire que cela ne se produit pas sur Windows aussi). Il peut prendre un certain temps pour découvrir bizarreries telles que frapper la touche Retour arrière 28 fois pour contourner le lockscreen. Et juste parce que beaucoup de gens peuvent regarder le code ne signifie pas que ce qu`ils font. Encore une fois, comme nous le voyons parfois au sein du gouvernement, les documents publics peut-il aller ignoré simplement parce qu`il est ennuyeuse.

Alors pourquoi est-Linux largement considéré comme étant un système d`exploitation sécurisé? Bien que cela soit en partie en raison des avantages de la conception de style Unix, Linux bénéficie également du nombre de personnes investies dans son écosystème. Avec des organisations aussi divers et variés que Google et IBM au Département américain de la Défense et le gouvernement chinois, il y a beaucoup de partis ont investi dans le maintien du logiciel sécurisé. Étant donné que le code est ouvert, les gens sont libres d`apporter des améliorations et de les soumettre de nouveau pour les autres utilisateurs Linux de bénéficier. Ou ils peuvent garder ces améliorations pour eux-mêmes. Par comparaison, Windows et Mac OS sont limitées aux améliorations qui viennent directement de Microsoft et Apple.Linux est-il vraiment aussi sûr que vous pensez qu`il est?Linux est-il vraiment aussi sûr que vous pensez qu`il est?Linux est souvent considéré comme le système d`exploitation le plus sûr vous pouvez obtenir vos mains sur, mais est-ce vraiment le cas? Jetons un coup d`oeil à différents aspects de la sécurité informatique Linux.Lire la suite

De plus, alors que Windows peut être dominante sur les ordinateurs de bureau, Linux est largement utilisé sur les serveurs et autres pièces de la mission matériel critique. De nombreuses entreprises comme ayant la possibilité de faire leurs propres corrections lorsque les enjeux sont aussi importants. Et si vous êtes vraiment paranoïaque ou le besoin de garantir que personne ne surveille ce qui se passe sur votre PC, vous ne pouvez le faire que si vous pouvez vérifier ce que le code sur votre machine est en train de faire.

Quel modèle de sécurité préférez-vous?

Il existe un consensus général que les algorithmes de chiffrement doivent être ouverts, tant que les clés sont privées. Mais il n`y a pas de consensus que tous les logiciels serait plus sûr si le code était ouvert. Ce ne peut pas être même la bonne question à poser. D`autres facteurs ont une incidence la vulnérabilité de votre système peut être, comme la fréquence des exploits sont découverts et la rapidité avec laquelle ils sont fixés.Comment fonctionne le chiffrement, et est-il vraiment en sécurité?Comment fonctionne le chiffrement, et est-il vraiment en sécurité?Lire la suite

Néanmoins, ce que la nature fermée source de Windows ou macOS vous vous sentirez mal à l`aise? Avez-vous les utiliser de toute façon? Considérez-vous qu`un avantage, pas un préjudice? Chime en!