Replying to Avatar linux_privacy

ну ты чего, это ж открытый код. такие сказки то относятся только к прогам с закрытым кодом, а когда код открыт, имеет самостоятельные сборки и прошел аудиты это нереально. ты сам можешь его детально проанализировать через нейронки - прям каждую команду. это все равно, что читать мой этот комментарий и говорить "а вдруг он там написал коммент про водку"😂😂😂 а если тебе пишут про супер-пупер что-то, а код закрыт, то да - там сразу будет как минимум телеметрия спрятана. в таком случае тебе остается только на веру принимать слова разрабов и ты становишься религиозным адептом.
Avatar
Sunny Haze! 1w ago 💬 1

Да это мы все прекрасно понимаем - вот она, открытая книга, прямо перед тобой, читай, проверяй.

Только я могу напомнить тебе один пример, который ты прекрасно знаешь - Бастион. Есть ли хоть кто-то, кто анализировал его код и может утверждать, что всё в нем окейно? Я за 4 года таких умельцев не встречал. Разрабы вообще ничего не комментируют, на вопросы не отвечают. Только появляются иногда критики, которые указывают на некоторые сомнения, на которые разрабы, в свою очередь, не столько отвечают, сколько огрызаются: да вы ламеры, вы никера не понимаете. И при этом немало жалоб на странную работу их приложухи, высокую нагрузку на проц и на кучу глюков при работе. Или, были претензии на то, что на Гите не было найдено какой-то части кода, по интересующему вопросу.

А главное, на невозможность чего никто не даст гарантий, это на то, что скомпилированная программа выполняет именно тот код, что лежит на Гитхабе. Ты можешь гарантировать, что арр Бастиона не напихали чем-то сомнительным и это не представляет угрозы? Скорее всего - нет. И проверить сам ты не можешь, декомпилляция практически нереальна. Экспертиз кода Б. официальных, кстати, тоже никто не проводил.

Еще, к примеру, можешь ли ты быть уверен в "движке" матрикса, который юзает Бастион для шифрованных чатов? Бох его знает, что там шуршит под капотом на серверах Бастиона. К тому же, кодеры, шарящие в этом, с Бастиона свалили. И еще, в коде чата можно найти твой приватный ключ в голом виде. Это, конечно, на твоей стороне, но кто даст гарантию, что этот ключ не утекает куда-то еще? Я не дам. И ведь вывод этого ключа в код кто-то прописал в явном виде. А зачем? Интересный вопрос, не так ли?

Или, как, например, у Василисы грохнули аккаунт, словно это сделал держатель ключа, который этого не делал? И - за что грохнули? - тоже никто не знает. Случайно удалить акк сложно.

А у netabole и того веселее - с ноды ушло несколько сотен покемонов, в неясном направлении, на что разрабы развели руками. А ведь именно они должны были обеспечить защиту от несанкционированного доступа к нодам. Что не сделано, нет даже банального pin-кода на вход в акк, по сути - кошелек. А рулит кошельками арр ноды.

Вопросов немало. И все они про пресловутый открытый код.

Reply to this note

Please Login to reply.

Discussion

Avatar
linux_privacy 1w ago 💬 1

у тебя есть выбор - либо ты выбираешь открытое по, либо закрытое. другого нет. так то можно сомневаться и в составе на упаковках с едой, верить в заговоры ученых про вымышленных динозавров и неандертальцев и тд. но далеко ты на этом уедешь? в любом случае надо делать выбор где общаться, где хранить миллионы в биткоинах, как обходить блокировки провайдера, где хранить файлы, где созваниваться и тд. ну и вот выбирай - какому по ты скорее доверишься. на счет бастиона, к его чести надо сказать, что его блокчейн какой-то аудит проходил, что указано в coinmarketcap и дана оценка безопасности неплохая, а чаты там по сути тупо на протоколе матрикс, который тоже проходил независимые аудиты. но ты можешь сказать, что аудмторов подкупили, и тогда опять же выбор - либо ты идешь в закрытое по, где только и остается фантазировать, либо через хорошую нейронку анализируешь каждую команду кода. если и нейронкам не доверяешь, тогда можешь изучить язык кода и проверить самостоятельно. на самом деле, конечно круто самому все проверять в этой жизни, но чужой опыт может сэкономить время, иначе надо быть программистом, химиком, биологом, физиком, археологом, историком, механиком, инженером и тд, чтоб всё в этой жизни самостоятельно изучить. хотя, было бы круто, если б в детстве это всё преподавали с практическим ежедневным применением

Avatar
Sunny Haze! 1w ago 💬 1

Я имел в виду только то, что наебать может любой "изготовитель". И флажок "свободное ПО" или "открытый код" это что савейский знак качества. Знак есть, но качество не гарантировано. И потому: доверяй, но проверяй. Хоть открытый код, хоть закрытый.

Кстати, к слову, склоняюсь к имеющемуся мнению, что открытый код это часто хотелки одного лица, не имеющие перспектив удовлетворения твоих запросов. Проприетарщина делается в расчете на прибыль, поэтому запросы клиента в разной степени, но удовлетворяются.

"указано в coinmarketcap" - ну да, ну да. Я правда не вдавался в подробности, но это именно про безопасность кода как такового? Насколько я понял, это нечто "о пригодности криптомонеты к торгам на бирже". Удовлетворяет каким-то особым условиям, но в достаточно узком сегменте. При этом тот аудит вполне способен упустить массу моментов, что кто-то может спиздить твои ключи, например.

Ну и главное, что лично меня смущает больше всего: ладно, какой-то там coinmarketcap проверил Бастион. Что, кстати, для меня не сильно убедительно. А почему сам Бастион это не распиарил у себя и не вывесил у себя? Как доктора и всякие разные любят развешивать дипломы и сертификаты в рамочках. Где сертификат, он вообще существует, почему не вывешен на видном месте? Странно это - прятать инфу о себе.

Протокол Матрикс может и прошел аудит, но протокол взят за основу, изменен под себя и помещен на собственный сервер, именно к гипотетической сети "Матрикс" отношения не имеющий. Т.е. работает этот измененный протокол только на Бастион. И что там внутри, по большому счету, никто не знает.

В детстве надо наслаждаться детством и не насиловать детей науками. Потому что детство ничем не заменить и это пока лучшее, что у людей есть, и что нужно беречь. Но понять это непросто...

Avatar
linux_privacy 1w ago 💬 1

ну тогда реально проверяй сам - начни с самостоятельной сборки телефона, затем проверь код и собери ОС. с открытым кодом ты хотя бы это можешь, а с закрытым нет, только вера в чьи-то слова. тут уже давно нечего обсуждать. это элементарная грамотность.

Avatar
Sunny Haze! 5d ago 💬 1

С закрытым кодом ты тоже можешь сделать что-то, что тебе позволяют.

Да, ты во многом прав! Только с грамотностью это всё не имеет ничего общего!

Ты можешь, казалось бы, всё что угодно - взять и ПОВТОРИТЬ! Взять какой угодно код и использовать его у себя. И он работает. Это не чудо, это факт. Это просто работающий код. Который тебе дали. Особенно, если ты его скомпиллировал сам.

А потом ты, уже доверившись рабочему, правильному и хорошему коду, обновляешь свою прогу с улучшениями из готового репозитория...

Ты уверен, что там то же самое, что было, но с улучшениями? Уверен, что не с ухудшениями?

Ты уверен, но это далеко не факт!

А если ты взял уже готовый, скомпиллированный код, ты уверен в том, что тебе дали? Ты же доверяешь автору? Наверное! Но ты уверен, что автор гарантирует тебе безопасность?

Видимо ты уверен, потому что доверяешь открытому коду.

А в это время, я уже говорил - никто не мешает кому-то этот код скомпиллировать по-своему и сделать нечто, что ты понять не сможешь, запустив и исполнив, думая, что этот код чист. А в нем может быть что угодно.

Текстовый код с Гитхаба и скомпиллированный код в проге оттуда же не обязательно равны. Это может быть бомба, закладка, о которой ты ничего не знаешь! Ты НЕ можешь быть уверен, что всё это безопасно. Хотя ты уверен в этом. Вот в чем парадокс и главная проблема открытого кода - в доверии!

Ага, это паранойя! Но ты можешь гарантировать, что она - беспочвенна?

Avatar
linux_privacy 5d ago

еще раз - открытый код ты можешь воспроизвести, закрытый нет. не доверяешь сборкам автора, подписям кода - окей, юзай приложения со своими сборками, компилируй сам. открытый код со всеми сборками для параноиков и создан другими параноиками. бери чужой код и делай вообще свой собственный форк со 100%ным контролем - это ведь твое личное приложение. есть же форки и lineage, и graphene, и кучи линуксов, и приложух ностр. опять таки, тебе параноик всю инструкцию выложил. да, реально нужно уметь самому воспроизводить код и строить приложения и ос. в противном случае, ты доверяешь мнению других, которые шарят и посмотрели этот код, оставили свое мнения - если это популярный код, то врать там бессмыссленно, т.к. тебя сразу же засмеют другие и будет у болтуна репутация лоха. это тоже доп преимущество открытого кода для непродвинутых людей. а в закрытом коде ты только доверяешь автору и не видишь нихрена - ни в вотсапе, ни в инсте, ни в фб и тд. перед твоими глазами только их маркетинговые обещания, т.е. рекламные баннеры. поэтому либо программируй свой код, который для тебя будет открытым, либо бери чужой открытый код воспроизводи его, если умеешь, либо доверяй подписям кода и мнению других разрабов об этом коде, что всегда лучше, чем идти вслепую непоняино куда. а если ты тут закрытый код пытаешься защищать и оправдывать, то поддержки не найдешь - это в бастион к тупоголовым даунам сачкова, это в телегу, в твиттер, в вк и тд. там все с радостью поддержат эту идею потому что им просто некомфортно уходить из привычных закрытокодных мест, и они эту свою слабость оправдывают чем угодно - что не всё так однозначно, что кому я нужен, что ну и пусть мои данные собирают, что удобно и тд. больше я эту тему обсуждать не буду, она решается на уровне логики за 2 минуты даже без дополнительных обсуждений.