Sicurezza e codice sorgente

QUesto forse sarebbe un post da Plug and Pray, ma tutto sommato è anche un argomento di attualità, quindi... ;)

esordisco con il comunicato stampa ufficiale della micrososft :

http://www.microsoft.com/presspass/p...dowssource.asp

che in sostanza afferma che porzioni del codice sorgente di windows 2000 e Windows NT 4 sono state violate e distribuite, affermando anche che ciò non è da imputarsi ad un buco nella sicurezza della corporazione di redmond e che non dovrebbe dare problemi di sicurezza agli utenti Micrososft.

Tanto per informazioni, per chi non lo so, o non lo sa a pieno, i codici sorgenti di qualcosa sono semplicemente le versioni in "human readable form" (forma leggibile dall'uomo). Poi esistono i compilatori che hanno lo scopo di interpretare i sorgenti e trasformarli in "machine readbled form" (quindi codice macchina o codice intermedio come nel caso di java).

NOTA: da tenere presente che questa è una definizione molto scarna e sommaria, ma spero che renda l'idea, la ho inserita nel mio post in quanto sto scrivendo sul "piazza centrale" ... ;)

Vorrei far notare un paio di cose, alcune direttamente inerenti al cao micrososft, altre generiche:

* La sicurezza di un prodotto software (ma anche di molte altre cose com un algoritmo di crittografia) non dovrebbe dipendere dal fatto che le meccaniche ne siano tenute nascoste (questo fa parte della filosofia open source). Ciò non vuol dire che non si possa tenere nascosto il codice sorgente, ma solo che non si dovrebbe fare affidamente su ciò come principale meccanismo di sicurezza.

* La compromissione del codice di Windows 2000 e NT 4 include anche la compromissione del codice di molte popolari applicazioni come MSIE

* La sicurezza di un prodotto software (ma anche di molte altre cose com un algoritmo di crittografia) non dovrebbe dipendere dal fatto che le meccaniche ne siano tenute nascoste (questo fa parte della filosofia open source). Ciò non vuol dire che non si possa tenere nascosto il codice sorgente, ma solo che non si dovrebbe fare affidamente su ciò come principale meccanismo di sicurezza.

Quoto. E' esattamente il principio di Kerchoffs che citavo in un altro post: la base della crittografia moderna.

La sicurezza sta nel fatto che posso fidarmi del sistema di cifratura (o del software) che possiedo e la chiave per farlo e' proprio quella di poter verificare cosa fa esattamente.
Inoltre se tutti possono leggere il codice di un programma ci sono molte piu' possibilita' che se c'e' un errore questo venga trovato.

Un codice robusto e' come un'idea robusta: e' quella che ha subito migliaia di analisi e di messe in discussioni ma che si e' sempre rivelata inattaccabile.

cut..cut...cut...
Un codice robusto e' come un'idea robusta: e' quella che ha subito migliaia di analisi e di messe in discussioni ma che si e' sempre rivelata inattaccabile.

Magari Zio Gates ascoltasse e comprendesse le tue parole

prima di tutto B.G. è un imprenditore quindi la sua filosofia nn fa una grinza!