Teams > Documentatie
veiligheid Kort en openbare programmacode
testcees:
Waarom Ubuntu veilig is (http://wiki.ubuntu-nl.org/VeiligheidKort)
Hier staat nu:
* De openbare programmacode maakt het opsporen van beveiligingsfouten gemakkelijk.
Daar is een opmerking aan toegevoegd:
* Dit geldt voor programmatuur uit de officiële pakketbronnen. Software uit andere bronnen kan malware installeren.
Maar wat zijn dan “officiële” pakketbronnen? De bronnen van het Ubuntu Softwarecentrum? Nee.
Het Ubuntu Softwarecentrum bevat “officieel” ook niet-vrije software in de categorie “Te Koop” (Ubuntu Softwarecentrum → Alle software → Te koop). Van deze software is geen source code vrijgegeven. Ook van de software in de categorie “Partners van Canonical” is niet altijd de programmacode openbaar (niet van Skype bijvoorbeeld).
Volgens mij moet er van software in het Ubuntu Softwarecentrum in de categorie “Geleverd door Ubuntu” wel altijd openbare programmacode zijn die kan worden gecontroleerd (veel is gekopieerd uit Debian bronnen).
Kan de opmerking duidelijker, bijvoorbeeld:
* Dit geldt voor programmatuur uit de pakketbronnen die worden geleverd door Ubuntu. Software uit andere bronnen kan malware installeren.
Of:
* Voor Ubuntu is ook software beschikbaar waarvan de programmacode niet openbaar is.
Of iets beters of kan de toegevoegde opmerking beter helemaal weg?
Verder kunnen er nog extra bronnen worden toegevoegd aan het Ubuntu Softwarecentrum (Bewerken → Softwarebronnen), met name PPA's.
Komen die van Launchpad, het “officiële” ontwikkelplatform van Canonical, is de programmacode mogelijk openbaar, van software uit andere toegevoegde bronnen is dat niet duidelijk.
Als laatste is het ook standaard om een zelf gedownload programma-archief (.deb) te installeren met Ubuntu Softwarecentrum. Dat is verre van “officieel” maar zal dat voor iedereen nu duidelijk zijn? Er wordt immers gebruik gemaakt van het (voor vele) vertrouwde Ubuntu Softwarecentrum.
Vistaus:
@testcees: Het is niet helemaal waar dat Te Koop alleen gesloten programma's bevat. Het Numix-thema bijv. is te koop in de Te Koop-sectie, maar is wel te vinden op GitHub. Zelfde geldt voor de weerapp StormCloud.
testcees:
--- Citaat van: Vistaus op 2014/06/26, 00:14:37 ---Het is niet helemaal waar dat Te Koop alleen gesloten programma's bevat.
--- Einde van citaat ---
Je hebt gelijk. Er zijn (ook altijd) uitzonderingen. Wat me wel opvalt is dat voor (deze) programma's “Te Koop” updates van de leverancier worden verwacht. Niet van Canonical of de “Ubuntu-gemeenschap”.
Tekst op de wiki gewijzigd in:
--- Code: --- * Openbare programmacode maakt het opsporen van beveiligingsfouten of ongewenste code gemakkelijk.
<!> Niet van alle software voor Ubuntu is de programmacode openbaar!
--- Einde van code ---
Blijft de vraag wat de "gemiddelde lezer" van deze wiki pagina met deze opmerking kan. Dat “niet alle code openbaar is”?
Ook toegevoegd:
--- Code: ---Pas op met het toevoegen van software uit extra pakketbronnen of downloads!
--- Einde van code ---
Ook hiervan vraag ik me af of dit duidelijk genoeg is. Hoezo oppassen? Betere suggesties zijn welkom.
Ron:
Pas op met het toevoegen van software uit extra pakketbronnen of downloads!
Software van onbekende bron kan rommel/troep/virussen/malware/enz/ bevatten
markba:
--- Citaat van: testcees op 2014/06/26, 22:39:09 ---
--- Citaat van: Vistaus op 2014/06/26, 00:14:37 ---Ook toegevoegd:
--- Code: ---Pas op met het toevoegen van software uit extra pakketbronnen of downloads!
--- Einde van code ---
Ook hiervan vraag ik me af of dit duidelijk genoeg is. Hoezo oppassen? Betere suggesties zijn welkom.
--- Einde van citaat ---
--- Einde van citaat ---
De reden daarvoor staat niet gegeven. Dat kan dan weer tot vragen leiden.
--- Code: ---Pas op met het toevoegen van software uit extra pakketbronnen of downloads! Het kan uw systeem onveilig en/of instabiel maken.
--- Einde van code ---
De nuance wat betreft het on veilig maken: ook de code van zowat alle PPA's is openbaar, dus de kans dat er bewust malware wordt geïnjecteerd is bijzonder klein: is in de praktijk naar mijn weten ook nog nooit voorgekomen.
Wat wel kan (maar weet ook niet of dit in de praktijk voorkomt) is dat als een bepaald systeemonderdeel wordt vervangen via een PPA (dus niet: toegevoegd), en de updates (patches) daarop worden niet toegepast in de versie die in de PPA zit, zit je dus met een onveilige versie opgeschept.
Nogmaals, beide mogelijkheden lijken me zwaar theoretisch; als dit al genoemd zou moeten worden, zou dat ook zo gekwalificeerd moeten worden (= nuance aanbrengen dat het idd theoretisch is). In de korte versie over veiligheid in Ubuntu heeft deze nuance wellicht geen plaats, maar mss wel in de uitgebreide versie.
Wat wel speelt, is dat het toevoegen van een PPA het systeem instabiel kan maken. Maar dit heeft dan weer niets met de veiligheid te maken. Dus hoeft dat mss niet hier toegevoegd te worden (maar wel op een andere plaats).
Navigatie
[0] Berichtenindex
[#] Volgende pagina
Naar de volledige versie