Chrome vs Explorer: ¿cómo explicar con palabras simples que el código abierto es mejor?

3

¿Por qué el código abierto es mejor en palabras sencillas?

Ayer tuve una charla en un taller de bicicletas de bricolaje. Hay una PC (en ejecución XP) que la aplicación principal está revisando los correos electrónicos (nada realmente serio).

Me resultó especialmente difícil explicar por qué los estándares de seguridad de código abierto son mejores, que la seguridad a través de la oscuridad no es el enfoque correcto, que no se puede confiar en que el algoritmo sea secreto ...

Cualquier otra idea que surja: cómo explicar en palabras sencillas ¿por qué el código abierto es más seguro?

(o tal vez no, quizás los reparadores de bicicletas tenían razón: debería usar IE)

    
pregunta Michal Stefanow 25.12.2011 - 18:51
fuente

7 respuestas

10

El software de código abierto no es necesariamente mejor o más seguro.

Donde el código abierto tiene una ventaja es la posibilidad de que personas independientes con una mentalidad de seguridad examinen el código fuente y, con suerte, el modelo conceptual para un proyecto de software determinado. Esta ventaja está supeditada a:

  • revisión por individuos calificados
  • comentarios del revisor al proyecto sobre posibles debilidades o vulnerabilidades en el código fuente, algoritmos y procedimientos
  • el proyecto corrige las debilidades y vulnerabilidades reportadas
  • el proyecto se está educando mejor en cuanto a lo que hace que el software sea más seguro

Dadas las iteraciones suficientes de lo anterior, cualquier software, no solo el código abierto, se vuelve más seguro que el promedio. Muchas compañías de código cerrado realizan revisiones de seguridad de software. Algunos incluso traen a terceros para garantizar informes independientes y objetivos. Un proyecto que proporciona código abierto permite a una amplia audiencia revisar cualquier parte del software, lo que aporta transparencia al proceso de revisión y la implementación del software. La diferencia con la mayoría de los programas de código cerrado es que el proceso y la implementación son inaccesibles para los usuarios. Un usuario no puede determinar si una pieza de software de código cerrado ha sido revisada de seguridad. Y en la mayoría de los casos, un usuario no puede determinar si una pieza de software de código abierto ha sido revisada de seguridad. La única diferencia es que, dado un usuario suficientemente capaz, ese usuario puede verificar el estado del proceso de código abierto, pero no puede verificar el estado del proceso de código cerrado.

    
respondido por el this.josh 26.12.2011 - 00:15
fuente
5

La razón por la que deberían usar Chrome vs IE no se reduce a código abierto vs propietario. Chrome es un navegador moderno. IE6 y amp; 7 no lo son, IE8 es casi un navegador moderno, e IE9 no se lanzará en Win XP, pero Chrome se actualizará periódicamente a la última versión estable. Al no utilizar un navegador moderno que se mantenga actualizado, su experiencia de navegación será más lenta, tendrá más vulnerabilidades de seguridad y más problemas de navegación. IE 8 es el primer navegador IE en pasar ACID2 (cumplimiento con los estándares web), pero aún falla miserablemente en las pruebas ACID3 (20/100) mientras que Chrome / Safari / Firefox / Opera / etc pasan.

Además, Chrome tiene muchas características de seguridad que no estaban presentes en una versión anterior de IE.

La pregunta de "es de código abierto más o menos seguro que el propietario" no se va a responder con argumentos. Hay buenos argumentos en ambos sentidos: tener acceso completo al código fuente permite que tanto los sombreros blancos como los negros detecten las vulnerabilidades con mayor facilidad, por lo que las vulnerabilidades se encontrarán con mayor facilidad: bueno cuando son los sombreros blancos y malos cuando son los sombreros negros. La gente todavía es bastante buena en ingeniería inversa / encuentra huecos en aplicaciones de código cerrado; pero es mucho más fácil cuando la fuente está disponible.

    
respondido por el dr jimbob 29.12.2011 - 23:08
fuente
4

Me gusta la respuesta de @ this.josh donde dice que el Código Abierto no es automáticamente mejor ni más seguro. Lo que más importa es el proceso de desarrollo y el control de calidad, el resto es una cuestión de preferencia personal.

Estos son algunos pensamientos que me vienen a la mente cuando considero que usar IE que se creó con un proceso de desarrollo propietario

Teniendo en cuenta la cantidad de transparencia que MSFT ha presentado, consideraría a Microsoft como un modelo moderno en la forma en que se desarrolla el software seguro (no para excluir a otros proveedores reputados).

Los individuos seguros pueden cuestionar el riesgo / amenaza de una vulnerabilidad en particular (como lo hace @Rook en los comentarios anteriores). Cuando un problema de seguridad de este tipo se encuentra en el mundo de FOSS es que un contribuyente crea una "bifurcación" (o parche). Este individuo puede ser un desarrollador experto o un principiante. El problema es que estos parches únicos a menudo se crean fuera de un proceso de SDLC y, por lo tanto, aumentan el riesgo de un proceso / cumplimiento perspectiva. ¿Vale la pena tomar este riesgo? A menudo, es una decisión empresarial / personal que depende de quién posee y administra la computadora.

Como mencionaste que están usando XP (un sistema operativo que tiene más de 10 años) es probable que no hayan mantenido la PC. Independientemente del sistema operativo, se necesitan parches y actualizaciones para mantener un sistema seguro. Esto se aplica al software de código abierto y cerrado y tanto IE como Chrome tienen abordó este tema en particular.

Línea inferior / TL; DR

El desarrollo de código abierto o de código cerrado no cambia mucho la seguridad de una pieza de software. Cada enfoque tiene aspectos positivos y negativos, y en la mayoría de los casos, el sesgo personal en el que el enfoque es "correcto".

Mientras los programas informáticos estén escritos por humanos, habrá fallas de seguridad.

    
respondido por el random65537 29.12.2011 - 17:24
fuente
2

Medir la seguridad de una pieza específica de software no es una tarea fácil. Hay herramientas que hacen esto, sin embargo, la mayoría depende del acceso al código fuente. En el caso de un navegador, la situación es un poco más sencilla, ya que es más fácil de probar contra las herramientas de engaño, sin embargo, esto será parte de las pruebas estándar para el software principal, por lo que los resultados pueden no ser concluyentes.

Los argumentos con respecto al código abierto frente al código abierto se han prolongado durante años, y un fuerte argumento presentado por los titulares de código cerrado es que, dado que sus productos son mucho más utilizados, atraerán mucha más atención de las personas que intentan llegar a un acuerdo el producto. Sin embargo, este es un argumento que ya no se aplica a MSIE vs Chrome vs Firefox. Y el registro histórico de seguridad de MSIE muestra que ha tenido muchas más vulnerabilidades notificadas y graves que Chrome y Firefox.

Pero si bien es difícil medir la seguridad de una pieza de software, es más sencillo medir muchos otros aspectos de la calidad de una pieza de software, especialmente cuando se ha escrito de forma precisa. estándar. Nuevamente, MSIE (históricamente) se compara pobremente en cuanto a rendimiento y conformidad estándar en comparación con Chrome y Firefox.

Otra consideración es el esfuerzo requerido para asegurar que las vulnerabilidades en el software sean corregidas. Eso no solo significa que el proveedor proporcione una solución, sino que se instale en toda la base de usuarios. Chrome es particularmente bueno para actualizarse de forma transparente.

Como han mencionado otros, MSIE está profundamente vinculado al sistema operativo subyacente. Lo que hace que parchear sea un proceso complejo.

Y, por supuesto, está el modelo económico subyacente. Si bien MSIE, Firefox y Chrome son gratuitos (como en la cerveza gratis), los modelos financieros subyacentes son muy diferentes. Simplemente no tiene sentido que Microsoft mantenga los productos a largo plazo, especialmente cuando está tan estrechamente integrado con un sistema operativo completo. Y Windows XP está llegando al final de su ciclo de vida de soporte. Actualizar un sistema operativo es mucho más doloroso que actualizar un navegador, y la arquitectura del software de Chrome y Firefox hace que sea mucho más fácil tener el producto más reciente (y, por lo tanto, más seguro) disponible para su uso.

Dr. La carta de E. D. V. Nunez habla sobre la importancia económica y social más amplia del software libre y de código abierto, mucho más elocuente que yo.

Luego está la pregunta de todos los otros componentes que forman parte de la creación de un navegador. Uno que se ha discutido bastante recientemente es el CA raíz incluido con un navegador. En mi humilde opinión, todos los proveedores principales atienden mal a sus clientes en esta área. Sin embargo, en el caso de Microsoft, es mucho más probable que exista un conflicto entre sus intereses y los del usuario que para Chrome y Firefox.

Otra consideración es la agrupación de servicios con el producto. En el caso de un navegador, particularmente uno usado para correo web, una buena detección de phishing debería ser una preocupación primordial. IME, el servicio de Google (implementado en Firefox y Chrome) es mucho más completo y se actualiza más rápidamente que el de MSIE.

Al final del día, si bien la experiencia me ha enseñado a tener mucho cuidado con ipse dixit, si se está buscando su opinión, existen límites a los que debe ir para justificar eso. Del mismo modo, a la inversa, no le diría a un cirujano cardiaco cuál es el mejor tipo de stent, asumo que ella tiene algún conocimiento del tema que es parte de su valor para la sociedad y sería difícil para ella impartirlo sin una Pasamos mucho tiempo en esto por parte de los dos.

Cuando no tenemos suficiente información para evaluar completamente los argumentos opuestos, entonces una solución razonable es mirar a las personas que argumentan los casos y considerar cómo se beneficiarían o perderían presentando un caso engañoso. Volvemos a la economía: cuesta mucho dinero escribir un navegador, Google y Mozilla no obtienen ningún beneficio directo al hacerlo. Microsoft lo hace.

    
respondido por el symcbean 29.12.2011 - 12:31
fuente
2

Si es de código abierto, probablemente sea gratis (como en "cerveza gratis"). Si es gratis, es mucho más probable que obtenga el valor de su dinero.

Un software, especialmente uno tan complejo y orientado a la red como un navegador web, estará seguro solo en la medida en que se mantenga : debe haber gente en algún lugar, buscando pacientemente errores y corrigiendo y publicando parches de inmediato y estableciendo y haciendo cumplir políticas de desarrollo que discriminan la aparición de nuevos errores o, al menos, facilitan el seguimiento de los errores. En este sentido, el historial de Chrome / Google parece ser ligeramente mejor que el de IE / Microsoft (especialmente en la parte de "publicación rápida"). Personalmente preferiría Chrome sobre IE por esa razón, no por la apertura de la fuente.

Cuando el software es de código abierto, usted también puede participar en el esfuerzo de seguimiento de errores. Pero a menos que realmente lo haga, la apertura de la fuente hace poca diferencia a la seguridad. La dicotomía abierta / cerrada es bastante ortogonal a la seguridad real. Esto no es tan obvio como parece: existe una escuela de pensamiento generalizada que afirma que ser de código abierto reduce la seguridad, sobre la base de que mostrar el código fuente hace que sea más fácil para los posibles atacantes Encuentra agujeros explotables. El estado actual de los productos de software, especialmente los navegadores web y los sistemas operativos, ha demostrado que esta idea es falsa.

    
respondido por el Tom Leek 29.12.2011 - 15:10
fuente
1

Nunca lo he enmarcado como un código abierto es mejor que una pregunta propietaria.

Internet Explorer se conecta al sistema operativo y, por lo tanto, aumenta el área de superficie que puede ser atacada cuando se encuentran vulnerabilidades explotables. Algunos de estos pueden ser enganches de nivel inferior en el sistema operativo, lo que permite un compromiso a nivel básico que afectará a todas las cuentas de usuario.

Dicho esto, Microsoft ha realizado un gran trabajo desde la Versión 6 (¿Exploit Master?) que ha valido la pena para ponerla en paridad con la seguridad ofrecida por los suplentes.

Firefox y Chrome operan en el espacio del usuario y, por lo tanto, sus vulnerabilidades de explotación solo deberían afectar a la cuenta del usuario. A pesar de que en los últimos años ha demostrado ser suficiente para hacer exactamente lo que el escritor de malware intenta hacer. Existen muchas golosinas deseables en el espacio del usuario, por lo que no es necesario asumir el control del sistema operativo.

Entonces, ¿la supuesta recompensa es la que desea desinfectar? El sistema operativo completo, que generalmente es una propuesta "nuclear desde la órbita", o el perfil / cuenta de usuario contaminado que puede realizarse después de la copia de seguridad de los datos. eliminado en el peor de los casos, dejando el sistema operativo intacto.

IRL bajo operaciones corporativas, usted realmente no confía ni en IE ni en las alternativas, respalde los datos del usuario y vuelva a crear una imagen de la máquina comprometida, ya que nunca podrá estar seguro de que la desinfección funcionó o que no hubo un compromiso multinivel posible cuando el espacio de usuario se comprometió permitiendo Para un exploit local que permitía comprometer el sistema operativo. Así es como funciona la mayoría de los programas maliciosos ahora. Viene cargado para oso, rompe el casco exterior y luego busca soldaduras rotas en el casco interno para llegar al centro suave y jugoso.

Comenzamos a usar Firefox porque estábamos bloqueados en Windows 95 por nuestro software ERP y los ataques quincenales en IE6 eran demasiado para mantenerse al día. Firefox requiere un inicio de sesión administrativo para la actualización, por lo que ahora, MS o Chrome revisarán una vez al mes un parche entre Internet Explorer, que solo se actualiza en segundo plano a medida que se detectan y solucionan los problemas. Las actualizaciones de seguridad, su lanzamiento oportuno (responsabilidad del fabricante del software) y su instalación oportuna (su responsabilidad) son lo importante para estar seguro. Si bien se puede decir que Microsoft se retrasa, Firefox y Chrome también han perdido el balón varias veces. Todos están dirigidos por humanos que subestiman las vulnerabilidades. El código abierto puede ser más rápido de parchear si se lo proponen. He usado paquetes menos conocidos que hacen que Microsoft parezca muy rápido haciendo esto.

Como una verdadera necesidad de concentración, si está interesado en aumentar la conciencia sobre la seguridad, es más importante informar a las personas que la mayoría del malware ha cambiado a los productos de Adobe, Java y otros complementos de terceros.

    
respondido por el Fiasco Labs 25.12.2011 - 20:03
fuente
-1

Para código cerrado:  Q: ¿es esto seguro?  A: no se  P: ¿Cómo puedo averiguarlo?  A: No puedes. Tienes que confiar en Microsoft (o quien sea).

Para código abierto:  Q: ¿es esto seguro?  A: no se  Q: como puedo saber  R: solicite la opinión de un experto, busque una lista en Google, ...

    
respondido por el ddyer 30.12.2011 - 03:06
fuente

Lea otras preguntas en las etiquetas