¿Una aplicación web que se está construyendo en una plataforma de código abierto es menos segura porque es de código abierto?

Navega tus respuestas
1

Con la reciente news , Microsoft está liberando el código fuente de su ASP.NET. API web y páginas web 1 Me pregunto,

¿Tener acceso al código fuente de las bibliotecas subyacentes en las que se basa una aplicación web le da una ventaja a un pirata informático, es decir, es menos seguro que si el pirata informático no tuviera la fuente?

Supongo que no, ya que hay muchas bibliotecas / motores web de código abierto exitosos, pero mi pregunta es ¿por qué no es una ventaja ?

1 Tenga en cuenta que el código fuente de ASP.NET MVC ha estado disponible desde la versión uno.

    
pregunta George Duckett 29.03.2012 - 14:23
fuente

3 respuestas

2

Obviamente, no hay una respuesta correcta a esto, pero aquí están mis pensamientos al respecto:

Es una ventaja para un atacante tener el código fuente. Las pruebas / ataques de la caja negra son, por razones obvias, más difíciles. Saber cómo funcionan exactamente las cosas siempre es mejor que adivinar cómo podrían funcionar. Además, las herramientas que buscan en la fuente posibles vulnerabilidades, bien requieren la fuente;)

Pero liberar la fuente también tiene ventajas (al menos en teoría). Más personas leerán el código fuente y los errores relacionados con la seguridad del programa aparecerán más rápido. Esto es obviamente solo una ventaja bajo dos condiciones: 1. Las personas realmente LEEN el código fuente y reportan problemas. 2. Los desarrolladores solucionan los problemas de manera oportuna. Ambos puntos son algo controvertidos. La gente detrás de la idea de código abierto a menudo sugiere que el punto 1. pasa mucho (de lo que no estoy seguro) y la práctica demuestra que el punto 2 no es seguido por muchos desarrolladores (sin embargo, si la vulnerabilidad se publicó abiertamente, cualquier usuario es al menos consciente de ello y puede actuar en consecuencia).

Por lo tanto, para los resúmenes, definitivamente es una ventaja que un atacante tenga el código fuente, pero cuantas más personas revisen la fuente, más errores se solucionarán.

    
respondido por el tim 29.03.2012 - 14:54
fuente
8

La clave aquí es que con el código fuente cerrado, la responsabilidad está en proteger ese código: los atacantes pueden intentar robar el código, aplicar ingeniería inversa o simplemente atacarlo. Los procesos internos deben diseñarse para identificar las vulnerabilidades y corregirlas, pero los números son bastante sesgados:

  • Atacantes: muchos Defensores: pocos

Con el código de fuente abierta, existe un riesgo ligeramente mayor de que los atacantes puedan identificar nuevas vulnerabilidades, pero lo más importante es que terminas con muchos más defensores potenciales que identifican las vulnerabilidades del código e informan a los escritores de códigos:

  • Atacantes: muchos Defensores: muchos

Eche un vistazo a esta pregunta comparando el código abierto y el código cerrado, ya que puede responder todas sus preguntas. Si lo hace, podemos cerrar este como un duplicado.

    
respondido por el Rory Alsop 29.03.2012 - 14:50
fuente
1

Siempre es posible obtener el código fuente de una aplicación cerrada.

Por lo tanto, por un tecnicismo, todo el código fuente es de código abierto. No existe tal cosa como "código cerrado".

Es mejor asumir que su código fuente ya ha sido robado por sus adversarios.

    
respondido por el atdre 02.04.2012 - 03:22
fuente

Lea otras preguntas en las etiquetas

¿Por qué no se usan las contraseñas de un solo uso que utilizan la cadena de hash anidada? ¿La autenticación con una cantidad de preguntas memorables es mejor que la autenticación de contraseña normal?