kena: A nebyl bych překvapen, kdyby Heartbleed byl čistokrevným backdoorem a ne jen chybou, které si nikdo nevšiml. Ale to se asi s jistotou nikdy nedozvíme.

Chyba v OpenSSL umožňující číst hesla a privátní klíče, nalezená náhodně až po 2 letech existence.

V tomto pripade zejmena moznost videt, co program dela.

To, na jake urovni jsou vedomosti/schopnosti cloveka ohodnotit program do jiste „hloubky“ – a tak odhalit jeho nedostatky v dane „rovine“ – uz je otazka odlisna.

V praxi „absolutni bezpecnost“ neexistuje. Existuji jen ruzne techniky zabezpeceni RELATIVNI, s ruznymi „naklady“ na jejich nasazeni, a ruznymi naklady na potencialni prelomeni.

Martin Strejc: Můžeš mít pravdu, ale není to relevantní argument. Nehodnotím, jestli je bezpečnější open-source nebo closed-source. Zabývám se tím, že open-source sám o sobě žádnou jistotu nedává, a že stejně jako existují specifické důvody, které nahrávají bezpečnosti open-source, jsou i specifické důvody, které nahrávají bezpečnosti closed-source. Nakolik se ten který argument promítá do konkrétní situace konkrétního čtenáře není moje věc.

Z výše uvedeného se zapojuji do této diskuze, neboť bych rád upozornil ty méně zkušené uživatele, kteří článek četli, že článek posktyuje reálně možné informace, z hlediska bezpečnosti se však jedná o dost extrémní záležitosti, které běžný uživatel (nikoliv odborník na software, bezpečnost apod.) bude hodnotit.

Bohužel na závěr musím konstatovat, že jsem se několikrát setkal s komerčními produkty, kde se do ostré verze běžně dostával administátorský přístup s pevným účtem admin/admin pro hlavního správce, či jinými „triky“ vývojářu při ladění aplikací. Netřeba dodávat, že často se jednalo o funkční instance i celkem drahého software. Ať již byla snaha firem si udržet pověst jakoukoliv, někteří nezodpovědní vývojáři takto smýšlí, a někteří si tímto způsobem nechávají sami zadní vrátka i v některých velkých firmách 🙁

Tedy z toho asi plyne to, že opensource není ochrana před backdoory, leč komerční software také ne. Jediná opravdová ochrana před backdoory je, že si software napíšu sám či nechám na svoji verzi programu provést bezpečnostní audit nějakou renomovanou firmou a v zápětí vypnu aktualizace, aby nějaký backdoor nemohl být v příští verzi. Je toto však vůbec reálné? Jaká musím mít data, aby se mi již tento způsob bezpečnosti vyplatil?

Martin Strejc: Článek je o tom, že open-source není absolutně žádná ochrana proti backdoorům, a jsou popisovány specifické postupy, jak by se to zrovna u TrueCryptu dalo zařídit. Nikde nepíšu, že TrueCrypt backdoor obsahuje, polemizuji ovšem s běžným (a chybným) tvrzením, že neobsahuje, protože má otevřený zdroják a někdo by na to přišel.