V tomto pripade zejmena moznost videt, co program dela.

To, na jake urovni jsou vedomosti/schopnosti cloveka ohodnotit program do jiste „hloubky“ – a tak odhalit jeho nedostatky v dane „rovine“ – uz je otazka odlisna.

V praxi „absolutni bezpecnost“ neexistuje. Existuji jen ruzne techniky zabezpeceni RELATIVNI, s ruznymi „naklady“ na jejich nasazeni, a ruznymi naklady na potencialni prelomeni.

Z výše uvedeného se zapojuji do této diskuze, neboť bych rád upozornil ty méně zkušené uživatele, kteří článek četli, že článek posktyuje reálně možné informace, z hlediska bezpečnosti se však jedná o dost extrémní záležitosti, které běžný uživatel (nikoliv odborník na software, bezpečnost apod.) bude hodnotit.

Bohužel na závěr musím konstatovat, že jsem se několikrát setkal s komerčními produkty, kde se do ostré verze běžně dostával administátorský přístup s pevným účtem admin/admin pro hlavního správce, či jinými „triky“ vývojářu při ladění aplikací. Netřeba dodávat, že často se jednalo o funkční instance i celkem drahého software. Ať již byla snaha firem si udržet pověst jakoukoliv, někteří nezodpovědní vývojáři takto smýšlí, a někteří si tímto způsobem nechávají sami zadní vrátka i v některých velkých firmách

Tedy z toho asi plyne to, že opensource není ochrana před backdoory, leč komerční software také ne. Jediná opravdová ochrana před backdoory je, že si software napíšu sám či nechám na svoji verzi programu provést bezpečnostní audit nějakou renomovanou firmou a v zápětí vypnu aktualizace, aby nějaký backdoor nemohl být v příští verzi. Je toto však vůbec reálné? Jaká musím mít data, aby se mi již tento způsob bezpečnosti vyplatil?

ad Jednoduchost) ale u closed source nemam k dispozici zdrojaky. Tudiz u open source muzu pouzit neco navic – neco, do ceho prumerne inteligentni programator nikdy nic zaskodnickyho cpat nebude.

ad Nuda) popravde nic takovyho sem v clanku nenasel. Ja pochopil clanek tak, ze kdyz bude _jeden_ odbornik overovat zdrojaky, tak zamaskovany back door nenajde. S tim nelze nesouhlasit. Ovsem pokud se bavime o tisicich (nebo milionech) nahodnych „prozkoumani“ – tak presne tohle je zpusob, jak prichazi na svetlo bezpecnostni trhliny. Ze nakyho znudenyho brejlovce napadne nakonfigurovat neco zcela silenym zpusobem a pak zkusit „co to udela“.

ad backdoor) yup ;-D nicmene pres 90 % utoku se dela pomoci social engineering takze, vetsina uzivatelu (i tech vzdelanych) by se zkutecne mela spis zamerit na to, jakym zpusobem program pouzivaji, nez na mizivou pravdepodobnost, ze ve zdrojacich je backdoor. Nebal bych se tvrdit, ze ta pravdeposobnost bude podobna pravdepodobnosti, ze do zkompilovanyho programu prida backdoor jejich upiratena verze visual studia

Ad logika jednoduchosti: To ovšem celkem nijak nesouvisí s tím, jestli je nebo není k dispozici zdrojový kód. Sám říkáte – nebudu backdoor cpát do zdrojáku, ale jen do binárky. To můžu stejně dobře udělat u otevřeného i u uzavřeného kódu. Já v článku upozorňuji na něco jiného – že když to udělám dobře, tak na to nikdo nepřijde ani v jednom případě.

Ad logika nudy: To je sice hezké, ale jádro argumentace ve článku je, že takovéhle prozkoumání kódu žádný rozumný backdoor nenajde, tudíž je z hlediska bezpečnosti open-source softwaru bezcenné.

Ad „pokud dotyčnému nevěřím, tak si program sám zkompiluju“: To nepochybně udělat můžu. Akorát mi to nijak nepomůže. Důvody jsem podrobně popsal.

Ad „Nejvíc backdoorů je mezi klávesnicí a židlí“: O tom není pochyb, pokud použijeme dostatečně pružnou definici backdooru