Jest sobie Twidere, taki opensource'owy klient twittera na androida, dostępny w F-Droid i Google Play. Nie używa autoryzacji jako "aplikacji", jak pozostałe klienty (np. Carbon osiągnął skromny limit i nie może przyjąć rejestracji nowych użytkowników). Jeden z komentarzy w Google Play:
Niebezpieczne logowanie Podawanie hasla do konta na Twitterze w okienku aplikacji innego producenta to niebezpieczne rozwiazanie. Usuwam i szukam apki z logowaniem przez strone Twittera.
Hmm... Podobno też routery z opensource'owym oprogramowaniem są niebezpieczne, bo kod źródłowy jest dostępny i hakerzy znajdują dziury i się włamują. Hmm...
@zryty_beret: trochę masz racji, ale nie mogę się zgodzić.
Cóż z tego, że aplikacja to opensource (przyjmijmy już nawet odważnie, że to gwarantuje brak złośliwego kodu, mimo, że i to jest nadużyciem), skoro instalujesz ją z binarnej paczki w systemie do którego nie masz wglądu. Jaką masz pewność, że nie została zmodyfikowana przed upload do google play?
@szarak: To był taki "wydumany sarkazm" z mojej strony :) Uważam, że skoro jest też na F-Droidzie, opensource'owym repo, to jest opensource. Spróbuj tam wrzucić "śmieci" to pogadamy.
@Writer: Na moje oko to "może" wynosi jakieś 99%.
@Kuraito: Oczywiście, chociaż to smutne. Wrzuć coś do Google Play, umieść w opisie np. że "aplikacja nie obsługuje dualSIM", zaraz pojawią się komentarze z jedną gwiazdką i wyjaśnieniem, że "NIE OBSŁGUJE DUALSIM, LIPA!"...
@zryty_beret: to, że jest i tu i tu, nie znaczy, że na obu jest to samo. Nie wiem jak robią weryfikacje na f-droid, ale na google play nie masz możliwości sprawdzić, czy to co ta osoba wrzuca, to jest to samo co było w źródłach. Złudne poczucie bezpieczeństwa.
Oczywiście dla przykładu repozytoria binarne dystrybucji linuksa też nie gwarantują czystości, ale są na tyle jawne, że przy odpowiednich zasobach jesteś teoretycznie w stanie sprawdzić co otrzymujesz w paczce. Oczywiście jest to trudne, ale potencjalnie możliwe (patrz skrajny przypadek truecrypta).
@zryty_beret: hoax, nie hoax.. jest to soft na którym wiele ludzi polega bardzo mocno w kwestii bezpieczeństwa informacji, a był zbyt duży by łatwo stwierdzić co i kto do niego wprowadził. Ponadto wiele popularnych paczek binarnych pochodziło ze źródeł, które ciężko było zweryfikować.
NSA, BOR, czy LPR, bez różnicy; ciężko polegać na bezpieczeństwie czegoś tylko za stwierdzenie "bo kod jest dostępny", podczas gdy nikt nie miał praktycznych możliwości go sprawdzić...
untill now! :D
@Writer: o, masz jeszcze to, bo fajnie wygląda:
https://www.indiegogo.com/projects/the-truecrypt-audit#home
ufundowana kampania indiegogo :)
@szarak: Hmm... Ja wolę żyć w błogiej nieświadomości i nie wierzyć w takie historie. Jednak daję Ci niniejszym prawo, a nawet Cię zobowiązuję, żebyś, jeśli się okaże to prawdą, dał mi w mordę na otrzeźwienie ;)
@zryty_beret: ja mam już takie zboczenie. Zawsze interesowałem się otwartym oprogramowaniem, ale w pracy mam styczność niemal tylko z zamkniętym. Okazuje się jednak, że bardzo duża część korporacyjnej codzienności to zarządzanie właśnie takimi problemami jak te w przypadku Twojej aplikacji Twitterowej i softu opensource.
Może interesariusze są trochę inni, ale mechanizmy i pytania podobne. Jak zagwarantować dostęp do kodu w razie gdy developer nie będzie mógł już wspierać projektu? Jak zapewnić zgodność oprogramowania między tym co dostarcza dostawca, a tym co wdrażasz na produkcję (czyli w tym przypadku np. google play)? Czy w międzyczasie nie mamy luki w procesie, która pozwala zmodyfikować aplikację? Jak to zweryfikować? Itd, itp...
@szarak: O weryfikacji napisał Ci akerro: statystycznie rzecz biorąc, musi się znaleźć maniak, który sam skompiluje ze źródeł i porówna sumy kontrolne. W razie niezgodności podniesie larum na reddicie czy jakiejś grupie dyskusyjnej i inni podążą za nim, jeśli nie jest do wynik błędu lub odosobniony przypadek, to będzie oznaczać krecią robotę.
Co do audytu kodu, to (niech ktoś mnie poprawi, jeśli się mylę), ale uważam, że jest tak samo jak z jądrem Linuksa - sam Torvalds kpił na ten temat, podając "przykład" backdoora w kernelu.
Wszystko zaczęło się chyba od primaaprilisowego żartu, którym była "prezentacja dla potrzeb służb w USA", gdzie były wspomniane backdoory. Były jakieś jajcarskie nazwiska autorów... Ale fama poszła i zaczęto szukać backdoorów w opensource. Jak do tej pory nikt żadnego nie znalazł.
@zryty_beret: bardzo dobrze, że nie znalazł, ale już to, że szukali wzmaga czujność i zwiększa świadomość. Taka akcja profilaktyczna ;)