А ведь я реально знаю идиотов, кто это дерьмо использовал :))
Типичный опенсорц, типичное поделье специалистов типа как
вот с этим чудом (практически то же :)) или с Debian random()
Специалист по информационной безопасности Стив Томас (Steve Thomas) опубликовал
критический обзор программы для «защищенных» чатов»
Cryptocat. Эту программу и раньше
(
Read more... )
Прочитав тут про эти баги, я задался вопросом: поставим себя на место хотя бы минимально грамотного хакера, который мог бы тут помочь. Вот я, например, никак не спец в криптографии, но именно эти ляпы точно не допустил бы (и мой результат, вероятно, не прошёл бы какую-нибудь хитрую атаку - но банальных ляпов точно не было бы). Но, с другой стороны, как авторы того же Cryptocat применили бы мою помощь, если они вообще не думают о том, что в этих областях надо хотя бы прочитать Шнайера, а дальше привлечь внимательные глаза? Тут поможет только общий уровень культуры - люди должны слышать как минимум с первого курса вуза, что криптография на коленке не придумывается. И, в случае opensource, пул людей, которые согласны помочь бесплатно (в обмен на ссылки и репутацию); а авторы проектов - должны быть готовы признать, что они не всё умеют, и принять такую помощь (а с этим проблема - так как opensource больше чем наполовину строится на персональных амбициях, многие участники не в состоянии признать, что они с чем-то не справятся).
Вынося из предыдущего абзаца - "варясь" в opensource последние 15 лет, я считаю, что одновременно самым большим плюсом и самым большим минусом его является источник движения в виде не денег, а персональных неоплачиваемых и некоммерциализирующихся амбиций. Амбиции помогают что-то двигать, но они не коррелируют с умом, грамотностью, способностью работать в группе или просто взаимодействовать с людьми, и т.д. Соответственно, мы получаем результаты в диапазоне от гениального продукта до абсолютного дерьма. Зато, в отличие от коммерческого, если кто-то согласен переделать дерьмо в приемлемое, то у него есть возможность и шансы;)
Reply
Leave a comment