Tutto sta nel comportamento degli utenti, in come i cittadini della Rete decidano di impugnare gli strumenti del P2P: è l’uso a configurare gli abusi del diritto d’autore. La Spagna ha ribadito quanto già stabilito nel 2011: le tecnologie sono di per sé neutre.
È dal lontano 2008 che il programmatore Pablo Soto si confronta con l’industria del copyright a difesa di Blubster , Piolet e Manolito, client e servizi dedicati al P2P sgraditi a Warner, Universal, EMI e Sony, rappresentate da Promusicae, l’associazione che raccoglie l’industria della musica in Spagna. Soto era stato accusato di favoreggiamento alla violazione del diritto d’autore: il suo client, scaricato da decine di milioni di netizen nel corso degli anni, secondo le stime ndell’industria sarebbe stato utilizzato da almeno il 90 per cento dei suoi utenti per ottenere brani musicali illegalmente. Le etichette di Promusicae chiedevano 13 milioni di euro a titolo di risarcimento.
Ma nel 2011 una corte di Madrid aveva sposato la difesa di Soto: l’infrastruttura P2P messa a disposizione dallo sviluppatore spagnolo non è che uno strumento nelle mani dei cittadini della Rete . Un sistema dedicato allo scambio di file non sarebbe potuto entrare in competizione con il mercato tradizionale della musica con pratiche di business anticompetitive, in quanto il P2P, al di là dei contenuti che vi circolano, è affare completamente diverso da quelli portato avanti dall’industria del copyright.
Promusicae era ricorsa in appello, ma l’orientamento della giustizia spagnola non è cambiato: l’ Audiencia Provincial di Madrid ha ora stabilito che “l’offerta di una tecnologia P2P avanzata non presuppone atti di sciacallaggio o l’appropriazione indebita di lavoro altrui, né si rileva che sia frutto di un piano premeditato per abbattere l’operato dei produttori discografici o creare degli squilibri nel mercato”.
He vuelto a ganar a las multinacionales!! Menos mal, porque ahora que estoy sin un leuro, pagarles 13 millones me venía fatal ^.^
— Pablo Soto (MP2P) (@pabloMP2P) April 9, 2014
Soto, spiega il tribunale, non è coinvolto in alcun modo nelle attività condotte dagli utenti dei suoi servizi, che scelgono quali file scambiare appoggiandosi all’infrastruttura: non è possibile dunque chiamarlo in causa per alcuna violazione del diritto d’autore, in quanto non è responsabile della messa a disposizione né della riproduzione delle opere coperte da diritto d’autore.
Soto, ha ricordato la corte, è un semplice programmatore: se è vero che i servizi P2P da lui sviluppati possono essere impugnati per commettere delle violazioni, è altresì vero che il software permette “la circolazione lecita di opere scambiate con l’esplicita autorizzazione degli autori o con opere rilaciate con licenza Creative Commons”.
Nel quadro normativo spagnolo, inoltre, non esiste alcuna disposizione che possa configurare il reato di violazione indiretta del copyright . A differenza di quanto è avvenuto in altri paesi del mondo, in Spagna non è possibile chiamare in causa un prodotto software per i potenziali usi illegali per cui gli utenti scelgono di adottarlo.
Anzi: l’ Audiencia Provincial di Madrid ha confermato che l’attività di business condotta da Soto è da considerarsi totalmente lecita, poiché opera sul mercato del software dedicato alla condivisione, non certo sul mercato della musica. Proprio in virtù della natura non specifica dei servizi P2P di Soto, per i quali lo stesso programmatore ha sempre raccomandato ai suoi utenti un uso responsabile e conforme alla legge, l’onere di contrastare gli scambi illeciti dovrebbe spettare all’industria della musica, non al programmatore.
Il giovane sviluppatore ha accolto la sentenza di appello prospettando che “aprirà la strada a nuove opportunità di portare sul mercato nuove e avanzate tecnologie senza essere influenzati dalle fuorivianti tattiche legali dei conglomerati del copyright”. Per l’occasione, una nuova versione di Blubster è stata messa a disposizione dei netizen.
Gaia Bottà
-
forse sapevano, forse no...
certo che per gli articoli inutili, Luca "io non mi sbilancio" Annunziata e' il numero uno!MA l'imoortante sono i click, no?...Heartbleed, NSA non sapeva, ma anche no.
Come da oggetto....Re: Heartbleed, NSA non sapeva, ma anche no.
- Scritto da: ...> Come da oggetto.L.A. e' specializzato nei titoli paraculistici, che ci vuoi fare......Forse sapeva, forse no
[img]http://static.giantbomb.com/uploads/original/2/26660/2178890-youdontsay.jpg[/img]...Questa volta credo ai servizi USA!
Perchè utilizzare dei bachi che poi vengono eliminati, quando si hanno a disposizioni delle comodissime backdoor ? :Dprova123Re: Questa volta credo ai servizi USA!
ma infattiqua si parla di rubare password e certificati, cosa inutile visto che la NSA può telefonare a Zukky, a Larry e compagni e farseli mandare per emailcollioneRe: Questa volta credo ai servizi USA!
in pdf con la pecetta nera adobe ... in questo si sono dimostrati dei gran maestri!! :Dprova123Re: Questa volta credo ai servizi USA!
- Scritto da: collione> ma infatti> Ma appunto.> qua si parla di rubare password e certificati,> cosa inutile visto che la NSA può telefonare a> Zukky, a Larry e compagni e farseli mandare per> emailHai ragione.O meglio spero che tu abbia ragione.Perché se viene fuori che l'NSA ha infilato il bug e per 2 ANNI il mondo cantinaro non se ne è accorto con il codice sotto il naso, beh, è il più grosso EPIC FAIL nel mondo IT che l'uomo abbia memoria.maxsixRe: Questa volta credo ai servizi USA!
Ma perchè metti dentro cose che non centrano nulla con il discorso ?Sg@bbioAnnunziata che scrive sulla NSA
e il cappellino di carta stagnola ?urkaVicenda sempre più inquietante ...
NSA o meno, il caso Heartbleed diventa più torbido ogni giorno che passa.Un paio di giorni fa si è fatto vivo Robin Seggelmann, il programmatore responsabile di questo disastro; in una intervista ha dichiarato che l'errore inserito in openSSL consiste nel fatto di non aver validato la variabile "payload" nella porzione di codice: <I> /* Read type and payload length first */hbtype = *p++;n2s(p, payload);pl = p; </I> (dove n2s è una macro che usa memcpy per copiare payload in p ).Quindi, il contenuto di payload viene allegramente copiato in p senza alcuna verifica preliminare.Come se non bastasse, questo tizio ha detto che anche il suo collega Stephen Henson (revisore del codice), non si è accorto di nulla.Ora, solamente un pollo potrebbe credere ad una spiegazione del genere; tanto è vero che parecchi esperti avanzano il sospetto di una azione deliberata (magari per conto della solita NSA, la quale infatti conosceva il bug sin dalla sua apparizione).Del resto, i casi sono due: o questo tizio è un disonesto o è un idiota totale che non dovrebbe neppure avvicinarsi al codice di openSSL.L'unico aspetto positivo è che il modello opensource ha funzionato ancora una volta; sviluppatori di varie società hanno analizzato il codice trovando l'errore (e non era una cosa facile).Non dimentichiamoci che Edward Snowden ha accusato RSA Security di aver inserito una backdoor, per conto della NSA, nel suo celebre software crittografico; queste accuse erano abbastanza dettagliate e hanno permesso effettivamente di trovare "l'intruso".Senza l'intervento di Snowden, nessuno si sarebbe accorto di nulla.Alvaro VitaliRe: Vicenda sempre più inquietante ...
> Quindi, il contenuto di payload viene> allegramente copiato in p senza alcuna verifica> preliminare.> Come se non bastasse, questo tizio ha detto che> anche il suo collega Stephen Henson (revisore del> codice), non si è accorto di> nulla.> > Del resto, i casi sono due: o questo tizio è un> disonesto o è un idiota totale che non dovrebbe> neppure avvicinarsi al codice di> openSSL.> E fin qua ok> L'unico aspetto positivo è che il modello> opensource ha funzionato ancora una volta;???? NO! Solo per correzione del bug, in due anni nessuno ha riletto il codice.> sviluppatori di varie società hanno analizzato il> codice trovando l'errore (e non era una cosa> facile).???? Non validare una variabile è un errore banale, il revisore non se ne è accorto (quindi polli secondo te) ed alla fine però era difficile trovare l'errore??Deciditi e poi ritorna> Non dimentichiamoci che Edward Snowden ha> accusato RSA Security di aver inserito una> backdoor, per conto della NSA, nel suo celebre> software crittografico; queste accuse erano> abbastanza dettagliate e hanno permesso> effettivamente di trovare> "l'intruso".> Senza l'intervento di Snowden, nessuno si sarebbe> accorto di> nulla.E questo cosa c'entra?machediciRe: Vicenda sempre più inquietante ...
> ???? NO! Solo per correzione del bug, in due anni> nessuno ha riletto il codice.Dato che i sorgenti sono pubblici, perchè non li hai riletti tu ?Adesso, al di là della polemica, il fatto è che cose come la crittografia richiede grandissima esperienza in molti settori, che va oltre la programmazione pura.E' roba che poggia su alta matematica e pure qualche cosa di fisica... E credo che al mondo, solo qualche migliaio o chissà, anche solo qualche centinaio di persone capisce veramente a fondo... tutti gli altri si limitano ad usare questi strumenti.Chi cura il codice probabilmente è un ottimo programmatore in C++, ma ovviamente non è così esperto in matematica da capire che alterando un certo fattore in un certo punto, il risultato che ne deriva, è disastroso.Tralasciando la dietrologia, probabilmente l'errore è stato veramente commesso in buona fede, e che però l'NSA se ne sia accorta e l'abbia sfruttato a suo vantaggio, ci può stare tutto.sisko212Re: Vicenda sempre più inquietante ...
> > Dato che i sorgenti sono pubblici, perchè non li> hai riletti tu> ?1) Non sono uno sviluppatore2) Non me la prendo con nessuno, solo che la cantilena "Open-source è sicuro perchè il codice è sotto gli occhi di tutti" è ormai sfatata, heartbleed è solo l'ultimo caso eclatante> Adesso, al di là della polemica,Per inciso, nessuna polemica da parte mia il fatto è che> cose come la crittografia richiede grandissima> esperienza in molti settori, che va oltre la> programmazione> pura.> E' roba che poggia su alta matematica e pure> qualche cosa di fisica... E credo che al mondo,> solo qualche migliaio o chissà, anche solo> qualche centinaio di persone capisce veramente a> fondo... tutti gli altri si limitano ad usare> questi> strumenti.Sono più che d'accordo.> Chi cura il codice probabilmente è un ottimo> programmatore in C++, ma ovviamente non è così> esperto in matematica da capire che alterando un> certo fattore in un certo punto, il risultato che> ne deriva, è> disastroso.Ti dirò, in questo caso è stato un errore di programmazione più che un errore matematico> Tralasciando la dietrologia, probabilmente> l'errore è stato veramente commesso in buona> fede, e che però l'NSA se ne sia accorta e> l'abbia sfruttato a suo vantaggio, ci può stare> tutto.Diciamo che è molto probabile che l'abbiano sfruttato, in teoria hanno soldi e teste per controllare il codice che gli interessamachediciRe: Vicenda sempre più inquietante ...
- Scritto da: sisko212> Tralasciando la dietrologia, probabilmente> l'errore è stato veramente commesso in buona> fede, e che però l'NSA se ne sia accorta e> l'abbia sfruttato a suo vantaggio, ci può stare> tutto.E gli altri, la "comunità"? Come fa l'NSA a vedere cose che gli altri non vedono?FDGRe: Vicenda sempre più inquietante ...
Ma nessuno riesce a prendere in considerazione l'eventualità che una volta individuati personaggi di spicco inmpegnati in tecnologie chiave come queste, NSA mandi i suoi pretoriani con assegni in bianco, a comprarseli per introdurre bug come questi?iRobyRe: Vicenda sempre più inquietante ...
- Scritto da: iRoby> Ma nessuno riesce a prendere in considerazione> l'eventualità che una volta individuati> personaggi di spicco inmpegnati in tecnologie> chiave come queste, NSA mandi i suoi pretoriani> con assegni in bianco, a comprarseli per> introdurre bug come> questi?illuminati, NWO e mind control! :DmiguelRe: Vicenda sempre più inquietante ...
- Scritto da: miguel> - Scritto da: iRoby> > Ma nessuno riesce a prendere in considerazione> > l'eventualità che una volta individuati> > personaggi di spicco inmpegnati in tecnologie> > chiave come queste, NSA mandi i suoi pretoriani> > con assegni in bianco, a comprarseli per> > introdurre bug come> > questi?> > illuminati, NWO e mind control! :DMa ora arriva la nuova teoria monetaria e risolve tutto.LeguleioRe: Vicenda sempre più inquietante ...
- Scritto da: iRoby> Ma nessuno riesce a prendere in considerazione> l'eventualità che una volta individuati> personaggi di spicco inmpegnati in tecnologie> chiave come queste, NSA mandi i suoi pretoriani> con assegni in bianco, a comprarseli per> introdurre bug come> questi?in una mano l'assegno, nell'altra la tokarev.......Re: Vicenda sempre più inquietante ...
> con assegni in bianco, a comprarseli per> introdurre bug come questi?Credo sia più semplice, economico, sicuro e con meno esposizione, pagare una decina di impiegati (programmatori e matematici) per trovare i bug come questi e poi sfruttarli.Probabilmente NSA ha già una lista di software o librerie critiche che sanno essere ampiamente usate in tutti i s.o. e quasi sicuramente li controlleranno attentamente ad ogni rilascio per vedere cosa cambia e come possono sfruttarne le debolezze o i bug.Dubito che openssl sia usato solo su linux... mi viene in mente qualche anno fà lo stack tcp/ip di BSD che poi, s'è capito essere usato papale-papale anche in windows NT/2000... solo che in quel caso, i sorgenti non potendo essere visionati (oppure porzioni di codice erano state rubate da hacker e pubblicati), s'era capito essere uguale perchè aveva lo stesso bug.sisko212Re: Vicenda sempre più inquietante ...
Scusa una cosa... L'apparato intelligence e militare ogni anno riceve dalla FED 16,5 miliardi di dollari.La sanità americana 5 miliardi di dollari.Chi decide come spenderli? Quale valore possa avere comprarsi il programmatore di una libreria importante come OpenSSL, il vantaggio che si avrebbe. L'immediatezza e la sicurezza dell'avere il "bug" desiderato rispetto al pagare un team che ne scopra uno, ecc.Quanto può costare comprarsi un "bug" da un programmatore come quello che ha lavorato a OpenSSL in maniera hobbistica? 100-200-500 mila, 1 milione di dollari?La FED stampa quanto denaro vuole, e gli USA vogliono il primato militare e tecnologico. Danno 1 miliardo di dollari a Twitter senza un modello di business, e questi diventa leader del microblogging. Come Yahoo! e Google lo hanno delle email. E Facebook del social networking. I Mac hanno un bug nella webcam, si può attivare senza attivarne il led di segnalazione, ma tu guarda che bug strani... :)Tutte queste sono aziende americane. Per caso sono incapaci in altri paesi a fare le stesse piattaforme e tecnologie?Uriel Fanelli ha spiegato dettagliatamente questo meccanismo del comprarsi la leadership in tutti i settori chiave semplicemente stampando denaro ed usandolo in maniera mirata, e ne parla in una recente intervista:http://www.effedieffe.com/index.php?option=com_content&view=article&id=270107:il-superstato-canaglia-senza-freni&catid=83:free&Itemid=100021iRobyChe lavoraccio inutile
Star lì a creare bachi virtuali nelle OpenSSL quando su tutti i server linux gira già SELinux, che hanno fatto loro.Eugenio GuastatoriRe: Che lavoraccio inutile
Per fortuna, pochissimi (forse nessuno) usano SELinux per gestire i propri server.Alvaro VitaliRe: Che lavoraccio inutile
- Scritto da: Alvaro Vitali> Per fortuna, pochissimi (forse nessuno) usano> SELinux per gestire i propri> server.... Android 4.3 was the first Android release version to fully include and enable the SELinux support contributed by the SE for Android project. Android 4.4 is the first release to put SELinux into enforcing mode, beginning by confining a specific set of root daemons.bubbaRe: Che lavoraccio inutile
... I famosi webserver android!!Claudio fragassoRe: Che lavoraccio inutile
- Scritto da: Alvaro Vitali> Per fortuna, pochissimi (forse nessuno) usano> SELinux per gestire i propri> server.Eccerto, nessun sistemista di sognerebbe di usare SELinux su un server di produzione. Perché mai implementare le specifiche TCSEC su un server a cui accedono milioni di persone ? Di solito lasciano aperto in lettura/scrittura tutto il ramo web e mettono pure l'esecuzione sulle CGI e il PHP. Poi disabilitano SELinux (che quei cattivoni di Red Hat mettono per default) in modo che chiunque invocando uno script PHP possa divertisi.E poi giù risate !Eugenio GuastatoriRe: Che lavoraccio inutile
> invocando uno script PHP possa> divertisi.> E poi giù risate !Forse tutti tutti no, ma NSA sicuramente si.Dai... senza polemica, è ovvio che se un ente come NSA, che per statuto DEVE farsi i cavoli tuoi, ti mette a disposizione uno strumento del genere (aggratis) non lo fà di certo per fare un piacere a te e a tutti i sistemisi del mondo, senza averne un ritorno.NSA ti mette a disposizione SELinux, che nessuno, NSA esclusa, è in grado di penetrare.... che poi lei si faccia i cavoli tuoi, dopo averti regalato un gran bel pezzo di software, penso sia sottintesosisko212+1 per Marquess
BENE ha fatto marquess (il 'boss' della fondazione di openssl) a scrivere il post che ha scritto ( cfr http://veridicalsystems.com/blog/of-money-responsibility-and-pride/ )... magari lo poteva fare il primo gg.fakebook spende gazillioni in wazzappa, e openssl tira $2000 di donazioni l'anno ...bubbaRe: +1 per Marquess
- Scritto da: bubba> BENE ha fatto marquess (il 'boss' della> fondazione di openssl) a scrivere il post che ha> scritto ( cfr> http://veridicalsystems.com/blog/of-money-responsi> > fakebook spende gazillioni in wazzappa, e openssl> tira $2000 di donazioni l'anno> ...Bubba, sei un grande ed il tuo contributo è sempre interessante, cosa ci fai qua su PI?Detto questo, l'open-source è così, se la licenza lo permette si può prendere a sbafo e buonanotte. OSF probabilmente rimmarà in piedi ancora a lungo, ma progetti usatissimi ma morti per mancanza di donazioni ne ho visti e sempre ci saranno.machediciRe: +1 per Marquess
- Scritto da: machedici> - Scritto da: bubba> > BENE ha fatto marquess (il 'boss' della> > fondazione di openssl) a scrivere il post> che> ha> > scritto ( cfr> >> http://veridicalsystems.com/blog/of-money-responsi> > > > fakebook spende gazillioni in wazzappa, e> openssl> > tira $2000 di donazioni l'anno> > ...> > > Bubba, sei un grande ed il tuo contributo è> sempre interessante, cosa ci fai qua su> PI?> Detto questo, l'open-source è così, se la licenza> lo permette si può prendere a sbafo e buonanotte.> OSF probabilmente rimmarà in piedi ancora a> lungo, ma progetti usatissimi ma morti per> mancanza di donazioni ne ho visti e sempre ci> saranno.c'e' dall'inizio. bubba e' rimasto uguale, me e' stato PI a diventare una schifezza col passaredel tempo. :(...Re: +1 per Marquess
- Scritto da: machedici> - Scritto da: bubba> > BENE ha fatto marquess (il 'boss' della> > fondazione di openssl) a scrivere il post> che> ha> > scritto ( cfr> >> http://veridicalsystems.com/blog/of-money-responsi> > > > fakebook spende gazillioni in wazzappa, e> openssl> > tira $2000 di donazioni l'anno> > ...> > > Bubba, sei un grande ed il tuo contributo è> sempre interessante, cosa ci fai qua su PI?non e' bubba ad essere migliorato, e' PI che.... hai capito, no?...Re: +1 per Marquess
- Scritto da: machedici> - Scritto da: bubba> > BENE ha fatto marquess (il 'boss' della> > fondazione di openssl) a scrivere il post> che> ha> > scritto ( cfr> >> http://veridicalsystems.com/blog/of-money-responsi> > > > fakebook spende gazillioni in wazzappa, e> openssl> > tira $2000 di donazioni l'anno> > ...> > > Bubba, sei un grande ed il tuo contributo è> sempre interessante, cosa ci fai qua su> PI?AH! LOL, thanks... beh cerco di fare il contraltare a quell'anomalia (chiamata maxsix, legu, aphex_twin ecc) presente nell'equazione non bilanciata chiamata Forum di P.I. ...un'anomalia che nonostante i miei più onesti sforzi non sono stato in grado di eliminare da quella che altrimenti sarebbe un'armonia di precisione matematica. :D> Detto questo, l'open-source è così, se la licenza> lo permette si può prendere a sbafo e buonanotte.> OSF probabilmente rimmarà in piedi ancora a> lungo, ma progetti usatissimi ma morti per> mancanza di donazioni ne ho visti e sempre ci> saranno.claro... pero' direi che e' di estremo imbarazzo che rastrellatori di dati come facebook trovino buono spendere 1 miliardo di $ per una chat (vale anche per "Mr. FUD" Microsoft, la Mela con angoli arrotondati, "Mr. simpatia" Oracle ecc ), ma non si interessino quasi per nulla di architravi (ma poco appariscenti) come Openssl ...Prendo per buono il ormai 'mitologico' https://www.peereboom.us/assl/assl/html/openssl.html ... e allora damn... finanziate 5-10 programmatori per 1 anno per revisionare e/o creare una nuova build moderna (magari uguale per l'enduser e con call similari per il linker)bubbaRe: +1 per Marquess
quoto totalmentecomprano start up farlocche e appariscenti, hanno portafogli gonfi, liquidità e credito a non finire ma un reale contributo all'open source mai, e tra server, protocolli, linguaggi di programmazione, sistemi operativi, librerie SBAFANO a più non possose qualcuna tra banche, server farm, autorità di certificazione, mutlinazionali ecc si lamenta di OpenSSL.....CACCHI VOSTRI! Un servizio critico che ti prnedi a sbafo senza contribuire..chi è il pazzo?e poi il software da sempre si da AS IT IS e WITHOUT WARRANTY...vuoi dare a qualcuno la repsonsabilità..PAGHI per questoe poi ci dobbiamo pure sorbire trolloni che danno dei "canttinari" a sviluppatori che a cui non meritano nemmeno di allacciare le scarpeniunoRe: +1 per Marquess
- Scritto da: bubba> BENE ha fatto marquess (il 'boss' della> fondazione di openssl) a scrivere il post che ha> scritto ( cfr> http://veridicalsystems.com/blog/of-money-responsi> > fakebook spende gazillioni in wazzappa, e openssl> tira $2000 di donazioni l'anno> ...molto interessante, ho appena fatto una donazionelifeonmarsPiù fondi e più sostegno
... oggi li chiedi?Dopo che per anni hai fatto il verso a tutto il mondo economico facendo bandiera del fatto che si fa tutto senza soldi, oggi DOPO il disastro chiedi più soldi?In galera.Subito.maxsixRe: Più fondi e più sostegno
- Scritto da: maxsix> ... oggi li chiedi?> Dopo che per anni hai fatto il verso a tutto il> mondo economico facendo bandiera del fatto che si> fa tutto senza soldi, oggi DOPO il disastro> chiedi più> soldi?Non vuoi pagare? Non pagare.Non e' il software che paghi, ma il tempo.C'e' chi 2 anni sono una inezia, c'e' chi 2 anni sono una eternita'.Hai fretta? Paga.Puoi aspettare? Aspetta gratis.> In galera.> Subito.Con quale imputazione?Ti ricordo che la circonvenzione di incapace e' un brevetto esclusivo apple e quindi non puo' essere usata.panda rossaRe: Più fondi e più sostegno
- Scritto da: maxsix> ... oggi li chiedi?> Dopo che per anni hai fatto il verso a tutto il> mondo economico facendo bandiera del fatto che si> fa tutto senza soldi, oggi DOPO il disastro> chiedi più> soldi?> > In galera.> Subito.non hai qualcosa di utile da fare?... chesso' raccogliere i decini in mezzo all'autostrada...bubbac.v.d il software open source è insicuro
Chi è che diceva che il software open source è sicuro perché tutti possono scovare le falle di sicurezza?(rotfl)diamineRe: c.v.d il software open source è insicuro
- Scritto da: diamine> Chi è che diceva che il software open source è> sicuro perché tutti possono scovare le falle di> sicurezza?> (rotfl)quando logica e intelligenza ha suonato, tu devi avergli chiuso la porta in faccia scambianole per due Testimoni di Geova.......Re: c.v.d il software open source è insicuro
- Scritto da: ...> quando logica e intelligenza ha suonato, tu devi> avergli chiuso la porta in faccia scambianole per> due Testimoni di> Geova....se ti può interessare ho appena sbattuto la porta in faccia a 2 venditori porta a porta di enel energiadiamineRe: c.v.d il software open source è insicuro
- Scritto da: diamine> Chi è che diceva che il software open source è> sicuro perché tutti possono scovare le falle di> sicurezza?> (rotfl)E' vero.L'hanno scovata e corretta, infatti.Mentre le falle presenti nel closed sono ancora tutte li', nascoste a te, e ben note ai soliti noti, coi quali condividi connessione, cpu, dati e privacy.panda rossaRe: c.v.d il software open source è insicuro
- Scritto da: panda rossa> - Scritto da: diamine> > Chi è che diceva che il software open source> è> > sicuro perché tutti possono scovare le falle> di> > sicurezza?> > (rotfl)> > E' vero.> L'hanno scovata e corretta, infatti.> Certo ! In ben DUE ANNI !> Mentre le falle presenti nel closed sono ancora> tutte li', nascoste a te, e ben note ai soliti> noti, coi quali condividi connessione, cpu, dati> e> privacy.Quali ?aphex_twinRe: c.v.d il software open source è insicuro
- Scritto da: aphex_twin> - Scritto da: panda rossa> > - Scritto da: diamine> > > Chi è che diceva che il software open> source> > è> > > sicuro perché tutti possono scovare le> falle> > di> > > sicurezza?> > > (rotfl)> > > > E' vero.> > L'hanno scovata e corretta, infatti.> > > > Certo ! In ben DUE ANNI !> > > Mentre le falle presenti nel closed sono> ancora> > tutte li', nascoste a te, e ben note ai> soliti> > noti, coi quali condividi connessione, cpu,> dati> > e> > privacy.> > Quali ?che so, le migliaia falle scoperte in windows in questi anni ti dicono nulla? codice close, eppure......Re: c.v.d il software open source è insicuro
- Scritto da: aphex_twin> - Scritto da: panda rossa> > - Scritto da: diamine> > > Chi è che diceva che il software open> source> > è> > > sicuro perché tutti possono scovare le> falle> > di> > > sicurezza?> > > (rotfl)> > > > E' vero.> > L'hanno scovata e corretta, infatti.> > > > Certo ! In ben DUE ANNI !Non mi risulta che quando viene tappata un falla su una schifezza Apple qualcuno renda noto da quanto tempo era lì...ShibaRe: c.v.d il software open source è insicuro
- Scritto da: diamine> Chi è che diceva che il software open source è> sicuro perché tutti possono scovare le falle di> sicurezza?> (rotfl)[img]http://freakoutnation.com/wp-content/uploads/2010/05/Idiot.jpg[/img]...c.v.d il software open source è insicuro
Chi è che diceva che il software open source è sicuro perché tutti possono scovare le falle di sicurezza analizzando il codice sorgente?(rotfl)diamineRe: c.v.d il software open source è insicuro
Infatti hanno trovato la falla.cicciobelloRe: c.v.d il software open source è insicuro
- Scritto da: cicciobello> Infatti hanno trovato la falla <b> dopo 2 anni </b> Fixed.maxsixRe: c.v.d il software open source è insicuro
- Scritto da: maxsix> - Scritto da: cicciobello> > Infatti hanno trovato la falla <b>> dopo 2 anni </b>> > > Fixed.Hai fretta?Paga.Il tempo e' denaro!panda rossaRe: c.v.d il software open source è insicuro
La domanda, quindi, è: se fosse stato closed, dopo quanto tempo l'avrebbero trovata?cicciobelloRe: c.v.d il software open source è insicuro
- Scritto da: maxsix> - Scritto da: cicciobello> > Infatti hanno trovato la falla <b>> dopo 2 anni </b>> > > Fixed.Le falle sul software Apple quanto tempo ci mettono a trovarle? Ah già, non lo sai...ShibaRe: c.v.d il software open source è insicuro
- Scritto da: cicciobello> Infatti hanno trovato la falla.si come no, dopo 2 anni, alla faccia di chi diceva che codice open source è sinonimo di sicurezza! BALLE!diamineRe: c.v.d il software open source è insicuro
- Scritto da: diamine> - Scritto da: cicciobello> > Infatti hanno trovato la falla.> > si come no, dopo 2 anni, alla faccia di chi> diceva che codice open source è sinonimo di> sicurezza!> BALLE!Bé, anche sui programmi closed source si continuano a trovare falle di sicureza dopo anni ed anni (Windows stesso è il primo esempio che mi viene in mente).La sicurezza assoluta non c'è né in closed, né in open... Perché qui la gente "patteggia" sempre per un mondo o per l'altro? Tutti hanno dei pregi, tutti hanno dei difetti...CiccioRe: c.v.d il software open source è insicuro
- Scritto da: diamine> Chi è che diceva che il software open source è> sicuro perché tutti possono scovare le falle di> sicurezza analizzando il codice> sorgente?> (rotfl)povero XXXXXXXX......Re: c.v.d il software open source è insicuro
Di siscuro è da idioti pensare che invece dià più sicurezza il sistema closed...iRobyRe: c.v.d il software open source è insicuro
- Scritto da: iRoby> Di siscuro è da idioti pensare che invece dià più> sicurezza il sistema closed...qui di quelli che tu definisci idioti ce ne sono a dozzine e - verificabilissimo - per la maggior parte hanno in iPhone....Re: c.v.d il software open source è insicuro
- Scritto da: iRoby> Di siscuro è da idioti pensare che invece dià più> sicurezza il sistema> closed...e moltissimi di loro hanno l'iphone....ma openbsd?
tutti a XXXXXX in testa a linux, ma il meno noto ma piu' cazzuto openbsd, come e' messo? anche la sua versione di openssl era prona all'errore?...Re: ma openbsd?
- Scritto da: ...> tutti a XXXXXX in testa a linux, ma il meno noto> ma piu' cazzuto openbsd, come e' messo? anche la> sua versione di openssl era prona> all'errore?si anche in openbsd, vedi reazione di de raadt. Cmq le critiche a linux sono da parte dei soliti ignoranti noti.miguelRe: ma openbsd?
- Scritto da: miguel> - Scritto da: ...> > tutti a XXXXXX in testa a linux, ma il meno noto> > ma piu' cazzuto openbsd, come e' messo? anche la> > sua versione di openssl era prona> > all'errore?> > si anche in openbsd, ho cercato ma non trovato: link?> vedi reazione di de raadt.uh! sapendo come e' inXXXXXso, avra' come minimo abbattuto 5-6 muri a testate per sfogarsi :) > Cmq le critiche a linux sono da parte dei soliti> ignoranti noti.ovvio, non ci fossero loro, PI avrebbe gia' chiuso per mancanza di click......Re: ma openbsd?
- Scritto da: miguel> Cmq le critiche a linux sono da parte dei soliti> ignoranti noti.il dato di fatto è che tutti i sistemi Linux sono affetti da questa falla da anni e nessuno se n'era accorto, questo la dice lunga sul mito "open source è più sicuro perché tutti ci possono mettere le mani sopra".diamineRe: ma openbsd?
- Scritto da: diamine> - Scritto da: miguel> > Cmq le critiche a linux sono da parte dei> soliti> > ignoranti noti.> > il dato di fatto è che tutti i sistemi Linux sono> affetti da questa falla da anni e nessuno se> n'era accorto, questo la dice lunga sul mito> "open source è più sicuro perché tutti ci possono> mettere le mani> sopra".Il dato di fatto e' che tutti i sistemi closed sono affetti da ben altre falle da sempre e nessuno puo' farci niente, neanche se se ne accorge.panda rossaRe: ma openbsd?
- Scritto da: diamine> il dato di fatto è che tutti i sistemi Linux sono> affetti da questa falla da anni e nessuno sefalsoil bug non c'entra un tubo con linux ma con openssltutti i software che usano openssl ne sono affettii sistemi linux che usano gnutls non sono affetti, idem per tutti quelli che hanno compilato openssl senza l'heartbeatnon capisco perchè si voglia estendere la colpa all'intero mondo opensource e addirittura a linux, che è un progetto completamente separatocollioneRe: ma openbsd?
- Scritto da: diamine> - Scritto da: miguel> > Cmq le critiche a linux sono da parte dei > soliti> > ignoranti noti. > > il dato di fatto è che tutti i sistemi Linux sono> affetti da questa falla da anni e nessuno se> n'era accorto, questo la dice lunga sul mito> "open source è più sicuro perché tutti ci possono> mettere le mani> sopra".eccone uno che si è sentito chiamato in causa (rotfl)miguelRe: ma openbsd?
- Scritto da: diamine> - Scritto da: miguel> > Cmq le critiche a linux sono da parte dei> soliti> > ignoranti noti.> > il dato di fatto è che tutti i sistemi Linux sono> affetti da questa falla da anni e nessuno se> n'era accorto, questo la dice lunga sul mito> "open source è più sicuro perché tutti ci possono> mettere le mani> sopra".Appunto "... tutti ci possono mettere le mani sopra." ma dato che sono degli incapaci fanXXXXXsti aspettano che lo faccia qualcun'altro.aphex_twinRe: ma openbsd?
- Scritto da: ...> tutti a XXXXXX in testa a linux, ma il meno noto> ma piu' cazzuto openbsd, come e' messo? anche la> sua versione di openssl era prona> all'errore?De Raadt si è espresso così http://article.gmane.org/gmane.os.openbsd.misc/211963Notare come i geni di OpenSSL hanno bypassato la malloc della libc del sistema operativo ( che implementa alcuni meccanismi di sicurezza ).Comunque OpenBSD usa, di default, una libreria ssl propria.Inoltre il team OpenBSD ha disabilitato la funzionalità heartbeat nella sua libssl http://www.openbsd.org/cgi-bin/cvsweb/src/lib/libssl/ssl/Makefile?rev=1.29;content-type=text%2Fx-cvsweb-markupE infine, notare che GnuTLS ( quella che è stata bersagliata dai troll della mela qualche settimana fa ) è da anni che non utilizza l'heartbeat!!!collioneRe: ma openbsd?
- Scritto da: collione> E infine, notare che GnuTLS ( quella che è stata> bersagliata dai troll della mela qualche> settimana fa ) è da anni che non utilizza> l'heartbeat!!!L'heartbeat e' datato febbraio 2012.https://tools.ietf.org/html/rfc6520AlcesteRe: ma openbsd?
appunto, sono 2 anni che gnutls ha ritenuto più saggio tenerlo fuori dai giochicollioneRe: ma openbsd?
> Notare come i geni di OpenSSL hanno bypassato la> malloc della libc del sistema operativo ( che> implementa alcuni meccanismi di sicurezza> ).Ecco. Il bug è stato solo un bug da parte di uno sviluppatore di OpenSSL che l'ha creato a suo malgrado con "nome e cognome" e di conseguenza mettendosi in gioco e rischiando di perderci la faccia. Ma alla fine si è capito benissimo che è stato un errore di distrazione del XXXXX. Niente NSA né complotti.E poi tutti a criticare lui. Cioè il vicino di banco da cui si è copiato. Eppure chi è più asino? chi fa il compito e sbaglia oppure chi copia il compito sbagliato? Vedi le varie multinazionali con i $$$ che copiano alla cieca e poi magari sostengono che il loro software closed è migliore l'open (da cui però copiano costantemente -- e non ci sarebbe niente di male su questo punto preso singolarmente).Semmai è quello qua sopra, un possibile errore di architettura/progettazione di OpenSSL. Che comunque rimane lo stesso, anche considerando "l'heartbl33d", il non avere un namespace/prefisso comune per tutte le sue funzioni/strutture, questo wrapper per la malloc.... la migliore libreria per crittografia simmetrica asimmetrica specialmente se utilizzata per il protocollo ssl e tls.L'uso diretto della malloc di OpenBSD avrebbe sicuramente ridotto l'impatto del bug. Mi immagino che il programma utilizzatore di OpenSSL sarebbe andato in crash su OpenBSD, accedendo a della memoria non allocata. Altrimenti la quantità di bytes leggibili (senza crash) sarebbe stata ridotta, e non 64kb.... suppongo (io) al massimo <i> 4KB-1byte </i> per non sforare fuori dalla pagina di memoria così come viene presa e allineata da mmap, sempre se la struttura da cui parte il leak è messa da malloc in una o più pagine dedicate. Senza contare comunque che mmap inizializza la memoria a 0 in kernel space (prima di ritornare al programma) quindi grossi leak di dati non sarebbero stati possibili.D'altra parte OpenSSL risulta così leggermente più veloce, visto che mmap è una syscall e OpenSSL fa la stessa cosa in user-space più velocemente con il wrapper/minicache della malloc... boh, è un equilibrio difficile pensare a quale delle due scelte è migliore. Indubbiamente OpenBSD sceglie sempre la sicurezza. OpenSSL preferisce la velocità.FreeBSDGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 15 apr 2014Ti potrebbe interessare