it-swarm-es.com

En caso de que se cierre un marco de encuesta.

Estaba tomando una charla con un compañero de trabajo que está trabajando en una aplicación y marco de sondeo. Estaba preguntando preguntas técnicas y sugerí que abra la solicitud de la solicitud para obtener más opiniones de calidad de los desarrolladores que estén interesados ​​en este problema y están dispuestos a darle pesado.

Él tiene un punto de vista diferente que creo que sigue siendo válido, así que quiero abrir esta pregunta para la discusión aquí. Él dice que cree que algo como un marco de votación debería no estar abiertamente de origen porque reducirá su seguridad y validez, ya que las personas revelan las lagunas a través de las cuales pueden engañar. No puedo decir que estoy completamente en desacuerdo. Veo un punto algo válido allí, pero siempre creía que las soluciones de un grupo de personas son casi siempre mejores que una solución que una sola persona le pregunta a un pequeño número de compañeros de trabajo, sin importar cuán inteligente sea esa persona. Nuevamente estoy dispuesto a aceptar que tal vez algunos tipos de aplicaciones son diferentes.

¿Alguien tiene un argumento a su favor? Realmente me gustaría presentarle tus respuestas.

5
samquo

¿Estás hablando de encuestas en sitios web, estoy asumiendo? El "Cuál es tu idioma favorito, C #, Java= o COBOL?" Tipo encuestas? Si es así, eso es interesante.

Normalmente, estaría de acuerdo con la respuesta de Simon que si la apertura de la fuente revela las lagunas, nunca fue seguro comenzar.

Sin embargo, para este tipo de aplicación. Las posibilidades son que no, esto no seguro para comenzar, y no se puede hacer fácilmente. El problema es que estoy apostando que tiene un requisito para que las personas puedan venir al sitio web y votar en la encuesta, no se requiere registro. Y usted también tiene el requisito incompatible de que las personas solo puedan poder votar una vez.

Así que hagas lo que hagas ... Hay una laguna. ¿Comprobando las direcciones IP? El visitante que quiere hacer trucos sabe usar un proxy. ¿Galletas? El visitante que quiere hacer trucos sabe para aclarar sus galletas. Apertura de la fuente lo hace trivial para ver cómo engañar.

Pero habiendo dicho eso ... es trivial de todos modos. No toma mucho tiempo probar las alternativas y ver cuál permite varios votos. Simplemente no es posible hacer que este tipo de encuesta anónima sea segura, por lo que también podría abrirlo y, al menos, consiga a los globos oculares.

4
Carson63000

El argumento de que la fuente abierta "reducirá su seguridad y validez, ya que las personas revelan las lagunas" es completamente válida. Un producto seguro no debe tener lagunas para que se haga una fuente abierta, no debe haber lagunas para revelar.

Si su producto tiene lagunas que se revelarán al hacerlo de código abierto que no sea la seguridad, eso es simplemente ocultar su falta de seguridad detrás de su compilador. Puede que se salga con él por un tiempo, pero eventualmente alguien va a invertir el ingeniero de su código y encontrar una de esas lagunas (es posible que ni siquiera haya conocido)

Confiaría en un producto de seguridad de código abierto mucho más de lo que confiaría en una fuente cerrada.

El experto en seguridad Bruce Schneier lo resume bien:

Si toma una carta, bloquee en una caja fuerte, oculte la caja fuerte en algún lugar de Nueva York, luego le diga que lea la carta, eso no es seguridad. Eso es la oscuridad. Por otro lado, si tomo una letra y me lo bloquee en una caja fuerte, y luego le brinde la caja fuerte junto con las especificaciones de diseño de las cajas fuertes seguras y cien idénticas con sus combinaciones para que usted y los mejores safarackers del mundo puedan estudiar el Mecanismo de bloqueo: y aún no puede abrir la caja fuerte y leer la letra, esa es la seguridad.

Bruce Schneier - Criptografía aplicada

4
Simon P Stevens

Tener una lectura a través de abrirá el desbordamiento de la pila de abastecimiento destruya nuestro modelo de negocio? - Mientras que el desbordamiento de la pila no es lo mismo que su marco de encuesta, debe darle más información sobre las opiniones de otras personas.

Pareja de pensamientos que me ocurrieron que no conozco la respuesta a mí mismo ...

  1. Solo porque alguien envía código al proyecto, podría no ser lo suficientemente bueno/aceptado/usado. La fuente abierta no hace mejor el código.
  2. De manera similar, no sé cuál es la recogida promedio para los desarrolladores que ayudan con el código. ¿Es posible que no haya hordas de desarrolladores que contribuyan a la fuente? (Aunque solo necesita 1 o 2 para hacer una diferencia sustancial).
  3. Supongo que, además, no hay nada detenerlo de abarcar el marco, pero ejecuta una versión personalizada para su negocio que tiene otras características/seguridad incorporada.
  4. ¿Puede su negocio permanecer anónimo/no anunciarse que está detrás del marco? ¿Y dónde se instala el marco/en vivo: disfraza que es un marco particular? (Considere wordpress y cómo una de las recomendaciones de seguridad es ocultar la etiqueta meta que dice "WordPress versión 2.3").
  5. También necesita hablar con su jefe/departamento legal porque su contrato de trabajo podría decir algo sobre el efecto de que la propiedad intelectual de cualquier cosa que crea en el trabajo es propiedad de su empleador, y su código abierto que se originó en la compañía podría Terrenos en agua caliente.
1
Dan