בתשובה לצפריר כהן, 21/04/09 22:48
למה לא נלחמים בספאם? 508884
תשע נשמות • בתשובה לצפריר כהן יום ג', 21/4/2009, 23:02
נניח שביצעת את שלוש ההצעות האלה (לא ברור לי איך מערכת אחידה להפצת עדכונים תעזור למנוע הרצה של קוד זדוני אבל זה לא משנה). אז אתה כבר לא מעודד אבל אתה בהחלט מאפשר את הקוד הזדוני. איך תמנע אותו הלאה? יש מספיק דרכים אחרות שהוא יכול להכנס מהן.

כשאני מדבר על גרסאות שונות של המערכת אני לא מדבר על משהו שהמומחה השכונתי שלך יוכל לשחק איתו. אם אני ארגון גדול (נניח חברת תוכנה ממדינת וושינגטון שמעסיקה עשרות אלפי מתכנתים ברחבי תבל) אני מחלק לעובדים שלי לפטופים ואני מצפה שהם לא ישחקו איתם יותר מדי; אין לי ענין שהם יתקינו עליהם כל מה שמתחשק להם ויחדירו לי תולעים למערכת הארגונית (שלא לדבר על אפליקציות ריגול תעשייתי וכיו"ב). לכן הם יקבלו גרסה מאובטחת בקפידה - והדרך לעבור לגרסה אחרת תהיה הסרה והתקנה. גם הסבתא תוכל להתקין את הגרסה הזו ולהיות רגועה - מתוך ידיעה שהיא ויתרה על אפשרויות מסוימות. משתמש מתוחכם, נקרא לו צ"כ לצורך הענין, יוכל להתקין את הגרסה ברמת האבטחה הנמוכה ולשחק כמה שהוא רוצה.
למה לא נלחמים בספאם? 508886
צפריר כהןבתשובה לתשע נשמות יום ג', 21/4/2009, 23:07
המערכת שאתה מציע לא תמנע זומבים. לא תמנע הפרת פרטיות. לא תמנע הרבה דברים אחרים.

רוב המשתמשים יבטלו אותה כי היא תפריע להם. ואז היא בכלל לא תמנע כלום.

אתה מנסה להקים המון מחסומים בפנים, במקום לשים גדר נורמלית.

כשיהיה מימוש סביר למה שאתה מציע, יהיה על מה לדבר. בינתיים יש כבר מימוש למה שאני מציע (מערכות לינוקס)
למה לא נלחמים בספאם? 508893
האייל האלמוני • בתשובה לצפריר כהן יום ד', 22/4/2009, 0:46
לסימביאן יש מימוש די דומה להצעה שלו. http://en.wikipedia.org/wiki/Symbian_OS
למה לא נלחמים בספאם? 508894
צפריר כהןבתשובה להאייל האלמוני יום ד', 22/4/2009, 1:13
כל תוכנית צריכה להיות חתומה (בנפרד) - מיקרוסופט עשו משהו דומה וזה נכשל מכיוון ששימוש בהתאם לכללים הגביל יותר מדי את מפתחי התוכנות. כבר כתבתי על כך.

בסימביאן בונים על כך שהמפתחים הם פראירים שלהם. התצאה הברורה: פגיעה במפתחים הקטנים ובהצע התוכנה.
למה לא נלחמים בספאם? 508901
ידידיהבתשובה לצפריר כהן יום ד', 22/4/2009, 3:46
מלבד התשלום ל-CA, אלו בעיות יש במנגנון של מיקרוסופט?
למה לא נלחמים בספאם? 508902
צפריר כהןבתשובה לידידיה יום ד', 22/4/2009, 4:20
איזה אחוז מהתוכנות שאתה מתקין חתומות?

עוד בעיה: גם גרסאות ישנות עם חורי אבטחה ידועים נשארות חתומות.

וזה בהנחה שממששים נכון פקיעה (revokation) של חתימות

הצד השני של הבעיה הוא שאם קל מדי להשיג חותמת (סרטיפיקט), אי־אפשר באמת לסמוך עליה. לאחר שהחותמת ניתנה, אף אחד לא ממש טורח להמשיך לבדוק מה איתה.

לכן המודל הריכוזי לא ממש עובד. לאתרים ברשת הוא נכשל: קל יותר מדי לקבל חותמת ועדיין עלות הרשיון מסבכת משתמשים פרטיים.

בחיים אתה באופן כללי נוטה לסמוך על מי שאחרים אומרים לך שאפשר לסמוך עליו. אחד הנסיונות להשתמש בזה למחשבים הוא בחתימות עם PGP

כדי שאני אתקין תוכנה, התוכנה צריכה לזכות באמוני. או שאני אבדוק בעצמי, או שאסמוך על בדיקות של אחרים. זה באופן כללי ובצורה לא פורמלית. בפועל מנגנוני החבילות בהפצות לינוקס השונות (אם נתעלם מהפרימיטביים יותר שלא כוללים חתימה) דורשים שהמחשב שלך יקבל את המפתח הציבורי שחתם על מאגר חבילות כדי להשתמש במאגר.

כל אחד יכול ליצור לעצמו מפתח. לא על כל מפתח אני סומך.
חזרה לעמוד הראשי המאמר המלא
מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים
האייל הקורא RSS מאמרים | כתבו למערכת | אודות האתר | טרם התעדכנת | ארכיון | חיפוש | עזרה | תנאי שימוש © כל הזכויות שמורות