Dilemma Password

gianco122 · 2023-08-23T14:24:01+00:00

Chiedo scusa se l'argomento è stato trattato ma facendo una ricerca non ho trovato niente di specifico, quindi vengo al punto. Approfittando del periodo di s...

xblitz

[cancellato] Intel ha pagato il bug bounty

Io penso che i problemi di intel, in quel frangente fossero alti.

[cancellato] Che devono affidarsi comunque a quello che dicono altri.

Esatto, non possono scegliere. Però non è questo il contesto: lo stesso OP chiede per poter scegliere un programma.

[cancellato] Chi pensa che il codice open source (tutto!) sia sicuro perché open source fa un atto di fede non basato sui fatti.

Allora vedo che non ci siamo capiti. Io lo ripeto per l'ultima volta poi vi scannate tra di voi con le vostre guerre di religione:

Qui non si sta discutendo di word o libre office writer, ovvero di software. Qui si sta mettendo in dubbio il dato di fatto che la filosofia closed-source vada bene in ambito crittografico... tanto per essere chiari: cosa sarebbe successo se chi ha scoperto il metodo di risolvere le equazioni di secondo grado avesse brevettato la scoperta?

Per tornare all'esempio di keepass: nessuno ha da obbiettare sul fatto che keepass sia open source ma che le API che usa sono tutte closed source. Come la spieghi 'sta cosa?

[cancellato]

xblitz Qui si sta mettendo in dubbio il dato di fatto che la filosofia closed-source vada bene in ambito crittografico... tanto per essere chiari: cosa sarebbe successo se chi ha scoperto il metodo di risolvere le equazioni di secondo grado avesse brevettato la scoperta?

"Closed source" è diverso da "brevetto". Tra l'altro i brevetti sono stati esattamente inventati per rendere pubbliche le scoperte e sottoporle a scrutinio, invece di mantenerle segrete, con in cambio l'esclusiva e/o le royalty per tot anni. Difatti oltre ai brevetti esiste il "segreto industriale" - che potrebbe non essere mai reso pubblico (esempio famoso la formula della Coca-Cola...) e che era la norma prima dei brevetti.

Ma i fanatici dell'open source faticano a capire anche questi semplici fatti. Quando il mondo diventa monodimensionale, è difficile pensare in altre dimensioni.

Tu continui a fare l'equazione "open source = sicuro, closed source = insicuro" e non hai alcuna prova per dimostrarlo. Certo, tu non puoi vedere l'implementazione di AES256 delle CryptoAPI di Windows. E se anche potessi, non saresti in grado di validarne l'implementazione, devi trovare qualcuno con le competenze adatte - che controlli ogni singola modifica...

Quello che è veramente importante è che 1) chi ha scritto il codice sapesse quello che faceva 2) che sia stato sottoposto a verifica correttamente. Nessuna di queste due cose è esclusiva o garantita dall'open source o dal closed source - dipende unicamente dal processo seguito per lo sviluppo. e dalle risorse disponibili. Guarda cosa è successo a OpenSSL quando le risorse erano ridotte al lumicino, perché tutti la usavano, nessuno ci investiva né tempo né denaro.

Se poi la libreria crittografica delega la crittografia in hardware (es. AES NI) - che fai?

xblitz

[cancellato] Vedo che non potendo contestare i fatti passi agli insulti personali.

Hai cominciato tu.

[cancellato] mi hanno fatto capire che non ci sono formule magiche per ottenere codice sicuro.

ma davvero?!? allora visto che sono fazioso, perché ho scritto:

xblitz non sto dicendo che essendo stato esaminato da 4 organi indipendenti autorizzi a pensare che sia un SW esente da bug...

[cancellato] Tra l'altro citi Boeing che però è stato il più clamoroso caso di fallimento degli auditing interni degli ultimi anni,

Quindi mi stai dando ragione.

[cancellato] Di nuovo, quello che conta è la competenza di chi fa gli audit, e le risoorse e il tempo che ha a disposizione.E questo non dipende se è open source o no.

E infatti: visto che è dai tempi di socrate(?) che si discute di: "come faccio a sapere che chi ho davanti è una persona competente nella sua materia o un imbecille?" - la soluzione al problema te la cerchi.

[cancellato] Di nuovo, quello che conta è la competenza di chi fa gli audit

Esatto, infatti sto ancora aspettando:

xblitz un software closed source che ha passato a pieni voti l'auditing di 3 stati membri + l'auditing della UE?

Se permetti questo è un pedigree di un certo peso. Il programma che c'e l'ha è a sorgente aperto... è un caso? forse si, forse no. Intanto io aspetto il tuo contraltare.

[cancellato] E questo non dipende se è open source o no.

Vorrei vedere dove ho detto ciò. Io ho solo detto che:

xblitz Qui si sta mettendo in dubbio il dato di fatto che la filosofia closed-source vada bene in ambito crittografico

E la dimostrazione che quello che sostengo è vero è una dimostrazione che s'è rivelata vera almeno dal 1945.

Cal

simonebortolin in quel caso ti adatti volta per volta

xblitz

[cancellato] Ma i fanatici dell'open sourc

eh vabbé lo sapevo che finiva così.

[cancellato] Certo, tu non puoi vedere l'implementazione di AES256 delle CryptoAPI di Windows. E se anche potessi, non saresti in grado di validarne l'implementazione, devi trovare qualcuno con le competenze adatte - che controlli ogni singola modifica...

Giusto, ma - soldi permettendo - posso pagare qualcuno in grado di farlo. Se il codice è chiuso l'unica soluzione è comprare la software house che produce quel software... capisci che la cosa si complica.

[cancellato] 1) chi ha scritto il codice sapesse quello che faceva 2) che sia stato sottoposto a verifica correttamente.

E se c'è un posto dove queste 2 cose non possono essere appurate è proprio se il sorgente è chiuso.

[cancellato] Se poi la libreria crittografica delega la crittografia in hardware (es. AES NI) - che fai?

Boh... chiedilo alla intel, che dovrà - per forza di cose correre ai ripari.

[cancellato] Ma i fanatici dell'open source faticano a capire anche questi semplici fatti.

Atmel, Microchip, Arduino usano versioni di gcc per programmare i loro device... secondo te sono dei morti di fame o c'è sotto qualcosa di più profondo?

ErnyTech

[cancellato]

Quando il mondo diventa monodimensionale, è difficile pensare in altre dimensioni.

Questo mondo monodimensionale non l'hanno creato gli utenti ma le grandi corporazioni che fino a pochi anni fa vendevano solo software proprietario poi si sono resi conto che il modello economico non funzionava più e allora hanno inventato la loro idea di "opensource" cioè software dal sorgente si libero rispetto al proprietario ma con le libertà dell'utente limitate con metodi più evoluti (vedi SaaS, hardware con software opensource ma non modificabile dall'utente, servizi extra dietro paywall implementati su server proprietari ecc).

[cancellato]

xblitz eh vabbé lo sapevo che finiva così.

Sì, perché credere senza basarsi su fatti concreti è solo fanatismo, mi spiace.

xblitz Giusto, ma - soldi permettendo - posso pagare qualcuno in grado di farlo.

Ci sono altri che lo fanno per te, come in molti altri settori - dall'automotive all’aeronautica, elettrodomestici, ecc. ecc. È tanto differente? A proposito, usi dispositivi Apple? Sono fra i più chiusi in assoluto, ma chissà perché tutti li ritengono sicuri - perché "Apple è brava". Quindi in realtà è un problema di qualità reale o percepita?

xblitz E se c'è un posto dove queste 2 cose non possono essere appurate è proprio se il sorgente è chiuso.

I fatti dicono che non è appurato neppure per il codice open source. Che sia possibile non vuol dire che sia fatto, il problema è tutto qui. L'open source fa un salto logico generale che è falso. Ci sono progetti di altissima qualità, e altri che non lo sono.

xblitz secondo te sono dei morti di fame o c'è sotto qualcosa di più profondo?

Sono dei morti di fame 😜 Scherzi a parte, non hanno né vogliono investire per le risorse di svilupparsi un compilatore da soli. E se sei Arduino è comprensibile. Ma diciamocelo chiaramente, per molti "open" = "aggratis", delle varie "libertà" frega forse ad un 5% degli utilizzatori. ad essere larghi. Credi che a Google (per fare un esempio) importi di più avere un kernel investendo una frazione di quello che gli costerebbe svilupparselo e mantenerselo da solo, o la "libertà" di ispezionare o modificare il codice? Difatti il codice che fa fare i soldi a Google non è open source...

Quindi IMHO va valutata la singola applicazione. Non come è scritta o rilasciata.

Marco25

xblitz se c'è un posto dove queste 2 cose non possono essere appurate è proprio se il sorgente è chiuso.

Non è vero, tratti il codice chiuso come una blackbox quando i software closed sono costantemente analizzati con successo per verificarne in funzionamento. In contesti critici viene analizzato l’eseguibile anche in presenza del sorgente perché non ci si fida del compilatore. Specialmente in crittografia, dove per evitare vulnerabilità timing side channel le operazioni devono impiegare tempo indipendente dai dati inseriti, il solo codice sorgente non può garantire l’aderenza a questo requisito.

[cancellato]

xblitz

Vedo che non potendo contestare i fatti passi agli insulti personali. I miei vent'anni di esperienza nella cybersecurity mi hanno fatto capire che non ci sono formule magiche per ottenere codice sicuro. C'è chi la pensa differentemente, evidentemente. Scoprirà la verità sulla sua pelle (o quella dei suoi clienti), prima o poi.

Tra l'altro citi Boeing che però è stato il più clamoroso caso di fallimento degli auditing interni degli ultimi anni, auditing che ha 'scippato' alla FAA e che ha causato due incidenti con centinaia di morti.

Di nuovo, quello che conta è la competenza di chi fa gli audit, e le risoorse e il tempo che ha a disposizione.E questo non dipende se è open source o no.

ErnyTech

Io direi che è il modello open source a non funzionare, se non in pochi casi come il kernel di Linux. Vedi i recenti casi di RedHat che blocca le distro downstream e HashiCorp..che cambia licenza, ultima di una serie di aziende che lo hanno fatto (Elastic, Mongo...). Il cloud ha evidenziato il problema di come fare profitti, e no, non si fanno con il supporto, citofonare RedHat...

Questo pone il problema anche di chi verifica il codice, quando ci sono miliardi e miliardi di linee di codice, chi assicura che siano tutte verificate da personale competente? Se usi del codice da GitHub, PyPi, o npm, chi ti si assi ura che sia stato correttamente revisionato? Che sia usato da migliaia di utenti non dà alcuna garanzia.

Certo ci si affida a strumenti automatici,,, che a loro volta possono essere di migliore o peggiore qualità, e non è detto che siano in grado di rilevare tutti i problemi. Al momento è uno dei grossi problemi dell'IT, tutto l'IT.

xblitz

[cancellato] Scherzi a parte, non hanno né vogliono investire per le risorse di svilupparsi un compilatore da soli.

Perfetto. Penso che con questa frase, chi ha cognizione di causa e sa un po' come vanno le cose può capire chi tra noi 2 che non sa di cosa sta parlando.

xblitz

Marco25 Non è vero, tratti il codice chiuso come una blackbox quando i software closed sono costantemente analizzati con successo per verificarne in funzionamento.

Al solito, si può fare tutto... basta pagare, la boeing ad esempio lo fa per i software che comandano i suoi aereoplani ma la cosa è sostenibile per, ad esempio, il sysadmin che deve decidere quale software usare per le password dell'ufficio? (https://keepass.info/ratings.html)

Me lo trovate un software closed source che ha passato a pieni voti l'auditing di 3 stati membri + l'auditing della UE? e badate bene: non sto dicendo che essendo stato esaminato da 4 organi indipendenti autorizzi a pensare che sia un SW esente da bug...

TJL73

Piccolo OT:

visto che in questo thread si è parlato anche di WinRAR, per chi non lo avesse ancora fatto, consigliano di aggiornare urgentemente alla v6.23 di agosto, in quanto le versioni precedenti soffrono da qualche mese di una grave vulnerabilità 0-day (CVE: CVE-2023-38831), falla già sfruttata dallo scorso aprile, risolta nell'ultima release.

Tutto qui, just my 2€¢.

edofullo

Cal Ma se è random autocompletata perché limitarsi? Puoi fare 30-40 senza alcuna differenza pratica.

Perchè (esperienza personale) la volta che devi copiarla dal telefono per entrare sul PC della biblioteca in università (su cui non puoi installare nulla) smadonni.

Cal

edofullo vero, ma quella è un'esigenza particolare. (e magari i telefoni supportassero HID usb/bluetooth per inserire le password)

[cancellato]

xblitz E la dimostrazione che quello che sostengo è vero è una dimostrazione che s'è rivelata vera almeno dal 1945.

Di nuovo, stai facendo confusione fra software closed source e algoritmi proprietari - che non sono la stessa cosa. L'implementazione closed source di un algoritmo pubblicato e verificato (es. AES) non è automaticamente inferiore ad una open source. Un altro conto sarebbe un algoritmo proprietario non verificato crittograficamente da nessuno competente. Ideare un algoritmo di crittografia è molto, molto più difficile che implementarne uno pubblicato. Hai idee molto confuse, stai mischiando mele con arance, e finisci per confondere altri.

xblitz Quindi mi stai dando ragione.

Tu l'hai riportato - incorrettamente - in senso positivo, di nuovo con scarsa verifica di fatti e fonti. Il caso Boeing è il classico caso dove non avendo la FAA le risorse per fare un auditing adeguato non è stato fatto, e Boeing ha pensato di approfittarne per risparmiare, con risultati disastrosi. E quanti pensi possano fare l'analisi di un sistema avionico?

edofullo Siete fuori tema, chiudetela qui grazie.

Il problema è che rischia di far escludere all'OP una serie di software perfettamente validi solo per ragioni ideologiche. È un po' come chi consiglia i Fritz a prescindere - perché internet gli dice che sono i migliori. Certi miti, però, vanno sfatati, o non si sta facendo informazione corretta.

Comunque ora ripartiamo... fino a settembre non darò più fastidio....

xblitz

[cancellato] mi hai messo in bocca cose che non ho detto ne pensato - infatti ti ho chiesto di quotarle e non puoi.

Riduciamo tutto ai minimi termini:

xblitz kmorwath Di nuovo, quello che conta è la competenza di chi fa gli audit

Esatto, infatti sto ancora aspettando:

xblitz un software closed source che ha passato a pieni voti l'auditing di 3 stati membri + l'auditing della UE?

Se permetti questo è un pedigree di un certo peso. Il programma che c'e l'ha è a sorgente aperto... è un caso? forse si, forse no. Intanto io aspetto il tuo contraltare.

kmorwath E questo non dipende se è open source o no.

Vorrei vedere dove ho detto ciò. Io ho solo detto che:

xblitz Qui si sta mettendo in dubbio il dato di fatto che la filosofia closed-source vada bene in ambito crittografico

e ripeto: stiamo parlando di una specifica categoria di software... non me la menare con la storiella open source\closed source perché con me non attacca.

Cal in hardware, e non mi pare che le CPU amd/intel siano open source

Ovviamente: se, per asurdo, fossero open source è ragionevole SUPPORRE che la probabilità di finire in un "cul de sac" sarebbe minore.

edofullo

@[cancellato] @xblitz

Siete fuori tema, chiudetela qui grazie.

[cancellato]

ma un elenco di password manager potrebbe essere un idea?

1password
keepass
lastpass

sono i primi che mi vengono in mente

Marco25

[cancellato]

iCloud Keychain
Google Password Manager (attenzione che pare le password non siano criptate E2E, solo le passkeys lo sono)
Bitwarden
KeePassXC

xblitz

[cancellato] qualcuno sopra ha consigliato BitWarden... io non mi esprimo perché non l'ho mai usato però - per quello che conta - ne ho sempre sentito parlare bene, soprattutto per il fatto di avere sw decente sia per windows che per linux che per mac (keepass, va detto, da questo punto di vista è un po' zoppo: i porting ci sono ma la versione per windows resta la più completa e versatile).

EDIT: preceduto da Marco25

Cal

[cancellato] io userei solo keepass, al limite bitwarden se vuoi un cloud dedicato. (con keepass la sincronizzazione sono fatti tuoi).

i password manager commerciali non è la prima volta che si trovano con "egg on their faces"

xblitz i porting ci sono ma la versione per windows resta la più completa e versatile).

oddio, keepassxc gira identico su windows e linux. su android ce ne sono un paio ma solo una è completa davvero (l'altra è molto recente, però) -- su mac non so, è una piattaforma che ho abbandonato da un po', e su iOS no idea at all.

Filippo94

xblitz BitWarden

xblitz avere sw decente sia per windows che per linux che per mac

e in più anche tramite browser, io ad esempio lo uso tramite browser in ufficio, molto molto comodo.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile