Chào Minh Anh, Phương và mọi người, Mình cũng có võ vẽ một chút kiến thức về security nên cũng muốn tham gia một tý vào cuộc tranh luận này: On 24/09/2010 14:32, Phuong Vo wrote: > 2010/9/24 Anh Nguyen <[email protected]>: > >> Lấy gì đảm bảo là một module nhất định trong hệ thông open source sẽ có >> nhiều người theo dõi / quan tâm hơn close source? Điều gì xảy ra nếu các tác >> giả chính đang đi nghỉ mát hoặc bận kiếm tiền nuôi vợ con khi module bị phát >> hiện có lỗi? >> > Lúc này sẽ có người khác vá lỗi, chính lỗi vừa rồi của linux là một > minh chứng, linux (the kernel) bị mắc lỗi, nhưng downstream là RHEL > vẫn patch trước, đảm bảo an toàn cho user của họ. > Mình nhất trí với nhận xét này. Mình muốn bổ sung thêm sự an toàn của một PMNM "đại chúng" như nhân Linux hay máy chủ Apache thực tế sẽ cao hơn hẳn một anh tương đương bên PM đóng như Windows hay ISS. Không phải vì thiết kế hay hơn, các LTV của bên FOSS cao thủ hơn bên M$ mà chủ yếu vì nó được "soi" bởi một tập hợp rất đông đảo các lập trình viên khác nhau trên thế giới, có thể đông gấp cả trăm lần các testers cho dù rất thiện chiến của M$. Vì thế xác suất các bugs của PMNM này (vô tình hay cố ý) lâu bị phát hiện là nhỏ hơn rất nhiều so với bên đóng. Cái này là luật số đông. Cũng tương tự như vậy với việc vá lỗi. Điều cần lưu ý ở đây là tôi nói đến các PMNM "đại chúng" được rất nhiều người dùng. Điều này sẽ không đúng với một PMNM bất kỳ. >> Đa số mọi người chê khái niệm "security by obscurity". Dựa hoàn toàn >> security vào obscurity là sai lầm, nhưng trên thực tế là nó cũng có tác dụng >> nhất định. Thử hỏi ở đây có chu' / bac' nao` dám công bố bản đồ nhà mình và >> vị trí két chứa tiền lên mạng? >> > Giả sử nếu đã có kẻ muốn tấn công vào nhà ta để lấy tiền thì có lẽ > việc 'giấu' không cho biết két tiền nằm ở đâu cũng chả có tác dụng gì, > lúc đó chỉ có cách là gia cố cửa nẻo, lắp đặt hệ thống chống trộm cho > thật tốt mà thôi. Mà nếu lấy ví dụ như thế, giả sử căn nhà của bạn là > 'closed source', bạn là người dùng và bạn không bao giờ được nhìn bản > thiết kế của căn nhà đấy trông như thế nào, cũng như không được quyền > thay cửa gỗ trong căn nhà bằng cửa sắt cho an toàn hơn, liệu bạn có > muốn sống trong căn nhà như vậy không? > _______________________________________________ > Cái này thì tôi lại không đồng tình hoàn toàn. Cách ví von của Phương rất sinh động, song câu hỏi của Minh Anh thì lại mang tính hơi khiêu khích. Thật thế, những người có đầu óc bình thường và chín chắn thì sẽ không bao giờ khoe khoang rằng nhà tôi có rất nhiều của, được khóa rất kỹ lưỡng, đố trộm nào vào được hay két bạc nhà tôi nằm ở phòng nào. Các admin của các hệ thống critical cũng vậy. Dù nói "security by obscurity" là lỗi thời thì cũng không anh nào dại gì khoe config của hệ thống của mình. Họ sẽ ngấm ngầm khóa, đặt chốt chặn khắp nơi để tăng thêm tính an toàn và gây khó khăn cho kẻ tấn công. Cái này không khác gì phòng thủ quân sự. Tuy nhiên câu trả lời bác lại của Phương cũng lại nặng về nguyên tắc mà thiếu thực tế. NSD có tiền sẽ không ngây thơ sử dụng một PM mà họ không kiểm soát được vào một hệ thống critical. Họ biết đề ra các ràng buộc pháp lý với các nhà cung cấp giải pháp (đóng hay mở cũng vậy). Và về công nghệ chiều lòng "thượng đế" thì các bác bên đóng có thể nói không ngoa là cao thủ và mềm mại hơn bên các bac NM nhiều lần, đơn giản vì đó là nghệ thuật làm giàu của họ. M$ đã từng cung cấp mã nguồn Windows cho các khách hàng lớn (với điều kiện rất khắt khe về việc bảo vệ bí mật kinh doanh). Vì thế nếu nói dùng PM đóng giống bạn sống trong căn nhà song không biết bản vẽ thiết kế hoặc không thể thay cửa gỗ bằng cửa sắt thì không đúng. Bạn có thể biết, có thể thay, phục vụ tận tình từ A đến Z, 24/24h, tất nhiên dịch vụ nào thì sẽ giá đấy. Cái khác biệt quan trọng theo tôi ở đây là là khi chọn giải pháp nguồn đóng thì bạn sẽ (nói theo từ anh Nghĩa hay dùng) bị "khóa trói" (locked-in) vào nhà cung cấp giải pháp vì phi họ ra sẽ không ai có thể giúp bạn giải quyết vấn đề. Còn dùng PMNM thì cũng xin đừng ảo tưởng là bạn có thể tự làm lấy các thứ, tự sửa lỗi cho mình. Chẳng ai dại dột làm như vậy. Bạn cũng sẽ phải đi thuê các công ty dịch vụ PMNM làm cho, và giá của dịch vụ này thì cũng không phải nhẹ nhàng đâu nhé. Cái khác là ở chỗ bạn không bị "khóa trói" vào một nhà cung cấp, bạn có quyền chọn cho mình một nhà cung cấp dịch vụ thỏa mãn nhu cầu của bạn. Như vậy, có một hiệu ứng phụ là bắt buộc các nhà cung cấp phải làm việc tử tế hơn, nếu muốn giữ miếng cơm manh áo. NSD cũng sẽ có thế hơn và giá cả sẽ cạnh tranh hơn.
Chúc cuối tuần cả nhà vui vẻ và tiếp tục ủng hộ PMNM với tinh thần rất cởi mở nhé. Thân ái, Quang _______________________________________________ POST RULES : http://wiki.hanoilug.org/hanoilug:mailing_list_guidelines _______________________________________________ HanoiLUG mailing lists: http://lists.hanoilug.org/ HanoiLUG wiki: http://wiki.hanoilug.org/ HanoiLUG blog: http://blog.hanoilug.org/
