Takova ztrata nekolika milionu kreditu by pro nejednoho uzivatele mohla byt docela zdrcujici.
Co si o tom myslite, bylo by to docela zakerne a urcite by se tim ve znacne mire nabourala duveryhodnost SETI a optimalizovanych verzi
.Spekulace - zneuziti optimalizace v SETI
Moderátoři: zdespi, Moderátoři
-
Necroman
- Expert
- Příspěvky: 496
- Registrován: pon led 17, 2005 2:43 pm
- Bydliště: Louny
- Kontaktovat uživatele:
Spekulace - zneuziti optimalizace v SETI
Napadla me v souvislosti s neustalyma optimalizacema SETI, jestli se treba nemuze stat, ze najaky zakerny uzivatel vytvori falesnou optimalizovanou verzi s pouzitim kodu nejakeho jineho optimalizatora, prida do ni nejake nekale prikazy (key-logger s odesilanim utocnikovi), da to na svuj web, bez zdrojaku, s tabulkou porovnani, ze jeho verze je opet o neco rychlejsi a uzivatele stahuji a stahuji a duveruji tomu, protoze to je preci SETI a ma to otevrene zdrojaky... Mohlo by to mit velmi neprijemne nasledky, napr. smazane pocitace v uctech, spatne nastaveni, zmena hesla...
Takova ztrata nekolika milionu kreditu by pro nejednoho uzivatele mohla byt docela zdrcujici.
Co si o tom myslite, bylo by to docela zakerne a urcite by se tim ve znacne mire nabourala duveryhodnost SETI a optimalizovanych verzi .
Takova ztrata nekolika milionu kreditu by pro nejednoho uzivatele mohla byt docela zdrcujici.
Co si o tom myslite, bylo by to docela zakerne a urcite by se tim ve znacne mire nabourala duveryhodnost SETI a optimalizovanych verzi
.
-
Bony
- Expert
- Příspěvky: 462
- Registrován: sob čer 11, 2005 6:42 pm
- Bydliště: Neveklov_28let
- Kontaktovat uživatele:
Přesně nad takovýmto problemem jsem taky nedavno přemýšlel a určitě by se takový lidi našli...ale asi nezbývá doufat že by se na to brzo přišlo..a nejhorší je že by to i firewally pustili, protože každý má pěkně boinc povolený, takže je volná cestička ....no uvidíme a nezbývá než doufat že se to nestane, nebo víte o nejaké spolehlivé ochraně 
....no uvidíme a nezbývá než doufat že se to nestane, nebo víte o nejaké spolehlivé ochraně Moje hobby http://www.foto-tapety.cz
Myslim, ze jde o obecny problem a optimalizovane verze SETI jsou jen jednou z moznosti.
Otazka duveryhodnosti projektu ci jejich aplikaci se nejednou resila
Podvodny projekt
Prolomení kódu
aj jinde...
Zrovna na Rosette probiha delsi diskuse v souvislosti s uverejnenim zdrojaku nebo jeho casti. Vetsinou to klouze smerem k problemu kreditu (jelikoz Rosetta nepouziva x-nasobne redundantni vypocty), ale jsou tam zohlednovany i tyto problemy.
Myslim, ze problem lze - alespon castecne - resit pres file_signatures, ktere BOINC obsahuje.
Otazka duveryhodnosti projektu ci jejich aplikaci se nejednou resila
Podvodny projekt
Prolomení kódu
aj jinde...
Zrovna na Rosette probiha delsi diskuse v souvislosti s uverejnenim zdrojaku nebo jeho casti. Vetsinou to klouze smerem k problemu kreditu (jelikoz Rosetta nepouziva x-nasobne redundantni vypocty), ale jsou tam zohlednovany i tyto problemy.
Myslim, ze problem lze - alespon castecne - resit pres file_signatures, ktere BOINC obsahuje.
Jeste zajimava vec k tomu - z Rules and Policies BOINC aplikaci.
Kdykoli stahujete program skrize internet, vystavujete se riziku: program muze obsahovat vazne chyby nebo mohl byt downloadovaci server hacknut. Projeky XY vyvinul usili, aby minimalizoval tato rizika. Peclive jsme testovali nase aplikace. Nase servery jsou za firewallem and konfigurovany na vysokou bezpecnost. K zajisteni intergrity stahovani programu, vsechny spustitelne soubory jsou digitalne podepsany na bezpecnem pocitaci nepripojenem k internetu.Any time you download a program through the Internet you are taking a chance: the program might have dangerous errors, or the download server might have been hacked. Projekt XY has made efforts to minimize these risks. We have tested our applications carefully. Our servers are behind a firewall and are configured for high security. To ensure the integrity of program downloads, all executable files are digitally signed on a secure computer not connected to the Internet.
Tohle neni problem ani tak optimalizace S@H nebo BOINCu, ale jakehokoli programu (a casto dokonce i pouheho dokumentu), ktere na svem pocitaci spustis. Z tohoto duvodu, je take nejlepsi a nejbezpecnejsi spoustet jen programy od lidi nebo firem, ke kterym mas stoprocentni duveru, nebo si je zkompilovat sam - pokud jsou k dispozici zdroje. Ty jsou nastesti u BOINC i S@H k dispozi, takze nic nebrani tomu si to zkompilovat sam. Samozrejme, mnohem jednodussi je to na Linuxu, protoze tam kompiler nic nestoji a detailni navody jsou k mani. U Windows jsou kompilery pomerne drahe a postup kompilace muze byt slozitejsi. I kdyz pro osobni potrebu si muzes kompiler od Intela i od MS na omezenou dobu stahnout a BOINC/S@H s nim take zkompilovat.
-
Necroman
- Expert
- Příspěvky: 496
- Registrován: pon led 17, 2005 2:43 pm
- Bydliště: Louny
- Kontaktovat uživatele:
Re:
Myslel jsem to predevsim tak,ze pokud je projekt sam o sobe na 100% pravy a bezpecny a defaultni aplikace take, tak stale muze vzniknout jeste ten problem, ze se nekde objevi "upravena" verze aplikace pro tento 100% bezpecny projekt, ktera bude delat nejakou uzitecnou vec navic, ale mimo take i nejakou tu neplechu - takovy trojsky kun. To je IMNO riziko, o kterem se dosud jeste moc nemluvilo.Honza píše:Myslim, ze jde o obecny problem a optimalizovane verze SETI jsou jen jednou z moznosti.
Otazka duveryhodnosti projektu ci jejich aplikaci se nejednou resila...
Nevěříš projektu? - Nepočítej ho.
Nevěříš optimalizacím? - Nepoužívej je.
Podívej se kolik lidí optimalizace používá. Dřív nebo dýl by na to někdo přišel. Krom scheduleru by musela aplikace komunikovat i někam jinam, můžeš si její chování na síti logovat a pak zkoumat.
Optimalizacím se věnuje už poměrně dost lidí a nikdo z nich nemá problém jím provedený změny uveřejnit. Jestliže by tohle někdo neudělal, stal by se minimálně krajně podezřelým. Aby někdo tyhle "podvodný" optimalizace používal, musely by bejt kvalitnější jak cokoliv dosud zveřejněnýho. Ne že je to nemožný, ale zdá se mi to minimálně hodně nepravděpodobný. Pokud by dotyčnej ukradl optimalizaci někoho jinýho a jen si přidal svůj kód pro záškodnickou práci, aplikace by ve výsledku byla kvůli provádění onoho kódu navíc o malinko pomalejší.
Jak trux velice správně podotknul, riziko hrozí u všeho co si stáhneš z internetu a nainstaluješ.
A tak dále a tak dále... Riziko tady je vždycky, de o to jestli se máš víc bát optimalizací, nebo nějakýho prográmku kterej denodenně používáš a vůbec nepřemejšlíš nad tím, zda nedělá i něco jinýho něž si myslíš.
Nevěříš optimalizacím? - Nepoužívej je.
Podívej se kolik lidí optimalizace používá. Dřív nebo dýl by na to někdo přišel. Krom scheduleru by musela aplikace komunikovat i někam jinam, můžeš si její chování na síti logovat a pak zkoumat.
Optimalizacím se věnuje už poměrně dost lidí a nikdo z nich nemá problém jím provedený změny uveřejnit. Jestliže by tohle někdo neudělal, stal by se minimálně krajně podezřelým. Aby někdo tyhle "podvodný" optimalizace používal, musely by bejt kvalitnější jak cokoliv dosud zveřejněnýho. Ne že je to nemožný, ale zdá se mi to minimálně hodně nepravděpodobný. Pokud by dotyčnej ukradl optimalizaci někoho jinýho a jen si přidal svůj kód pro záškodnickou práci, aplikace by ve výsledku byla kvůli provádění onoho kódu navíc o malinko pomalejší.
Jak trux velice správně podotknul, riziko hrozí u všeho co si stáhneš z internetu a nainstaluješ.
A tak dále a tak dále... Riziko tady je vždycky, de o to jestli se máš víc bát optimalizací, nebo nějakýho prográmku kterej denodenně používáš a vůbec nepřemejšlíš nad tím, zda nedělá i něco jinýho něž si myslíš.