[GTER] [OT]PHPnuke

Marcelo Coelho marcelo at tpn.com.br
Fri Aug 20 18:48:37 -03 2004


Marlon,

Concordo com você. Acho que deixei a impressão de que software open-source é
inseguro porque é open-source.
Mesmo com vulnerabilidades (que todos têm), ainda prefiro confiar em algo
que eu sei que faz do que confiar em uma "caixa preta".
Quem se mantém atualizado em sites sobre vulnerabilidades, e aplica
constantes patches em seus códigos, dificilmente terá este tipo de problema.

O grande problema é que o usuário comum também utiliza estes softwares.
Conheço casos em que o provedor oferece o PHPNuke diretamente no painel de
controle, porém uma versão já com problemas. Aí é que mora o problema. O
usuário coloca a coisa pra funcionar sem ter a menor idéia do perigo que
está correndo.

Quando é com o PHPNuke, tudo bem, é um site de conteúdo, mas e o osCommerce,
que armazena números de cartão de crédito?



----- Original Message ----- 
From: "Marlon Borba" <mborba at trf3.gov.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Friday, August 20, 2004 6:02 PM
Subject: Re: [GTER] [OT]PHPnuke


Marcelo Coelho wrote:

> Infelizmente, um dos efeitos colaterais em usar este tipo de software
> gratuito é que com muita frequencia alguém acha uma falha de programação e
> já começa a explorá-la. Como todo mundo tem o fonte, a chance de alguém
> achar um furo é muito alta. Ou seja, o que há de melhor no open-source
> também pode ser usado para o mal. ;-)

Em tese todo 'software', ainda que fechado, possui 'bugs' e potenciais
vulnerabilidades. Que o fonte seja aberto facilita a exploração, mas o
fechamento não é garantia de segurança (assim fosse, o Windows seria o
sistema operacional mais seguro do mercado).

Além disso, a abertura das fontes também é benéfica porque é possível
auditar o código e porque, sabendo-se onde está a falha, é mais fácil
obter uma correção. E quando o fabricante do "software" fechado não
entrega um "patch" em tempo de deter uma onda de ataque?

O problema não está no modelo de desenvolvimento (livre ou fechado), e
sim nas práticas desse desenvolvimento. É o caso, por exemplo, de um
programador que não cuida de verificar se cada função implementada no
seu código em C pode servir de base para ataques do tipo "buffer
overflow". Aqui o "software" livre leva uma pequena vantagem, na medida
em que, aberto, embora o perigo de um "exploit" exista, ele é mais fácil
de ser detectado e corrigido. E as grandes empresas com seus prazos
asfixiantes e sua sucumbência às pressões do mercado consumidor (a
Microsoft que o diga)?

Não importa de onde o "software" veio se não há meios de saber o que
está dentro dele, e se cada sysadmin não o instala e configura de
maneira adequada e não aplica os "patches" necessários...

[]s,

Marlon.


-- 
+--------------------------------------+
                Marlon Borba
        Divisao de Suporte Tecnico
  Tribunal Regional Federal da 3a Regiao
     (11) 3012-1683 - (11) 8205-0210
mborba at trf3.gov.br - marlonborba at acm.org
Membro da/Member of  ACM/IISFA/ISOC/ISSA
+--------------------------------------+
--
GTER list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list