Door Kwitny Speers: Het probleem is ontstaan na 28 Nov 2018, dus ong. een jaar geleden.
Dat is de datum dat de defaultwaarde voor een kernel-parameter die door systemd wordt ingesteld in de systemd-configuratie is veranderd. Dit gaat ook over OpenBSD, FreeBSD, MacOS, iOS en Android, en daar wordt systemd helemaal niet in gebruikt, en bij vier van die besturingssystemen zijn Linux-kernelparameters niet van toepassing omdat ze geen Linux-kernel gebruiken. Daar komt nog bij dat de genoemde instelling voor IPv4 is terwijl de kwetsbaarheid ook voor IPv6 geldt.
Ik denk dus niet dat je het hele probleem aan die datum kan koppelen.
Juist doordat de code inzichtelijk was voor de onderzoekers is het lek ontdekt dus precies wat jij als verwijt gebruikt heeft er voor gezorgd dat het gevonden is.
In de gesloten OS'en zullen we nooit zien welke bugs daarin zitten.
Als ik lees hoe de onderzoekers het beschrijven krijg ik de indruk dat men druk met netwerkverkeer heeft zitten experimenteren en manipuleren en dat men het zo gevonden heeft. Zo'n benadering is onafhankelijk van broncode, en er worden ook zat problemen gevonden in software waarvan de broncode niet openbaar is.
Door Anoniem: Blijkbaar had niemand ondanks alle "open zichtbare code" dit nog gezien.
De uitspraak "many eyes make bugs shallow" is een observatie over het Linux-kernelproject, een project waar vele (1000+) veelal zeer professionele mensen aan meeontwikkelen. Door de open manier van communiceren, het feit dat de broncode voor al die mensen beschikbaar is en ongetwijfeld ook het feit dat er geen management rondloopt dat tegenwerkt dat mensen verder kijken dan het werk waarvoor ze zijn ingepland, krijg je het verschijnsel dat als een bug,
als die eenmaal onderkend wordt, vaak snel en goed wordt opgelost. Dat komt omdat de kans groot is dat er onder al die betrokkenen iemand is die er op net een inzichtelijke manier tegenaan kijkt die maakt dat het probleem makkelijk te begrijpen en vervolgens makkelijk op te lossen is. Het is een manier van werken die bevordert dat de juiste inzichten makkelijk aan problemen gekoppeld worden. Maar dan moet men zo'n probleem wel eerst onderkend hebben.
Wat het uitdrukkelijk niet is, en zo is het ook nooit bedoeld, is een claim dat als je broncode maar openbaar maakt dat alle bugs die erin zitten vanzelf wel worden herkend. Helaas zie je maar al te veel mensen, zowel mensen die open source verdedigen als mensen die het aanvallen, die het desondanks toch zo framen.
Iedereen die programmeert weet dat je fouten maakt, dat je ze vaak zelf niet ziet, en dat het echt niet zo is dat bugs in code die je onder ogen krijgt van een zwaailicht en sirene zijn voorzien. Vaak herken je pas dat er iets niet klopt als je er op de juiste manier naar kijkt, en die juiste manier wordt gekleurd door je achtergrond en het onderwerp waar je op dat moment mee bezig bent.
Bij een bug als deze is het een complexe wisselwerking van gebruiksfactoren die maakt dat code die vermoedelijk keurig in elkaar zit, grondig getest is, vaak bekeken is, toch nog een zwakte blijkt te hebben door de manier waarop dingen in dit specifieke scenario bij elkaar komen. De pest is dan dat je de zwakheid in de code pas herkent als je hem met dit scenario in gedachten bekijkt.
En niemand is zich bewust van dat scenario totdat iemand het bedacht heeft. De pest is dat je niet alles kan bedenken. Probeer maar eens om op te sommen waar je allemaal
niet aan denkt. Dat is onmogelijk.
Dit is niet iets waar open source een wondermiddel voor is, en het is evenmin zo dat dergelijke fouten in een gesloten OS per se moeilijker te vinden zijn. En het is, of je open source nou een warm hart toedraagt of niet, onzin om je "discussies" te baseren op iets dat eigenlijk niet meer dan magisch denken is.