Pohdin tässä tänään, että jos Android:in korvaisi LineageOS:illä, niin onko järkevämpää luottaa LOS:in olevan luotettavampi vai vähemmän luotettava kuin virallinen Android-jakelu?
Puolia:
* Google on iso yritys, jolla on yritykselle kuuluvia vastuita. Jos Google jäisi tietoturvan laiminlyönnistä kiinni, niin tulisi sanktioita. Siksi Google luultavasti pyrkii takaamaan tietoturvan lupaamallaan tavalla.
* LOS antaa enemmän päivityksiä kuin esimerkiksi vanhempi Android, joten siinä on nykyaikaisempia suojia kuin vanhassa Android:issa.
* LOS on avointa koodia, joten siitä voi halutessaan selvittää, mikäli siinä on jotain tietoturvaongelmia.
* LOS on epävirallisten ja löyhästi organisoituneiden ihmisten tekemä, joten vaikka LOS:issä olisi vakavia puutteita, niin tekijöitä ei voida asettaa vastuuseen eikä ohjelmisto luultavasti myöskään takaa mitään, kuten avoimen lähdekoodin projektit yleensäkään. Käyttö on siten lopulta omalla vastuulla.
* Toisaalta ei ole avoimellekaan projektille edullista, jos paljastuisi, että se tuottaa jollekin vahinkoa. Tässä mielessä myös avoimen lähdekoodin projektin kannattaa valvoa, mitä repoon on työnnetty.
Eli mitenköhän pitäisi ajatella siitä, jos haluaa asentaa vaikka LOS:in verkkopankkia yms. varten? No-go?
Vai tiedättekö esimerkkejä, joissa joku, joka on laittanut repoon jotain vakoilua tms. olisi jäänyt siitä kiinni?
xz
Vastaan hieman itselleni jo:
"With open source, anyone can view and audit the source code, which means that there are many eyes looking for vulnerabilities and potential security issues. This collaborative effort helps to identify and fix security flaws, making the software more secure."
Toisaalta, koska nämä eivät ole saman yrityksen tms. palveluksessa, niin näillä on vähemmän tai erilaisia biaseja.
Teoriassa siis jossain Apache HTTP Server:issä voisi hyvin olla rikollista koodia, mutta ei taida olla.
Verkkopankkien suurin ongelma lienee, jos verkkopankki ei itse varmenna tai tue toimintaa vaihtoehtojärjestelmillä. Näin ollen, ne saattavat toimia oikein, mutta ohjelman laatija ei ole todentanut tätä.
LOS esim. ei toteuta turvallisuusraameja, joita ohjelma kysyy Android:illa. Tämä ei kuitenkaan tarkoita suoraan, että turvallisuustarkistusten ohittaminen johtaa tietoturvariskiin.
mavavilj kirjoitti:
Vastaan hieman itselleni jo:
"With open source, anyone can view and audit the source code, which means that there are many eyes looking for vulnerabilities and potential security issues. This collaborative effort helps to identify and fix security flaws, making the software more secure."
Tuo teksti on ilmiselvästi LLM:n tuottamaa. Säästäisit vaivaa kysymällä suoraan esim. ChatGPT:ltä.
Suosittelisin olemaan käyttämättä forumeita muisti/päiväkirjoina ja yrittämään lukea huonetta. Ei ole mitään syytä mikset voisi kirjoitella asioita itsellesi johonkin ylös jos niin haluat. En ole varma, että etkö oikein huomaa tai tajua miten jengi suhtautuu viesteihisi ja lankoihisi.