ragges

Jag försöker förklara att det bara är vissa delar även i dessa "öppna ROM" som har källkod, andra delar finns bara som binärblobbar - även säkerhetskritiska delar.

Du verkar också ha en stark övertro på behovet av källkod. Jag repeterar: Få hål hittas genom granskning av källkod eller maskinkod, det mesta hittas med automater, varav de flesta används mot maskinkod. Dessutom går även maskinkod går utmärkt att analysera av människor. Både iOS och Android-"öppna ROM" har alltså både delar som det finns källkod till och delar som det bara finns maskinkod till. Skillnaden ur det avseendet är alltså närmast obetydlig och försvinner i bruset av alla andra problem.

Det finns ingen tillgänglig statistik eller annan information som kan användas för att ange vad som är säkrast, så ditt uttalande om att du "kan garantera att de är "säkrare" än senaste stabila IOS" är helt enkelt ingenting värt.

Likaså är inte "senare" nödvändigtvis samma sak som "säkrare" - ett av problemen med Linuxkärnan är att för många stoppar i för mycket för ofta, så nya säkerhetsproblem införs också i hög takt.

Både Apple och Google kan trycka ut kritiska patchar, oftast någon slags mitigation-åtgärd, på timmar om de vill, och gör det ibland. Det kan vara åtgärder mot fel i deras egna saker eller andra hot, t ex elaka program man har identifierat. Det är (tyvärr) svårt att slå detta med de frivilliga insatser som ligger bakom de "öppna ROM" som finns idag.

Jag tycker det är utmärkt att det finns sk "öppna ROM" (även om det bara är delar som är öppna och namnet i den betydelsen är falskt), men att hävda att de är säkrare finns det alltså inget som helst fog för.

Det är lovvärt att du är säkerhetsinresserad, men jag är övertygad om att det skulle göra mycket mer nytta om du kom ut ur "öppna-ROM"-bubblan. Men vill du inte fundera på detta så är det inget jag kan göra.

Jag både utvecklar kod och tittar på andras kod, av olika anledningar.

Får jag välja så föredrar jag ju att läsa källkod framför kompilerad kod, kompilerad kod kräver ofta mer arbete, men skillnaden är inte milsvid, och många gånger är kompilerad kod det enda som finns att tillgå - även för Android-telefoners vitala delar.

Då kanske du är bekant med att även till Android är det bara en delmängd av programvaran man har tillgång till källkod till, t ex så har man inte källkod till radiodelarna eller grafikdelarna, de har ofta har helt egen firmware, till och med device drivers i kärnan kan vara utan källkod. Det är många gånger där hålen finns. Likaså finns det vitala applikationer och annat som man inte har källkod till.

Det finns dock många andra väl så viktiga aspekter, som t ex att i många sämre Android-telefoner så har t ex radiodelen fritt tillgång till primärminne och kan göra vad den vill med det körande OS:et på sätt som är ganska lätta att dölja även för tillverkaren av telefonen (som ju köper färdiga chip), medan Apple och mer ansvarsfulla Android-telefontillverkare undviker sådana konstruktioner. Vissa usla Android-telefoner med fingeravtrycksläsare lägger fingeravtrycket som en bild i filsystemet fritt läsbar av alla program, det är bara att skriva ut och tillverka sin kopia så kan man låsa upp telefonen - mer ansvarsfulla tillverkare lägger den i helt separerad skyddad processor med eget minne, och lagrar den dessutom inte så att man rakt av kan tillverka sin egen kopia utan som det de brukar kalla för envägshash (fortfarande oklart hur säkert detta blir för fingeravtryck, men det är med dagens kända tekniker lite bättre i varje fall, och den dag det blir knäckt får man väl sluta använda fingeravtryck). Etc, etc.

Den enda Android-telefontillverkare som jag skulle handla av utan att dissikera allt först är Google, nästan alla av resten av tillverkarna brukar vara mer eller mindre skräp och det skulle kosta alldeles för mycket att undersöka dem jämfört med vad det är värt - om det ens är görligt utan utrusning för miljontals kronor och diverse insider-information från t ex chiptillverkarna. Detta är baserat på att nästan bara Apple och Google har förstått att de måste bry sig om användarnas säkerhet, de andra har gång på gång visat att de enbart är intresserade av att kränga telefoner.

Inlägg redigerat, trivselregler §1. /mod

Det är inte ovanligt att man anpassar användande av olika tekniker till de sammanhang där de passar, jag hoppas att det rentav är vanligt. T ex kan modellen internettjänst vara otroligt användbar i vissa sammanhang men olämpliga i andra. Det måste inte vara så att en teknik alltid är bra eller alltid är dålig oberoende av i vilket sammanhang den används.

Den här produkten förefaller vara dålig på ett antal sätt, bland annat verkar säkerhetsmodellen vara usel, och det är ju ganska anmärkningsvärt på en just en låsprodukt.

Din fullkomligt orelaterade kommentar om cookies får mig att tro att denna diskussion inte kommer tjäna på att bli längre.

Det behövs inte, eftersom de flesta webblösningar för eller senare blir crackade och kontouppgifterna kommer ut.
Om man vill att dörren hemma ska vara låst för obehöriga så är det milt sagt naivt att lägga säkerheten hos någon godtycklig internettjänst.

Känns det "tryggt och bra" att någon godtycklig webbtjänst kan låsa upp din dörr? Är detta menat som ett skämt?

Inte bara fel, utan irrelevant också.

- Delar av källkoden till iOS finns som öppen källkod (opensource.apple.com).
- Det går utmärkt att granska kod som är kompilerad. Man kanske måste kunna lite mer än en scriptkiddie, men i övrigt går det bra.
- Säkerhetshål hittas ofta av automater genom att testa mot kompilerad kod, inte särskilt ofta därför att någon har granskat koden.

Och hur kan du garantera det menar du?

Du blandar nog ihop "senare" med "säkrare".

Om "Tim Cook och andra företagsledare har träffat Republikanska partiet för att diskutera" ...

Om ... "hur de kan förhindra att Donald Trump blir presidentkandidat":

Varken artikelförfattaren eller de som har skrivit tidigare kommentarer verkar ha läst artikeln.
Starkt!