Re: TCPA e Palladium, un bene per la sicurezza?

Il discorso sarebbe molto lungo e articolato.
Io credo che Intel, Amd siano di fatto spinte a questo da Microsoft che
volenti o nolenti è il loro vero principale cliente.
Micorsoft invece strizza l'occhio ai fornitori di contenuti
tradizionali, in quanto vede in una allenza con loro un ulteriore metodo
di lockin degli utenti.
Se i contenuti (libri, film, musica, ecc...) vengono distribuiti _solo_
con formati compatibili con la piattaforma Microsoft chi pensate che ne
trarrà il maggior benefecio?
Gli utenti?
I fornitori di contenuti?
...

Per quanto riguarda la sicurezza che dovrebbe permettere questa
piattaforma, credo ci siano autorevoli fonti in circolazione, basta
cercare, io sono d'accordo con coloro che sostengono che questo approcio
non aumenterà di una virgola la sicurezza delle macchine.

La sicurezza non è un prodotto, è un fattore che viene determinato
principalmente da due cose:
- buon codice, il più possibile esente da bachi
- cultura! La sicurezza si ottiene solo se la si ricerca, non la si può
imporre dall'alto.

Per la prima è abbastanza ovvio che la security through obscurity è una
favola che non convice più molto, la visibilità del codice è
fondamentale per permettere review indipendente e costante.

Per la seconda basta portare un esempio: a che serve un sistema iper
sicuro se poi ci scriviamo la password ('pippo') e la appiccichiamo in
bella vista al monitor?

La storia dei certificati sulle applicazioni invece è proprio una
buffonata, da una parte non garantisce assolutamente nulla sulla
sicurezza, l'unica cosa che può (forse) garantire è chi è il rivenditore
del programma. dall'altra parte di certo alza la barriera all'ingresso
nel mercato della produzione di software e taglia fuori il software
libero, perchè è ovvio che questi certificati non saranno rilasciati
gratuitamente a chiunque, inoltre pone di nuovo il certificato in una
posizione di monopolio (toh che strano) con un ruolo di giudice unico
che può decidere di dilatare o stringere i tempi di concessione del
certificato a seconda dei propri interessi economici (esempio: ritardare
il rilascio del certificato per un programma concorrente per cercare di
guadagnare terreno).

Questa è solo una piccola parte dei problemi che porta una piattaforma
del genere, oltre al software ci sono barriere di ingresso più elevate
per i produttori di hardware e tutta un'altra serie di problemi per chi
non si allinea al grande di turno.

Simo.

On Wed, 2002-10-02 at 18:07, click wrote:
> Come voi di certo saprete Microsoft Intel e (purtroppo) AMD si sono fatte
> portavoci di questa disgrazia:
> http://www.complessita.it/tcpa
> 
> voi che ne pensate?
> e' davvero una manna dal cielo per la sicurezza?
> rispetta la privacy?
> e' un tentativo di monopolio?
> 
> Ci terrei a sapere la vostra opinione (dopo aver sentito quella di Stallman
> e dell'EFF che sono tutte e due molto negative in merito a questo progetto)
> 
> Valerio Genovese (aka click)
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
-- 
Simo Sorce - simo.sorce@xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399

This is a digitally signed message part