Robert J. Newmark wrote:
> nop, in realta' lo so bene cosa e',
me ne scuso
> e' che il concetto "questo e'
> codice, chi lo fa non e' interessante, possa essere anche Ratzinger" e'
> un atteggiamento pericoloso.
e invece, per noi è sia un atteggiamento coerente, sia un atteggiamento
disilluso:
. coerente perché se diffondiamo un progetto che ha come cardine,
l'anonimato ad ogni livello, spiegando che "anche se una cosa è anonima,
non vuol dire che non sia giusta ed utile", non possiamo non accettare
contributi anonimi. quindi, che dietro l'anonimo ci possa essere uno
come me, o Iannone di casapound, automaticamente diventa irrilevante.
. disilluso perché una rete distribuita viene attaccata
dall'infiltrazione, ma piuttosto che risolve la cosa con sistemi
proprietari, chiusura, livelli di fiducia elevanti, abbiamo aperto il
piu' possibile. chiunque contribuisce e mette risorse. E se tra i server
tor2web che ci hanno offerto (oltre a quelli del CCC :) ci sono anche
quelli dell'NSA, eh pace, semplicemente diffonderemo un software che
permette all'utente e al sistemista di usare quello di cui si fidano.
*L'infiltrazione è inevitabile* la protezione sta nel far si che il
danno non si propaghi.
non puoi elaborare un sistema di rete distribuita, pensando che qualcosa
possa essere chiuso all'elite ristretta. i directory server di Tor, i
potenziali point of failure della rete, prevedono comunque che qualche
nodo possa essere corrotto, è irrilevante: una rete è robusta se riesce
ad aggirare questa possibile compromissione.
e così la rete globaleaks, la rete Tor, il frontend Tor2web, gli
sviluppatori di GL.
> Se TOR lo avesse scritto (anche opensource) l'NSA, tu ti fideresti a
> usarlo? magari si perche' ti vai a leggere il codice, ma siamo sicuri
> che tutti si guardano il codice nel mondo opensource? io uso 99% codice
> opensource, ma ne avro' letto mezzo Mega di codice, usandone svariate
> Giga.
"la comunità" serve a questo, tu non puoi leggere il codice, mia mamma
non puo' leggersi il codice, se credo in questa comunità, leggo la mia
0.05% di codice, pubblico i bug, e sto garantendo che è sicuro.
la risposta per tor fatto dall'NSA ? certo che lo userei, perché parto
dal presupporto che tor-dev possa anche essere infiltrata, (è
pubblica!), e con quest'apertura è pubblicamente evidente se una scelta
critica viene fatta non su base scientifica, ma per altri motivi
(l'effetto della corruzione, infiltrazione, etc)
> Insomma, opensource non significa sicuro, significa che puoi
> controllarlo, ma poi chi usera' GL quel codice non sa manco leggerlo,
> quindi magari guarda la lista di quelli che ne fanno parte e decide se
> si puo' fidare o meno.
ok, io controllo il codice, tu mi conosci, tu ti fidi. GL non è fatto
per chi conosciamo direttamente, ma per la stragrande maggioranza di
utenti che non ci conoscono direttamente.
come devono fidarsi loro ? con il meccanismo comunità e revisione che ha
portato fiducia a Linux, a Tor, a PGP. stesso meccanismo, anche se
Ratzinger, matteoflora, Iannone e un anonimo hanno scritto il plugin per
far ricevere le segnalazione provenienti da GlobaLeaks, verso facebook.
> Lo sto dicendo proprio per fare un Endorsement al progetto e proporvi un
> accurata linea di controllo di chi ci mette le mani dentro, perche'
> rischia di 'fallire' solo per la presenza di persone che con la libera
> circolazione dei saperi hanno poco a che fare.
Questo è un problema che vorrei veder risolto, ma non risolto creando la
lista di prerequisiti minimi e di divieti minimi, ambisco al fatto che
ti fidi di una tecnologia se qualcuno che rietieni di riferimento ti ha
detto "è sicura".
ciao,
v
