On 2015-09-23 11:35, gin(e) wrote:
> On 09/21/2015 01:14 AM, torn wrote:
>
>>> perchè se fai qualcosa per la sicurezza/privacy devi per forza lasciare
>>> il sorgente aperto altrimenti nessuno ti si incula paro.
>
>> OK, ma se poi pretendi che si usi il tuo binario, senza che ci sia
>> nessun sistema di build riproducibili, siamo punto e a capo, mi sembra...
>
> Dal punto di vista della sicurezza: no, così può dichiarare di occuparti
> di sicurezza nella messaggistica e permettere gli altri di smentirti.
Io dico che non è vero: per quanto ne possiamo sapere noi il binario
distribuito potrebbe non corrispondere ai sorgenti disponibili su
github. Non esiste nemmeno un sistema di build riproducibili.
Al più possiamo dire che il protocollo è pensato bene e ne esiste una
buona implementazione, ma sul binario dobbiamo assumere di non sapere nulla.
Mi si può dire che questo è un problema che c'è sempre: per esempio
quando installo un pacchetto Debian binario che ne so di quali sono
esattamente i suoi sorgenti? Però almeno qui la questione è riconosciuta
e ci si sta lavorando:
https://wiki.debian.org/ReproducibleBuilds
mentre la cattiva attitudine di Moxie nei confronti della comunità del
software libero (che lui apertamente disconosce) rende più difficile
accettare compromessi.
> A mio avviso è il problema tra open e free.
Però TextSecure&C sono liberi (GPLv3), non solo open, quindi il problema
non è questo.
Nella mail precedente mi chiedo infatti "perché [Moxie] l'abbia
rilasciato come software libero se non vuole build indipendenti". Poteva
farlo open ma non libero, impedendo la redistribuzione e ottenendo
comunque quello che tu hai scritto sopra.
