資訊人權貴
@ckhung0
分享
Wed, Apr 29, 2020 12:54 AM
66
31
1. 以開源授權釋出,讓包含民間甚至全世界的相關專家都能檢視,攤在陽光下是取得信任的最好方式。
2. 以開源授權釋出,讓包含民間甚至全世界的相關專家都能檢視,若有任何問題,不需要等待原始開發團隊,一般民間臥虎藏龍之士即可提出修補讓開發團隊檢視。
3. 以開源授權釋出,讓其他單位甚至其他國家可以比照參考,在需要建立相同系統時,不需要重新開發,節省大量公帑;原始開發團隊的功蹟也可以因此大幅度擴散。甚至有其他團隊提出創新功能時,也能在開源授權的規範下,確保原始系統可以得到相同的益處。
從臺灣數位身份證(eID)看 PMPC 政策的重要性 | SLAT Blogs
掰噗~
@baipu
說
Wed, Apr 29, 2020 12:56 AM
傑克這真是太神奇了
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 12:58 AM
Wed, Apr 29, 2020 12:58 AM
開源不是資安的解答。。。看看Linux,這麼開放裡頭還是有很多問題。。。
資訊人權貴
@ckhung0
說
Wed, Apr 29, 2020 12:59 AM
bug 人人有; 開源的重點不是零bug而是信任不會有後門。
開放原始碼的Osiris
@s8321414
Wed, Apr 29, 2020 12:59 AM
天光已現 | pee
: 你搞錯問題了,閉源的問題更多呢
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:00 AM
資訊人權貴
: 數位身分證裡沒甚麼軟體,軟體是在後台,而且會一天一天增加
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:02 AM
開放原始碼的Osiris
: 所以我說開源不是資安的解答。。。而且這些漏洞是很值錢的。。。如果你找到一個Linux或Windows通用軟體的重要漏洞,一個都可以賣幾百萬台幣以上。。。
資訊人權貴
@ckhung0
說
Wed, Apr 29, 2020 1:03 AM
對,所以後台的軟體應該要開源。
開放原始碼的Osiris
@s8321414
Wed, Apr 29, 2020 1:04 AM
單要講漏洞的話,Open Source 的軟體你找到還能自己修(或是找其他公司或個人修),但閉源的就只能找原本的公司修,萬一原本那間公司倒了或不簽維護合約了你豈不完蛋?
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:04 AM
Wed, Apr 29, 2020 1:05 AM
一大堆人到中國網站(淘寶蝦皮。。。)購物,留下的資訊都比智慧ID多,那個不怕,竟然怕這個?。。用ZOOM開會與一樣
開放原始碼的Osiris
@s8321414
Wed, Apr 29, 2020 1:05 AM
不好意思我才不去中國網站購物 (O)
資訊人權貴
@ckhung0
說
Wed, Apr 29, 2020 1:05 AM
是的,我都叫學生不要用淘寶蝦皮。 如果政府不開源eID相關軟體,我也會叫學生不要用。
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:06 AM
開源有一個問題,會吸引厲害的人來看你這軟體是否有漏洞,而且會把這些漏洞拿來做壞事
資訊人權貴
@ckhung0
說
Wed, Apr 29, 2020 1:08 AM
去跟資安大師說吧
Open-Source Software Feels Insecure - Schneier on Se...
開放原始碼的Osiris
@s8321414
Wed, Apr 29, 2020 1:10 AM
天光已現 | pee
: 你說的這個狀況,閉源軟體更嚴重喔
sean robot/蘿蔔
@RBt
說
Wed, Apr 29, 2020 1:11 AM
身份證是強迫中獎;我都跟別人借電腦借帳號,決定要買什麼再讓他抽,可是我又不能借別人身份來用
leeyc0@岸郊野吾賞鯉
@leeyc0
說
Wed, Apr 29, 2020 1:11 AM
其實開源與否已經其次,更大的問題是政府收集個資幹甚麼。
以香港為例,現在已經有人質疑政府大規模使用人臉識別技術抓示威人士了
開放原始碼的Osiris
@s8321414
Wed, Apr 29, 2020 1:12 AM
而且閉源軟體如果發生這種狀況就只能找原始開發商補了,他們不補你也沒輒,反過來說,開源軟體最少你還能找其他看得懂程式碼的人幫你修
leeyc0@岸郊野吾賞鯉
@leeyc0
說
Wed, Apr 29, 2020 1:12 AM
個資數碼化,從前辦不到的事現在都變成可能
開放原始碼的Osiris
@s8321414
Wed, Apr 29, 2020 1:12 AM
leeyc0@岸郊野吾賞鯉
: 嗯,這又是另一個層面的問題了
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:14 AM
以前設計健保卡時也很多人跳出來說侵犯個資。。。縣在武漢並得來了,大家就知道政府收集這些個資有多好用了
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:14 AM
leeyc0@岸郊野吾賞鯉
: 那些智慧ID收集的資料你是反對的?
パーカー鐵道
@rail02000
Wed, Apr 29, 2020 1:16 AM
天光已現 | pee
: 健保卡乃至於身份證號方便的同時,的確也有政府監控人民的疑慮,大家覺得好用不代表沒有問題。現在的疑慮是身份證資料如何被使用,從政府乃至企業,會不會取得超過必要的個資
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:19 AM
パーカー鐵道
: 有哪些資訊啊?我覺得討論要就事論事,不是很空虛的談。。。所以所謂智慧ID有哪些資料是有問題?
パーカー鐵道
@rail02000
Wed, Apr 29, 2020 1:27 AM
天光已現 | pee
: 地址、婚姻狀況、父母姓名、生日,這些都算個資。您可能覺得這是紙本就有的東西,但這個機會正好可以檢視,我們真的需要提供這麽多資料給企業嗎?例如申辦信用卡,依照eID設計加密區一定包含相片、父母姓名、婚姻狀況、出生地、性別,沒辦法自由選擇。但我們何必告訴銀行父母和配偶姓名?真正需要的財力證明,銀行從聯徵取得即可。
另個問題是,若民眾對eID資料運用有疑慮,甚至不幸外洩,目前個資法也尚未配合修正完成。倒也不是說eID完全不能推,但法規和技術細節都還沒完善。
leeyc0@岸郊野吾賞鯉
@leeyc0
說
Wed, Apr 29, 2020 1:29 AM
天光已現 | pee
: 根本沒得反對。閉門造車,現在還要用無線身份證。已經有人質疑政府將來會用大功率批次身份證掃描器大量抓捕示威人士了
流石混貓的背後就交給你們了之術
@dragonicat
Wed, Apr 29, 2020 1:33 AM
Wed, Apr 29, 2020 1:34 AM
天光已現 | pee
: 你說的我認同,開源有很多問題,而閉源有更多問題,所以我們應該從根源作起...拋棄數位化,回到紙本手工
sean robot/蘿蔔
@RBt
說
Wed, Apr 29, 2020 1:41 AM
你隔壁桌那位客人,已經用藏在背包裡的無線讀卡設備搞清楚你是誰了,你家地址可能也知道了(戶籍地),根據你的年齡和外觀舉止判斷你有多少錢可以偷搶,然後你還沒注意到他...
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:53 AM
leeyc0@岸郊野吾賞鯉
: 所謂"無線身份證"是無稽之談,有很大的技術問題,你沒看高速公路的ETC都必須把晶片貼在車前,用很大的功率打,而且一次只能通過一輛車子。。。現在都是用手機來掌控。。。
leeyc0@岸郊野吾賞鯉
@leeyc0
說
Wed, Apr 29, 2020 1:54 AM
天光已現 | pee
: 現在可能不能,不代表將來不能,現在已經有相關研究了
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 1:55 AM
Wed, Apr 29, 2020 1:56 AM
sean robot/蘿蔔
: 如果你擔心這些,那你還有更多要擔心的。。。從你網路購物、使用手機、上網紀錄、FB跟你的網頁、社群軟體跟視訊會議,google搜尋等等,應該就可以建立你的[數位身分]了。。。(有人要讓我試,我絕對可以做到)
leeyc0@岸郊野吾賞鯉
@leeyc0
說
Wed, Apr 29, 2020 2:00 AM
先澄清一下,我是香港人,我在說香港的第二代智能身份證,並結合第一代的經驗,向臺灣朋友提醒各種你們可能沒考慮的問題。
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 2:19 AM
leeyc0@岸郊野吾賞鯉
: 我知道。。。但你說得有些有點誇張。。。 香港警方用人臉辨識,這是中國的技術,港大幾位教授應該不至於去幫香港警方吧
leeyc0@岸郊野吾賞鯉
@leeyc0
說
Wed, Apr 29, 2020 2:22 AM
天光已現 | pee
: 你知不知道被美國點名的商湯科技的老闆是香港中文大學的教授?
leeyc0@岸郊野吾賞鯉
@leeyc0
說
Wed, Apr 29, 2020 2:23 AM
我身為同系的學生都沒臉了
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 2:24 AM
Wed, Apr 29, 2020 2:25 AM
leeyc0@岸郊野吾賞鯉
: 我不認識他,但他離開很久了。。而且他是中國人
天光已現 | pee
@peeplurk
說
Wed, Apr 29, 2020 2:25 AM
他真正搞這一行應該是在北京微軟研究院
leeyc0@岸郊野吾賞鯉
@leeyc0
說
Wed, Apr 29, 2020 2:25 AM
Wed, Apr 29, 2020 3:27 AM
天光已現 | pee
: 你竟然聽過他的名字……好吧
不過我肯定沒誇大,因為我說的人臉識別抓人都是已經在發生的事了
世界線正在變動中的 Pichu
@Pichubaby
Wed, Apr 29, 2020 3:26 AM
開源的部分基本上是指在Client端上面的,像是以前就是沒有開源,因此很多軟體被限制只能在Windows上跑,政府沒預算就沒辦法,想要自己開發Mac版或者是Linux版也沒辦法。
世界線正在變動中的 Pichu
@Pichubaby
Wed, Apr 29, 2020 3:28 AM
還有更扯的是像是自然人憑證,他的其中一段Key被鎖在民營公司手上,該民營公司說這是他們的智慧財產權,導致任何人想要利用自己的自然人憑證都需要和該公司進行商業洽談。
世界線正在變動中的 Pichu
@Pichubaby
Wed, Apr 29, 2020 3:31 AM
伺服器的部份不一定也不需要開源,伺服器部分需要的是Open API, 因為伺服器軟體如果使用專有軟體,例如Windows, 不可能要求微軟開源Windows否則不採購。再來是客戶端軟體比較容易稽核開源版本是否和釋出版本行為不一,伺服器軟體要稽核難度很高。
然後除了你打算自己架一組伺服器以外,有什麼實質理由需要編譯伺服器軟體?
世界線正在變動中的 Pichu
@Pichubaby
Wed, Apr 29, 2020 3:36 AM
然後開源不開源對於資安的重點在於Code Review, 不開源的軟體即使拿到了二進位欓也是可以進行Code Review的,所以客戶端軟體基本上都有可能被攻擊者Code Reivew, 伺服器端軟體則很困難(除非你這伺服器早就被打下來了)
為什麼會知道自然人憑證的Key被綁在民營公司手上呢? 明明他沒被開源啊? 因為本來就會有從事資安的去研究每個人電腦都裝的軟體,會不會有增加什麼漏洞導致自己的電腦被入侵。
那說開源軟體可能也會有問題也就是在這個Code Review上面,假如這個程式碼大家都太過信任他,覺得它上面不太可能會有漏洞,那就有可能一個漏洞出現很久。
不過太過信任的例子不太可能出現在政府軟體上。
資訊人權貴
@ckhung0
說
Wed, Apr 29, 2020 3:59 AM
世界線正在變動中的 Pichu
講的精確。 伺服器部分需要的是Open API。
載入新的回覆
2. 以開源授權釋出,讓包含民間甚至全世界的相關專家都能檢視,若有任何問題,不需要等待原始開發團隊,一般民間臥虎藏龍之士即可提出修補讓開發團隊檢視。
3. 以開源授權釋出,讓其他單位甚至其他國家可以比照參考,在需要建立相同系統時,不需要重新開發,節省大量公帑;原始開發團隊的功蹟也可以因此大幅度擴散。甚至有其他團隊提出創新功能時,也能在開源授權的規範下,確保原始系統可以得到相同的益處。
以香港為例,現在已經有人質疑政府大規模使用人臉識別技術抓示威人士了
另個問題是,若民眾對eID資料運用有疑慮,甚至不幸外洩,目前個資法也尚未配合修正完成。倒也不是說eID完全不能推,但法規和技術細節都還沒完善。
我身為同系的學生都沒臉了不過我肯定沒誇大,因為我說的人臉識別抓人都是已經在發生的事了
然後除了你打算自己架一組伺服器以外,有什麼實質理由需要編譯伺服器軟體?
為什麼會知道自然人憑證的Key被綁在民營公司手上呢? 明明他沒被開源啊? 因為本來就會有從事資安的去研究每個人電腦都裝的軟體,會不會有增加什麼漏洞導致自己的電腦被入侵。
那說開源軟體可能也會有問題也就是在這個Code Review上面,假如這個程式碼大家都太過信任他,覺得它上面不太可能會有漏洞,那就有可能一個漏洞出現很久。
不過太過信任的例子不太可能出現在政府軟體上。