Dnia poniedziałek, 22 września 2014 13:03:35 Robert Partyka pisze:
W dniu 2014-09-22 09:37, Radoslaw Szkodzinski pisze:
Ludzie nie chcą wiedzieć, jak to działa. Tylko ma działać.
Tyle, że wtedy nie można mówić o bezpieczeństwie. Jak nie wiesz jak działa, to nie wiesz czy działa. I stajesz się idealnym celem. Jakoś nie potrafię przypomnieć sobie okresu w historii ludzkości, gdzie bezpieczeństwo miałoby rodzić się z niewiedzy.
Można próbować snuć opowieści o społecznym nadzorze nad kodem i tej grupie aniołów open source pilnujących by inni mogli być bezpieczni w niewiedzy. Tyle, że choćby przykład OpenSSL powinien ludzi na tej liście odrzeć z takich bajek.
Ależ pięknie w tym wątku wszyscy latają między dwoma ekstremami Straw Mana: "albo masz pełnię wiedzy, albo wcale". Jakby nie było odcieni szarości, i jakby nie trzeba było mieć 100% wiedzy na temat danego rozwiązania, by móc go skutecznie używać.
Nie mam 100% wiedzy na temat kryptografii, ECC i tak dalej, ale jestem w stanie ich skutecznie używać, jak sądzę; podejrzewam, że to zdanie opisuje sporą część osób na tej liście.
Pytanie nie brzmi "czy ułatwiać wykorzystanie", a "do jakiego momentu". Tzn. którą wiedzę można schować przed niewprawnym juzerem, albo której wiedzy nie trzeba od niego/niej wymagać do skutecznego korzystania z kryptografii.
Moja teza brzmi: jest jeszcze sporo elementów na linii OpenPGP-email, które można zrobić bardziej juzerfriendly, bez utraty skuteczności i bezpieczeństwa -- a nawet z zyskiem dla nich.