Mno, já bych byl s těmi tvrzeními trochu opatrnější. Zrovna OpenSSL za sebou má už jednu velmi podobnou chybu - při jedné z úprav došlo opomenutím či záměrem k obejití části kódu, který se staral o generování pseudonáhodných čísel. Výsledkem bylo, že číslo se dalo snadno odhadnout. Chyba zůstala také nepovšimnuta několik let...
... zkusil jsem to dohledat, zde je odkaz:https://www.schneier.com/blog/archives/2008/05/ran... ...
Takže jo, je to případ za "spoustu" let (předchozí závažná chyba byla objevena před šesti lety), ale jde o to, že se fakt nelze rovnou spoléhat na to, že opensource je z principu bezpečnější. Obvykle sice ano, ale problém je to slovo "obvykle".Jde o to, že buď si budu vědom toho, že používám produkt, který může obsahovat chyby a podle toho se budu chovat (zajistím si zabezpečení více způsoby, rozložím rizika atd.), nebo se spolehnu na jediné zabezpečení s tím, že v něm se chyby přeci najdou rychleji, protože se dovnitř může podívat každý (ale bohužel tomu ne každý rozumí a ti, co tomu rozumí, se zase málokdy podívají).Navíc bych neřekl, že by někdo tvrdil, že je opensource od základu nebezpečné. Pouze je přípomínáno (a oprávněně), že ani opensource není ušetřen kritických chyb, kterých si nemusí nikdo všimnout velmi dlouhou dobu.