Há algum tempo atrás, numa conversa entre amigos, um conhecido soltou esta frase: “como é que vou confiar no sistema de login do GNU/Linux, se todos conhecem o seu algoritmo?”.
A pergunta poderia ser traduzido por “como vou confiar que minha senha não será quebrada se todos sabem como ela é criptografada”. Sim….todos sabem como a senha do usuário é criptografada, já que todos possuem acesso ao código-fonte do sistema.
Mas é justamente aí que reside a sua segurança. Pelo simples fato de qualquer um poder analisar o código, esse “qualquer um” pode descobrir as falhas e corrigi-las. Como também pode descobrir as falhas e explorá-las….só que há um detalhe: quando dezenas, ou centenas, de pessoas analisam o código, qual é a chance de apenas um encontrar uma falha e explorá-la? Ou de todos eles resolverem usar a informação ilicitamente?
Já aconteceu da Microsoft coletar e enviar informações do usuário para seus servidores.
E o caso da Sony BMG, com o seu sistema de DRM que era praticamente um vírus?
Ou a Real Media, que lançava o RealPlayer cheio de programas que eram instalados sem o usuário saber, a ponto dele ser considerado um spyware?
A Mozilla há não muito tempo atrás retirou dos seus servidores um plugin para o Firefox que instalava um adware junto.
E hoje foi descoberto que muitos HTC Magic, vendidos pela Vodafone (e com software alterado por eles), roubava informações dos usuários quando ocorria uma sincronização com o computador.
Notou que em quase todos os casos acima, estamos falando de softwares proprietários, exceto o plugin do Firefox?
Essa tese de que um software com código aberto é mais vulnerável a ataques cai por terra à partir do momento que qualquer um pode efetivamente olhar o código.