Tôi theo dõi vụ iCMS từ đầu. Bản thân tôi nhiều năm làm trogn lĩnh vực IT và mã nguồn mở. Phải nói rằng, đối với Việt nam, khái niệm bản quyền cũng còn nhiều mới mẻ, khái niệm mã nguồn mở, bản quyền sử dụng mã nguồn mở, chắc chắn là nhiều người, kể cả trong giới CNTT VN hiểu được. Chính vì thế, VVT mới có thể lợi dụng qua mặt BGK, đưa sản phẩm mã nguồn mở vào thi TTVN mà không ai biết, hoặc biết mà lờ đi.

Việc tranh cãi ai đúng, ai sai, đúng sai đến đâu còn nhiều điều phải bàn. Tuy nhiên, cả bên VVT, bên DDTH , các báo điện tử khi viết bài đều thống nhất rằng, mã nguồn khi mở ra, dễ bị hack vì tính bảo mật kém.

Tôi hoàn toàn không đồng ý với định kiến này.

Quan niệm về tính bảo mật của mã nguồn mở có bảo mật hay không đã diễn ra nhiều năm nay. Đó là cuộc chiến về truyền thông giữa các hãng ủng hộ PM nguồn đóng mà dẫn đầu là Microsoft và cộng đồng ủng hộ mã nguồn mở. Trên diễn đàn http://vnlinux.org cũng có nhiều bài tranh luận về vẫn đề này. Kết luận là, tính bảo mật của phần mềm là một quá trình và phần mềm nguồn mở là phương pháp tốt để là cho phần mềm bảo mật hơn.

Quan niệm mã nguồn mở dễ bị hack là quan niệm sai

Phần mềm dễ bị hack là phần mềm được thiết kế không bảo mật, trước sau cũng bị hack. Dù mã nguồn có mở hay không.

Phần mềm mã mở, tuân thủ các qui trình thiết kế chặt chẽ, sẽ giảm tối đa cơ hội có lỗi bảo mật. Các phần mềm mã nguồn mở như nhân Linux, apache, mysql, php, hoàn toàn là mã nguồn mở, qua bao nhiêu năm hoàn thiện, ngày nay, lỗ hổng bảo mật hầu như không có.

Qua bài viết này, tôi muốn kêu gọi các bạn thành viên của DDTH, và các phóng viên ICT các báo, khi phát biểu, không nên đánh đồng tính yếu kém của iCMS với mã nguồn mở. Việc iCMS có lỗ hổng về bảo mật là do tác giả trình độ kém, chứ không phải là phần mềm nói chung khi mở mã ra thì sẽ giảm tính bảo mật đi.

Thân chào.

Dong y voi ban dieu nay, theo toi duoc biet cac phan core xay dung tren ma nguon cuc ki an toan vi no da duoc nhieu chuyen gia xem xet nhieu lan. Tuy nhien van de iCMS lai khac, toi cho rang cac tac gia da lay phan core cua CMSNET sau do them mot so module ngoai vao de ket noi , va loi bao mat chinh la o day ( nhu havonline da phan tich). Mot thuc te theo toi nghi den ban than cac tac gia cung ko hieu het ma nguon cua CMSNET do vay da tao ra lo hong.
Toi luon ung ho ma mo vi day la cach duy nhat de IT VN bat kip voi TG, tuy nhien can su dung trong sang theo dung tinh than open-source.

Quan niệm mã nguồn mở dễ bị hack là quan niệm sai


Về cơ bản tôi đồng ý với quan điểm của bạn và điều này cũng đã được chứng minh nhiều lần qua các phần mềm OS khác như Apache hay Linux. Nhưng trong trường hợp này lại không hẳn như vậy! Thế mới thú vị!
Tại sao?
Tại vì trong trường hợp này bản chất sự việc hòan toàn khác hẳn. Mã nguồn mở thường có độ an toàn cao hơn các phần mềm mã nguồn đóng vì mọi người đều tham khảo được mã nguồn và mọi người tiếp tục đóng góp phát triển phần mềm đấy! Mọi người phải xem được mã nguồn mới nhất của phần mềm và mọi người đều được khuyến khích đóng góp cho phần mềm đó cơ. Trong trường hợp của iCMS thì lại khác. iCMS là phần mềm mã nguồn đóng nhưng mọi người có 1 phần hay 1 phiên bản nào đó của sản phẩm. Điều này tương đương với việc iCMS là phần mềm mã nguồn đóng nhưng để lộ mã nguồn! Trong mọi trường hợp (open source, closed source) thì đây là thái cực nguy hiểm nhất! Closed source an toàn vì mã nguồn của nó được giấu, hacker khó khai thác được lỗ hổng trong đó vì phải dùng phương pháp trial-error, nhưng nếu lộ mã nguồn thì nguy ngay như vụ MS Windows gần đây là minh chứng. Chưa bao giờ có nhiều worm ra đời với tốc độ nhanh như hiện nay!

Vì iCMS là sản phẩm ăn cắp (biến OS -> closed source của riêng mình) nên lỗ hổng bảo mật trong iCMS quả thực rất ngiêm trọng. Ngay tác giả Fraser cũng đã nói, trong CMS.NET có sử dụng concept của .NET Beta 2 và vì vậy còn có lỗi. Vấn đề là VinaComm không hiểu đó là những lỗi gì nên bê nguyên cả những lỗi đó vào iCMS (xem thêm thư của Fraser về v/đ này (đã bị xóa trên TTVN)) nên ngày nay iCMS đang là con mồi dễ dàng của tin tặc! Vụ tấn công những ngày vừa qua là minh chứng sống động nhất ;)

Tôi xin mở rộng ý kiến của anh Sinuhe về tính bảo mật của mã nguồn mở:

+ Tính cộng đồng rất cao của mã nguồn mở khiến cho kẻ đối địch rất hiếm. Chỉ có những kẻ suy đồi về đạo đức hoặc có các động cơ mạnh mẽ mới ỉm đi các lỗ hổng bảo mật của các phần mềm mã nguồn mở. Với quan điểm nhiềm con mắt và nói chung là các con mắt tính xây dựng cao thì tôi tin là mã nguồn mở an toàn.

+ Trường hợp iCMS là sản phẩm nói thực ra là sản phẩm mã nguồn đóng ăn cắp. Nó bị bắt buộc mở mã nguồn trước những người thù địch. Nghĩa là để hở sườn cho kẻ thù thì chắc chắn chết. Các khách hàng của iCMS đang đứng trước nguy cơ bảo mật rất lớn. Họ nên kiện Vinacomm về việc đã không cung cấp đủ thông tin về sản phẩm khiến cho họ phải gánh chịu rủi ro.

+ iCMS là sản phẩm phái sinh từ mã nguồn mở trong đó có mã nguồn phân phối theo giấy phép GPL và MPL cho nên phải được tái phân phối dưới dạng mã nguồn mở. Ai đó có mã nguồn thì nên đặt mã nguồn đó lên SourceForge theo đúng tinh thần mã nguồn mở nhỉ?

Vụ đạo phần mềm iCMS: bánh xe chiếm bao nhiêu % của xe
Trong vụ iCMS, VVT và đồng bọn liên tục biện hộ rằng, rất nhiều dòng lệnh do họ viết ra so với phần mã gôc ăn cắp, rằng mọi người không tin thì đếm dòng lênh mà xem. Hóa ra, họ ngây thơ nghĩ rằng, đếm số dòng lệnh là phương pháp tính giá trị sở hữu trí tuệ trong phần mềm.

Quan niệm đếm dòng lệnh ăn tiền chứng tỏ họ quá non nớt về công nghệ phần mềm (mà dù sao, họ không phải dân phần mềm, software engineering).

Trong phần mềm, tạm chia độ phức tạp của hệ thống ra làm ba loại:
* Phần lõi (core) là phần phức tạp nhất, chứa đựng nhiều giá trị trí tuệ nhất, là linh hồn của phần mềm. Phần lõi này thường chiếm 70% đến 80% giá trị của hệ thống. Không phải ai cũng đủ trình độ để viết phần core này. Từ trước khi có Linus Tovald, cộng đồng mã nguồn mở GNU nai lưng ra viết nhiều năm trời vẫn chưa hoàn thiện được nhân hurd, trong khi Linus hoàn thành nhân Linux trong khoảng 1 năm gì đó.
* Phần giao diện hệ thống (system interface): là các API (Application Prỏgamming Interface) để các chương trình phát triển trên phần core dựa vào đó mà phát triển, phần API này thường chiếm giá trị 15% đến 20% của hệ thống.
* Phần giao diện người sử dụng (user Interface): phần này là phần giao diện người máy, nói chung là đơn giản vì thường lập trình với sự hỗ trợ của các công cụ visual, giá trị trong hệ thống chỉ khoảng 5% đến 7%.
* Việc trả lương cho kỹ sư phần mềm trong các dự án phần mềm thường cũng được chia theo ba loại trên.

Chênh lệch về thu nhập của kỹ sư phần core so với phần UI có thể lên đến 5 đến 10 lần.

Trong iCMS, các phần ăn cắp đều là phần core, do đó, tác giả gốc Fraser nói rằng, nếu bỏ phần của ông ta, iCMS không thể nào chạy được.

Nếu nhóm iCMS bỏ các phần mã ăn cắp, tôi dám cá rằng, 5 năm nữa, nhóm iCMS cũng không thể đạt được tính năng như hệ thống hiện nay. Bởi vì những thuật toán phức tạp như HTML parser, XSLT processor, các kỹ sư iCMS không thể làm được. Có thể đánh giá sơ bộ trình độ qua nhìn HTML code, phần lớn đều dùng Visual tool là Front Page, họ không đủ trình độ viết trang html theo chuẩn, chứ chưa nói chuyện viết các dòng code phức tạp khác.

Việc BTC giải TTVN trao giải cho nhóm iCMS hay Vietkey, sản phầm ở trình độ trẻ con, cho dân IT biết rằng, giải TTVN chỉ dành cho các chu kid, và trình độ củ BGK cũng chỉ đến thế thôi.


mnguyenvn
YIM: mnguyenvn
=======
Không hiểu sao gửi bài mới không được, đành thử gửi nối.

Viết một iCMS trong vòng 2 tháng với những đoạn code phức tạp với ASP.NET và một khối lượng công việc đồ sộ như thế mà dám nói là họ viết 100% thật là quá đáng. Một đoạn code trong một modul tôi đảm bảo nếu thật sự họ viết thì đừng nói là 2 tháng mà hai năm chưa biết đã xong hay chưa.
Bạn mnuyenvn có ý kiến cũng khá độc đáo, tuy nhiên nói BTC TTVN như thế thì cũng hơi năng lời đó. Nhưng không sao, biết đâu họ có thể tổ chức công bằng và đánh giá khách quan hơn, cẩn trọng hơn, chuyên nghiệp hơn....