الأحد، 10 أغسطس، 2014

الدروس المستفادة من أزمة نزف القلب (3)

هذا هو المقال الرابع و الأخير في حديثنا عن أزمة نزف القلب heartbleed و الدروس المستفادة منها، و قد كتبتُ هذه الرباعية من المقالات بسبب أن تلك الأزمة نبهتني إلي بعض الأمور البدهية التي يحتاج الكثيرون للانتباه إليها، و كان من الممكن أن أطيل أكثر من ذلك لكنني آثرتُ السلامة و أن أكتفي بهذا القدر؛ حتي لا يعزف الناس عن قراءة هذه المقالات مللاً، فتفقد وظيفتها الأساسية و تصير كأنها لم تكن، و الكابوس الأكبر لأي كاتب (مبتديء كان أو محترف) هو أن يجده الناس مملاً و يعزفون عن قراءة ما يكتب.


في المقالين السابقين تحدثتُ عن أهمية العامل البشري و الأدوات البرمجية المساعدة و الدعم المادي الكافي لزيادة قوة و نضج المنتجات البرمجية. ثم أوضحتُ أن هذه العوامل تختلف في التأثير بين البرمجيات مغلقة المصدر و المفتوحة المصدر، بحيث يكون التعميم نوعاً من الخطأ يجب تجنبه. و كان من المفترض أن أتحدث عن أهمية المختبرين (سواء أكانوا متخصصين في اختبار البرمجيات، أو كانوا مجرد مستخدمين يبلغون عن المشاكل التي تواجههم أثناء استخدام البرنامج)، لكن بما أن هذا الموضوع سيأخذ وقتاً كبيراً في الحديث عنه مما يهدد بألا يقرأه أحد، و بما أنني لا أجد عندي لا القدرة و لا الوقت الكافي حالياً للبحث في هذه الجزئية، فسأضطر لعدم الحديث عنها ضمن هذه السلسلة من المقالات، علي أن أتحدث عنها في مقالات منفردة فيما بعد بإذن الله تعالي. أما في هذا المقال الختامي فأريد أن أتحدث عن نقطة غاية في الأهمية لم نتناولها من قبل، و هي كيفية تعاملنا مع أمثال هذه الأزمات (سواء أكنا من محبي البرمجيات المغلقة أو المفتوحة).
 
لقد قلتُ من قبل أن هذا الموضوع من أهم الأمثلة علي المواضيع التقنية التي تمثل حقل ألغام لكل من يريد الخوض فيها، و سبب كونها كذلك أن هناك طرفين متضادين علي أهبة الاستعداد لتمزيق من يقول تعليقاً لا يعجب أحدهما عن الأزمة، و هما: المتعصبون للبرمجيات مفتوحة المصدر و المتعصبون للبرمجيات مغلقة المصدر، و أرجو أن تلاحظوا هنا أنني أقول “المتعصبون” و لا أعمم علي كل الناس.
 
المهم هنا أن هناك فريقين متنازعين في المسألة، إن رضي أحدهما عن رأيك فيها فلن يرضي الآخر، و إن علَّق أحدهما مستحسناً ما تقول فسيعلِّق الآخر ناعتاً إياك بالتعصب و/أو الجهل، و فى مثل هذه الأوقات التي تنفلت فيها أعصاب الجميع و يتعاملون فيها بهستيريا شديدة، فمن الأفضل الانتظار حتي تهدأ النفوس لتقول رأيك بوضوح.
 
الهستيريا في التعامل مع أمثال هذه المواقف تتجلي في شكلين، الأول هو الهجوم علي الطرف الآخر بلا تعقل، و الثاني هو الدفاع عن النفس بلا تعقل. أما الهجوم علي الطرف الآخر بدون دليل و برهان قويين، و تحميل المواقف فوق ما تحتمل بقصد الحط
من قدر الطرف الآخر، فيمكن أن نراه إلي حد ما فيما حدث مع متصفح الانترنت Internet Explorer في الأيام الماضية؛ حيث تم اكتشاف ثغرة أمنية فيه فهرع الجميع لمناداة بعضهم البعض لتغيير المتصفح و استعمال واحد آخر مكانه. و بينما أري أنه من الأفضل لأي أحد أن يستخدم متصفحات مثل firefox أو google chrome بسبب قوتهن و ريادتهن في عالم المصادر المفتوحة، و شذوذ IE عن الأمور القياسية (سواء أكان في أحيان قليلة أو كثيرة)، فإنني أستخدم IE 11 في تصفح الشبكة طول الوقت في الفترة الأخيرة بسبب أن واجهته الخاصة بالأجهزة ذات شاشات اللمس تعجبني بشدة، و لم يتسبب لي في أي مشكلة أمنية علي الإطلاق، و بالتالي فإنه ليس عندي أدني مشكلة في أن يستخدم الناس متصفحات مغلقة المصدر حينما يجدون أنها تلبي احتياجاتهم.
 
و الأهم أنه لا يمكنني أن أنشر بين الناس أنه يجب عليهم ترك متصفح معين بسبب وجود ثغرة أمنية تم ترقيعها فيه !؛ فلو تصرفنا بهذا الشكل مع كل البرمجيات التي نستخدمها لكان خراب بيوت جميع المبرمجين أقرب إليهم من أرنبة الأنف، حيث أنه لا يوجد ذلك المبرمج الأسطوري الذي ليس في برامجه أي ثغرات مهما كانت براعته و خبراته (و إلا فانظروا إلي ثغرة الـSSL في أكواد أنظمة تشغيل Apple، التي تفتخر بأن برمجياتها غاية في الأمن -و معهم حق في هذا إلي حد كبير-).
 
و هذا يعني أن ذلك المبدأ المعتل سيجعل الجميع يتركون كل البرمجيات فوراً، أو ربما يستطيعون استعمال نظام تشغيل ذي واجهة نصية، مع تنصيب أقل عدد ممكن من البرمجيات عليه، و الأهم أن هذا سيكون مع الابتعاد التام عن أي نوع من أنواع الشبكات أو أجهزة التخزين النقالة !. باختصار سنعود ألف عام للوراء لمجرد أننا نرغب في أن نعيش حياة معقمة ليس فيها أي نوع من أنواع المخاطر، فنكون كمن يستجير من الرمضاء بالحمم البركانية !. إذاً فالحل هنا هو أن نبتعد مؤقتاً عن استخدام البرنامج الذي به الثغرة التي تم اكتشافها حتي يتم ترقيع تلك الثغرة، و ساعتها نعود لاستخدامه بعد التأكد من أن الخطر لم يعد موجوداً، أو علي الأقل تكون نسبة الخطر مما يمكننا تحمله. و ألا نتخذ قرار الهجر إلا إذا كان ذلك البرنامج كثير الثغرات إلي حد لا يمكننا احتماله، أو أن هناك بديلاً أكثر تناسباً مع احتياجاتنا المختلفة.
 
و في حالة الـOpenSSL فإن الأزمة الأخيرة جعلت البعض يضع البرمجيات مفتوحة المصدر كلها في كفة العدو الذي يجب التخلص منه !، بل و جعلها سبباً في خراب بيت الشركات البرمجية مع أنها لا تقدم البديل المناسب (من وجهة نظره)، و لازم قوله أنه يجب علي الحكومات منع هذا النوع من البرمجيات تماماً !. و رغم أنني أري أن الرجل محق في بعض كلامه، و أوافقه علي أن الأمور تحتاج لبعض التنظيم حتي يمكن للبرمجيات مفتوحة المصدر أن تعيش جنباً إلي جنب مع البرمجيات مغلقة المصدر بدون أن يؤذي أحدهما الآخر (لا أعلم كيف، و لكن يجب أن نحاول علي الأقل)، إلا أن التعميم في اتهام كل البرمجيات مفتوحة المصدر بأنها لا تصلح بديلاً للبرمجيات مغلقة المصدر هو خطأ محض، و أنا شخصياً أعتبره هجوماً هستيرياً غير متعقل و لا يستند إلي أدلة تبرر وجوده.
 
أما الدفاع عن النفس بلا تعقل و بدون دليل و برهان قويين، فيمكن أن نراه كما حدث معي أنا شخصياً حينما قلتُ أن الدعاية الحالية لتوزيعات سطح المكتب من الـGNU/linux مبالغ فيها بشكل كبير، بل و تعطي معلومات خاطئة بشكل واضح في بعض الأحيان. و رغم أن انتقادي كان لمعلومات خاطئة تأكدتُ عملياً من خطئها، و لمشاكل تأكدتُ عملياً من وجودها، و كان ذلك عن خبرة شخصية لمدة سنوات مع عدة توزيعات مختلفة، إلا أن ذلك لم يكن ذا قيمة عند البعض و أصروا أن الدعاية صحيحه تماماً و لتذهب تجربتك عبر السنين إلي حيث ألقت !. و لكني بصراحة لم أقابل حتي الآن مثل هذا النوع من الدفاع في حالة الـOpenSSL.
 
الشاهد هنا أن الواجب هنا هو التعقل قدر الاستطاعة في أمثال هذه المواقف، و الامتثال للدليل و البرهان القويين اللذين نقتنع بهما مهما كانا غريبين علينا أو علي الآخرين، و ألا نجعل كرهنا لشيء يؤثر علي إعطائه حقه، و ألا نجعل حبنا لشيء يغصبنا علي محاباته و عدم نقده حينما يكون نقده واجباً. و أرجو أن تلاحظوا أنني لا أحثكم علي عدم الإفصاح عن الآراء المؤيدة بالدليل و البرهان و التي قد تكون صادمة قليلاً او كثيراً، بل إنني أري أن مثل هذه الآراء يجب التصريح بها مع دعمها بالأدلة القوية بغض النظر عن اقتناع الآخرين بها من عدمه.
 
 
 
-----------------------

ليست هناك تعليقات:

إرسال تعليق