Безопасность LibreOffice

[Кирилл_ИБ]

Доброго времени суток, беспокоит вас обычный студент российского вуза. Дело в том, что в дипломной работе, мне нужно оценить приложение с открытым кодом по всем международным стандартам информационной безопасности, хочу исследовать ваше приложение, но в руководстве пользователя не нашел информацию про безопасность вашего приложения, можете ли вы пожалуйста скинуть ссылку или документ на изучение безопасности вашего приложения только в пределах дипломной работы?

[kompilainenn]

Не очень-то понятен вопрос. Вы хотите, чтобы мы за вас провели исследование безопасности LibreOffice и написали бы вам дипломную работу на эту тему?

[mikekaganski]

Прошу прощения, что отвечаю вопросами на вопрос.

Во-первых, что значит "ваше" приложение? Здешний форум не "принадлежит" организации, разрабатывающей LO.

Во-вторых, о каком руководстве конкретно идёт речь?

И наконец в-третьих: верно ли я понял, что Вы ищете готовое исследование, которое бы Вы хотели представить как результат Вашей дипломной работы?

[economist]

обычный студент российского вуза

Надеюсь что желание написать свое исследование имеется и подкреплено достаточным запасом времени, а сама дипломная работа будет непременно набрана в LibreOffice Writer, который идеально подходит для таких сложных стандартизованных документов. Один переход с Word на Writer для студента сбережет миллиард нервных клеток и около 60 часов времени за PC, за счет удобных стилей, хорошей поддержки стандартов и возможности реализации любой методической "дичи" от выживающих из ума или просто коррумпированных преподавателей/нормоконтролеров вузов.

Теперь по теме: на https://habr.com за 10 лет проскакивали ангажированные заметки и новости про тестирование безопасности OSS и OpenOffice|LibreOffice в частности. Там, конечно же, его ругали за слабое шифрование, хранение паролей в файле документа в каком-то не совсем хешированном виде, за уязвимости в виде макросов (ну-ну), за наличие методов запуска макросов в обход настроек их запрета и прочее.

Мне как пользователю и генератору коммерческих секретов - такие новости были всегда тревожны. Но стоит вспомнить что все топ-менеджеры топ-компаний до сих пор работают в MSO, который вообще ни разу не безопаснее - отпускает.

Еще есть частично лживые конкурсные (тендерные) аналитические документы с сайтов госзакупок от "голубых фишек", где, во-первых OpenOffice|LibreOffice сравнивают с тысячей "офисных" пакетов, куда для массовости добавили календари, просмотрщики файлов и пр. А во-вторых, на сотнях страниц (рекорд - 900 страниц сравнительного анализа) можно прочесть много интересной лжи о том что LO чего-то не может, и что неизбежно надо покупать только MSO (типа он может всё).

Конечно же, на фоне календарей - там OpenOffice|LibreOffice с поддержкой макросов на 5-ти языках, включая "самый хакерский язык питон", с открытым API, COM/UNO-автоматизацией - получает очень низкие оценки безопасности. Упомянутые "исследования" можно найти самостоятельно на названном сайте. Верить им, конечно же, нельзя, нужно все исследовать самому.

LO мне кажется настолько огромным и сложным проектом, не для диплома, а сразу для диссера в "бауманку", который нужно писать коллективом авторов и сдать не "в апреле", а в апреле 2024. Я бы выбрал тему попроще, типа "Pentest офисных беспроводных сетей на базе словарей из утекших кадровых данных"