>> Слушай, ну хватит уже, правда? Тео пи**рнули из NetBSD и после этого оно скатилось в говно
> потому что рядом существовал проект, рекламируемый как то же самое, но только всем-всем лучше.Открыл " OpenBSD Project Goals" - не нашёл ничего про "всем-всем лучше". Может, это голоса в твоей голове? Ну и так-то, OpenBSD, по меньшей мере не хуже, NetBSD. И если в неё многие свалили с нетки - вероятно, свалившие считали, что опёнок лучше, да.
Думаю, дело не в рекламе (немного дикое слово в контексте BSD-систем), а в том, что нетбсдшники слегка обгадились. И во всём плохом, что с ними случилось виноваты они и только они. А опенбсдшники виноваты, в свою очередь, только лишь в своих проблемах.
> Вот это "всем-всем" - несколько раз красиво падало в лужу, забрызгивая окружающих.
Как именно? Как забрызгивало? Там, О БОЖЕ МОЙ, находили уязвимости? Находили, и будут находить.
Try to be the #1 most secure operating system != the #1 most secure operating system.
Вопрос больше в том, как эти ситуации потом будут обрабатываться и какие выводы делаются.
> Поэтому и записываем отрицательное, а не положительное влияние - и netbsd нагадили, поманив разработчиков пряником, и мега-супер-надежной системы...ну да, почти получилось, если в розетку не включать.
NetBSD'шники нагадили сами себе. Не выдавай свои фантазии за действительное.
Про мега-супер-надёжность - это тоже ты сам выдумал.
>> Такие были, да. Если ничего не путаю, после одной из них как раз пришлось менять слоган OpenBSD
> не путаешь, а в очередной раз приукрашиваешь действительность.
Преукрашиваю действительность - пишу голые факты, а не обрамляю их своими фантазиями и домыслами? Ок, пусть так.
> После не одной, а когда уже стало совсем смешно и грустно - до этого отмазывались как дети "а вот если sshd не запускать", "это 3d-party из contrib" - хотя всем было понятно, что без этого всего от системы пользы как от выключенной. Поменяли когда прилетело прямо в base system, как раз в любимый "трательно изученный код" и соскакивать было уже невозможно.
А можно какую-то ссылку на подтверждение твоих слов? Я наизусть все эти события не помню, у меня в памяти отложилось иное - слоган поменяли.
> А над лозунгом все смеялись за пятнадцать лет до этого - в 98м, afair.
И, как обычно, не от большого ума. Слоган не про то, что система мега-супер-защищённая, а про то, что она не имеет дыр (имеет мало дыр - впоследствии) сразу после установки, в стандартной поставке, что есть полное мегадно. Искренне не понимаю людей, которые относятся к слогану с излишней серьёзностью, вместо того, чтобы почитать рассылки и посмотреть на то, как на самом деле отрабатываются ситуации с уязвимостями.
>> Зато последняя критичная дыра, ЕМНИП, была в 2016 году
> или просто всем надоел неуловимый джо.
OpenSSH - неуловимый джо? Серьёзно? С каких пор так стало модно называть программу, установленную примерно везде?
>> Отсутствие возможности сделать неправильно - это плюс.
> отсутствие возможности сделать вообще - это минус, как бы ты ни хотел убедить меня в обратном - а так-то выключенная из розетки винда тоже неуязвима (и у нее, в отличие от, сертификат об этом есть!)
Никого ни в чём не хочу убедить. Но соображениями своими поделюсь таки.
Если будет выбор между наличием недоделанной, потенциально дырявой и не особенно-то нужной "фичей" и отсутствием её имплементации вообще - выбирать нужно второй вариант. Недоделанное дырявое говно не должно мочь собираться в продакшен коде даже под опцией.
Передёргивание про выключенный компьютер и его безопасность - это шутка, повторённая уже даже не дважды, это просто не смешно. Разница между дополнительной функциональностью и работоспособностью вообще есть. Никто не стремится к незагружаемой системе, но и тащить непонятно что в код, который никто не будет поддерживать - это не бесплатно, как в буквальном так и в переносном смысле.
>> Слушай, чем сходи ка ты в рассылки OpenBSD, да посмотри, как там нет никакого code review.
> проблема, как обычно - в результатах. Вот ни одной _крупной_ и реально на что-то влияющей проблемы в той же openssl - не найдено за все время, хотя их там тыщи. Одни успехи в выпиливании.
Я тебе уже приводил примеры, причём со ссылками, что это не так. Та же CVE-2016-6309. Или это не "_крупная_"? "NVD severity - high (attack range: remote)" - хз. Хотя всего одна версия подвержена.
А что, кстати, в твоём понимании, "_крупная_ и на что-то влияющая"? Я вот после heartbleed ничего сравнимого по эпичности не видел.
Тот же FREAK - не влияющая? А, да, там же "выпиливания". Удобная позиция.
Чуваки предвосхитили проблему и выпилили ненужное, но это всё чешуя и ничего не значащая минорнота, потому что пох с опеннета не одобряет.
> Ну значит ставим галочку - этот метод не работает (не местами не - а в принципе, пользы от него никакой).
Ага, и тесты туда же. Не, нуачо, не находят все баги и уязвимости - значит не работают. И кодоанализаторы, и санитазйзеры - всё, что не даёт резальтата в 100% - на помойку!
Ой, кажется, подобный подход с бОльшей вероятностью приведёт к неработоспособной (я молчу даже про уязвимости - до этого просто не дойдёт) системе.
> И да, твоя ссылка:как на сервере уязвимость проявляется только при использовании веток OpenSSL 1.0.1 и 1.0.2-beta1 (а для нее нужен и клиент, и сервер). То есть это опять улучшизм, простительный развивающемуся проекту.
По одной ссылке всё так как ты написал. Там ещё даже дальше написано, что вторую уязвимость из пачки (про MITM) в LibreSSL, скорее всего, бы не нашли.
Но, повторяюсь, это один из примеров и даже он содержит в себе пример уязвимостей, исправленных в LibreSSL до того, как их нашли в OpenSSL. По ссылкам было ещё. Наверное, можно поискать больше, но лично мне в рамках спора тут сильно лень.
> То есть время и силы они тратят, безусловно. Эту бы энергию да в мирных целях...
Цели исключительно мирные. Лицензия LibreSSL позволяет бэкпортировать изменения в OpenSSL и вообще почти куда угодно (в отличие от). С гугловым BooringSSL они, насколько я помню, например, достаточно активно взаимодействуют. Тихо пилят свою либу стремясь поддерживать совместимое с OpenSSL API, отсутствие избыточного функционала и улучшая помаленьку качество кода и архитектуру.
