The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Для OpenBSD развивается новая git-совместимая система контро..., opennews (ok), 12-Авг-19, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


130. "Для OpenBSD развивается новая git-совместимая система контро..."  –3 +/
Сообщение от пох. (?), 13-Авг-19, 13:27 
> Сформулируйте, кстати, чем по вашему мнению нужно было бы заниматься разработчикам
> OpenBSD?

ну, у них бы неплохо пошла роль ярмарочных певцов и шутов.
В написании кода, увы, ничем они себя хорошим  не проявили. Только поляны загадили.


Ответить | Правка | Наверх | Cообщить модератору

133. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 13-Авг-19, 14:31 
>> Сформулируйте, кстати, чем по вашему мнению нужно было бы заниматься разработчикам OpenBSD?
> ну, у них бы неплохо пошла роль ярмарочных певцов и шутов.
> В написании кода, увы, ничем они себя хорошим  не проявили. Только поляны загадили.

Смешно. Похушка, ты бы хоть думал сначала, прежде чем высеры свои озвучивать.
Загадили, говоришь, поляны? Кому и чем, потрудись привести примеры?
Худею, когда одних из немногих не-говнокодеров называют оными.

Ответить | Правка | Наверх | Cообщить модератору

140. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 13-Авг-19, 16:29 
1. netbsd - потеряла разработчиков и ушла в совсем маргинальщину
результат: ее клон "20 лет без единого эксплойта...если систему не втыкать в розетку. Желательно, электрическую." Зато с глобальным локом и управлением памятью образца 1994го года, да и та пришла из Lite/2

2. openssh - уже сто раз писал, лень повторять. Это вот особенно обидно, учитывая качество исходного образца и то что его сделал один-единственный разработчик без использования кривых bloated libraries для элементарнейших действий

3. libressl - окей, тут они ущерба окружающим, вероятно, не нанесли, в том числе - благодаря своевременной реакции владельца оригинала.
результат: собрали ВСЕ те же уязвимости что в мэйнстриме, не пропустив ни одной, и не могут даже догнать его по базовому функционалу, поскольку копипасту им лицензией перекрыли.
Зато в выпиливании "ненужных" (им на локалхосте) "устаревших" технологий преуспели, чо.

Ответить | Правка | Наверх | Cообщить модератору

144. "Для OpenBSD развивается новая git-совместимая система контро..."  +1 +/
Сообщение от Дон Ягон (ok), 13-Авг-19, 17:01 
Я не хочу разводить срач, поэтому отвечу настолько коротко, насколько получится.

> 1. netbsd - потеряла разработчиков и ушла в совсем маргинальщину результат: ее клон "20 лет без единого эксплойта...если систему не втыкать в розетку. Желательно, электрическую." Зато с глобальным локом и управлением памятью образца 1994го года, да и та пришла из Lite/2

Сплошное передёргивание. Глобальный лок, кстати, всячески выпиливают. Что не закончили это - да.
Проблемы NetBSD - это проблемы NetBSD. Ещё пожалуйся, что они для Linux (FreeBSD, etc...) код не пишут, ага

> 2. openssh - уже сто раз писал, лень повторять. Это вот особенно обидно, учитывая качество исходного образца и то что его сделал один-единственный разработчик без использования кривых bloated libraries для элементарнейших действий

Ты настолько сто раз это писал, что даже я это читал. И, конечно же, писал ты ахинею.
Да, его функциональность выходит за пределы того, что описано в названии (secure shell), однако, давай посмотрим на результат, а не на идеологию? Всё работает, основной функционал - особенно, эпических проблем с безопасностью не наблюдается, используется примерно ВЕЗДЕ. Какие проблемы?
Да нет никаких, нытьё какое-то.

> 3. libressl - окей, тут они ущерба окружающим, вероятно, не нанесли, в том числе - благодаря своевременной реакции владельца оригинала результат: собрали ВСЕ те же уязвимости что в мэйнстриме, не пропустив ни одной, и не могут даже догнать его по базовому функционалу, поскольку копипасту им лицензией перекрыли. Зато в выпиливании "ненужных" (им на локалхосте) "устаревших" технологий преуспели, чо.

Может хватит уже? Тривиальный поиск по опеннету (молчу про багтрекеры/мэиллисты) опровергает твои слова.
Чтобы не быть голословным:
https://www.opennet.ru/opennews/art.shtml?num=45215
https://www.opennet.ru/opennews/art.shtml?num=45195
https://www.opennet.ru/opennews/art.shtml?num=45472
https://www.opennet.ru/opennews/art.shtml?num=45927
https://www.opennet.ru/opennews/art.shtml?num=47492
https://www.opennet.ru/opennews/art.shtml?num=40342 (CVE-2014-5139, CVE-2014-3512 и CVE-2014-3505 к libressl неприменимы)
https://www.opennet.ru/opennews/art.shtml?num=41782 (FREAK, не проявляется в libressl - https://www.opennet.ru/opennews/art.shtml?num=41798)

Продолжать мне тупо лень - сам справишься, если захочешь.

Ответить | Правка | Наверх | Cообщить модератору

161. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 14-Авг-19, 11:51 
> Проблемы NetBSD - это проблемы NetBSD. Ещё пожалуйся, что они для Linux

эти проблемы вызваны - фрагментацией платформы. Благодаря pr компании, пропагандируемые которой цели, мягко говоря, не достигнуты.

> Да, его функциональность выходит за пределы того, что описано в названии (secure
> shell), однако, давай посмотрим на результат, а не на идеологию? Всё

смотрю - мильен уязвимостей, часть из которых remote root, куча костылей и подпорок, выпиливание "устаревших" алгоритмов и возможностей по желанию левой пятки.
А "все работало" у меня и в ssh2.

> Чтобы не быть голословным:

ссылки на баги, добавленые после форка, очень  убедительно.
С тем же успехом ты мог бы пользоваться доисторической версией openssl

> https://www.opennet.ru/opennews/art.shtml?num=40342 (CVE-2014-5139, CVE-2014-3512
> и CVE-2014-3505 к libressl неприменимы)

"в приложениях для которых включена поддержка SRP. " Нет приложений и возможности их собирать с этой поделкой, нет проблемы, просто отлично.
Про более серьезные уязвимости - Дополнение: Указанные уязвмости устранены в выпуске LibreSSL 2.0.5.  И так - чего ни хватишься.

То есть никакого code review - нет, ниасиляторы на него неспособны, есть только героическое выпиливание фич, не используемых полутора разработчиками. О чем и речь. Причем таким образом ликвидируются либо бесполезные за неиспользуемостью самой фичи, либо малозначительные уязвимости. А все основные, которые как раз всех и интересуют, потому что затрагивают ключевой софт - все на месте.

> https://www.opennet.ru/opennews/art.shtml?num=41782 (FREAK, не проявляется в libressl

потому что нет алгоритма. При этом для защиты от мегауязвимости необходимо и достаточно эти алгоритмы - выключить в настройках, если они вообще зачем-то оказались включены.

> Продолжать мне тупо лень - сам справишься, если захочешь.

спасибо за потерянное время. Как я и предполагал, все якобы побежденные уязвимости - в маргинальных шифрах (которые _нужны_ для совместимости, но которые совершенно незачем включать по умолчанию) и специфических протоколах (использующий их софт банально не работает с чудо-либой)

Все серьезные уязвимости в _актуальных_ протоколах и шифрах - в наличии, что и требовалось доказать.


Ответить | Правка | Наверх | Cообщить модератору

164. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 14-Авг-19, 15:16 
>> Проблемы NetBSD - это проблемы NetBSD. Ещё пожалуйся, что они для Linux
> эти проблемы вызваны - фрагментацией платформы. Благодаря pr компании, пропагандируемые которой цели, мягко говоря, не достигнуты.

Слушай, ну хватит уже, правда? Тео пи**рнули из NetBSD и после этого оно скатилось в говно (с твоих слов, я считаю иначе) и виноват в этом Тео? Очень удобная позиция: с одной стороны ты говоришь, что они макаки и говнокодеры, с другой, что без них NetBSD загнулась. Как так-то?
По твоей логике она должна была только лишь расцвести после.

>> Да, его функциональность выходит за пределы того, что описано в названии (secure shell), однако, давай посмотрим на результат, а не на идеологию? Всё
> смотрю - мильен уязвимостей, часть из которых remote root

Такие были, да. Если ничего не путаю, после одной из них как раз пришлось менять слоган OpenBSD, который тогда сообщал об отсутствии remote root. И что, а где их не было?
Зато последняя критичная дыра, ЕМНИП, была в 2016 году и не работала при аутентификации по ключам. А до оной как бы не в 2008. Короче, ничего интересного и, тем более, дающего право высказываться об OpenSSH пренебрежительно.

> куча костылей и подпорок

Про что именно ты? И где их нет?

> выпиливание "устаревших" алгоритмов и возможностей по желанию левой пятки.

Как будто что-то плохое. Старые алгоритмы НУЖНО выпиливать. Ты админишь старое говно, которое не умеет в новые? Идёшь и собираешь статически ssh_client с нужными шифрами, бэкапишь его и необходимое для сборки, забываешь. ВСЁ. Не надо делать свои проблемы проблемами разработчиков.

>> Чтобы не быть голословным:
> ссылки на баги, добавленые после форка, очень  убедительно.

А ты какие хотел? Добавленые до? Ну, не всё сразу. Что-то, я думаю, выпилили, но скорее всего минимально. Не вижу ничего удивительного - искать ошибки в чужом объёмном коде сложнее, чем писать новый без оных.

> С тем же успехом ты мог бы пользоваться доисторической версией openssl

Не факт, смотря какой. И, опять же, новые шифры. Которых в старом openssl нет. А так, да - использовать хардкорное легаси почти всегда значит "избегать актуальных массовых уязвимостей". И новых возможностей.

>> https://www.opennet.ru/opennews/art.shtml?num=40342 (CVE-2014-5139, CVE-2014-3512 и CVE-2014-3505 к libressl неприменимы)
> "в приложениях для которых включена поддержка SRP. " Нет приложений и возможности их собирать с этой поделкой, нет проблемы, просто отлично.

Отсутствие возможности сделать неправильно - это плюс. Для защиты от HEARTBLEED было достаточно собирать OpenSSL с "-DOPENSSL_NO_HEARTBEATS", но кто это делал? Где-то были конфигурации с такими опциями сборки по-умолчанию?
По-моему, причины, по которым нужно отламывать подобное малопонятное или просто ненужное говно очевидны. И офигенно, что разработчики LibreSSL этим заняты, в числе прочего.

> Про более серьезные уязвимости - Дополнение: Указанные уязвмости устранены в выпуске LibreSSL 2.0.5.  И так - чего ни хватишься.

Зачем снова врать? Даже среди того, что привёл в пример я были примеры, опровергающие это твоё "И так - чего ни хватишься". Надеешься, что кто-то поленится сходить по ссылкам?
Да, конкретно в этом случае проблемы, которые были в OpenSSL, в основном, были и в LibreSSL. И я знаю ещё аналогичные примеры (более того: я знаю про дыры, которые были ТОЛЬКО в LibreSSL, и что?).
Люди, которые ждут от форка чего-то иного - странные и никогда не пробовали искать баги в чужом коде большого объёма.

> То есть никакого code review - нет, ниасиляторы на него неспособны, есть только героическое выпиливание фич, не используемых полутора разработчиками.

Слушай, чем сходи ка ты в рассылки OpenBSD, да посмотри, как там нет никакого code review.
А то, что оно не позволяет отловить ВСЕ ошибки - это нормально. Сейчас я ещё немного насру в твою картину волшебно-идеального мира: тесты тоже не позволяют найти все ошибки и более того, они призваны находить проблемы в коде, а не гарантировать их отсутствие. С ревью примерно такая же хрень.

> О чем и речь. Причем таким образом ликвидируются либо бесполезные за неиспользуемостью самой фичи, либо малозначительные уязвимости. А все основные, которые как раз всех и интересуют, потому что затрагивают ключевой софт - все на месте.

Нет. И я уже приводил примеры, почему. Но я не жадный, на ещё раз.
https://www.opennet.ru/opennews/art.shtml?num=45215 - критическая дыра, которая есть в OpenSSL, но нет в libre. И это не единственный пример. Но судя по тому, как ты отреагировал на прошлые, особо распинаться мне нет смысла.

>> https://www.opennet.ru/opennews/art.shtml?num=41782 (FREAK, не проявляется в libressl
> потому что нет алгоритма. При этом для защиты от мегауязвимости необходимо и достаточно эти алгоритмы - выключить в настройках, если они вообще зачем-то оказались включены.

Да, да, а heartbleed фиксилась сборкой с "-DOPENSSL_NO_HEARTBEATS". Какая несерьёзная и смешная проблема, жаль только пол интернета бегало с жопой в мыле.

>> Продолжать мне тупо лень - сам справишься, если захочешь.
> Как я и предполагал, все якобы побежденные уязвимости - в маргинальных шифрах

Нет. Смотри хотя бы пример выше, который я привёл уже повторно. Если ты потратишь время, то убедишься, что ты радикально неправ. Вот тебе, кстати, ещё пример того, где проблемы OpenSSL были устранены  в libre заранее: https://www.opennet.ru/opennews/art.shtml?num=39938 (см. сноску в конце).

> Все серьезные уязвимости в _актуальных_ протоколах и шифрах - в наличии, что и требовалось доказать.

Доказал ты только свою предвзятость и неадекватную упёртость. Ну, бог в помощь.

Ответить | Правка | Наверх | Cообщить модератору

165. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 14-Авг-19, 15:33 
> Слушай, ну хватит уже, правда? Тео пи**рнули из NetBSD и после этого оно скатилось в говно

потому что рядом существовал проект, рекламируемый как то же самое, но только всем-всем лучше.

Вот это "всем-всем" - несколько раз красиво падало в лужу, забрызгивая окружающих. Поэтому и записываем отрицательное, а не положительное влияние - и netbsd нагадили, поманив разработчиков пряником, и мега-супер-надежной системы...ну да, почти получилось, если в розетку не включать.

> Такие были, да. Если ничего не путаю, после одной из них как раз пришлось менять слоган OpenBSD

не путаешь, а в очередной раз приукрашиваешь действительность. После не одной, а когда уже стало совсем смешно и грустно - до этого отмазывались как дети "а вот если sshd не запускать", "это 3d-party из contrib" - хотя всем было понятно, что без этого всего от системы пользы как от выключенной. Поменяли когда прилетело прямо в base system, как раз в любимый "трательно изученный код" и соскакивать было уже невозможно. А над лозунгом все смеялись за пятнадцать лет до этого - в 98м, afair.

> Зато последняя критичная дыра, ЕМНИП, была в 2016 году

или просто всем надоел неуловимый джо.

> Отсутствие возможности сделать неправильно - это плюс.

отсутствие возможности сделать вообще - это минус, как бы ты ни хотел убедить меня в обратном - а так-то выключенная из розетки винда тоже неуязвима (и у нее, в отличие от, сертификат об этом есть!)

> Слушай, чем сходи ка ты в рассылки OpenBSD, да посмотри, как там нет никакого code review.

проблема, как обычно - в результатах. Вот ни одной _крупной_ и реально на что-то влияющей проблемы в той же openssl - не найдено за все время, хотя их там тыщи. Одни успехи в выпиливании.
Ну значит ставим галочку - этот метод не работает (не местами не - а в принципе, пользы от него никакой).

И да, твоя ссылка:как на сервере уязвимость проявляется только при использовании веток OpenSSL 1.0.1 и 1.0.2-beta1 (а для нее нужен и клиент, и сервер)
То есть это опять улучшизм, простительный развивающемуся проекту.

То есть время и силы они тратят, безусловно. Эту бы энергию да в мирных целях...

Ответить | Правка | Наверх | Cообщить модератору

166. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 14-Авг-19, 16:40 
>> Слушай, ну хватит уже, правда? Тео пи**рнули из NetBSD и после этого оно скатилось в говно
> потому что рядом существовал проект, рекламируемый как то же самое, но только всем-всем лучше.

Открыл " OpenBSD Project Goals" - не нашёл ничего про "всем-всем лучше". Может, это голоса в твоей голове? Ну и так-то, OpenBSD, по меньшей мере не хуже, NetBSD. И если в неё многие свалили с нетки - вероятно, свалившие считали, что опёнок лучше, да.
Думаю, дело не в рекламе (немного дикое слово в контексте BSD-систем), а в том, что нетбсдшники слегка обгадились. И во всём плохом, что с ними случилось виноваты они и только они. А опенбсдшники виноваты, в свою очередь, только лишь в своих проблемах.

> Вот это "всем-всем" - несколько раз красиво падало в лужу, забрызгивая окружающих.

Как именно? Как забрызгивало? Там, О БОЖЕ МОЙ, находили уязвимости? Находили, и будут находить.
Try to be the #1 most secure operating system != the #1 most secure operating system.
Вопрос больше в том, как эти ситуации потом будут обрабатываться и какие выводы делаются.

> Поэтому и записываем отрицательное, а не положительное влияние - и netbsd нагадили, поманив разработчиков пряником, и мега-супер-надежной системы...ну да, почти получилось, если в розетку не включать.

NetBSD'шники нагадили сами себе. Не выдавай свои фантазии за действительное.
Про мега-супер-надёжность - это тоже ты сам выдумал.

>> Такие были, да. Если ничего не путаю, после одной из них как раз пришлось менять слоган OpenBSD
> не путаешь, а в очередной раз приукрашиваешь действительность.

Преукрашиваю действительность - пишу голые факты, а не обрамляю их своими фантазиями и домыслами? Ок, пусть так.

> После не одной, а когда уже стало совсем смешно и грустно - до этого отмазывались как дети "а вот если sshd не запускать", "это 3d-party из contrib" - хотя всем было понятно, что без этого всего от системы пользы как от выключенной. Поменяли когда прилетело прямо в base system, как раз в любимый "трательно изученный код" и соскакивать было уже невозможно.

А можно какую-то ссылку на подтверждение твоих слов? Я наизусть все эти события не помню, у меня в памяти отложилось иное - слоган поменяли.

> А над лозунгом все смеялись за пятнадцать лет до этого - в 98м, afair.

И, как обычно, не от большого ума. Слоган не про то, что система мега-супер-защищённая, а про то, что она не имеет дыр (имеет мало дыр - впоследствии) сразу после установки, в стандартной поставке, что есть полное мегадно. Искренне не понимаю людей, которые относятся к слогану с излишней серьёзностью, вместо того, чтобы почитать рассылки и посмотреть на то, как на самом деле отрабатываются ситуации с уязвимостями.

>> Зато последняя критичная дыра, ЕМНИП, была в 2016 году
> или просто всем надоел неуловимый джо.

OpenSSH - неуловимый джо? Серьёзно? С каких пор так стало модно называть программу, установленную примерно везде?

>> Отсутствие возможности сделать неправильно - это плюс.
> отсутствие возможности сделать вообще - это минус, как бы ты ни хотел убедить меня в обратном - а так-то выключенная из розетки винда тоже неуязвима (и у нее, в отличие от, сертификат об этом есть!)

Никого ни в чём не хочу убедить. Но соображениями своими поделюсь таки.
Если будет выбор между наличием недоделанной, потенциально дырявой и не особенно-то нужной "фичей" и отсутствием её имплементации вообще - выбирать нужно второй вариант. Недоделанное дырявое говно не должно мочь собираться в продакшен коде даже под опцией.
Передёргивание про выключенный компьютер и его безопасность - это шутка, повторённая уже даже не дважды, это просто не смешно. Разница между дополнительной функциональностью и работоспособностью вообще есть. Никто не стремится к незагружаемой системе, но и тащить непонятно что в код, который никто не будет поддерживать - это не бесплатно, как в буквальном так и в переносном смысле.

>> Слушай, чем сходи ка ты в рассылки OpenBSD, да посмотри, как там нет никакого code review.
> проблема, как обычно - в результатах. Вот ни одной _крупной_ и реально на что-то влияющей проблемы в той же openssl - не найдено за все время, хотя их там тыщи. Одни успехи в выпиливании.

Я тебе уже приводил примеры, причём со ссылками, что это не так. Та же CVE-2016-6309. Или это не "_крупная_"? "NVD severity - high (attack range: remote)" - хз. Хотя всего одна версия подвержена.
А что, кстати, в твоём понимании, "_крупная_ и на что-то влияющая"? Я вот после heartbleed ничего сравнимого по эпичности не видел.
Тот же FREAK - не влияющая? А, да, там же "выпиливания". Удобная позиция.
Чуваки предвосхитили проблему и выпилили ненужное, но это всё чешуя и ничего не значащая минорнота, потому что пох с опеннета не одобряет.

> Ну значит ставим галочку - этот метод не работает (не местами не - а в принципе, пользы от него никакой).

Ага, и тесты туда же. Не, нуачо, не находят все баги и уязвимости - значит не работают. И кодоанализаторы, и санитазйзеры - всё, что не даёт резальтата в 100% - на помойку!
Ой, кажется, подобный подход с бОльшей вероятностью приведёт к неработоспособной (я молчу даже про уязвимости - до этого просто не дойдёт) системе.

> И да, твоя ссылка:как на сервере уязвимость проявляется только при использовании веток OpenSSL 1.0.1 и 1.0.2-beta1 (а для нее нужен и клиент, и сервер). То есть это опять улучшизм, простительный развивающемуся проекту.

По одной ссылке всё так как ты написал. Там ещё даже дальше написано, что вторую уязвимость из пачки (про MITM) в LibreSSL, скорее всего, бы не нашли.
Но, повторяюсь, это один из примеров и даже он содержит в себе пример уязвимостей, исправленных в LibreSSL до того, как их нашли в OpenSSL. По ссылкам было ещё. Наверное, можно поискать больше, но лично мне в рамках спора тут сильно лень.

> То есть время и силы они тратят, безусловно. Эту бы энергию да в мирных целях...

Цели исключительно мирные. Лицензия LibreSSL позволяет бэкпортировать изменения в OpenSSL и вообще почти куда угодно (в отличие от). С гугловым BooringSSL они, насколько я помню, например, достаточно активно взаимодействуют. Тихо пилят свою либу стремясь поддерживать совместимое с OpenSSL API, отсутствие избыточного функционала и улучшая помаленьку качество кода и архитектуру.

Ответить | Правка | Наверх | Cообщить модератору

168. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 14-Авг-19, 22:34 
> Как именно? Как забрызгивало? Там, О БОЖЕ МОЙ, находили уязвимости?

да. Под пение мантры "эн лет без единой уязвимости". "в установке по умолчанию" - это, кажется, добавилось после ssh+syslog() - тогда это был "не наш, не наш, не наш"! Ну да, из своего-то был - телнет без кербероса, очень полезная и нужная вещь, даже в 96м году.

> А можно какую-то ссылку на подтверждение твоих слов?

увы, гугля тогда еще не было.  Ищи архивы bugtraq, или comp.os.security.забылчто - полагаю, все упоминания данного лозунга там будут э... в специфическом ключе.

В смысле, над ним все издевались, глумились и тыкали пальцами.

> А что, кстати, в твоём понимании, "_крупная_ и на что-то влияющая"?

ну вот POODLE - крупная. Выпилен вместе с sslv3, да (как обычно, неотключаемым образом, поэтому те кому нужна совместимость, могут держать десять устаревших версий, вместо того чтобы просто обойтись настройкой), но _после_ того как информация стала публичной.

с тех пор таких масштабов в openssl пока не было - а в libre никто уже и искать не будет - незачем.

> Ага, и тесты туда же. Не, нуачо, не находят все баги и уязвимости - значит не работают.

в плане поиска багов - работают. В плане хоть какой-то гарантии надежности кода - нет, этот метод давно признан сфейленым.

> Тихо пилят свою либу стремясь поддерживать совместимое с OpenSSL API, отсутствие избыточного
> функционала и улучшая помаленьку качество кода и архитектуру.

поэтому проблемы развития обходят их стороной, ну да. ;-) Подождем tls1.3 - поржем.

Ответить | Правка | Наверх | Cообщить модератору

170. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 15-Авг-19, 00:13 
>> Как именно? Как забрызгивало? Там, О БОЖЕ МОЙ, находили уязвимости?
> да. Под пение мантры "эн лет без единой уязвимости". "в установке по умолчанию" - это, кажется, добавилось после ssh+syslog() - тогда это был "не наш, не наш, не наш"! Ну да, из своего-то был - телнет без кербероса, очень полезная и нужная вещь, даже в 96м году.

Вот честно, я не отслеживал этот момент. Википедия говорит, что до 2002 года был слоган "Five years without a remote hole in the default install!", потом "One remote hole in the default install, in nearly 6 years!" до 2007, потом текущий.
Даты что-то не очень сходятся с твоими. Расскажи что ли, где почитать. Хотя бы примерно, если точно не помнишь, я сам попробую поискать.

>> А можно какую-то ссылку на подтверждение твоих слов?
> увы, гугля тогда еще не было.  Ищи архивы bugtraq, или comp.os.security.забылчто - полагаю, все упоминания данного лозунга там будут э... в специфическом ключе.

Так не, в это я готов просто поверить, мне было интересно подтверждение про "до этого отмазывались как дети". Ну, в смысле, и сейчас интересно. Я не то что бы прям не верю - хочу сам прочитать и сделать свои выводы.
Про архивы - ок, поищу, спасибо. Но если есть какое-то более точное описание того, что именно мне искать (примерная тема и т.п., примерная дата) - буду признателен.

> В смысле, над ним все издевались, глумились и тыкали пальцами.

Ну то есть абсолютно также как и сейчас. Ничего не изменилось, всё ок.

>> А что, кстати, в твоём понимании, "_крупная_ и на что-то влияющая"?
> ну вот POODLE - крупная. Выпилен вместе с sslv3, да (как обычно, неотключаемым образом, поэтому те кому нужна совместимость, могут держать десять устаревших версий, вместо того чтобы просто обойтись настройкой), но _после_ того как информация стала публичной.

1) Да, после. Но это так себе пример, ибо затрагивает если не все, то почти все реализации ssl/tls. Уязвимость у всех, а лохи только разработчики LibreSSL? Да, было бы очень круто, если бы они нашли эту дыру сами и пофиксили раньше всех, но в этот раз так не случилось. Я не утверждал, что LibreSSL ВСЕГДА фиксит дыры раньше OpenSSL. Я оспаривал утверждение, что принимаемые ими меры вообще ничего "серьёзного" не предотвратили - это не так.
2) Многие в итоге sslv3 тоже потом выкинули, например, NSS примерно годом позже. А для чего тебе понадобился sslv3 в LibreSSL, что оно тебе сломало? Firefox использует NSS, Chrome - сначала OpenSSL, теперь BoringSSL (если я ничего не путаю). Просто интересно.
3) Поддерживать дырявый sslv3, который они всё равно собирались выпиливать в рамках чистки библиотеки от старых алгоритмов и лепить костыли-фиксы или выпилить его раньше запланированного срока? С учётом того, что проект большой, а ресурсов не так много, выбор очевиден. Не понимаю этих жалоб - разве сложно собрать и сохранить нужную для вашей экзотики и/или старья версию? Тем более, что дропают не просто так, а по вполне себе поводу.

> с тех пор таких масштабов в openssl пока не было - а в libre никто уже и искать не будет - незачем.

С учётом их похожести, может и будут. А разработчики и пользователи уж точно будут следить за дырами в OpenSSL и BoringSSL.

>> Ага, и тесты туда же. Не, нуачо, не находят все баги и уязвимости - значит не работают.
> в плане поиска багов - работают. В плане хоть какой-то гарантии надежности кода - нет, этот метод давно признан сфейленым.

Иногда работают. Даже как правило. Тем не менее, _гарантий_ отсутствия багов они не дают. Я про это.

>> Тихо пилят свою либу стремясь поддерживать совместимое с OpenSSL API, отсутствие избыточного функционала и улучшая помаленьку качество кода и архитектуру.
> поэтому проблемы развития обходят их стороной, ну да. ;-) Подождем tls1.3 - поржем.

https://www.openbsd.org/papers/bsdcan2019-tls13.pdf - в мае писали, что процентов на 60 готово.
Думаю, дождёмся таки.

Ответить | Правка | Наверх | Cообщить модератору

172. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 15-Авг-19, 02:16 
> дырявый sslv3, который они всё равно собирались выпиливать в рамках чистки библиотеки от старых алгоритмов

Что-то сейчас сходу не могу найти подтверждения своим словам, а то возникли сомнения.
Вероятно, я это перепутал с чем-то.
Поищу на эту тему, если найду что-то - принесу сюда.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру