The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Для OpenBSD развивается новая git-совместимая система контро..., opennews (ok), 12-Авг-19, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


55. "Для OpenBSD развивается новая git-совместимая система контро..."  –4 +/
Сообщение от zurapa (ok), 12-Авг-19, 12:59 
Это начинает мыкать.
Я всю эту романтику с переписью всего на свой лад обблевал, когда LDAPD их стал использовать, оказалось он несколько отстающий по возможностям, так и ещё самое херовое, так, когда thunderbird адресной книгой подцепился к нему при запросе к ldap он ухерачивал этот демон. Демон ложился спать. У меня вопрос тогда ещё возник... А с чем они это используют, что у них вообще не возникает с ним проблем, чтобы его отладить?

Вообще у них ништятская идея - Перепишем и закинем, перепишем, и закинем. Нахера постоянно улучшать, что-то там делать. Просто перепишем как есть на новый лад, и закинем. OpenSource же! Пускай другие доделывают. Вопрос - Зачем?! Зачем клепать велосипеды, которых и так уже до жопы, и все наних ездять, и всем нравится. Ладно бы хорошо делали. А то... Тот же их httpd - огонь! Был nginx, но надо написать свой. Ну, и что что он мало пригодин для чего-то рабочего. Вот и получается, что добрая дюжина их самопила остаётся незапущенной вообще, а соответственно и не отлаженной, а соответственно, и не востребованной, так-как не отлаженной, когда есть уже отлаженные вещи, хорошо выполняющие свою работу. Это я не прям про всё. Что-то хорошое есть, но тенденция просто убивает.

Вот что-то типа LVM очень хотелось бы на нём видеть, но эти засранци считают это изобретение лишним. Конечно же. "Зачем?! Когда есть concatinate и stripe и mirror... Чё вам ещё надо?"
Всё время стараются в какой-то не той плоскости. Из-за совего плджа и что там у них при загрузки ядро генерирует, считает, чтобы не подставили левое?... В общем эта хрень берёт и вали в ребут виртуалку... Охренеть как безопасно! Поэтому отключаем и сидим, как на других дырявых системах... Ну, или, я не знаю, что с железом или системой вируализации нужно производить какие-то доработки или изменения...

Фу-фу-фу...

Ответить | Правка | Наверх | Cообщить модератору

59. "Для OpenBSD развивается новая git-совместимая система контро..."  +3 +/
Сообщение от Ананимус (?), 12-Авг-19, 13:01 
Всегда смешил батхерт от чужого волонтерства.
Ответить | Правка | Наверх | Cообщить модератору

70. "Для OpenBSD развивается новая git-совместимая система контро..."  +2 +/
Сообщение от Аноним (74), 12-Авг-19, 14:27 
Я не знаю, про кого вы говорите "них", но то, что вы описали - это и есть... ГЛАВНАЯ ИДЕЯ FOSS! :) "Не нравится - напиши своё!". НИКТО и никуда вас не будет тыкать, что вам делать и как - полная свобода, free beer и всё такое. :)

И я, как программист со стажем, иногда просто впадаю в ступор, видя качество поделий, которые ГОДАМИ тусят в FOSS, а лажают как поделки студентов за день до экзамена (и ядро Linux - не исключение).
Это неприемлемо - писать код на "отстань". Но такого кода - 99%, потому что никому не интересно думать, проектировать, заботиться о сопровождаемости, гибкости... просто возьмём экзотическую хрень, сбилдим через ещё более маргинальную тулзу: канпеляется? Всё, в продакшн! :))

Я не удивлёт созданию GOT - существующий git - он как бы вообще не о контроле, это просто "личная перделка Трольвадса" для принятия патчей. Не раздувайте из неё "DVCS", она ею никогда не была.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

129. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 13-Авг-19, 13:25 
> Я не удивлёт созданию GOT - существующий git - он как бы
> вообще не о контроле, это просто "личная перделка Трольвадса" для принятия
> патчей. Не раздувайте из неё "DVCS", она ею никогда не была.

весь мир жрет довольно чавкая, а ты типа не такой как все?!

да и что у нас есть-то, помимо странной и за деньги перфорсы?


Ответить | Правка | Наверх | Cообщить модератору

81. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 12-Авг-19, 14:55 
Если хочется BSD с LVM и без опенбсдшных митигаций от всякого, то вам в NetBSD.
Стоит только помнить, что LVM там не всё умеет, что в линуксе. Ну, по крайней мере, не всё умел раньше, как сейчас точно не скажу. Снапшоты, например, раньше точно не умел.
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

124. "Для OpenBSD развивается новая git-совместимая система контро..."  –2 +/
Сообщение от zurapa (ok), 13-Авг-19, 12:19 
И сейчас не умеет. Более-того поставить галочку в необходимости LVM в установщике не означает, что будет добавлено в ядро, что-то там, что должно дать возможность двигать логические тома. Т.е. создать он вам даст всю эту кухню разметите вы успешно, а потом в самый ответственный момент, когда решите двинуть, он вам скажет, что нужно пересобрать ядро, чтобы двигать разделы можно было, а так, только удалить и создать новый. Ништяк! Мир BSD подкупает своей самобытностью. Попадаешь, как в сказку... Без преключений мало что обходится, если только не совсем банальные вещи делать. Люблю его.
Ответить | Правка | Наверх | Cообщить модератору

132. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 13-Авг-19, 14:03 
> И сейчас не умеет. Более-того поставить галочку в необходимости LVM в установщике
> не означает, что будет добавлено в ядро, что-то там, что должно
> дать возможность двигать логические тома. Т.е. создать он вам даст всю
> эту кухню разметите вы успешно, а потом в самый ответственный момент,
> когда решите двинуть, он вам скажет, что нужно пересобрать ядро, чтобы
> двигать разделы можно было, а так, только удалить и создать новый.
> Ништяк! Мир BSD подкупает своей самобытностью. Попадаешь, как в сказку... Без
> преключений мало что обходится, если только не совсем банальные вещи делать.
> Люблю его.

Чем постить тут всё это нытьё, послал бы уже как минимум баг репорты, как максимум патчи.

Ответить | Правка | Наверх | Cообщить модератору

108. "Для OpenBSD развивается новая git-совместимая система контро..."  +2 +/
Сообщение от Hewlett Packard (?), 12-Авг-19, 21:24 
> Всё время стараются в какой-то не той плоскости

Но есть множество других, которые стараются в других плоскостях. Выбор, разнообразие, конкуренция.

Сформулируйте, кстати, чем по вашему мнению нужно было бы заниматься разработчикам OpenBSD?

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

130. "Для OpenBSD развивается новая git-совместимая система контро..."  –3 +/
Сообщение от пох. (?), 13-Авг-19, 13:27 
> Сформулируйте, кстати, чем по вашему мнению нужно было бы заниматься разработчикам
> OpenBSD?

ну, у них бы неплохо пошла роль ярмарочных певцов и шутов.
В написании кода, увы, ничем они себя хорошим  не проявили. Только поляны загадили.


Ответить | Правка | Наверх | Cообщить модератору

133. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 13-Авг-19, 14:31 
>> Сформулируйте, кстати, чем по вашему мнению нужно было бы заниматься разработчикам OpenBSD?
> ну, у них бы неплохо пошла роль ярмарочных певцов и шутов.
> В написании кода, увы, ничем они себя хорошим  не проявили. Только поляны загадили.

Смешно. Похушка, ты бы хоть думал сначала, прежде чем высеры свои озвучивать.
Загадили, говоришь, поляны? Кому и чем, потрудись привести примеры?
Худею, когда одних из немногих не-говнокодеров называют оными.

Ответить | Правка | Наверх | Cообщить модератору

140. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 13-Авг-19, 16:29 
1. netbsd - потеряла разработчиков и ушла в совсем маргинальщину
результат: ее клон "20 лет без единого эксплойта...если систему не втыкать в розетку. Желательно, электрическую." Зато с глобальным локом и управлением памятью образца 1994го года, да и та пришла из Lite/2

2. openssh - уже сто раз писал, лень повторять. Это вот особенно обидно, учитывая качество исходного образца и то что его сделал один-единственный разработчик без использования кривых bloated libraries для элементарнейших действий

3. libressl - окей, тут они ущерба окружающим, вероятно, не нанесли, в том числе - благодаря своевременной реакции владельца оригинала.
результат: собрали ВСЕ те же уязвимости что в мэйнстриме, не пропустив ни одной, и не могут даже догнать его по базовому функционалу, поскольку копипасту им лицензией перекрыли.
Зато в выпиливании "ненужных" (им на локалхосте) "устаревших" технологий преуспели, чо.

Ответить | Правка | Наверх | Cообщить модератору

144. "Для OpenBSD развивается новая git-совместимая система контро..."  +1 +/
Сообщение от Дон Ягон (ok), 13-Авг-19, 17:01 
Я не хочу разводить срач, поэтому отвечу настолько коротко, насколько получится.

> 1. netbsd - потеряла разработчиков и ушла в совсем маргинальщину результат: ее клон "20 лет без единого эксплойта...если систему не втыкать в розетку. Желательно, электрическую." Зато с глобальным локом и управлением памятью образца 1994го года, да и та пришла из Lite/2

Сплошное передёргивание. Глобальный лок, кстати, всячески выпиливают. Что не закончили это - да.
Проблемы NetBSD - это проблемы NetBSD. Ещё пожалуйся, что они для Linux (FreeBSD, etc...) код не пишут, ага

> 2. openssh - уже сто раз писал, лень повторять. Это вот особенно обидно, учитывая качество исходного образца и то что его сделал один-единственный разработчик без использования кривых bloated libraries для элементарнейших действий

Ты настолько сто раз это писал, что даже я это читал. И, конечно же, писал ты ахинею.
Да, его функциональность выходит за пределы того, что описано в названии (secure shell), однако, давай посмотрим на результат, а не на идеологию? Всё работает, основной функционал - особенно, эпических проблем с безопасностью не наблюдается, используется примерно ВЕЗДЕ. Какие проблемы?
Да нет никаких, нытьё какое-то.

> 3. libressl - окей, тут они ущерба окружающим, вероятно, не нанесли, в том числе - благодаря своевременной реакции владельца оригинала результат: собрали ВСЕ те же уязвимости что в мэйнстриме, не пропустив ни одной, и не могут даже догнать его по базовому функционалу, поскольку копипасту им лицензией перекрыли. Зато в выпиливании "ненужных" (им на локалхосте) "устаревших" технологий преуспели, чо.

Может хватит уже? Тривиальный поиск по опеннету (молчу про багтрекеры/мэиллисты) опровергает твои слова.
Чтобы не быть голословным:
https://www.opennet.ru/opennews/art.shtml?num=45215
https://www.opennet.ru/opennews/art.shtml?num=45195
https://www.opennet.ru/opennews/art.shtml?num=45472
https://www.opennet.ru/opennews/art.shtml?num=45927
https://www.opennet.ru/opennews/art.shtml?num=47492
https://www.opennet.ru/opennews/art.shtml?num=40342 (CVE-2014-5139, CVE-2014-3512 и CVE-2014-3505 к libressl неприменимы)
https://www.opennet.ru/opennews/art.shtml?num=41782 (FREAK, не проявляется в libressl - https://www.opennet.ru/opennews/art.shtml?num=41798)

Продолжать мне тупо лень - сам справишься, если захочешь.

Ответить | Правка | Наверх | Cообщить модератору

161. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 14-Авг-19, 11:51 
> Проблемы NetBSD - это проблемы NetBSD. Ещё пожалуйся, что они для Linux

эти проблемы вызваны - фрагментацией платформы. Благодаря pr компании, пропагандируемые которой цели, мягко говоря, не достигнуты.

> Да, его функциональность выходит за пределы того, что описано в названии (secure
> shell), однако, давай посмотрим на результат, а не на идеологию? Всё

смотрю - мильен уязвимостей, часть из которых remote root, куча костылей и подпорок, выпиливание "устаревших" алгоритмов и возможностей по желанию левой пятки.
А "все работало" у меня и в ssh2.

> Чтобы не быть голословным:

ссылки на баги, добавленые после форка, очень  убедительно.
С тем же успехом ты мог бы пользоваться доисторической версией openssl

> https://www.opennet.ru/opennews/art.shtml?num=40342 (CVE-2014-5139, CVE-2014-3512
> и CVE-2014-3505 к libressl неприменимы)

"в приложениях для которых включена поддержка SRP. " Нет приложений и возможности их собирать с этой поделкой, нет проблемы, просто отлично.
Про более серьезные уязвимости - Дополнение: Указанные уязвмости устранены в выпуске LibreSSL 2.0.5.  И так - чего ни хватишься.

То есть никакого code review - нет, ниасиляторы на него неспособны, есть только героическое выпиливание фич, не используемых полутора разработчиками. О чем и речь. Причем таким образом ликвидируются либо бесполезные за неиспользуемостью самой фичи, либо малозначительные уязвимости. А все основные, которые как раз всех и интересуют, потому что затрагивают ключевой софт - все на месте.

> https://www.opennet.ru/opennews/art.shtml?num=41782 (FREAK, не проявляется в libressl

потому что нет алгоритма. При этом для защиты от мегауязвимости необходимо и достаточно эти алгоритмы - выключить в настройках, если они вообще зачем-то оказались включены.

> Продолжать мне тупо лень - сам справишься, если захочешь.

спасибо за потерянное время. Как я и предполагал, все якобы побежденные уязвимости - в маргинальных шифрах (которые _нужны_ для совместимости, но которые совершенно незачем включать по умолчанию) и специфических протоколах (использующий их софт банально не работает с чудо-либой)

Все серьезные уязвимости в _актуальных_ протоколах и шифрах - в наличии, что и требовалось доказать.


Ответить | Правка | Наверх | Cообщить модератору

164. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 14-Авг-19, 15:16 
>> Проблемы NetBSD - это проблемы NetBSD. Ещё пожалуйся, что они для Linux
> эти проблемы вызваны - фрагментацией платформы. Благодаря pr компании, пропагандируемые которой цели, мягко говоря, не достигнуты.

Слушай, ну хватит уже, правда? Тео пи**рнули из NetBSD и после этого оно скатилось в говно (с твоих слов, я считаю иначе) и виноват в этом Тео? Очень удобная позиция: с одной стороны ты говоришь, что они макаки и говнокодеры, с другой, что без них NetBSD загнулась. Как так-то?
По твоей логике она должна была только лишь расцвести после.

>> Да, его функциональность выходит за пределы того, что описано в названии (secure shell), однако, давай посмотрим на результат, а не на идеологию? Всё
> смотрю - мильен уязвимостей, часть из которых remote root

Такие были, да. Если ничего не путаю, после одной из них как раз пришлось менять слоган OpenBSD, который тогда сообщал об отсутствии remote root. И что, а где их не было?
Зато последняя критичная дыра, ЕМНИП, была в 2016 году и не работала при аутентификации по ключам. А до оной как бы не в 2008. Короче, ничего интересного и, тем более, дающего право высказываться об OpenSSH пренебрежительно.

> куча костылей и подпорок

Про что именно ты? И где их нет?

> выпиливание "устаревших" алгоритмов и возможностей по желанию левой пятки.

Как будто что-то плохое. Старые алгоритмы НУЖНО выпиливать. Ты админишь старое говно, которое не умеет в новые? Идёшь и собираешь статически ssh_client с нужными шифрами, бэкапишь его и необходимое для сборки, забываешь. ВСЁ. Не надо делать свои проблемы проблемами разработчиков.

>> Чтобы не быть голословным:
> ссылки на баги, добавленые после форка, очень  убедительно.

А ты какие хотел? Добавленые до? Ну, не всё сразу. Что-то, я думаю, выпилили, но скорее всего минимально. Не вижу ничего удивительного - искать ошибки в чужом объёмном коде сложнее, чем писать новый без оных.

> С тем же успехом ты мог бы пользоваться доисторической версией openssl

Не факт, смотря какой. И, опять же, новые шифры. Которых в старом openssl нет. А так, да - использовать хардкорное легаси почти всегда значит "избегать актуальных массовых уязвимостей". И новых возможностей.

>> https://www.opennet.ru/opennews/art.shtml?num=40342 (CVE-2014-5139, CVE-2014-3512 и CVE-2014-3505 к libressl неприменимы)
> "в приложениях для которых включена поддержка SRP. " Нет приложений и возможности их собирать с этой поделкой, нет проблемы, просто отлично.

Отсутствие возможности сделать неправильно - это плюс. Для защиты от HEARTBLEED было достаточно собирать OpenSSL с "-DOPENSSL_NO_HEARTBEATS", но кто это делал? Где-то были конфигурации с такими опциями сборки по-умолчанию?
По-моему, причины, по которым нужно отламывать подобное малопонятное или просто ненужное говно очевидны. И офигенно, что разработчики LibreSSL этим заняты, в числе прочего.

> Про более серьезные уязвимости - Дополнение: Указанные уязвмости устранены в выпуске LibreSSL 2.0.5.  И так - чего ни хватишься.

Зачем снова врать? Даже среди того, что привёл в пример я были примеры, опровергающие это твоё "И так - чего ни хватишься". Надеешься, что кто-то поленится сходить по ссылкам?
Да, конкретно в этом случае проблемы, которые были в OpenSSL, в основном, были и в LibreSSL. И я знаю ещё аналогичные примеры (более того: я знаю про дыры, которые были ТОЛЬКО в LibreSSL, и что?).
Люди, которые ждут от форка чего-то иного - странные и никогда не пробовали искать баги в чужом коде большого объёма.

> То есть никакого code review - нет, ниасиляторы на него неспособны, есть только героическое выпиливание фич, не используемых полутора разработчиками.

Слушай, чем сходи ка ты в рассылки OpenBSD, да посмотри, как там нет никакого code review.
А то, что оно не позволяет отловить ВСЕ ошибки - это нормально. Сейчас я ещё немного насру в твою картину волшебно-идеального мира: тесты тоже не позволяют найти все ошибки и более того, они призваны находить проблемы в коде, а не гарантировать их отсутствие. С ревью примерно такая же хрень.

> О чем и речь. Причем таким образом ликвидируются либо бесполезные за неиспользуемостью самой фичи, либо малозначительные уязвимости. А все основные, которые как раз всех и интересуют, потому что затрагивают ключевой софт - все на месте.

Нет. И я уже приводил примеры, почему. Но я не жадный, на ещё раз.
https://www.opennet.ru/opennews/art.shtml?num=45215 - критическая дыра, которая есть в OpenSSL, но нет в libre. И это не единственный пример. Но судя по тому, как ты отреагировал на прошлые, особо распинаться мне нет смысла.

>> https://www.opennet.ru/opennews/art.shtml?num=41782 (FREAK, не проявляется в libressl
> потому что нет алгоритма. При этом для защиты от мегауязвимости необходимо и достаточно эти алгоритмы - выключить в настройках, если они вообще зачем-то оказались включены.

Да, да, а heartbleed фиксилась сборкой с "-DOPENSSL_NO_HEARTBEATS". Какая несерьёзная и смешная проблема, жаль только пол интернета бегало с жопой в мыле.

>> Продолжать мне тупо лень - сам справишься, если захочешь.
> Как я и предполагал, все якобы побежденные уязвимости - в маргинальных шифрах

Нет. Смотри хотя бы пример выше, который я привёл уже повторно. Если ты потратишь время, то убедишься, что ты радикально неправ. Вот тебе, кстати, ещё пример того, где проблемы OpenSSL были устранены  в libre заранее: https://www.opennet.ru/opennews/art.shtml?num=39938 (см. сноску в конце).

> Все серьезные уязвимости в _актуальных_ протоколах и шифрах - в наличии, что и требовалось доказать.

Доказал ты только свою предвзятость и неадекватную упёртость. Ну, бог в помощь.

Ответить | Правка | Наверх | Cообщить модератору

165. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 14-Авг-19, 15:33 
> Слушай, ну хватит уже, правда? Тео пи**рнули из NetBSD и после этого оно скатилось в говно

потому что рядом существовал проект, рекламируемый как то же самое, но только всем-всем лучше.

Вот это "всем-всем" - несколько раз красиво падало в лужу, забрызгивая окружающих. Поэтому и записываем отрицательное, а не положительное влияние - и netbsd нагадили, поманив разработчиков пряником, и мега-супер-надежной системы...ну да, почти получилось, если в розетку не включать.

> Такие были, да. Если ничего не путаю, после одной из них как раз пришлось менять слоган OpenBSD

не путаешь, а в очередной раз приукрашиваешь действительность. После не одной, а когда уже стало совсем смешно и грустно - до этого отмазывались как дети "а вот если sshd не запускать", "это 3d-party из contrib" - хотя всем было понятно, что без этого всего от системы пользы как от выключенной. Поменяли когда прилетело прямо в base system, как раз в любимый "трательно изученный код" и соскакивать было уже невозможно. А над лозунгом все смеялись за пятнадцать лет до этого - в 98м, afair.

> Зато последняя критичная дыра, ЕМНИП, была в 2016 году

или просто всем надоел неуловимый джо.

> Отсутствие возможности сделать неправильно - это плюс.

отсутствие возможности сделать вообще - это минус, как бы ты ни хотел убедить меня в обратном - а так-то выключенная из розетки винда тоже неуязвима (и у нее, в отличие от, сертификат об этом есть!)

> Слушай, чем сходи ка ты в рассылки OpenBSD, да посмотри, как там нет никакого code review.

проблема, как обычно - в результатах. Вот ни одной _крупной_ и реально на что-то влияющей проблемы в той же openssl - не найдено за все время, хотя их там тыщи. Одни успехи в выпиливании.
Ну значит ставим галочку - этот метод не работает (не местами не - а в принципе, пользы от него никакой).

И да, твоя ссылка:как на сервере уязвимость проявляется только при использовании веток OpenSSL 1.0.1 и 1.0.2-beta1 (а для нее нужен и клиент, и сервер)
То есть это опять улучшизм, простительный развивающемуся проекту.

То есть время и силы они тратят, безусловно. Эту бы энергию да в мирных целях...

Ответить | Правка | Наверх | Cообщить модератору

166. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 14-Авг-19, 16:40 
>> Слушай, ну хватит уже, правда? Тео пи**рнули из NetBSD и после этого оно скатилось в говно
> потому что рядом существовал проект, рекламируемый как то же самое, но только всем-всем лучше.

Открыл " OpenBSD Project Goals" - не нашёл ничего про "всем-всем лучше". Может, это голоса в твоей голове? Ну и так-то, OpenBSD, по меньшей мере не хуже, NetBSD. И если в неё многие свалили с нетки - вероятно, свалившие считали, что опёнок лучше, да.
Думаю, дело не в рекламе (немного дикое слово в контексте BSD-систем), а в том, что нетбсдшники слегка обгадились. И во всём плохом, что с ними случилось виноваты они и только они. А опенбсдшники виноваты, в свою очередь, только лишь в своих проблемах.

> Вот это "всем-всем" - несколько раз красиво падало в лужу, забрызгивая окружающих.

Как именно? Как забрызгивало? Там, О БОЖЕ МОЙ, находили уязвимости? Находили, и будут находить.
Try to be the #1 most secure operating system != the #1 most secure operating system.
Вопрос больше в том, как эти ситуации потом будут обрабатываться и какие выводы делаются.

> Поэтому и записываем отрицательное, а не положительное влияние - и netbsd нагадили, поманив разработчиков пряником, и мега-супер-надежной системы...ну да, почти получилось, если в розетку не включать.

NetBSD'шники нагадили сами себе. Не выдавай свои фантазии за действительное.
Про мега-супер-надёжность - это тоже ты сам выдумал.

>> Такие были, да. Если ничего не путаю, после одной из них как раз пришлось менять слоган OpenBSD
> не путаешь, а в очередной раз приукрашиваешь действительность.

Преукрашиваю действительность - пишу голые факты, а не обрамляю их своими фантазиями и домыслами? Ок, пусть так.

> После не одной, а когда уже стало совсем смешно и грустно - до этого отмазывались как дети "а вот если sshd не запускать", "это 3d-party из contrib" - хотя всем было понятно, что без этого всего от системы пользы как от выключенной. Поменяли когда прилетело прямо в base system, как раз в любимый "трательно изученный код" и соскакивать было уже невозможно.

А можно какую-то ссылку на подтверждение твоих слов? Я наизусть все эти события не помню, у меня в памяти отложилось иное - слоган поменяли.

> А над лозунгом все смеялись за пятнадцать лет до этого - в 98м, afair.

И, как обычно, не от большого ума. Слоган не про то, что система мега-супер-защищённая, а про то, что она не имеет дыр (имеет мало дыр - впоследствии) сразу после установки, в стандартной поставке, что есть полное мегадно. Искренне не понимаю людей, которые относятся к слогану с излишней серьёзностью, вместо того, чтобы почитать рассылки и посмотреть на то, как на самом деле отрабатываются ситуации с уязвимостями.

>> Зато последняя критичная дыра, ЕМНИП, была в 2016 году
> или просто всем надоел неуловимый джо.

OpenSSH - неуловимый джо? Серьёзно? С каких пор так стало модно называть программу, установленную примерно везде?

>> Отсутствие возможности сделать неправильно - это плюс.
> отсутствие возможности сделать вообще - это минус, как бы ты ни хотел убедить меня в обратном - а так-то выключенная из розетки винда тоже неуязвима (и у нее, в отличие от, сертификат об этом есть!)

Никого ни в чём не хочу убедить. Но соображениями своими поделюсь таки.
Если будет выбор между наличием недоделанной, потенциально дырявой и не особенно-то нужной "фичей" и отсутствием её имплементации вообще - выбирать нужно второй вариант. Недоделанное дырявое говно не должно мочь собираться в продакшен коде даже под опцией.
Передёргивание про выключенный компьютер и его безопасность - это шутка, повторённая уже даже не дважды, это просто не смешно. Разница между дополнительной функциональностью и работоспособностью вообще есть. Никто не стремится к незагружаемой системе, но и тащить непонятно что в код, который никто не будет поддерживать - это не бесплатно, как в буквальном так и в переносном смысле.

>> Слушай, чем сходи ка ты в рассылки OpenBSD, да посмотри, как там нет никакого code review.
> проблема, как обычно - в результатах. Вот ни одной _крупной_ и реально на что-то влияющей проблемы в той же openssl - не найдено за все время, хотя их там тыщи. Одни успехи в выпиливании.

Я тебе уже приводил примеры, причём со ссылками, что это не так. Та же CVE-2016-6309. Или это не "_крупная_"? "NVD severity - high (attack range: remote)" - хз. Хотя всего одна версия подвержена.
А что, кстати, в твоём понимании, "_крупная_ и на что-то влияющая"? Я вот после heartbleed ничего сравнимого по эпичности не видел.
Тот же FREAK - не влияющая? А, да, там же "выпиливания". Удобная позиция.
Чуваки предвосхитили проблему и выпилили ненужное, но это всё чешуя и ничего не значащая минорнота, потому что пох с опеннета не одобряет.

> Ну значит ставим галочку - этот метод не работает (не местами не - а в принципе, пользы от него никакой).

Ага, и тесты туда же. Не, нуачо, не находят все баги и уязвимости - значит не работают. И кодоанализаторы, и санитазйзеры - всё, что не даёт резальтата в 100% - на помойку!
Ой, кажется, подобный подход с бОльшей вероятностью приведёт к неработоспособной (я молчу даже про уязвимости - до этого просто не дойдёт) системе.

> И да, твоя ссылка:как на сервере уязвимость проявляется только при использовании веток OpenSSL 1.0.1 и 1.0.2-beta1 (а для нее нужен и клиент, и сервер). То есть это опять улучшизм, простительный развивающемуся проекту.

По одной ссылке всё так как ты написал. Там ещё даже дальше написано, что вторую уязвимость из пачки (про MITM) в LibreSSL, скорее всего, бы не нашли.
Но, повторяюсь, это один из примеров и даже он содержит в себе пример уязвимостей, исправленных в LibreSSL до того, как их нашли в OpenSSL. По ссылкам было ещё. Наверное, можно поискать больше, но лично мне в рамках спора тут сильно лень.

> То есть время и силы они тратят, безусловно. Эту бы энергию да в мирных целях...

Цели исключительно мирные. Лицензия LibreSSL позволяет бэкпортировать изменения в OpenSSL и вообще почти куда угодно (в отличие от). С гугловым BooringSSL они, насколько я помню, например, достаточно активно взаимодействуют. Тихо пилят свою либу стремясь поддерживать совместимое с OpenSSL API, отсутствие избыточного функционала и улучшая помаленьку качество кода и архитектуру.

Ответить | Правка | Наверх | Cообщить модератору

168. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от пох. (?), 14-Авг-19, 22:34 
> Как именно? Как забрызгивало? Там, О БОЖЕ МОЙ, находили уязвимости?

да. Под пение мантры "эн лет без единой уязвимости". "в установке по умолчанию" - это, кажется, добавилось после ssh+syslog() - тогда это был "не наш, не наш, не наш"! Ну да, из своего-то был - телнет без кербероса, очень полезная и нужная вещь, даже в 96м году.

> А можно какую-то ссылку на подтверждение твоих слов?

увы, гугля тогда еще не было.  Ищи архивы bugtraq, или comp.os.security.забылчто - полагаю, все упоминания данного лозунга там будут э... в специфическом ключе.

В смысле, над ним все издевались, глумились и тыкали пальцами.

> А что, кстати, в твоём понимании, "_крупная_ и на что-то влияющая"?

ну вот POODLE - крупная. Выпилен вместе с sslv3, да (как обычно, неотключаемым образом, поэтому те кому нужна совместимость, могут держать десять устаревших версий, вместо того чтобы просто обойтись настройкой), но _после_ того как информация стала публичной.

с тех пор таких масштабов в openssl пока не было - а в libre никто уже и искать не будет - незачем.

> Ага, и тесты туда же. Не, нуачо, не находят все баги и уязвимости - значит не работают.

в плане поиска багов - работают. В плане хоть какой-то гарантии надежности кода - нет, этот метод давно признан сфейленым.

> Тихо пилят свою либу стремясь поддерживать совместимое с OpenSSL API, отсутствие избыточного
> функционала и улучшая помаленьку качество кода и архитектуру.

поэтому проблемы развития обходят их стороной, ну да. ;-) Подождем tls1.3 - поржем.

Ответить | Правка | Наверх | Cообщить модератору

170. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 15-Авг-19, 00:13 
>> Как именно? Как забрызгивало? Там, О БОЖЕ МОЙ, находили уязвимости?
> да. Под пение мантры "эн лет без единой уязвимости". "в установке по умолчанию" - это, кажется, добавилось после ssh+syslog() - тогда это был "не наш, не наш, не наш"! Ну да, из своего-то был - телнет без кербероса, очень полезная и нужная вещь, даже в 96м году.

Вот честно, я не отслеживал этот момент. Википедия говорит, что до 2002 года был слоган "Five years without a remote hole in the default install!", потом "One remote hole in the default install, in nearly 6 years!" до 2007, потом текущий.
Даты что-то не очень сходятся с твоими. Расскажи что ли, где почитать. Хотя бы примерно, если точно не помнишь, я сам попробую поискать.

>> А можно какую-то ссылку на подтверждение твоих слов?
> увы, гугля тогда еще не было.  Ищи архивы bugtraq, или comp.os.security.забылчто - полагаю, все упоминания данного лозунга там будут э... в специфическом ключе.

Так не, в это я готов просто поверить, мне было интересно подтверждение про "до этого отмазывались как дети". Ну, в смысле, и сейчас интересно. Я не то что бы прям не верю - хочу сам прочитать и сделать свои выводы.
Про архивы - ок, поищу, спасибо. Но если есть какое-то более точное описание того, что именно мне искать (примерная тема и т.п., примерная дата) - буду признателен.

> В смысле, над ним все издевались, глумились и тыкали пальцами.

Ну то есть абсолютно также как и сейчас. Ничего не изменилось, всё ок.

>> А что, кстати, в твоём понимании, "_крупная_ и на что-то влияющая"?
> ну вот POODLE - крупная. Выпилен вместе с sslv3, да (как обычно, неотключаемым образом, поэтому те кому нужна совместимость, могут держать десять устаревших версий, вместо того чтобы просто обойтись настройкой), но _после_ того как информация стала публичной.

1) Да, после. Но это так себе пример, ибо затрагивает если не все, то почти все реализации ssl/tls. Уязвимость у всех, а лохи только разработчики LibreSSL? Да, было бы очень круто, если бы они нашли эту дыру сами и пофиксили раньше всех, но в этот раз так не случилось. Я не утверждал, что LibreSSL ВСЕГДА фиксит дыры раньше OpenSSL. Я оспаривал утверждение, что принимаемые ими меры вообще ничего "серьёзного" не предотвратили - это не так.
2) Многие в итоге sslv3 тоже потом выкинули, например, NSS примерно годом позже. А для чего тебе понадобился sslv3 в LibreSSL, что оно тебе сломало? Firefox использует NSS, Chrome - сначала OpenSSL, теперь BoringSSL (если я ничего не путаю). Просто интересно.
3) Поддерживать дырявый sslv3, который они всё равно собирались выпиливать в рамках чистки библиотеки от старых алгоритмов и лепить костыли-фиксы или выпилить его раньше запланированного срока? С учётом того, что проект большой, а ресурсов не так много, выбор очевиден. Не понимаю этих жалоб - разве сложно собрать и сохранить нужную для вашей экзотики и/или старья версию? Тем более, что дропают не просто так, а по вполне себе поводу.

> с тех пор таких масштабов в openssl пока не было - а в libre никто уже и искать не будет - незачем.

С учётом их похожести, может и будут. А разработчики и пользователи уж точно будут следить за дырами в OpenSSL и BoringSSL.

>> Ага, и тесты туда же. Не, нуачо, не находят все баги и уязвимости - значит не работают.
> в плане поиска багов - работают. В плане хоть какой-то гарантии надежности кода - нет, этот метод давно признан сфейленым.

Иногда работают. Даже как правило. Тем не менее, _гарантий_ отсутствия багов они не дают. Я про это.

>> Тихо пилят свою либу стремясь поддерживать совместимое с OpenSSL API, отсутствие избыточного функционала и улучшая помаленьку качество кода и архитектуру.
> поэтому проблемы развития обходят их стороной, ну да. ;-) Подождем tls1.3 - поржем.

https://www.openbsd.org/papers/bsdcan2019-tls13.pdf - в мае писали, что процентов на 60 готово.
Думаю, дождёмся таки.

Ответить | Правка | Наверх | Cообщить модератору

172. "Для OpenBSD развивается новая git-совместимая система контро..."  +/
Сообщение от Дон Ягон (ok), 15-Авг-19, 02:16 
> дырявый sslv3, который они всё равно собирались выпиливать в рамках чистки библиотеки от старых алгоритмов

Что-то сейчас сходу не могу найти подтверждения своим словам, а то возникли сомнения.
Вероятно, я это перепутал с чем-то.
Поищу на эту тему, если найду что-то - принесу сюда.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру