>> Как именно? Как забрызгивало? Там, О БОЖЕ МОЙ, находили уязвимости?
> да. Под пение мантры "эн лет без единой уязвимости". "в установке по умолчанию" - это, кажется, добавилось после ssh+syslog() - тогда это был "не наш, не наш, не наш"! Ну да, из своего-то был - телнет без кербероса, очень полезная и нужная вещь, даже в 96м году.Вот честно, я не отслеживал этот момент. Википедия говорит, что до 2002 года был слоган "Five years without a remote hole in the default install!", потом "One remote hole in the default install, in nearly 6 years!" до 2007, потом текущий.
Даты что-то не очень сходятся с твоими. Расскажи что ли, где почитать. Хотя бы примерно, если точно не помнишь, я сам попробую поискать.
>> А можно какую-то ссылку на подтверждение твоих слов?
> увы, гугля тогда еще не было. Ищи архивы bugtraq, или comp.os.security.забылчто - полагаю, все упоминания данного лозунга там будут э... в специфическом ключе.
Так не, в это я готов просто поверить, мне было интересно подтверждение про "до этого отмазывались как дети". Ну, в смысле, и сейчас интересно. Я не то что бы прям не верю - хочу сам прочитать и сделать свои выводы.
Про архивы - ок, поищу, спасибо. Но если есть какое-то более точное описание того, что именно мне искать (примерная тема и т.п., примерная дата) - буду признателен.
> В смысле, над ним все издевались, глумились и тыкали пальцами.
Ну то есть абсолютно также как и сейчас. Ничего не изменилось, всё ок.
>> А что, кстати, в твоём понимании, "_крупная_ и на что-то влияющая"?
> ну вот POODLE - крупная. Выпилен вместе с sslv3, да (как обычно, неотключаемым образом, поэтому те кому нужна совместимость, могут держать десять устаревших версий, вместо того чтобы просто обойтись настройкой), но _после_ того как информация стала публичной.
1) Да, после. Но это так себе пример, ибо затрагивает если не все, то почти все реализации ssl/tls. Уязвимость у всех, а лохи только разработчики LibreSSL? Да, было бы очень круто, если бы они нашли эту дыру сами и пофиксили раньше всех, но в этот раз так не случилось. Я не утверждал, что LibreSSL ВСЕГДА фиксит дыры раньше OpenSSL. Я оспаривал утверждение, что принимаемые ими меры вообще ничего "серьёзного" не предотвратили - это не так.
2) Многие в итоге sslv3 тоже потом выкинули, например, NSS примерно годом позже. А для чего тебе понадобился sslv3 в LibreSSL, что оно тебе сломало? Firefox использует NSS, Chrome - сначала OpenSSL, теперь BoringSSL (если я ничего не путаю). Просто интересно.
3) Поддерживать дырявый sslv3, который они всё равно собирались выпиливать в рамках чистки библиотеки от старых алгоритмов и лепить костыли-фиксы или выпилить его раньше запланированного срока? С учётом того, что проект большой, а ресурсов не так много, выбор очевиден. Не понимаю этих жалоб - разве сложно собрать и сохранить нужную для вашей экзотики и/или старья версию? Тем более, что дропают не просто так, а по вполне себе поводу.
> с тех пор таких масштабов в openssl пока не было - а в libre никто уже и искать не будет - незачем.
С учётом их похожести, может и будут. А разработчики и пользователи уж точно будут следить за дырами в OpenSSL и BoringSSL.
>> Ага, и тесты туда же. Не, нуачо, не находят все баги и уязвимости - значит не работают.
> в плане поиска багов - работают. В плане хоть какой-то гарантии надежности кода - нет, этот метод давно признан сфейленым.
Иногда работают. Даже как правило. Тем не менее, _гарантий_ отсутствия багов они не дают. Я про это.
>> Тихо пилят свою либу стремясь поддерживать совместимое с OpenSSL API, отсутствие избыточного функционала и улучшая помаленьку качество кода и архитектуру.
> поэтому проблемы развития обходят их стороной, ну да. ;-) Подождем tls1.3 - поржем.
https://www.openbsd.org/papers/bsdcan2019-tls13.pdf - в мае писали, что процентов на 60 готово.
Думаю, дождёмся таки.
