The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

OpenSSL переходит на новую лицензию, совместимую с GPL

24.03.2017 09:25

Разработчики криптографической библиотеки OpenSSL объявили о запуске финальной стадии инициативы по смене лицензии на исходные тексты проекта. Вместо собственной лицензии OpenSSL, основанной на тексте устаревшей лицензии Apache 1.0, код предлагается распространять под типовой лицензией Apache 2.0. Всем разработчикам отправлено уведомление с просьбой утвердить предстоящее изменение.

Ключевой причиной смены лицензии является несовместимость старой лицензии с GPL, что создаёт трудности при использовании OpenSSL в проектах с лицензией GPL и требует включения явных исключений в лицензионное соглашение GPL-продуктов. В частности, старая лицензия требует явного упоминания OpenSSL в рекламных материалах при использовании библиотек OpenSSL, а также добавления специального примечания в случае поставки OpenSSL в составе продукта.

Подобные требования вызывают несовместимость с GPL и усложняют жизнь GPL-проектам, использующим OpenSSL. Такие проекты вынуждены применять специфичные лицензионные соглашения, в которых основной текст GPL дополняется пунктом, в котором владельцы имущественных прав на код явно разрешают связывание приложения с библиотекой OpenSSL, указывая, что требования GPL не распространяется на связывание с OpenSSL. Без данного пункта пользователям приложения можно предъявить претензию в нарушении GPL.

Так как имущественные права на код OpenSSL не были переданы одной организации и остались в руках конечных разработчиков, для изменения лицензии потребовалось провести огромную работу по определению всех участников разработки. В итоге было выявлено около 400 индивидуальных разработчиков, внёсших более 31 тысячи изменений. Спустя около полутора лет, ушедших на подготовку к перелицензированию, проект перешёл на стадию согласования изменений с каждым из разработчиков.

Чтобы избежать подобных согласований в будущем проект ввёл в практику подписание лицензионного соглашения CLA (Contributor License Agreement), которое подготовлено в двух вариантах - для индивидуальных разработчиков и для компаний, работники которых занимались улучшением OpenSSL в рамках основной работы. Подписание соглашения обязательно для добавления нового кода в OpenSSL, но при приёме тривиальных патчей сделано исключение - простые патчи принимаются без CLA.

Тем временем, разработчики OpenBSD начали обсуждение возможных проблем с переносом кода из OpenSSL в LibreSSL, в случае смены лицензии. Многие из разработчиков LibreSSL не намерены передавать свои права.

  1. Главная ссылка к новости (https://www.openssl.org/blog/b...)
  2. OpenNews: Микроядерная ОС Genode переходит на лицензию AGPL
  3. OpenNews: Конфликт между WordPress и Wix, связанный с нарушением лицензии GPL
  4. OpenNews: Релиз DNS-сервера BIND 9.11, перешедшего на новую лицензию
  5. OpenNews: Проект LLVM планирует сменить лицензию
  6. OpenNews: Основатели MySQL начали продвижение лицензии BSL, как альтернативы Open Core
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/46248-openssl
Ключевые слова: openssl, apache, gpl, license
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (58) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, anonimous (?), 10:00, 24/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > If we do not hear from you, we will assume that you have no objection.

    Круто, чего уж.

     
     
  • 2.4, Аноним (-), 10:33, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как будто на выборах у нас не та же система. Не пришел, не проголосовал, значит со всем согласен.
     
     
  • 3.11, Тот_Самый_Анонимус (?), 11:58, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Навальный, залогиньтесь.
     
  • 3.14, Аноним (-), 12:29, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так приходи и проголосуй. Кто не пускает?
     
  • 3.15, Michael Shigorin (ok), 12:30, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Как будто на выборах у нас не та же система.

    Занятная логика, расскажите при случае знакомым западным избирателям.  Вдруг чего о реальности узнаете...

     
     
  • 4.24, Owlet (?), 14:46, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Американцам уже рассказали и показали.
     
     
  • 5.28, SpaceRaven (ok), 15:20, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    еще украинцам, сирийцам, кому там еще.... тьфу
     
  • 4.32, Аноним (-), 17:07, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А теперь расскажи как сменить лицензию ядра с GPL на EULA за 5 минут if you have no objection
     
     
  • 5.34, Michael Shigorin (ok), 17:44, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А теперь расскажи как сменить лицензию ядра с GPL на EULA за 5 минут

    Ничего не попутали?  Попробуйте проследить логику высказываний (or the lack thereof), включая своё.

     
  • 4.54, Аноним (-), 01:47, 28/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как тот самый «западный избиратель» могу отметить, что именно так и есть.
     
  • 2.25, Аноним (-), 14:49, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> If we do not hear from you, we will assume that you have no objection.
    > Круто, чего уж.

    С одной стороны, конечно, круто. А с другой - что делать, если, к примеру, автор уже умер? Или если сменил пароли и явки, и достучаться до него не реально?

     
     
  • 3.29, _ (??), 16:58, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не ну тогда то конечно, тогда это не воровство а экспроприация! (слышны звуки Интрернационала ...)

    Надеюсь что ушлые разрабы сейчас промолчат, а потом разденут уродов в суде до трусов.

     
     
  • 4.33, Аноним (-), 17:10, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это старая фишка, одна из причин по которой GPL не рекомендуется использовать в проектах. Вторая такая же бомба - не факт что разработчик добавил свой код, он мог добавить код компании на который у него не было доступа.
     
     
  • 5.35, Michael Shigorin (ok), 17:46, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мог добавить код компании на который у него не было доступа.

    Там выше про логику заметил, здесь тоже относится.

    >> ...or the lack thereof...

     
  • 4.36, Аноним (-), 18:42, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Не ну тогда то конечно, тогда это не воровство а экспроприация!

    А что, кто-то у кого-то что-то крадет?

    Фанатики. Лишь бы крови и зрелищ, ей богу. А то, что с текущей лицензией либу использовать реально неудобно ни в opensource, ни в проприетари - на это, конечно, класть.

     
     
  • 5.43, . (?), 06:52, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >А что, кто-то у кого-то что-то крадет?

    Все у всех, nothing personal, just a business ... :-\
    Но по твоему когда какой то шмок вешает GPL забив болт на мнение авторов кода - это Ок?
    Ну дык тогда когда крадут GPL-нутый код (как тот же Tivo) - то не стоните тут больше :-Е

     
     
  • 6.45, Аноним (-), 14:42, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Все у всех, nothing personal, just a business ... :-\

    Еще раз - кто-то у кого-то что-то украл по теме новости? Чуваки хотят сменить лицензию и разослали письма по этому поводу. На что OpenBSD-шники обиделись. Причем обиделись на последний параграф о согласии по умолчанию, при этом забыв про суть проблемы, из-за которой всё и началось. Одним словом, фанатики.

    > Но по твоему когда какой то шмок вешает GPL забив болт на мнение авторов кода - это Ок?

    Во-первых, не GPL, а Apache 2.0. Разницу чуете или разжевать? По сути, Apache 2.0 более пермиссивна, чем текущая OpenSSL. Так в чем проблема?
    Во-вторых, болт никто не забивал - письма разослали, отказаться можно.

     
     
  • 7.46, Michael Shigorin (ok), 16:52, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Во-вторых, болт никто не забивал - письма разослали, отказаться можно.

    "Нуачо, ютубу можно, а нам нет?" -- где-то так.

     
  • 7.49, пох (?), 01:14, 26/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Еще раз - кто-то у кого-то что-то украл по теме новости? Чуваки
    > хотят сменить лицензию и разослали письма по этому поводу. На что

    не только. Они хотя себе прав менять лицензию дальше - как им вштырит. А вот это уже нехорошо.

    > OpenBSD-шники обиделись. Причем обиделись на последний параграф о согласии по
    > умолчанию,

    не по умолчанию.

    > при этом забыв про суть проблемы, из-за которой всё и началось.

    им проблема двух листов бумаги показалась высосанной из пальца (как и многим другим). А вот проблема CLA - нет.

    > Во-первых, не GPL, а Apache 2.0. Разницу чуете или разжевать? По сути,
    > Apache 2.0 более пермиссивна, чем текущая OpenSSL. Так в чем проблема?

    в CLA.

    "In return, the Foundation shall not use Your Contributions in a way that is contrary to the public benefit." - вот и все, что ты получаешь взамен. Причем, в этом чудо-юридическом-шедевре где побуквенно расшифровывают значение слова 'you', нифига не расшифровано что это за такой "public benefit", и какая именно публика будет в дальнейшем иметь полное право без согласования с тобой это решать (к тому же если вчитаться, права ты отдаешь не только "foundation", и остальные тебе ничего не обещают).

    (не говоря уже о том что этот документ целиком чрезвычайно мутный, и я бы отказался его подписывать без своего адвоката)

     

  • 1.2, Аноним (-), 10:00, 24/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    GnuTLS -- наше всё.
     
  • 1.3, Пользователь Debian (?), 10:24, 24/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    М-да... Как обычно, больные лицензизмом головного мозга опенбээсдешники зашевелились и решили зарубить идею сделать всем удобнее на корню.

    Ну, ок, всё равно добра им.

     
     
  • 2.6, Школьник (ok), 10:58, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да нет, просто ребята на историях с gcc linking exception и с драйвером ath5k уже давно разобрались, с кем имеют дело, и решили, что больше никаких дел с поклонниками ein Freiheit, ein Lizenz, ein Stallman вести не стоит. Равно как и идти им навстречу. Глупо, знаете ли, идти навстречу тем, чья принципиальная позиция заключается в фразе "мы одни хорошие и свободные, а вас, рабов проклятых, тут быть вообще не должно".
     
     
  • 3.40, Аноним (-), 02:16, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Да нет, просто ребята на историях с gcc linking exception и с
    > драйвером ath5k уже давно разобрались, с кем имеют дело, и решили,
    > что больше никаких дел с поклонниками ein Freiheit, ein Lizenz, ein
    > Stallman вести не стоит. Равно как и идти им навстречу. Глупо,
    > знаете ли, идти навстречу тем, чья принципиальная позиция заключается в фразе
    > "мы одни хорошие и свободные, а вас, рабов проклятых, тут быть
    > вообще не должно".

    Действительно глупо - идти на встречу людям, для которых права _пользователей_ их программ ничего не значат, а во главу угла ставятся права разработчиков и проприетарных корпораций.

     
     
  • 4.53, КО (?), 10:09, 27/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А зачем пользователям нужно право поставщика не упоминать, что в составе продукта есть OpenSSL? Весь спор же из-за этого.
     
     
  • 5.55, X3asd (?), 09:01, 28/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А мне бы (как пользователю) -- хотелось бы! (Чтобы у моего поставщика было бы такое право)..

    ..а иначе мой поставщик пишет плохой код (для меня), вставляя разные технические костыли

     
  • 2.16, Michael Shigorin (ok), 12:30, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > больные лицензизмом головного мозга опенбээсдешники

    Помните про GNU FDL?

     
  • 2.37, Аноним (-), 19:00, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > М-да... Как обычно, больные лицензизмом головного мозга опенбээсдешники зашевелились
    > и решили зарубить идею сделать всем удобнее на корню.

    Как там было: человек может вечно смотреть на то, как горит огонь, течет вода и работают другие.
    А обычный опеннетчик может вечно хаять бздшников, не-си-ЯПы и то, как  бездарно по его мнению другие тратят свое время, вместо того, чтобы проконсультироваться и получить наряд лично у анонима!

     
  • 2.39, Аноним (-), 02:13, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, вообще не понятно.

    > Многие из разработчиков LibreSSL не намерены передавать свои права.

    Ну отлично, не передавайте, пишите свой LibreSSL, в чём у них проблема не ясно...

     
     
  • 3.56, PereresusNeVlezaetBuggy (ok), 15:10, 30/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ага, вообще не понятно.
    >> Многие из разработчиков LibreSSL не намерены передавать свои права.
    > Ну отлично, не передавайте, пишите свой LibreSSL, в чём у них проблема
    > не ясно...

    На данный момент между LibreSSL, BoringSSL и OpenSSL налажен какой-никакой обмен патчами. Смена лицензии OpenSSL на неприемлемую для разработчиков LibreSSL ставит на таковом обмене крест.

     

  • 1.5, Аноним (-), 10:56, 24/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ещё одну лавочку с халявным кодом прикрыли для бздшников, на которых кормятся корпорации.
     
     
  • 2.7, Сергей (??), 11:11, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перепишут код и похоронят openssl
     
     
  • 3.19, пох (?), 13:00, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >  Перепишут код и похоронят openssl

    им даже переписывать не надо - достаточно не тащить в рот всякий мусор из новой модной версии.
    Учитывая, что, на удивление, многие проекты позитивно отнеслись к этой затее, и обросли спец-патчами для совместимости, это должно и дальше быть вполне реализуемой возможностью.

    проблема, как всегда, в другом: неспособности опенбсдшников вообще писать хороший код. Все что они делают сами, делается в лучшем индусском стиле, руками растущими из жопы и под руководством таких же жопоголовых миддлов. Какая там "security in mind", вы о чем, скорее-скорее понакодить бредовых фич и повыбрасывать якобы "ненужные" и "небезопасные" (пользоваться которыми никто, заметим, не заставлял). Ну не идут к ним ни нормальные программисты, ни хорошие архитекторы. Место, видать, проклял кто-то.

     
     
  • 4.57, PereresusNeVlezaetBuggy (ok), 15:12, 30/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > проблема, как всегда, в другом: неспособности опенбсдшников вообще писать хороший код.
    > Все что они делают сами, делается в лучшем индусском стиле, руками
    > растущими из жопы и под руководством таких же жопоголовых миддлов. Какая
    > там "security in mind", вы о чем, скорее-скорее понакодить бредовых фич
    > и повыбрасывать якобы "ненужные" и "небезопасные" (пользоваться которыми никто, заметим,
    > не заставлял). Ну не идут к ним ни нормальные программисты, ни
    > хорошие архитекторы. Место, видать, проклял кто-то.

    Да, совместимость с VMS — это (было) очень нужно для актуальной криптолибы, а принудительное использование самописной системы выделения памяти — это (было) очень секурно.

    Впрочем, это ваше дело — кого кем считать.

     
  • 2.8, ssh (ok), 11:14, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вас послушать, так всё зло от них!
     
  • 2.9, Andrey Mitrofanov (?), 11:16, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ещё одну лавочку с халявным кодом прикрыли для бздшников,

    Где? Какую?? О чём ты, человече?
       Apache P.L. - вполне себе пермиссИв, если ты про неё.

    > на которых кормятся
    > корпорации.

     
     
  • 3.10, Andrey Mitrofanov (?), 11:23, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Ещё одну лавочку с халявным кодом прикрыли для бздшников,
    >О чём ты, человече?
    >    Apache P.L. - вполне себе пермиссИв, если ты про

    Аааа, про libressl openssl-ю глаз не выклюет и "кода не даст". //Зря я новость не просчитал сразу.

    Так. всё ж по бээсдешному букварю: свободу перелицензирования проприертариям, на суппостатов с форками на... поло... всё равно. И более того, Они же заодно с Врагом -- с жепеэльщиками хороводят. На костёр!

     
     
  • 4.31, _ (??), 17:06, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да ладно вам лукавить Андгрейка! :)
    GPL без передачи прав - вещь! Смотри ведро.
    GPL с передачей прав - ******! Лицензия хозяев для рабов. Нашли таки буржуи дырочку, и вот туда и дрючат :-\
     
  • 2.23, abi (?), 14:42, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тем лучше, быстрее перейдут на libressl, я давно собираю всё с ним.
     

  • 1.13, Аноним (-), 12:26, 24/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А что, упомянуть OpenSSL - это прямо такая проблема?
     
     
  • 2.17, Michael Shigorin (ok), 12:32, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А что, упомянуть OpenSSL - это прямо такая проблема?

    BSDL меняли, когда посчитали и посмотрели, что на упоминание всех-всех проектов уходит уже несколько метров бумаги разумным шрифтом.  Собственно, ейный текст изначально был не для жизни, а под грант наспех слеплен, насколько мне удалось понять.

    PS: в смысле "старую" на "новую", уж не помню сходу, где это в 4->3->2-clause.

     
     
  • 3.20, Andrey Mitrofanov (?), 13:03, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> А что, упомянуть OpenSSL - это прямо такая проблема?
    > BSDL меняли, когда посчитали и посмотрели, что на упоминание всех-всех проектов уходит
    > уже несколько метров бумаги разумным шрифтом.

    https://www.openssl.org/docs/faq.html#LEGAL2

    Исключение нужно(~утверждается, что?) для "случай разный может быть". Лоярский способ подстилки соломки для исключения общения с лоярами.

    ~~~"Кое-где у нас порой случаются отдельные...."]-["А мы не взирая!"
    ___"Поэтому лучше договориться и заплатить."

     
  • 3.58, PereresusNeVlezaetBuggy (ok), 15:13, 30/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> А что, упомянуть OpenSSL - это прямо такая проблема?
    > BSDL меняли, когда посчитали и посмотрели, что на упоминание всех-всех проектов уходит
    > уже несколько метров бумаги разумным шрифтом.  Собственно, ейный текст изначально
    > был не для жизни, а под грант наспех слеплен, насколько мне
    > удалось понять.
    > PS: в смысле "старую" на "новую", уж не помню сходу, где это
    > в 4->3->2-clause.

    4 -> 3

     
     
  • 4.59, Michael Shigorin (ok), 16:03, 30/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> PS: в смысле "старую" на "новую", уж не помню сходу, где это
    >> в 4->3->2-clause.
    > 4 -> 3

    Спасибо.

     
  • 2.18, пох (?), 12:54, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А что, упомянуть OpenSSL - это прямо такая проблема?

    это повод. Проблема - что нельзя было потом в один момент сменить лицензию на какую-нибудь пакостную, не опросив снова всех разработчиков. А вот теперь - можно. А кто несогласный, идет нах, пилить свою ssl c нуля.

    забавно, что из 400 человек все послушно скушали дерьмеца с лопаты.

     
  • 2.21, анонимус вульгарис (?), 13:44, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Упомянуть не проблема, проблема в том, что требование такого упоминания есть ограничение, явно запрещённое GPL. Как следствие, линковать GPLный код с openssl нельзя.
     
     
  • 3.22, Andrey Mitrofanov (?), 14:05, 24/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > явно запрещённое GPL.

    Не "явно", а "может быть интерпретировано некоторыми несознательными под-GPL авторами"...

    Что превращается либо в "фигня-а-а-а, не наша проблема" в FAQ-е openssl либо в "нельзя, исключение неоходимо" на стороне Debian-а.  Лоярская магия.

    > Как следствие, линковать GPLный код с openssl нельзя.

    Они говорят, что можно, но они ни за что не отвечают. https://www.openssl.org/docs/faq.html#LEGAL2 Мол, мы накосячили, но честно предупредили и "в домике" -- а вы крутитесь, как хотите.

    Debian, например, как "третья сторона" в разборках апстримов не имеет такой свободы валить на пользователей, как openssl [до сего времени++], и должен (или опять же считает нужным для себя) требовать исключений линковки от всех таких GPL-пакетов -- исключить _возможные_ проблемы для себя и своих пользователей. То же самое, видимо, делают все дистрибутивы. При этом они, дистрибутивы, вынуждены (или выбрали?) быть жёсче безобраздников из openssl -- и _не могут_ рассчитывать на их волшебное "если оно в дистрибутиве / базовой системе, то можно". Может, они какую-то другую GPL читали, может, им есть [больше], что терять, мы не знаем.

     
  • 2.41, BlackRaven86 (ok), 02:24, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    То, что у них своя нестандартная лицензия просто добавляет мороки разработчикам приложений.
     

  • 1.26, Андрей (??), 14:50, 24/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SSL/TLS библиотек становится всё больше, значит, всё больше народа переходит и выбирает не OpenSSL. Наконец-то они там одумались и привели лицензию в соответствие хотя бы GPL! Хотя необходимость в использовании именно этой библиотеки уже не та, что раньше, всё равно надеюсь, что у них получится завершить этот процесс.
     
     
  • 2.38, пох (?), 01:11, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > SSL/TLS библиотек становится всё больше

    корявых урезанных форков opensslя становится больше. Все больше народа мечется по новосозданным граблям, натыкаясь на несовместимости, прикрытые неправильными версионными макросами.

    А народа выбирающего не openssl не существует, это ж надо самому код писать.
    (gnutls опустим, там очень ограниченная функциональность, мало где применимая)
    При этом если криптопримитивы написать самому хоть и противно, но можно, если владеть темой (знания алгоритмов недостаточно, вляпаешься в утечки по side-channel), то вот сам ssl... это совершенно отвратительная, мегонавороченная хрень, [мой внутренний конспиролог полагает]сознательно придуманная так, чтобы было невозможно сделать работающий и совместимый код заведомо без дыр и глюков [но разум подсказывает, что все разработки "комитетов" таковы по совсем другим причинам]

    собственно, типичный пример, где openssl не нужен полностью и совсем - ssh. Он не ssl, ни разу, у него совершенно свой протокол, и от библиотеки используется только ее криптографическая часть, довольно low level. Можно этого не делать? Можно, попытки были (начиная, собственно, с ssh 1, когда его писали, никакого openssl'я просто не было)
    Ну и что у нас всех стоит? Правильно, ssl-based openssh :-(


     
     
  • 3.42, Андрей (??), 03:03, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > корявых урезанных форков opensslя

    Я пока не натыкался на жалобы.

    > А народа выбирающего не openssl не существует, это ж надо самому код писать. (gnutls опустим, там очень ограниченная функциональность, мало где применимая)

    ring.cx

    > то вот сам ssl... это совершенно отвратительная, мегонавороченная хрень,..

    Так SSL{..,v2,v3} и не надо. Надо TLSv1.2.

    > Можно, попытки были

    А когда была последняя?

     
     
  • 4.47, пох (?), 00:40, 26/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> корявых урезанных форков opensslя
    > Я пока не натыкался на жалобы.

    ну мало ли на что ты не натыкался. Я вот их писал, и баг...нет, не исправил, обошел - ссылки были в том числе на опеннете, но тыж "не натыкался", и сейчас не вижу смысла на тебя время тратить.

    > ring.cx

    ну да, полтора пользователя

    >> то вот сам ssl... это совершенно отвратительная, мегонавороченная хрень,..
    > Так SSL{..,v2,v3} и не надо. Надо TLSv1.2.

    так это та же самая хрень, в кубе. хэндшейк - совсем не главное. Ты как-нибудь на досуге почитай описание хотя бы того же ASN-1, поймешь о чем я (впрочем, судя по первой цитате - не поймешь, но я в общем не для тебя это пишу)
    Ну и насчет "не надо" - это пока ты груши околачиваешь. А как не откроется система управления меганавороченным промышленным упсом на пол-мегаватта - потому что там вообще ssl2 - так сразу же поймешь, почему героическое "удаление лишнего кода", которым занимаются форкеры - сплошной вред.

    > А когда была последняя?

    "если б я знал что она последняя"
    коммерческий ssh, насколько я знаю, по сей день не использует. Но это тоже полтора пользователя.


     
     
  • 5.50, Андрей (??), 06:54, 26/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вот их писал

    Ясно:
    > ну да, полтора пользователя

    А тут
    > и сейчас не вижу смысла

    не очень конструктивно.

    > потому что там вообще ssl2

    Ну тут вообще всё равно какой библиотекой пользоваться, когда протокол уже дырявый от старости.

     
     
  • 6.51, пох (?), 16:05, 26/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> и сейчас не вижу смысла
    > не очень конструктивно.

    ищущий - обрящет, "не натыкавшийся" по прежнему ничего не найдет.

    Ну ок, возьми, к примеру, encfs из HEAD, и какую-нибудь еще не кастрированную libressl - 2.2.2, к примеру. Там проблема выеденного яйца не стоит, если не вдуматься в ее суть - то есть чем вообще думал человек, ее создавший. А вот если об этом немножко подумать...

    >> потому что там вообще ssl2
    > Ну тут вообще всё равно какой библиотекой пользоваться, когда протокол уже дырявый от
    > старости.

    не все равно, когда библиотека (библиотека, Карл! Вместо того, что имеет интерфейс в сторону пользователя, и способно хотя бы вменяемо до него донести причину) заявляет что из нее для большей лучшести это все повырезали, работать мы не будем.
    Причем стоит эта штука миллионы, весит несколько тонн, жить может в общем-то вечно (аккумуляторы стандартны, а больше там расходников нет), в голый интернет такие вещи только полные идиоты высовывают, что с ssl'ем, что без, от дюже любопытного и тупого индуса рядом в локалке и ssl2 вполне защитит. Ну и вот спрашивается - нахрена же?

     
  • 3.44, Michael Shigorin (ok), 12:06, 25/03/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и что у нас всех стоит? Правильно, ssl-based openssh :-(

    "...использовать openssh с выключенным libcrypto -- только с Бернштейновскими алгоритмами" (прозвучало в почте)

     
     
  • 4.48, пох (?), 00:58, 26/03/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "...использовать openssh с выключенным libcrypto -- только с Бернштейновскими
    > алгоритмами" (прозвучало в почте)

    видишь ли, я не могу оценить Бернштейна как криптолога и математика - образования не хватает. Тем более я не могу проверить его алгоритмы.
    Но вот Бернштейна-программиста я оценил в 1999м году - "сейчас я покажу лохам как правильно писать mta", и нате вам - open relay в каждой дефолтной конфигурации чудо-мейлера.
    "сейчас я покажу лохам как правильно писать dns" - нате вам нечто принципиально несовместимое с bind и без zone xfers - то есть админ локалхоста может и смог бы пользоваться, но и то с трудом.
    Что там еще было - а, ну да, ftp сервер. Этим я даже пользовался, попатчив то место, из-за которого он напрочь ломал работу в браузерах.
    supervise - да, это был некоторый прорыв, то что сейчас героически осилил systemd, но... снова 100% несовместимый с принятыми подходами, включая иерархию файловых систем, ибо принципиально гадит только под себя.

    Поэтому надо либо терять годы на анализ, либо расслабиться - алгоритмы-то наверное и хороши, а вот что там вокруг них - дело крайне темное. Когда и если вдруг выяснится, что некоторое стечение обстоятельств превращает их в банальный xor - автор в очередной раз ответит как в вышеприведенных случаях (и еще одном неупомянутом, и самом серьезном - с chkpass) - я не я, кобыла не моя. Она и правда не его, но пострадавшим не легче.

     
     
  • 5.60, Michael Shigorin (ok), 21:16, 02/04/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Но вот Бернштейна-программиста я оценил в 1999м году

    Понял, спасибо.

     

  • 1.27, Аноним (-), 15:14, 24/03/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    XFree86 история повторяется.
     
     
  • 2.52, пох (?), 16:12, 26/03/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > XFree86 история повторяется.

    чтобы ее повторить, нужно чтобы где-то в тенечке пряталась IBM, Oracle, DOD(DOD, Карл!) и другие интересные ребята, которым при этом принадлежит копирайт процентов так на 60 незаменимого кода (и неспособность/нежелание которых платить нормальным кодерам привели к появлению проекта XFree86), хотя там ни строчки их времен не осталось.
    "open group" эти ребята назывались, если ты не в курсе. Такое вот опен.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру