[/b/] [/d/] [/tu/] [/a/] [/ph/] [/wa/] [/cg/] [/t/] [/p/]

[Burichan] [Foliant] [Futaba] [Greenhell] [Gurochan] [Photon] - [Home] [Manage] [Archive]

[Return]
Posting mode: Reply
Leave these fields empty (spam trap):
Name
Link
Subject
Comment
File
Verification
Password (for post and file deletion)
  • Supported file types are: GIF, JPG, PDF, PNG
  • Maximum file size allowed is 20480 KB.
  • Images greater than 200x200 pixels will be thumbnailed.

File: 1397065285456.jpg -(153839 B, 872x1018) Thumbnail displayed, click image for full size.
153839 No.103633  

Юниксоиды, объясните мне, была ли уязвимость Heartbleed в OpenBSD? И если была, то как вообще вышло, что с такими-то стандартами безопасности и код-ревью она там вдруг была? Или же OpenBSD это мыльный пузырь?

>> No.103634  
File: 1397066138858.jpg -(399227 B, 849x1199) Thumbnail displayed, click image for full size.
399227

>>103633

>была ли

Да, в 5.3 и 5.4

> как вообще вышло

Никакие стандарты безопасности не дают абсолютных гарантий. Тем более на C.

>> No.103640  
File: 1397112805645.jpg -(27179 B, 600x209) Thumbnail displayed, click image for full size.
27179

>>103634
Но судя по тому, что представляет собою код OpenSSL, или же представлял ранее, со своими if(0){}, он не мог бы в принципе пройти никакого код-ревью. Либо, если он прошел, а он таки-прошел, можно вполне ожидать такого же качества кода и код-ревью и от кода самого OpenBSD. В общем, son I am disappoint.

>> No.103661  
File: 1397230377632.jpg -(104929 B, 711x1200) Thumbnail displayed, click image for full size.
104929

>>103633
http://article.gmane.org/gmane.os.openbsd.misc/211963
Если бы они использовали системный malloc, в OpenBSD проблемы бы не было. Кто допустил их собственную реализацию, вопрос открытый

>> No.103856  
File: 1398185797566.jpg -(110948 B, 640x427) Thumbnail displayed, click image for full size.
110948

Участники проекта OpenBSD, разработавшие одноименную операционную систему, а также различные инструменты, такие как OpenSSH, OpenBGPD, OpenNTPD и OpenSMTPD, запустили проект LibreSSL. Это очищенная от лишнего кода, более простая версия OpenSSL.

Тео де Раадт (Theo de Raadt), основатель и руководитель проектов OpenBSD и OpenSSH, сказал, что им уже удалось избавиться примерно от 90 000 строк кода на C и 150 000 строк содержимого в целом. Удалена поддержка MacOS, Netware, OS/2, VMS и Windows, поскольку всё это мало кому нужно.

«Мы пытаемся сделать код более понятным. 99,99% представителей сообщества не нужна поддержка VMS, а 98% не нужна поддержка Windows, — говорит Тео де Раадт. — Им нужна поддержка POSIX, чтобы могли запускаться Unix и Unix-производные. Людей не заботит FIPS. Код должен быть простым. Даже после всех изменений, кодовая база по-прежнему совместима с API. Наше целое собрание портов (8700 приложений) продолжает компилироваться и работать, после всех изменений».

OpenSSL считается стандартной библиотекой для криптографической защиты трафика с помощью протоколов SSL/TLS. Но репутация этой программы оказалась сильно подмочена багом Heartbleed. Как выяснилось, примерно две трети «защищенных» сайтов интернета в течение последних двух лет были открыты для прослушивания. Эксперты предполагают, что об этой уязвимости ведущие спецслужбы мира узнали в течение несколько недель после ее появления в 2012 году, поскольку в спецслужбах работают специальные отделы по поиску багов в программах с открытым исходным кодом.

Инцидент вызвал массовую критику качества кода OpenSSL, плохо документированного и местами неграмотно написанного, см. статью «OpenSSL писали обезьяны».

Проект LibreSSL должен стать достойной альтернативой. Среди фрагментов, который удалили в форке OpenSSL, — код, который сами разработчики OpenSSL планировали удалить, но так и не сделали этого.

http://habrahabr.ru/post/220367/

>> No.103857  

>>103856
Но есть же GnuTLS и PolarSSL.

>> No.103858  

>>103857
Видать там неправильный маджонг или гейши.

>> No.104304  

http://www.openbsd.org/papers/bsdcan14-libressl/mgp00001.html



Delete Post []
Password

[/b/] [/d/] [/tu/] [/a/] [/ph/] [/wa/] [/cg/] [/t/] [/p/]