Odpowiedz 
 
Ocena wątku:
  • 0 Głosów - 0 Średnio
  • 1
  • 2
  • 3
  • 4
  • 5
LibreSSL
18.05.2014, 12:20
Post: #1
LibreSSL
Z powodu upublicznienia błędu Heartbleed w OpenSSL uwagę przykuła jakość, a raczej jej brak w kodzie OpenSSL. OpenSSL wygląda na projekt, który nie był utrzymywany i poprawiany, nie brał kryptografii na serio (uzupełnianie zahardcodowanym tekstem źródeł entropii...), nie brał na poważnie wykorzystania błędów w kodzie do uruchomienia kodu włamywacza itp, dodatkowo do dzisiaj zawiera mnóstwo kodu dla archaicznych systemów jak DOS...
Osoby rozwijające OpenBSD czyli najbezpieczniejszy system operacyjny obecnie dostępny dla przeciętnego Kowalskiego od miesiąca zajmują się forkiem OpenSSL nazwanym LibreSSL. LibreSSL pojawi się za około 6 miesięcy w OpenBSD 5.6, ma być wstecznie kompatybilny dla aplikacji korzystających z OpenSSL, ma korzystać z normalnych mechanizmów zarządzania pamięcią dzięki czemu w przypadku ataku na błąd 0-day program powinien się wyłączyć na systemach które pozwalają zabezpieczyć się przed 0-dayami jak OpenBSD czy Gnu/Linux z łatką Pax i wtyczkami do kompilatora, którym jest system kompilowany.
Kod jest tutaj:
http://www.openbsd.org/cgi-bin/cvsweb/sr...l/src/ssl/
Strona domowa:
http://www.libressl.org/
Strona na Wikipedii:
https://en.wikipedia.org/wiki/LibreSSL

Pojawiła się też pierwsza prezentacja na temat LibreSSL. Odbyła się na BSDCan 2014.
LibreSSL with Bob Beck
Slajdy: http://www.openbsd.org/papers/bsdcan14-libressl/
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
19.05.2014, 23:18 (Ten post był ostatnio modyfikowany: 19.05.2014 23:19 przez WG77643.)
Post: #2
RE: LibreSSL
Według mnie Heartbleed w OpenSSL podważył wogóle zaufanie do oprogramowania "open". A po wycieku informacji, że nawet apple w swoich systemach miało przez 2 miesiące bład z którego powodu certyfikaty SSL nie były wogóle weryfikowane, to moje zaufanie do programistów i firm programistycznych totalnie legło. Pytałem wielu moich znajomych, biegłych programistów, czy któryś z nich analizował i weryfikował kod jakiegokolwiek Open Softu. I co?
NIC i NIKT.
Wiara, że ktoś to robi dobrze jest deklaratywna, niesprawdzalna. To tak jak soft własnościowy. Też piszą, że jest dobrze zrobiony. Pozostaje tylko wierzyć. Niezależnie czy to Jabłecznik, M$, ORA[LE, czy jakikolwiek Libre_Cośtam.
To bardziej pachnie ambicjonalną rywalizacją pomiędzy grupami programistów-zapaleńców.
Sorry za dekadentyzm ale taki mamy klimat nastrojów.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
20.05.2014, 10:49
Post: #3
RE: LibreSSL
(19.05.2014 23:18)WG77643 napisał(a):  Wiara, że ktoś to robi dobrze jest deklaratywna, niesprawdzalna. To tak jak soft własnościowy. Też piszą, że jest dobrze zrobiony. Pozostaje tylko wierzyć. Niezależnie czy to Jabłecznik, M$, ORA[LE, czy jakikolwiek Libre_Cośtam.

Tylko, że jak się wykryje dziwaczne zachowywanie się otwartego softu to można w łatwy sposób zweryfikować dlaczego tak się dzieje, co w przypadku oprogramowania zamkniętego jest znacząco utrudnione.

Większość programistów jest nastawiona na klepanie kodu, zazwyczaj za kasę, a nie na to, żeby analizować źródła jakiegoś softu. Więc nie dziw się, że nikt z tych Twoich znajomych nigdy nie robił analiz źródeł jeżeli nie było takiej wyraźnej potrzeby.
Osób, które analizują kod źródłowy używanego softu powinieneś raczej szukać wśród crackerów i administratorów.

OpenSSL nie jest oprogramowaniem, którego zasadę działania jest w stanie zrozumieć zbyt wiele osób. Oprócz wiedzy programistycznej potrzebna jest tutaj też bardzo zaawansowana wiedza matematyczna, więc dla mnie to nic dziwnego, że to oprogramowanie nie było poddawane częstym analizom.
Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz 


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości