The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Выпуск GnuPG 2.2.0, opennews (?), 29-Авг-17, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


6. "Выпуск GnuPG 2.2.0"  –5 +/
Сообщение от Владимир Путин (?), 29-Авг-17, 08:17 
Почему не на Go?
Ответить | Правка | Наверх | Cообщить модератору

7. "Выпуск GnuPG 2.2.0"  +7 +/
Сообщение от Борщдрайвен бигдата (?), 29-Авг-17, 08:29 
GnuPG: 1.0 branch, initially released on September 7, 1999 ("Stable" (2.0), stable version for general use, initially released on November 13, 2006)
Go: Google released Go 1.0 in March 2012

Кушай-кушай, мой зелёненький: за маму, за папу, за дядю Столлмана…

Ответить | Правка | Наверх | Cообщить модератору

10. "Выпуск GnuPG 2.2.0"  –4 +/
Сообщение от DmA (??), 29-Авг-17, 09:05 
> GnuPG: 1.0 branch, initially released on September 7, 1999 ("Stable" (2.0), stable
> version for general use, initially released on November 13, 2006)
> Go: Google released Go 1.0 in March 2012
> Кушай-кушай, мой зелёненький: за маму, за папу, за дядю Столлмана…

Немало софта было переписано на другом языке или на других библиотеках или вообще полностью.
Так что это не аргумент, кто раньше появился на свет - это же не люди, а ПО, можно и перекомпилировать и пересоздать :)

Ответить | Правка | Наверх | Cообщить модератору

11. "Выпуск GnuPG 2.2.0"  +1 +/
Сообщение от llolik (ok), 29-Авг-17, 09:17 
> Немало софта было переписано на другом языке или на других библиотеках или вообще полностью.

Осталось самая малость - найти тех кому надо и кто сможет это переписать

Ответить | Правка | Наверх | Cообщить модератору

13. "Выпуск GnuPG 2.2.0"  –4 +/
Сообщение от DmA (??), 29-Авг-17, 09:57 
>> Немало софта было переписано на другом языке или на других библиотеках или вообще полностью.
> Осталось самая малость - найти тех кому надо и кто сможет это
> переписать

немцы инициаторы создания GnuPG, изначально назывался проект G10 в честь 10 статьи их Конституции, гарантирующей тайну переписки. В нашей конституции это статья 23 пункт 2. "Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения."
Так что, если им(немцам) нужно ради защиты своих прав переписать, они перепишут хоть на Go, хоть на Паскале. Если россиянам нафиг не нужны их права, то они даже использовать GnuPG никогда не будут, а уж тем более переписывать ПО на других языках ради большей безопасности!

Ответить | Правка | Наверх | Cообщить модератору

14. "Выпуск GnuPG 2.2.0"  +/
Сообщение от 1 (??), 29-Авг-17, 10:07 
Или тупо собрать денюх
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

18. "Выпуск GnuPG 2.2.0"  +2 +/
Сообщение от Andrey Mitrofanov (?), 29-Авг-17, 10:28 
> Или тупо собрать денюх

действительно, тупо.

Ответить | Правка | Наверх | Cообщить модератору

17. "Выпуск GnuPG 2.2.0"  +1 +/
Сообщение от Аноним (-), 29-Авг-17, 10:13 
> Осталось самая малость - найти тех кому надо и кто сможет это
> переписать

Большая часть уже написана: https://godoc.org/golang.org/x/crypto/openpgp

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Выпуск GnuPG 2.2.0"  –5 +/
Сообщение от Аноним (-), 29-Авг-17, 09:25 
Как можно доверять язычку со сборщиком мусора, если неизвестно, когда он соизволит стереть секретные ключи из памяти?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

16. "Выпуск GnuPG 2.2.0"  +1 +/
Сообщение от Аноним (-), 29-Авг-17, 10:11 
На любом языке ключи в памяти надо затирать, а только потом уже или освобождать память, или позволять это сделать gc. Кстати, gc можно запустить вручную, не дожидаясь, пока он запустится сам.
Ответить | Правка | Наверх | Cообщить модератору

21. "Выпуск GnuPG 2.2.0"  –1 +/
Сообщение от Аноним (-), 29-Авг-17, 11:27 
gc это вообще для неосилятор free(void*)/delete.
Ответить | Правка | Наверх | Cообщить модератору

31. "Выпуск GnuPG 2.2.0"  –2 +/
Сообщение от pripolz (?), 29-Авг-17, 15:58 
> gc это вообще для неосилятор free(void*)/delete.

во всяком случае, если бы openssl или gnupg были бы реализованы на управляемом языке программирования (тот же С#), они были бы гораздо стабильнее и безопаснее, и на opennet мы бы читали гораздо меньше новостей о новых уязвимостях, найденных всюду.

Ответить | Правка | Наверх | Cообщить модератору

37. "Выпуск GnuPG 2.2.0"  +2 +/
Сообщение от Аноним (-), 29-Авг-17, 17:09 
Количество найденных уязвимостей зависит главным образом от количества ищущих (и их квалификации, само собой).
Ответить | Правка | Наверх | Cообщить модератору

38. "Выпуск GnuPG 2.2.0"  +1 +/
Сообщение от Аномномномнимус (?), 29-Авг-17, 17:22 
На паскале перепиши, горе-девелопер подвиндовый. C# изначально ни разу не про безопасность. Сборщик может отработать когда-нибудь потом, когда уже всё скомуниздили, ничего для защиты от снятия тупого дампа из таск менеджера там нет, до сих пор даже софт нормально не защитить от потрошения, всякие .NET Reactor'ы - это глюкодром и выдача антивирусным ПО фальспозитивов через раз на пустом месте. Напортачить с дырами там точно так же легко, как в любом другом ЯП. Зато перфоманс, ресурсоёмкость и портируемость мгновенно превращаются в тыкву.
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

40. "Выпуск GnuPG 2.2.0"  –1 +/
Сообщение от pripolz (?), 29-Авг-17, 17:36 
Компании не просто так уже 20 лет говорят об уязвимостях старых ЯП. Не нравится C# - пиши на Go, или Rust. Главное - чтобы язык поддерживал безопасное и управляемое программирование.
Ответить | Правка | Наверх | Cообщить модератору

61. "Выпуск GnuPG 2.2.0"  –1 +/
Сообщение от Аномномномнимус (?), 30-Авг-17, 13:07 
Есть вагон реализаций на других языках (Да! Они существуют! Просто вас в гугле забанили!), которые не получают распространения вопреки вашей логике. Когда дело доходит до серьёзных нагрузок, широкого распространения (дальше компа виндодевелопера с УМВР-синдромом) и поддержки, внезапно выясняется, что лучше использовать "вот это вот старое со старыми типа уязвимыми языками" вместо этих смешных поделок на модных и стильных сырых языках ломающих обратную совместимость по три раза за спринт.
Ответить | Правка | Наверх | Cообщить модератору

62. "Выпуск GnuPG 2.2.0"  –3 +/
Сообщение от pripolz (?), 30-Авг-17, 13:32 
> вместо этих смешных поделок
> на модных и стильных сырых языках ломающих обратную совместимость по три
> раза за спринт.

Все обратные совместимости меркнут перед главной проблемой старых уязвимых языков. Их разрабатывали не программисты, а учёные. Теперь получается, что с органом стандартизации ISO нельзя просто взять, и заключить партнёрское соглашение. Нельзя нанять правильных разработчиков языка. А ведь это очень важно, вы не задумывались?

Кому нужен этот ваш несексуальный коммунистический си, если ни одна фирма не может на нём толком заработать? Конкретно на самом языке, не на программах конечно. Вот сам язык и не нужен. Это не продукт вообще, а вонючий скучный ГОСТ. Ты когда-нибудь видел, чтобы люди расхваливали ГОСТ ? Вот и не расхваливаю. Это НЕ СЕКСУАЛЬНО!

В тот же Go однажды можно добавить парочку отличных возможностей. Например встроенный Google Hipp.store . Представляешь, сколько био-часов будет сэкономлено?

Мой тебе совет, не отвечай рефлексом на ретрансляции корпоративных лозунгов. Ты имеешь дело не с человеком, а с тысячами человек, объединёнными в одну наглую и предсказуемую систему.

Почитай лучше Вернадского.

Ответить | Правка | Наверх | Cообщить модератору

75. "Выпуск GnuPG 2.2.0"  +1 +/
Сообщение от Аномномномнимус (?), 30-Авг-17, 22:04 
Старые языки не сильно уязвимее любых новых, я могу поспорить что на проекте подобного уровня у вас косяков будет на порядки больше, чем у "не программистов, а учёных". Учёные тоже бывают программистами. А программисты (если это действительно программисты) должны быть хоть немного учёными, инженерами и вообще здравомыслящими людьми. При чём тут ISO вообще не ясно. Они вам не запрещают писать реализацию чего угодно на чём угодно и разрабатывать её вполне могут те же индусы, которые пишут библиотечки для C#. Только вот много чего из библиотек работающих в C# до сих пор под капотом на C/C++ остаётся. А ещё за последние лет 15 мне надоело слушать лозунги хипстеров про то, что можно всего лишь купить проц ещё мощнее, да оперативы докупить ещё больше, да сеть сделать ещё быстрее и конечно же SSD поставить лишь бы оно ХОТЬ КАК-ТО шевелилось, и "вообще оптимизации и работающий код - не ~барское~ тыжпрограммиста дело, этим должен заниматься кто-то другой, а тыжпрограммист должен только считать бабло и витать в облаках своих влажных идей". Лишь бы это было безопасно и работало. Стандарты ISO и ГОСТ как раз для того и создавались, чтобы оно работало, а не было какой-то ни с чем несовместимой игрушкой в себе.
Дальше пошла вообще какая-то дичь. Без ПО никому не нужны любые языки. А ваши доводы и подавно. Более того, вполне есть реализации Си на которых зарабатывали, в отличие от этих ваших Го. Ваши половые трудности оставьте при себе.
А ещё я никак не ожидал что вы очень наглый и вас тысяча (психиатр, скорее сюда, тут нехилое раздвоение личности!)
Ответить | Правка | Наверх | Cообщить модератору

41. "Выпуск GnuPG 2.2.0"  +/
Сообщение от _ (??), 29-Авг-17, 17:59 
>они были бы гораздо стабильнее и безопаснее

и гоооорздо тормознее :) Так что юзать их стали бы все те трое в шапочках из фольги.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

43. "Выпуск GnuPG 2.2.0"  –4 +/
Сообщение от pripolz (?), 29-Авг-17, 18:30 
> и гоооорздо тормознее :) Так что юзать их стали бы все те трое в шапочках из фольги.

все современные процессоры Intel достаточно быстрые

Ответить | Правка | Наверх | Cообщить модератору

60. "Выпуск GnuPG 2.2.0"  +/
Сообщение от Аномномномнимус (?), 30-Авг-17, 13:01 
Ещё один админ локалхоста с посещением 1 сам себе злобный буратино в год?
Ответить | Правка | Наверх | Cообщить модератору

63. "Выпуск GnuPG 2.2.0"  –2 +/
Сообщение от pripolz (?), 30-Авг-17, 13:36 
ещё один андроид-разработчик?
Ответить | Правка | Наверх | Cообщить модератору

76. "Выпуск GnuPG 2.2.0"  –1 +/
Сообщение от Аномномномнимус (?), 30-Авг-17, 22:04 
> ещё один андроид-разработчик?

Нет. Пишу в основном на C# (сюрприз!)

Ответить | Правка | Наверх | Cообщить модератору

46. "Выпуск GnuPG 2.2.0"  +1 +/
Сообщение от Crazy Alex (ok), 29-Авг-17, 18:55 
Ты этот OpenSSL смотрел вообще? Там ассемблера полно, если ты не знал (и он там к месту). Какие, к псам, шарпы и управляемые языки?

Уж не говоря о том, что там абсолютное большинство проблем - не в переполнении буфера, а в слишком навороченной алгоритмике SSL, позволявшей делать разные фокусы вроде отката на более слабое шифрование.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

57. "Выпуск GnuPG 2.2.0"  –2 +/
Сообщение от pripolz (?), 30-Авг-17, 11:01 
> Там ассемблера полно, если ты не знал

Копаться в ассемблере или File.Encrypt() ? Выбор за вами..

Ответить | Правка | Наверх | Cообщить модератору

59. "Выпуск GnuPG 2.2.0"  +/
Сообщение от Аноним (-), 30-Авг-17, 12:57 
А сколько ассемблерщины в реализации этого самого File.Encrypt(), ты не задумывался?
Ответить | Правка | Наверх | Cообщить модератору

64. "Выпуск GnuPG 2.2.0"  –2 +/
Сообщение от pripolz (?), 30-Авг-17, 13:38 
> А сколько ассемблерщины в реализации этого самого File.Encrypt(), ты не задумывался?

Задумайся лучше ты. Если сделать GPG или OpenSSL на .Encrypt , программы будут на пару строчек! Если ты немного разбираешься в финансах - сам понимаешь, чем меньше кода, тем меньше времени затратит разработчик.

Ответить | Правка | Наверх | Cообщить модератору

69. "Выпуск GnuPG 2.2.0"  +2 +/
Сообщение от Аноним (-), 30-Авг-17, 20:03 
OpenSSL как раз и реализует аналоги твоего любимого .Encrypt, чтобы разработчики прикладного ПО могли ими пользоваться. Но ты не привык задумываться о тех, кто написал для тебя .Encrypt, его ведь божественный некрософт принёс тебе на блюдечке, и нет-нет, никакие индусы там не могли набыдлoкодить.
Ответить | Правка | Наверх | Cообщить модератору

81. "Выпуск GnuPG 2.2.0"  +/
Сообщение от pripolz (?), 31-Авг-17, 13:01 
Encrypt имеет здесь важное преимущество. Формализацию. Помнишь, что я говорил о безопасности программирования? Так вот, в случае Encrypt разработчик защищён в том числе и от того, чтобы ненароком не забрести в отладчике внутрь кода, и там потеряться (возможно предварительно накосячив).
Ты не учитываешь, что не все программисты собираются и дальше в будущем этим заниматься, кто-то просто ищет себя, кого-то ждёт 20-летняя карьера повара. Программист НЕ ОБЯЗАН разбираться в том, с чем работает, для того, чтобы называть себя настоящим специалистом.
Копаться в кишках OpenSSL - исключительно удел фанатиков, которые всё никак не могут понять, что могли бы потратить своё "образовательное" время на что-то более полезное, например перестроить мышление на концепции безопасных и управляемых языков Go и Rust.
Очень кстати ты употребил слово "некро". С нетерпением жду, когда Шарп перепишут на Go, тогда он получит все гаранты безопасности, и начнётся чистка всего уязвимого старья.

Kernel space, демоны, Шарповым программам будут давать рута.. Как вы там говорили? Нужно знать, как работает линковщик? Хахаха!

Ответить | Правка | Наверх | Cообщить модератору

24. "Выпуск GnuPG 2.2.0"  +1 +/
Сообщение от Аноним84701 (ok), 29-Авг-17, 13:43 
> На любом языке ключи в памяти надо затирать, а только потом уже
> или освобождать память, или позволять это сделать gc. Кстати, gc можно
> запустить вручную, не дожидаясь, пока он запустится сам.

На любом языке, для начала, очень желательно запретить обмен страниц со свопом этой самой области памяти.
Для этого нужен, как минимум, "настоящий" адрес этой памяти и очень противопоказан GC с "копированием"  (без возможности отключения).
Проще уж обойтись в таком случае без GC и вызвать malloc+mlock ручками, если ЯП позволяет.
ЗЫ:
до кучи: не забываем setrlimit на кордамп.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

44. "Выпуск GnuPG 2.2.0"  +/
Сообщение от Аноним (-), 29-Авг-17, 18:42 
> mlock

$ grep -Rl mlock gnupg-2.2.0
gnupg-2.2.0/acinclude.m4
gnupg-2.2.0/NEWS
gnupg-2.2.0/ChangeLog-2011

Всё, не пользуемся больше GnuPG.

Ответить | Правка | Наверх | Cообщить модератору

48. "Выпуск GnuPG 2.2.0"  +3 +/
Сообщение от Аноним84701 (ok), 29-Авг-17, 19:12 
> Всё, не читаем более неномерных анонимов, не осиливших греп

fixed, не благодарите.


grep -iR /tmp/gnupg-2.2.0
NEWS:    * We have secure memory on systems which support mlock().
acinclude.m4:# mlock is there a macro using memlk()


> We have secure memory on systems which support mlock(). It is not complete yet,
> because we do not have signal handler which does a cleanup in very case.
> We should also check the ulimit for the user in the case that the admin does not have set a limit on locked pages.

Ответить | Правка | Наверх | Cообщить модератору

49. "Выпуск GnuPG 2.2.0"  –1 +/
Сообщение от Аноним (-), 29-Авг-17, 19:39 
И что дальше, номерной ты наш? Это написано в файле NEWS, в разделе, относящемся к версии 0.2.3 (1998-02-09). А в файле ChangeLog-2011 от 2006-08-16:

> configure.ac: Removed test for capabilities and mlock.

То есть выпилили проверку на mlock даже из configure, потому что в коде не используется. Или ты таки исхитрился нагрепать mlock в сишных исходниках?

Ответить | Правка | Наверх | Cообщить модератору

51. "Выпуск GnuPG 2.2.0"  +3 +/
Сообщение от Аноним84701 (ok), 29-Авг-17, 20:14 
> И что дальше, номерной ты наш?

Откуда мне знать о ваших фантазиях? Ворвались в ветку, гордо заявили о ненужности, потому как якобы gpg не использует, теперь вон резко меняем тему ... так в эту игру можно играть в двоем.
СмотритЯ внимательно, фокус!

И раз:
> Это написано в файле NEWS, в

В файле так же написано
> Noteworthy changes in version 2.0.10 (2009-01-12)
> * Libgcrypt 1.4 is now required.

Что кстати может подтвердить и пакетный менеджер и/или ldd gpg

http://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=bl...


 #if defined(USE_CAPABILITIES) && defined(HAVE_MLOCK)
 241   int err;
 242 
 243   cap_set_proc (cap_from_text ("cap_ipc_lock+ep"));
 244   err = mlock (p, n);
 245   if (err && errno)
 246     err = errno;
 247   cap_set_proc (cap_from_text

И два:
http://git.gnupg.org/cgi-bin/gitweb.cgi?p=libgcrypt.git;a=co...

author    Werner Koch <wk@gnupg.org>    
Fri, 9 Dec 2016 13:10:54 +0200 (12:10 +0100)
committer    Werner Koch <wk@gnupg.org>    
Fri, 9 Dec 2016 13:10:54 +0200 (12:10 +0100)
commit    618b8978f46f4011c11512fd5f30c15e01652e2e
tree    a1e669656746e3d22273b3b69b96267b29a47fb1    tree | snapshot
parent    656395ba4cf34f42dda3a120bda3ed1220755a3d    commit | diff
Improve handling of mlock error codes.
* acinclude.m4 (GNUPG_CHECK_MLOCK): Check also for EAGAIN which is a
legitimate return code and does not indicate a broken mlock().
* src/secmem.c (lock_pool_pages): Test ERR instead of ERRNO which
could have been overwritten by cap_from+text et al.

Мне объяснять, кто такой Вернер Кох?
Ответить | Правка | Наверх | Cообщить модератору

52. "Выпуск GnuPG 2.2.0"  +/
Сообщение от Аноним (-), 29-Авг-17, 20:45 
Блин, про libgcrypt я как раз и забыл. Ну ок, пошёл посыпать голову пеплом.

> Ворвались в ветку, гордо заявили о ненужности

Вот не надо только читать между строк то, чего там нет. Ни о нужности, ни о ненужности я не говорил. А кому надо, тот и в go mlock заюзает.

Ответить | Правка | Наверх | Cообщить модератору

54. "Выпуск GnuPG 2.2.0"  +/
Сообщение от Led (ok), 30-Авг-17, 00:12 
Вова, иди щук ловить.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру