forum.opennet.ru

Составление сообщения

Исходное сообщение

"VPN WireGuard принят в ветку net-next и намечен для включени..."
Отправлено Аноним, 14-Дек-19 04:51

> положив на ssl - напишешь точно такую же васян-ориентированную фигню, как и wg.
Васян для себя прогает лучше чем энтерпрайзные кодеры на продажу. Проверено Торвальдсом и плеядой компаний которые он вынес.
> С аж двумя сомнительной надежности криптоалгоритмами.
Если уж мы об этом:
1) SSL может подсунуть фуфельные алгоритмы если прогер не позаботится явно. В зависимости от over 9000 факторов.
2) Авторы openssl делом доказали что они - криптодилетанты.
3) CVE в openssl - спасибо если не раз в месяц. В том числе и из-за 2).
4) В SSL/TLS официально бывают интересные вещи типа DES с 40-битным ключом и прочие NIST'овские кривые, а PFS - опция, где-то там. А поверх UDP это вообще заводится с тем еще бубном и массой приколов. Так что разглагольствовать о его безопасности может только профан.
5) А заодно у openssl невменяемое апи, которое секурно использовать даже гурам напряжно, а если кто не профессиональный криптограф - упс. С другой стороны, у той подборочки алгоритмов и апи под стать с этим все намного лучше. Оно сделано так что накосячить особо негде. Designed by comittee vs designed by cryptographer - разница.
> Васянам, наверное, сойдет, а у openvpn несколько больший круг пользователей. Попробуй-ка
> без openssl сделать авторизацию с использованием сертификатов?
При том в дефолтном конфиге именно эта конфигурация - позволяет обычному юзеру срубить нефиговых лулзов. Трахнув энтерпрайз во все щели. Теоретически, админ может и законопатить дыру, конечно. Практически - он для этого должен хорошо разбираться в SSL/TLS вообще и в сертификатах в частности. А дефолтный конфиг почему-то весьма уязвим.
> Собственно, нечто похожее сделали с openssh. Результат весьма так себе, при том
> что и задача в разы проще, и оно уже один раз работало без libssl/libcrypto
> - до загребущих ручек опенка.
Не понял этих реверансов. У ssh как протокола даже у самого по себе хватает косяков - довольно много данных течет, например. Если к этому приплюсовать еще и вулны openssl - как-то совсем не здорово. И что такое загребущие руки опенка? Они вроде и начинали openssh кодить? А то что у них наконец приступ адеквата начался и они заметили что openssl как либа ужасна - поздравляю, доползло!

Исходное сообщение
"VPN WireGuard принят в ветку net-next и намечен для включени..." Отправлено Аноним, 14-Дек-19 04:51
> положив на ssl - напишешь точно такую же васян-ориентированную фигню, как и wg. Васян для себя прогает лучше чем энтерпрайзные кодеры на продажу. Проверено Торвальдсом и плеядой компаний которые он вынес. > С аж двумя сомнительной надежности криптоалгоритмами. Если уж мы об этом: 1) SSL может подсунуть фуфельные алгоритмы если прогер не позаботится явно. В зависимости от over 9000 факторов. 2) Авторы openssl делом доказали что они - криптодилетанты. 3) CVE в openssl - спасибо если не раз в месяц. В том числе и из-за 2). 4) В SSL/TLS официально бывают интересные вещи типа DES с 40-битным ключом и прочие NIST'овские кривые, а PFS - опция, где-то там. А поверх UDP это вообще заводится с тем еще бубном и массой приколов. Так что разглагольствовать о его безопасности может только профан. 5) А заодно у openssl невменяемое апи, которое секурно использовать даже гурам напряжно, а если кто не профессиональный криптограф - упс. С другой стороны, у той подборочки алгоритмов и апи под стать с этим все намного лучше. Оно сделано так что накосячить особо негде. Designed by comittee vs designed by cryptographer - разница. > Васянам, наверное, сойдет, а у openvpn несколько больший круг пользователей. Попробуй-ка > без openssl сделать авторизацию с использованием сертификатов? При том в дефолтном конфиге именно эта конфигурация - позволяет обычному юзеру срубить нефиговых лулзов. Трахнув энтерпрайз во все щели. Теоретически, админ может и законопатить дыру, конечно. Практически - он для этого должен хорошо разбираться в SSL/TLS вообще и в сертификатах в частности. А дефолтный конфиг почему-то весьма уязвим. > Собственно, нечто похожее сделали с openssh. Результат весьма так себе, при том > что и задача в разы проще, и оно уже один раз работало без libssl/libcrypto > - до загребущих ручек опенка. Не понял этих реверансов. У ssh как протокола даже у самого по себе хватает косяков - довольно много данных течет, например. Если к этому приплюсовать еще и вулны openssl - как-то совсем не здорово. И что такое загребущие руки опенка? Они вроде и начинали openssh кодить? А то что у них наконец приступ адеквата начался и они заметили что openssl как либа ужасна - поздравляю, доползло!

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> положив на ssl - напишешь точно такую же васян-ориентированную фигню, как и wg.

> Васян для себя прогает лучше чем энтерпрайзные кодеры на продажу. Проверено Торвальдсом 
> и плеядой компаний которые он вынес.

>> С аж двумя сомнительной надежности криптоалгоритмами.

> Если уж мы об этом: 
> 1) SSL может подсунуть фуфельные алгоритмы если прогер не позаботится явно. В 
> зависимости от over 9000 факторов.
> 2) Авторы openssl делом доказали что они - криптодилетанты.
> 3) CVE в openssl - спасибо если не раз в месяц. В 
> том числе и из-за 2).
> 4) В SSL/TLS официально бывают интересные вещи типа DES с 40-битным ключом 
> и прочие NIST'овские кривые, а PFS - опция, где-то там. А 
> поверх UDP это вообще заводится с тем еще бубном и массой 
> приколов. Так что разглагольствовать о его безопасности может только профан.
> 5) А заодно у openssl невменяемое апи, которое секурно использовать даже гурам 
> напряжно, а если кто не профессиональный криптограф - упс. С другой 
> стороны, у той подборочки алгоритмов и апи под стать с этим 
> все намного лучше. Оно сделано так что накосячить особо негде. Designed 
> by comittee vs designed by cryptographer - разница.

>> Васянам, наверное, сойдет, а у openvpn несколько больший круг пользователей. Попробуй-ка 
>> без openssl сделать авторизацию с использованием сертификатов?

> При том в дефолтном конфиге именно эта конфигурация - позволяет обычному юзеру 
> срубить нефиговых лулзов. Трахнув энтерпрайз во все щели. Теоретически, админ может 
> и законопатить дыру, конечно. Практически - он для этого должен хорошо 
> разбираться в SSL/TLS вообще и в сертификатах в частности. А дефолтный 
> конфиг почему-то весьма уязвим.

>> Собственно, нечто похожее сделали с openssh. Результат весьма так себе, при том 
>> что и задача в разы проще, и оно уже один раз работало без libssl/libcrypto 
>> - до загребущих ручек опенка.

> Не понял этих реверансов. У ssh как протокола даже у самого по 
> себе хватает косяков - довольно много данных течет, например. Если к 
> этому приплюсовать еще и вулны openssl - как-то совсем не здорово. 
> И что такое загребущие руки опенка? Они вроде и начинали openssh 
> кодить? А то что у них наконец приступ адеквата начался и 
> они заметили что openssl как либа ужасна - поздравляю, доползло!

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру