The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление LibreSSL 2.0.3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление LibreSSL 2.0.3"  +/
Сообщение от opennews (ok) on 22-Июл-14, 16:20 
Проект OpenBSD выпустил (https://marc.info/?l=openbsd-tech&m=140599450206255&w=2) корректирующий релиз LibreSSL 2.0.3 (http://www.libressl.org/), в котором представлено несколько изменений, направленных на улучшение переносимости кода. Кроме того, интегрирован улучшенный код для определения ответвления новых процессов, обеспечивающий переинициализацию генератора псевдослучайных чисел после создания нового процесса вызовом fork. Представленный в версии 2.0.2 метод обхода уязвимости (http://www.opennet.ru/opennews/art.shtml?num=40227) оказался (http://port70.net/~nsz/47_arc4random.html) не так надёжен, как хотелось бы.

  


URL: https://marc.info/?l=openbsd-tech&m=140599450206255&w=2
Новость: http://www.opennet.ru/opennews/art.shtml?num=40245

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление LibreSSL 2.0.3"  –9 +/
Сообщение от Zenitur (ok) on 22-Июл-14, 16:20 
Уже третий корректирующий релиз за неделю. А ведь LibreOffice изначально позиционаровался как SSL без таких эпичных багов, как в OpenSSL.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление LibreSSL 2.0.3"  +14 +/
Сообщение от hoopoe email(ok) on 22-Июл-14, 16:21 
> А ведь LibreOffice изначально позиционИровался как SSL

офис позиционировался как SSL? это как?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление LibreSSL 2.0.3"  +4 +/
Сообщение от dry (ok) on 22-Июл-14, 16:39 
По поводу офиса тебе уже ответили. А по существу, первая важная истина, которую познает джуниор, заключается в том, что баги в коде будут всегда, их делают и молодые, и старые с любым опытом и стажем в разработке. Разница лишь в их количестве и тривиальности. Идеальный код не существует.
То, что взялись выкинуть артефакты из обросшего бородой проекта это есть только хорошо. Но во-первых, не надо ждать мгновенных результатов. Во-вторых всегда надо допускать, что инициатива может загнуться.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление LibreSSL 2.0.3"  +2 +/
Сообщение от Аноним123 on 22-Июл-14, 16:49 
Они не ждут год, чтобы починить.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Обновление LibreSSL 2.0.3"  +3 +/
Сообщение от Аноним (??) on 22-Июл-14, 19:23 
> Они не ждут год, чтобы починить.

И чтобы добавить - тоже не ждут :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Обновление LibreSSL 2.0.3"  +2 +/
Сообщение от Аноним (??) on 22-Июл-14, 19:25 
> То, что взялись выкинуть артефакты из обросшего бородой проекта это есть

Это дух Поттеринга.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Обновление LibreSSL 2.0.3"  +3 +/
Сообщение от Аноним (??) on 22-Июл-14, 17:12 
> LibreOffice изначально позиционаровался как SSL без таких эпичных багов,

Протрезвей и больше не пиши такой эпичный булшит.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Обновление LibreSSL 2.0.3"  +/
Сообщение от бедный буратино (ok) on 22-Июл-14, 19:05 
это исправление для portable-версий

для openbsd-current оно вообще обновляется нон-стоп :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Обновление LibreSSL 2.0.3"  +1 +/
Сообщение от Аноним (??) on 22-Июл-14, 19:51 
Ты ламер. Есть разница между minor фиксами и сквозными дырами в безомасности.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Обновление LibreSSL 2.0.3"  +1 +/
Сообщение от Сергей (??) on 22-Июл-14, 17:08 
Последние исправления направлены на переносимость пакета на ядро Linux'а, и назвать их как то багами очень сложно... Кто ж знал, что там такая подстава...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление LibreSSL 2.0.3"  +5 +/
Сообщение от Аноним (??) on 22-Июл-14, 17:18 
А знать такие вещи наверное должны были те умники которые "сначала выпилим код, а потом разберемся зачем он был нужен". Не любит криптография шибко ретивых, но не шибко грамотных кодерасов.

Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами потом - и дебиановская история с предсказуемыми ключами посетит вас еще раз...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Обновление LibreSSL 2.0.3"  +2 +/
Сообщение от lexx015 (ok) on 22-Июл-14, 18:02 
это уже на мс смахивает, починили одно, попадало где попало

ладно хоть не врачами работают

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

24. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 23-Июл-14, 18:08 
Все программисты когда то правили баг, и вносили еще один. Это называется регрессия сынок.
Но не программистам не понять этого.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

29. "Обновление LibreSSL 2.0.3"  +1 +/
Сообщение от Аноним (??) on 23-Июл-14, 19:41 
> Это называется регрессия сынок.

То что случилось в данном случае называется "полный д@лб@е#$зм апстрима".

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

38. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 24-Июл-14, 09:46 
анонимные эксперты, вечно непримиримые к чужим ошибкам и знающие лучше что нужно было делать и как.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

11. "Обновление LibreSSL 2.0.3"  +/
Сообщение от бедный буратино (ok) on 22-Июл-14, 19:06 
> А знать такие вещи наверное должны были те умники которые "сначала выпилим
> код, а потом разберемся зачем он был нужен". Не любит криптография
> шибко ретивых, но не шибко грамотных кодерасов.
> Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных
> и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись
> разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами
> потом - и дебиановская история с предсказуемыми ключами посетит вас еще раз...

Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?

Как уже надоели эти эксперты по всему, которые всех научат, как делать правильно...

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Обновление LibreSSL 2.0.3"  +1 +/
Сообщение от Аноним (??) on 22-Июл-14, 19:22 
> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?

Ну, если разработчики openbsd не желают разбираться в том коде, который они разрабатывают, то зачем какому-то анониму разбираться в их отмазках?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Сергей (??) on 22-Июл-14, 20:19 
>> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и >стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?
>Ну, если разработчики openbsd не желают разбираться в том коде, который они >разрабатывают, то зачем какому-то анониму разбираться в их отмазках?

Они то разобрались и сделали реверанс в отношении ядра, вот только сам Линукс сделает ли ответный ход, по мне так бага именно в ядре, а не в либе...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 23-Июл-14, 19:38 
Такой "компетентный" апстрим - только слать в пешее эротическое. Нафиг-нафиг.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

25. "Обновление LibreSSL 2.0.3"  –1 +/
Сообщение от Аноним (??) on 23-Июл-14, 19:32 
> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова
> и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?

Мне похрен на вашу модель разработки и ваши стереотипы. Засчитывается результат. И он судя по таким новостям печален. Ибо сначала "эксперты" костылят какой-то ужас, а потом еще и "оптимизаторы" припираются ужас выпилить, не понимая зачем он вкорячен и что в результате рушится. Не умеешь - не берись. Будет нужда - криптографию, поверьте, напишут. А вот кусок глюкавого и проблемного дepьмища лишний раз успокоит всех и спецы не полезут писать код, т.к. решение и так уже есть, а хомяки будут наивно думать что это глюкавое дepьмо от чего-то защищает. Это, братцы, САБОТАЖ.

> Как уже надоели эти эксперты по всему, которые всех научат, как делать
> правильно...

Вы не представляете как надоели ж@порукие обезьяны, зачем-то сующие нос в криптографию, не имея ни малейшего понятия о том что это security sensitive код и его колупание подразумевает некую ответственность перед обществом за последствия. Особенно когда секурити размахивают как флагом.

Вообще, опеночники опопсели и скатываются в какое-то г. Вон openssh - вообще эталон блоатваре. В его сорце вообще черт ногу сломит. Там 100500 свистоперделок и легами. В результате врубиться как все это будет работать в том или ином случае...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

35. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 24-Июл-14, 00:52 
>> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова
>> и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?
> Мне похрен на вашу модель разработки и ваши стереотипы. Засчитывается результат. И
> он судя по таким новостям печален.

Судя по новостям, LibreSSL 2.0.3 не только собирается на 90% современных компов, но при этом ещё и выполняет свою работу более качественно за счёт ответственного подхода к вопросам зачистки важных данных и использования качественного рандома.

То, что по дороге что-то сломали и оперативно починили - увы. Но хотелось бы отметить, что починили оперативно, а так же не ломая API или ABI - как это не раз бывало в OpenSSL.

Ищете идеала? Не найдёте.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

20. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Клыкастый (ok) on 22-Июл-14, 21:55 
> а "улучшатели" их выпиливают не удосужившись разобраться нафиг это сделано

у улучшателей всё работало. на bsd. за тем, чтобы всё работало на других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не в позиции пупа земли, да.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 23-Июл-14, 19:35 
> у улучшателей всё работало. на bsd. за тем, чтобы всё работало на
> других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не
> в позиции пупа земли, да.

Вот ведь как бывает когда ж@порукие обезьяны дорываются до "починки" кода. Если выпиливтаь код наобум и не париться про портабельность - тогда НЕХРЕН ВРАТЬ что этот кусок гомнокода "портабельный" и вообще чем-то лучше оригинала. А то посадить баг при ампутации кода - это круто, господа.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Куяврег on 24-Июл-14, 00:01 
>> у улучшателей всё работало. на bsd. за тем, чтобы всё работало на
>> других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не
>> в позиции пупа земли, да.
> Вот ведь как бывает когда ж@порукие обезьяны дорываются до "починки" кода.

http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/008_op...

чинят.

> Если выпиливтаь код наобум и не париться про портабельность

Ещё раз: задача корректного выполнения коде на платформе, отличной от платформы разработки лежит на мейнтейнерах. Будут они городить некий код и отправят свои опусы в апстрим или поправят у себя в ядре - тоже решать им.


> тогда НЕХРЕН ВРАТЬ что этот кусок гомнокода "портабельный" и вообще чем-то лучше оригинала.

лычно ты можешь насмерть обидеться и написать свой ssl, портабельный от амиги и ос2 до windows9 и убунты. ну или, что вероятнее, нервно взвизгивать и выпиливать libressl и втыкать openssl. хотя ещё вероятнее, что визгами на форумах всё и ограничится, а кушать будешь то, что подадут по apt-get.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

34. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 24-Июл-14, 00:46 
> А знать такие вещи наверное должны были те умники которые "сначала выпилим
> код, а потом разберемся зачем он был нужен".

О, да, особенно нужны была поддержка VMS и собственные реализации malloc() и free() (успешно скрывавшие баги в OpenSSL).

> Не любит криптография шибко ретивых, но не шибко грамотных кодерасов.

Вы бы хоть на процессы, идущие в LibreSSL посмотрели, прежде чем огульно комментировать... Но нет, как же, вот "код не читал, но осуждаю" - это наш метод!

> Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных
> и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись
> разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами
> потом - и дебиановская история с предсказуемыми ключами посетит вас еще
> раз...

Системозависимые трюки используются ровно для тех вещей, которые являются системозависимыми. Потому что, например, не стандартизированы.

Идёт НОРМАЛЬНЫЙ процесс адаптации под обширную экосистему. LibreSSL УЖЕ собирается и работает под большинство распространённых ОС без дополнительных тычков, не говоря о ковырянии в коде. bcook@ и компания проделали и продолжают делать огромную работу - они не только адаптировали LibreSSL, они ещё и провоцируют улучшение самой экосистемы. Тот же рассматриваемый сейчас на добавление системный вызов getrandom() - результат работы команды LibreSSL. И уже за одно это им стоит сказать "спасибо".

Но, боюсь, людям с аллергией на слово OpenBSD это не понять.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

39. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Xasd (ok) on 24-Июл-14, 18:35 
> дебиановская история с предсказуемыми ключами посетит вас еще раз

в той истории -- разработчики Дебиана были правы.

а разработчики говнокода -- были идиоты.

вся ирония лишь в том что новостные корреспонденты -- всю историю перевернули так будто бы якобы разработчики Дебиана являются говнокодерами.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Обновление LibreSSL 2.0.3"  +2 +/
Сообщение от Аноним (??) on 22-Июл-14, 17:45 
Как блины пекут
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление LibreSSL 2.0.3"  +/
Сообщение от vi on 22-Июл-14, 19:15 
> переинициализацию генератора псевдослучайных

Это есть гут!
Но если ее там не было, то это есть очень и очень не гут.
Хотя, смотря на основе чего инициализировать будут?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 24-Июл-14, 00:58 
> Хотя, смотря на основе чего инициализировать будут?

А вот для этого как раз в OpenBSD есть getentropy(), а в Linux пропихивают getrandom()... Бо процесс может оказаться в chroot'е, где /dev/* отсутствуют.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Обновление LibreSSL 2.0.3"  –1 +/
Сообщение от Аллах on 22-Июл-14, 19:25 
я выбираю boringSSL
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 23-Июл-14, 19:36 
> я выбираю boringSSL

Гугл постеснялся сказать что на самом деле это BorgSSL :).

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

31. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 23-Июл-14, 20:56 
ssl для хрома
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

21. "Обновление LibreSSL 2.0.3"  –1 +/
Сообщение от Anonym2 on 22-Июл-14, 22:46 
Не будет ли вскоре каждое новое внесение изменения релизом? :-)
Второе. Не делают ли эти разработчики нечто такое, что явно не поддерживается системами? Почему в самом деле генератор псевдослучайных чисел должен реинициализироваться? В копии процесса.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Обновление LibreSSL 2.0.3"  +2 +/
Сообщение от Аноним (??) on 23-Июл-14, 09:36 
> Почему в самом деле генератор псевдослучайных чисел должен реинициализироваться? В копии процесса.

Потому  что по ссылке надо сходить и прочитать, прежде чем задавать глупые вопросы, правда?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Обновление LibreSSL 2.0.3"  +1 +/
Сообщение от Anonym2 on 23-Июл-14, 20:35 
> Потому  что по ссылке надо сходить и прочитать, прежде чем задавать
> глупые вопросы, правда?

И много чего ещё можно пожелать автору глупого вопроса.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

32. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Anonym2 on 23-Июл-14, 20:59 
(они там ещё и явную переинициализацию этого PRNG подпортили... В общем Libre не очень пригодна... К использованию.)
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

36. "Обновление LibreSSL 2.0.3"  +/
Сообщение от Аноним (??) on 24-Июл-14, 00:55 
>> Потому  что по ссылке надо сходить и прочитать, прежде чем задавать
>> глупые вопросы, правда?
> И много чего ещё можно пожелать автору глупого вопроса.

Вот и пожелайте себе, угу?

А на досуге можете спросить себя, как будут отличаться генерируемые PRNG последовательности в родительском и дочернем (после fork()) процессах.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру