| 1.2, Аноним (-), 21:37, 19/01/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Теперь есть два типа дыр, случайные и намеренные. Так теперь у них принято
| | |
| |
| 2.8, Аноним (-), 22:32, 19/01/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Теперь есть два типа дыр, случайные и намеренные. Так теперь у них принято
> случайные
Такие еще где-то остались?
| | |
|
| 1.3, Аноним (-), 22:14, 19/01/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
> специально оформленных последовательностей ASN.1
Ну кто бы сомневался что в навороченном до ж...ы парсере очередной переусложненой фигни "на все случаи жизни" насажают багов. Ну что, советчики стандартного крапа, даже в сватаемом Polar SSL случился полярный лис, да? :)
Ну не бывает швейцарский нож с 200 лезвиями удобной отверткой, хорошими ножницами и годной открывашкой.
| | |
| |
| 2.5, Аноним (-), 22:29, 19/01/2015 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> Ну не бывает швейцарский нож с 200 лезвиями удобной отверткой, хорошими ножницами и годной открывашкой.
Жестко ты Linux приложил.
| | |
| |
| 3.10, Аноним (-), 22:42, 19/01/2015 [^] [^^] [^^^] [ответить] | +/– | В нем между прочим можно выбрать какие лезвия прикручивать - см как это делают ... большой текст свёрнут, показать | | |
| |
| 4.12, Аноним (-), 22:44, 19/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> В нем между прочим можно выбрать какие лезвия прикручивать
Но сути это не меняет.
| | |
| |
| 5.15, Аноним (-), 22:47, 19/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Но сути это не меняет.
Да как сказать? Несмотря на большой размер кода багов которые были бы эксплуатируемы по сети там как-то было не сильно то дофига. И это в шмате кода на мегабайты. А тут казалось бы одна небольшая либа - и такая плюха.
Засчитывается то результат. В смысле, сломают вам систему или нет. Не вижу как ядро линя сильно этому способствует. А сабж вот довольно убедительно облажался при том что там кода неизмеримо меньше.
| | |
| |
| 6.19, Michael Shigorin (ok), 23:29, 19/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > Засчитывается то результат. В смысле, сломают вам систему или нет.
> Не вижу как ядро линя сильно этому способствует.
Вообще-то способствует, вспомните недавние комментарии solardiz. Но это отдельная история и всяко не виндостудентам вылазить её порассказывать.
| | |
| |
| 7.22, Аноним (-), 02:51, 20/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Вообще-то способствует, вспомните недавние комментарии solardiz.
А ссылочку подкинете? И да, может быть у меня склероз, но я не помню в линухе CVE с удаленным поимением ядра по сети в последнее время. Как минимум для сколь-нибудь распостраненных конфигураций. Я вполне согласен что может быть и лучше, но честно говоря я не сталкивался с сколь-нибудь ощутимыми проблемами по линии именно линукса как ядра ОС.
> Но это отдельная история и всяко не виндостудентам вылазить её порассказывать.
А виндостудентам всегда можно немного get the facts'ов подогнать: http://hitech.newsru.com/article/16jan2015/google_wind
Так что если они хотят сказать что у них лучше получается - что-то не похоже, имхо.
| | |
| |
| |
| 9.47, Аноним (-), 20:13, 21/01/2015 [^] [^^] [^^^] [ответить] | +/– | Мне малоинтересно почему в микрософте 3 месяца е ли вола вместо того чтобы фик... текст свёрнут, показать | | |
| |
| 10.52, arisu (ok), 20:22, 21/01/2015 [^] [^^] [^^^] [ответить] | +/– |  потому что расписание выпусков патчей важнее всего а идиотские писки по поводу ... текст свёрнут, показать | | |
| |
| |
| 12.57, arisu (ok), 21:33, 21/01/2015 [^] [^^] [^^^] [ответить] | +/– | так это 8230 список фиксов для следующих патчей давно составлен, туда не помещ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 3.18, Michael Shigorin (ok), 23:27, 19/01/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
>> Ну не бывает швейцарский нож с 200 лезвиями
> Жестко ты Linux приложил.
Линукс -- это общее название набора заготовок, комплектов деталей, одно- и многоцелевых готовых инструментов. И _так_ безграмотно вляпаться при попытке наехать надо было постараться. :)
| | |
| |
| 4.42, Аноним (-), 17:38, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Линукс -- это общее название набора заготовок, комплектов деталей, одно- и многоцелевых готовых инструментов.
Как и PolarSSL. От того, что вы его называете другими словами, суть не меняется ;)
| | |
| |
| 5.48, Аноним (-), 20:14, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Как и PolarSSL. От того, что вы его называете другими словами, суть
> не меняется ;)
Linux, PolarSSL... и правда, какая разница? :)
| | |
|
|
|
| 2.37, arisu (ok), 18:55, 20/01/2015 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> даже в сватаемом Polar SSL случился полярный лис, да? :)
нет, конечно. точнее, да: у тех идиотов, у которых выделялка памяти не чистит выделенное автоматически. ну, идиоты, что с них взять. ну да, авторы поляра заботливо положили для них грабли. а что, неужели никого не насторожил дефайн «#define polarssl_malloc malloc»? ну, ССЗБ.
| | |
| |
| 3.49, Аноним (-), 20:16, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ну ок, так и запишем - те кто пользуются PolarSSL - ССЗБ. Правда это касается и остальных реализаций SSL/TLS. Потому что в таком монстрятнике просто не может не быть багов. В том числе и багов ведущих к проблемам безопасности.
| | |
| |
| 4.55, arisu (ok), 20:24, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
а ещё в ядре баги есть. в том числе и ведущие к. ужас просто. твой выбор — счёты и голуби. хотя, конечно, даже там есть баги, ведущие к…
| | |
|
|
|
| 1.4, Crazy Alex (ok), 22:18, 19/01/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Отличное напомнинание крикунам и борцам, что баги бывают у всех. Рецепт лечения - консервативный подход к добавлению фич и проверка временем.
| | |
| |
| 2.7, Аноним (-), 22:31, 19/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Отличное напомнинание крикунам и борцам, что баги бывают у всех. Рецепт лечения
> - консервативный подход к добавлению фич
Неа. Прежде всего консервативность нужна при исправлении багов и, особенно, закрытии дыр.
Обычно подобные вещи делаются в спешке, не проходят достаточного тестирования, и ведут к появлению новых ошибок и уязвимостей.
| | |
| |
| 3.27, Crazy Alex (ok), 09:26, 20/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ну, значит следом прилетит ещё один багофикс. Всё лучше, чем кидаться в объятия "инновационного" кода, не прошедшего проверку временем. Не та сфера, где нужно много инноваций.
| | |
| |
| 4.41, Аноним (-), 17:37, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, значит следом прилетит ещё один багофикс. Всё лучше, чем кидаться в
> объятия "инновационного" кода, не прошедшего проверку временем. Не та сфера, где
> нужно много инноваций.
Багфикс - тоже вполне себе инновация.
Именно поэтому у серьезных дядек каждое исправление требует отдельной сертификации, в противном случае его установка отменяет сертификацию всей системы.
| | |
| |
| |
| 6.54, Аноним (-), 20:23, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> сертифицированное гoвно магически превращается в конфетку!
Ну надо же как-то оправдывать волокиту, бюрократию и имитацию бурной деятельности.
| | |
|
|
|
|
| 2.11, Аноним (-), 22:42, 19/01/2015 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> - консервативный подход к добавлению фич и проверка временем.
Ну, за шифр Цезаря! :)
| | |
| |
| 3.25, тоже Аноним (ok), 08:29, 20/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Ну да, главное - чтобы метод прошел проверку временем.
Результат проверки неважен...
| | |
| 3.28, Crazy Alex (ok), 09:27, 20/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
О, кто-то путает качество (и сферу применения) алгоритма и качество кода... бывает.
| | |
| |
| 4.32, Аноним (-), 13:38, 20/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> О, кто-то путает качество (и сферу применения) алгоритма и качество кода... бывает.
Внезапно, качество алгоритма тоже должно пройти проверку временем.
| | |
| |
| |
| 6.40, Аноним (-), 17:34, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
Да все правильно выше сказали.
Проверку временем должен проходить и код, и алгоритм. Причем для алгоритма это важнее, потому что код строится на его основе.
| | |
| |
| 7.45, arisu (ok), 19:16, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
угу. время — великий волшебник. заменяет все науки. что было хорошо для наших дедов — хорошо и для нас!
| | |
| |
| 8.50, Аноним (-), 20:18, 21/01/2015 [^] [^^] [^^^] [ответить] | +/– | Да вот странно - летают на самолетах зачем-то Ездят на поездах Автомобилей пон... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| |
| 2.9, A.Stahl (ok), 22:33, 19/01/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя языках.
Таких как Forth или Cobol.
| | |
| |
| 3.13, Аноним (-), 22:44, 19/01/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя
> языках.
> Таких как Forth или Cobol.
При том из шифрования желательно реализовать только шифр Цезаря. Остальные недостаточно проверены временем. Приходите через пару столетий - к тому моменту DES с 56 битым ключом станет уже более-менее проверенный.
| | |
| 3.14, Аноним (-), 22:46, 19/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Такие важные вещи следует писать на проверенных временем и хорошо зарекомендовавших себя языках.
> Таких как Forth или Cobol.
Forth и Cobol еще не прошли проверку временем. Латынь - и то получше (вон товарищ выше правильно предлагает шифр Цезаря). А вообще шумерская клинопись - самое то.
| | |
| |
| 4.17, A.Stahl (ok), 22:50, 19/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
>А вообще шумерская клинопись - самое то.
Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем "DES с 56 битым ключом".
| | |
| |
| 5.21, Sw00p aka Jerom (?), 00:47, 20/01/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
>>А вообще шумерская клинопись - самое то.
> Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем
> "DES с 56 битым ключом".
речь моего беззубого дедушки намного устойчивее, хрень разберёшь, что говорит ))
пс: 97666
| | |
| 5.33, Аноним (-), 13:39, 20/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
>>А вообще шумерская клинопись - самое то.
> Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем "DES с 56 битым ключом".
Кто вам сказал, что я смеюсь?
| | |
| 5.44, Аноним (-), 17:43, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Зря смеёшься. Мне кажется, что шумерская клинопись более устойчива к взлому, чем "DES с 56 битым ключом".
А если алгоритм шифрования реализован на брейнфаке, адаптированном под шумерскую клинопись - мало кто догадается, что это шифр Цезаря :)
| | |
|
|
| |
| 4.34, Sw00p aka Jerom (?), 13:55, 20/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
История с выявлением в SSLv3 уязвимости POODLE (CVE-2014-3566), позволяющей извлечь из зашифрованного канала связи закрытую информацию, что привело к массовому прекращению поддержки SSLv3 в браузерах и в серверном ПО.
Пс: оставлю тут минусаторам, версию 4 еще не придумали)
| | |
|
|
| 2.24, Аноним (-), 06:32, 20/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Ждём реализацию SSL на Rust.
Ждем повсеместных замен OpenSSL на NaCl (Networking and Cryptography library).
| | |
|
| 1.36, arisu (ok), 18:52, 20/01/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
а потому что malloc, используемый в любом коде, но особенно в security-critical коде, должен обнулять выделеный блок памяти автоматически. уж сколько раз твердили миру…
хорошо, что я везде, где использую поляр, именно так malloc'и и починил давным-давно.
| | |
| |
| 2.51, Аноним (-), 20:21, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки, показывающие что они нифига не смыслят в безопасности. Я правильно тебя понял?
Так, стоп, а нафига нужна криптографическая либа от ламеров которые нифига не смыслят в безопасности и раздают либу с крутыми ляпами?
| | |
| |
| 3.53, arisu (ok), 20:23, 21/01/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Окей, ты хочешь сказать что авторы polarssl ламеры и делают глупые ошибки,
> показывающие что они нифига не смыслят в безопасности. Я правильно тебя
> понял?
это вот ты сейчас с кем говорил вообще?
| | |
|
|
|
