URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 38891
[ Назад ]

Исходное сообщение
"OpenNews: Создатель qmail, спустя 10 лет, оценивает безопасность проекта"
Отправлено opennews , 04-Ноя-07 14:20

Daniel J. Bernstein, спустя 10 лет после выхода qmail 1.0, подготовил
статью Some thoughts on security after ten years of qmail 1.0 (http://cr.yp.to/qmail/qmailsec-20071101.pdf) (PDF, 160Кб), в которой поведал историю создания qmail, подробно раскрыл суть и проанализировал успешность решений, использованных для повышения безопасности пректа (награда в 1000$ за демонстрацию уязвимости в qmail, еще не нашла своего обладателя).
URL: http://cr.yp.to/qmail/qmailsec-20071101.pdf
Новость: http://www.opennet.me/opennews/art.shtml?num=12650

Содержание

Создатель qmail, спустя 10 лет, оценивает безопасность проекта,Аноним, 14:20 , 04-Ноя-07
Создатель qmail, спустя 10 лет, оценивает безопасность проекта,Аноним, 14:45 , 04-Ноя-07
- Создатель qmail, спустя 10 лет, оценивает безопасность проек...,auk, 18:11 , 04-Ноя-07
  - Создатель qmail, спустя 10 лет, оценивает безопасность проек...,vbv, 00:37 , 05-Ноя-07
    - Создатель qmail, спустя 10 лет, оценивает безопасность проек...,ЩекнИтрч, 21:06 , 05-Ноя-07
    - 'прекрасный'? если бы,Michael Shigorin, 00:18 , 06-Ноя-07
Создатель qmail, спустя 10 лет, оценивает безопасность проекта,rtzra, 18:04 , 04-Ноя-07
Создатель qmail, спустя 10 лет, оценивает безопасность проекта,terminus, 18:11 , 04-Ноя-07
Создатель qmail, спустя 10 лет, оценивает безопасность проекта,northbear, 22:12 , 04-Ноя-07
Создатель qmail, спустя 10 лет, оценивает безопасность проекта,Аноним, 22:14 , 04-Ноя-07
Создатель qmail, спустя 10 лет, оценивает безопасность проекта,Аноним, 01:50 , 05-Ноя-07

Сообщения в этом обсуждении

"Создатель qmail, спустя 10 лет, оценивает безопасность проекта"
Отправлено Аноним , 04-Ноя-07 14:20

А когда будет Some thoughts on new features of SMTP after ten years of qmail 1.0?

"Создатель qmail, спустя 10 лет, оценивает безопасность проекта"
Отправлено Аноним , 04-Ноя-07 14:45

Награда в $1 000 000 за демонстрацию уязвимости в hello_world, еще не нашла своего обладателя.

"Создатель qmail, спустя 10 лет, оценивает безопасность проек..."
Отправлено auk , 04-Ноя-07 18:11

>Награда в $1 000 000 за демонстрацию уязвимости в hello_world, еще не
>нашла своего обладателя.
Насчет hello_world это перебор конечно, но я сам перевел сервера c mail.
Во первых патчи просто достали, во вторых qmail-spamcontrol не проходит тесты http://tests.nettools.ru/. Open relay говорил в каком-то хитром случае.

"Создатель qmail, спустя 10 лет, оценивает безопасность проек..."
Отправлено vbv , 05-Ноя-07 00:37

Фуфел это а не тест. если сервер сказал "ок" - так сразу и пересыльщик.
Факт остается фактом - пересылки не происходит. А похоже или не похоже - на результаты теста не тянет.
По общей теме:
Прекрастный МТА и проблем не вызывает только /dev/hand прямой иметь надо и нет проблем.
А на предмет патчей и прочей лабуды .... это уже второй вопрос тянущий на флейм а флеймить не хочеться.

"Создатель qmail, спустя 10 лет, оценивает безопасность проек..."
Отправлено ЩекнИтрч , 05-Ноя-07 21:06

qmail супер вещь, съехал с него на postfix, нужна была более тесная интеграция с некоторыми сервисами и тостер для быстрого развертывания, но мог бы и на qmail остаться, как сегодня ясно.
И статья суперская, если кто по-Аглицки не читает, то много потерял.

"'прекрасный'? если бы"
Отправлено Michael Shigorin , 06-Ноя-07 00:18

>Прекрастный МТА и проблем не вызывает только /dev/hand прямой иметь надо и
>нет проблем.
Это если делать нефиг. Нормальные люди хороший софт давно по дистрибутивам рассовали и применяют без лишней пыли. Не барское это дело -- вокруг _сборки_ MTA приседать...
Да и когда программа масштабируется хуже человека (без патчей... без патчей... патчи... патчи... оп, тут надо, а таких и патчей-то нет, и не сделать уже никак) -- тоже плохо.

"Создатель qmail, спустя 10 лет, оценивает безопасность проекта"
Отправлено rtzra , 04-Ноя-07 18:04

Берштейн выпендрился, конечно.
Лучше бы он не забрасывал свое детище, тогда был бы смысл о чем-то говорить и хвастаться. Я спрыгнул с qmail'а потому что он не поддерживал нужные мне вещи.

"Создатель qmail, спустя 10 лет, оценивает безопасность проекта"
Отправлено terminus , 04-Ноя-07 18:11

Жаль, что qmail постепенно уступает postfix'у - djb когда-то грозился начать писать qmail 2.0 да так и не взялся.
qmail это конечно хорошо и секюрно, но уж больно мало в нем фич по сравнению с postfix, да и куда не плюнь кругом патчи надо ставить чтобы хоть какой-то функционал прикрутить да некритичные баги поправить...

"Создатель qmail, спустя 10 лет, оценивает безопасность проекта"
Отправлено northbear , 04-Ноя-07 22:12

Доброе утро, страна! Видать дядя почувствовал, что про него стали забывать. Себя не похвалишь, никто не похвалит. Это точно...

"Создатель qmail, спустя 10 лет, оценивает безопасность проекта"
Отправлено Аноним , 04-Ноя-07 22:14

А чем он кстати, сейчас занимается? Научной работой поди... Статья на Техе написана.

"Создатель qmail, спустя 10 лет, оценивает безопасность проекта"
Отправлено Аноним , 05-Ноя-07 01:50

Хотя создатель позиционирует qmail как самую секьюрный MTA, и даже $1 000 000 готов заплатить за ошибку, но в целом, увы!, это не так.
Большая часть функционала реализуется посредством 3rd модулей, за безопасность которых НИКТО не отвечает :)) И на фоне этого, тот же postfix верх безопасности, да и старый sendmail может потягаться с qmail + 3rd :D.

Так что прощай qmail, твои идеи не пропали зря :))