URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 97064
[ Назад ]

Исходное сообщение
"Обновление LibreSSL 2.0.3"

Отправлено opennews , 22-Июл-14 16:20 
Проект OpenBSD выпустил (https://marc.info/?l=openbsd-tech&m=140599450206255&w=2) корректирующий релиз LibreSSL 2.0.3 (http://www.libressl.org/), в котором представлено несколько изменений, направленных на улучшение переносимости кода. Кроме того, интегрирован улучшенный код для определения ответвления новых процессов, обеспечивающий переинициализацию генератора псевдослучайных чисел после создания нового процесса вызовом fork. Представленный в версии 2.0.2 метод обхода уязвимости (http://www.opennet.me/opennews/art.shtml?num=40227) оказался (http://port70.net/~nsz/47_arc4random.html) не так надёжен, как хотелось бы.

  


URL: https://marc.info/?l=openbsd-tech&m=140599450206255&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=40245


Содержание

Сообщения в этом обсуждении
"Обновление LibreSSL 2.0.3"
Отправлено Zenitur , 22-Июл-14 16:20 
Уже третий корректирующий релиз за неделю. А ведь LibreOffice изначально позиционаровался как SSL без таких эпичных багов, как в OpenSSL.

"Обновление LibreSSL 2.0.3"
Отправлено hoopoe , 22-Июл-14 16:21 
> А ведь LibreOffice изначально позиционИровался как SSL

офис позиционировался как SSL? это как?


"Обновление LibreSSL 2.0.3"
Отправлено dry , 22-Июл-14 16:39 
По поводу офиса тебе уже ответили. А по существу, первая важная истина, которую познает джуниор, заключается в том, что баги в коде будут всегда, их делают и молодые, и старые с любым опытом и стажем в разработке. Разница лишь в их количестве и тривиальности. Идеальный код не существует.
То, что взялись выкинуть артефакты из обросшего бородой проекта это есть только хорошо. Но во-первых, не надо ждать мгновенных результатов. Во-вторых всегда надо допускать, что инициатива может загнуться.

"Обновление LibreSSL 2.0.3"
Отправлено Аноним123 , 22-Июл-14 16:49 
Они не ждут год, чтобы починить.

"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 22-Июл-14 19:23 
> Они не ждут год, чтобы починить.

И чтобы добавить - тоже не ждут :)


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 22-Июл-14 19:25 
> То, что взялись выкинуть артефакты из обросшего бородой проекта это есть

Это дух Поттеринга.


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 22-Июл-14 17:12 
> LibreOffice изначально позиционаровался как SSL без таких эпичных багов,

Протрезвей и больше не пиши такой эпичный булшит.


"Обновление LibreSSL 2.0.3"
Отправлено бедный буратино , 22-Июл-14 19:05 
это исправление для portable-версий

для openbsd-current оно вообще обновляется нон-стоп :)


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 22-Июл-14 19:51 
Ты ламер. Есть разница между minor фиксами и сквозными дырами в безомасности.

"Обновление LibreSSL 2.0.3"
Отправлено Сергей , 22-Июл-14 17:08 
Последние исправления направлены на переносимость пакета на ядро Linux'а, и назвать их как то багами очень сложно... Кто ж знал, что там такая подстава...

"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 22-Июл-14 17:18 
А знать такие вещи наверное должны были те умники которые "сначала выпилим код, а потом разберемся зачем он был нужен". Не любит криптография шибко ретивых, но не шибко грамотных кодерасов.

Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами потом - и дебиановская история с предсказуемыми ключами посетит вас еще раз...


"Обновление LibreSSL 2.0.3"
Отправлено lexx015 , 22-Июл-14 18:02 
это уже на мс смахивает, починили одно, попадало где попало

ладно хоть не врачами работают


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 23-Июл-14 18:08 
Все программисты когда то правили баг, и вносили еще один. Это называется регрессия сынок.
Но не программистам не понять этого.

"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 23-Июл-14 19:41 
> Это называется регрессия сынок.

То что случилось в данном случае называется "полный д@лб@е#$зм апстрима".


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 24-Июл-14 09:46 
анонимные эксперты, вечно непримиримые к чужим ошибкам и знающие лучше что нужно было делать и как.

"Обновление LibreSSL 2.0.3"
Отправлено бедный буратино , 22-Июл-14 19:06 
> А знать такие вещи наверное должны были те умники которые "сначала выпилим
> код, а потом разберемся зачем он был нужен". Не любит криптография
> шибко ретивых, но не шибко грамотных кодерасов.
> Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных
> и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись
> разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами
> потом - и дебиановская история с предсказуемыми ключами посетит вас еще раз...

Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?

Как уже надоели эти эксперты по всему, которые всех научат, как делать правильно...


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 22-Июл-14 19:22 
> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?

Ну, если разработчики openbsd не желают разбираться в том коде, который они разрабатывают, то зачем какому-то анониму разбираться в их отмазках?


"Обновление LibreSSL 2.0.3"
Отправлено Сергей , 22-Июл-14 20:19 
>> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова и >стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?
>Ну, если разработчики openbsd не желают разбираться в том коде, который они >разрабатывают, то зачем какому-то анониму разбираться в их отмазках?

Они то разобрались и сделали реверанс в отношении ядра, вот только сам Линукс сделает ли ответный ход, по мне так бага именно в ядре, а не в либе...


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 23-Июл-14 19:38 
Такой "компетентный" апстрим - только слать в пешее эротическое. Нафиг-нафиг.

"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 23-Июл-14 19:32 
> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова
> и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?

Мне похрен на вашу модель разработки и ваши стереотипы. Засчитывается результат. И он судя по таким новостям печален. Ибо сначала "эксперты" костылят какой-то ужас, а потом еще и "оптимизаторы" припираются ужас выпилить, не понимая зачем он вкорячен и что в результате рушится. Не умеешь - не берись. Будет нужда - криптографию, поверьте, напишут. А вот кусок глюкавого и проблемного дepьмища лишний раз успокоит всех и спецы не полезут писать код, т.к. решение и так уже есть, а хомяки будут наивно думать что это глюкавое дepьмо от чего-то защищает. Это, братцы, САБОТАЖ.

> Как уже надоели эти эксперты по всему, которые всех научат, как делать
> правильно...

Вы не представляете как надоели ж@порукие обезьяны, зачем-то сующие нос в криптографию, не имея ни малейшего понятия о том что это security sensitive код и его колупание подразумевает некую ответственность перед обществом за последствия. Особенно когда секурити размахивают как флагом.

Вообще, опеночники опопсели и скатываются в какое-то г. Вон openssh - вообще эталон блоатваре. В его сорце вообще черт ногу сломит. Там 100500 свистоперделок и легами. В результате врубиться как все это будет работать в том или ином случае...


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 24-Июл-14 00:52 
>> Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова
>> и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?
> Мне похрен на вашу модель разработки и ваши стереотипы. Засчитывается результат. И
> он судя по таким новостям печален.

Судя по новостям, LibreSSL 2.0.3 не только собирается на 90% современных компов, но при этом ещё и выполняет свою работу более качественно за счёт ответственного подхода к вопросам зачистки важных данных и использования качественного рандома.

То, что по дороге что-то сломали и оперативно починили - увы. Но хотелось бы отметить, что починили оперативно, а так же не ломая API или ABI - как это не раз бывало в OpenSSL.

Ищете идеала? Не найдёте.


"Обновление LibreSSL 2.0.3"
Отправлено Клыкастый , 22-Июл-14 21:55 
> а "улучшатели" их выпиливают не удосужившись разобраться нафиг это сделано

у улучшателей всё работало. на bsd. за тем, чтобы всё работало на других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не в позиции пупа земли, да.


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 23-Июл-14 19:35 
> у улучшателей всё работало. на bsd. за тем, чтобы всё работало на
> других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не
> в позиции пупа земли, да.

Вот ведь как бывает когда ж@порукие обезьяны дорываются до "починки" кода. Если выпиливтаь код наобум и не париться про портабельность - тогда НЕХРЕН ВРАТЬ что этот кусок гомнокода "портабельный" и вообще чем-то лучше оригинала. А то посадить баг при ампутации кода - это круто, господа.


"Обновление LibreSSL 2.0.3"
Отправлено Куяврег , 24-Июл-14 00:01 
>> у улучшателей всё работало. на bsd. за тем, чтобы всё работало на
>> других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не
>> в позиции пупа земли, да.
> Вот ведь как бывает когда ж@порукие обезьяны дорываются до "починки" кода.

http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/008_op...

чинят.

> Если выпиливтаь код наобум и не париться про портабельность

Ещё раз: задача корректного выполнения коде на платформе, отличной от платформы разработки лежит на мейнтейнерах. Будут они городить некий код и отправят свои опусы в апстрим или поправят у себя в ядре - тоже решать им.


> тогда НЕХРЕН ВРАТЬ что этот кусок гомнокода "портабельный" и вообще чем-то лучше оригинала.

лычно ты можешь насмерть обидеться и написать свой ssl, портабельный от амиги и ос2 до windows9 и убунты. ну или, что вероятнее, нервно взвизгивать и выпиливать libressl и втыкать openssl. хотя ещё вероятнее, что визгами на форумах всё и ограничится, а кушать будешь то, что подадут по apt-get.


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 24-Июл-14 00:46 
> А знать такие вещи наверное должны были те умники которые "сначала выпилим
> код, а потом разберемся зачем он был нужен".

О, да, особенно нужны была поддержка VMS и собственные реализации malloc() и free() (успешно скрывавшие баги в OpenSSL).

> Не любит криптография шибко ретивых, но не шибко грамотных кодерасов.

Вы бы хоть на процессы, идущие в LibreSSL посмотрели, прежде чем огульно комментировать... Но нет, как же, вот "код не читал, но осуждаю" - это наш метод!

> Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных
> и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись
> разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами
> потом - и дебиановская история с предсказуемыми ключами посетит вас еще
> раз...

Системозависимые трюки используются ровно для тех вещей, которые являются системозависимыми. Потому что, например, не стандартизированы.

Идёт НОРМАЛЬНЫЙ процесс адаптации под обширную экосистему. LibreSSL УЖЕ собирается и работает под большинство распространённых ОС без дополнительных тычков, не говоря о ковырянии в коде. bcook@ и компания проделали и продолжают делать огромную работу - они не только адаптировали LibreSSL, они ещё и провоцируют улучшение самой экосистемы. Тот же рассматриваемый сейчас на добавление системный вызов getrandom() - результат работы команды LibreSSL. И уже за одно это им стоит сказать "спасибо".

Но, боюсь, людям с аллергией на слово OpenBSD это не понять.


"Обновление LibreSSL 2.0.3"
Отправлено Xasd , 24-Июл-14 18:35 
> дебиановская история с предсказуемыми ключами посетит вас еще раз

в той истории -- разработчики Дебиана были правы.

а разработчики говнокода -- были идиоты.

вся ирония лишь в том что новостные корреспонденты -- всю историю перевернули так будто бы якобы разработчики Дебиана являются говнокодерами.


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 22-Июл-14 17:45 
Как блины пекут

"Обновление LibreSSL 2.0.3"
Отправлено vi , 22-Июл-14 19:15 
> переинициализацию генератора псевдослучайных

Это есть гут!
Но если ее там не было, то это есть очень и очень не гут.
Хотя, смотря на основе чего инициализировать будут?


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 24-Июл-14 00:58 
> Хотя, смотря на основе чего инициализировать будут?

А вот для этого как раз в OpenBSD есть getentropy(), а в Linux пропихивают getrandom()... Бо процесс может оказаться в chroot'е, где /dev/* отсутствуют.


"Обновление LibreSSL 2.0.3"
Отправлено Аллах , 22-Июл-14 19:25 
я выбираю boringSSL

"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 23-Июл-14 19:36 
> я выбираю boringSSL

Гугл постеснялся сказать что на самом деле это BorgSSL :).


"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 23-Июл-14 20:56 
ssl для хрома

"Обновление LibreSSL 2.0.3"
Отправлено Anonym2 , 22-Июл-14 22:46 
Не будет ли вскоре каждое новое внесение изменения релизом? :-)
Второе. Не делают ли эти разработчики нечто такое, что явно не поддерживается системами? Почему в самом деле генератор псевдослучайных чисел должен реинициализироваться? В копии процесса.

"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 23-Июл-14 09:36 
> Почему в самом деле генератор псевдослучайных чисел должен реинициализироваться? В копии процесса.

Потому  что по ссылке надо сходить и прочитать, прежде чем задавать глупые вопросы, правда?


"Обновление LibreSSL 2.0.3"
Отправлено Anonym2 , 23-Июл-14 20:35 
> Потому  что по ссылке надо сходить и прочитать, прежде чем задавать
> глупые вопросы, правда?

И много чего ещё можно пожелать автору глупого вопроса.


"Обновление LibreSSL 2.0.3"
Отправлено Anonym2 , 23-Июл-14 20:59 
(они там ещё и явную переинициализацию этого PRNG подпортили... В общем Libre не очень пригодна... К использованию.)

"Обновление LibreSSL 2.0.3"
Отправлено Аноним , 24-Июл-14 00:55 
>> Потому  что по ссылке надо сходить и прочитать, прежде чем задавать
>> глупые вопросы, правда?
> И много чего ещё можно пожелать автору глупого вопроса.

Вот и пожелайте себе, угу?

А на досуге можете спросить себя, как будут отличаться генерируемые PRNG последовательности в родительском и дочернем (после fork()) процессах.