| |
| 2.19, Аноним (-), 16:57, 25/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Скорее было бы уместнее рассматривать сборку софта без использования OpenSSL. До опеночников наконец доползло каким г-ном OpenSSL является и насколько там "компетентные" разработчики. А пользоваться в 2015 году DES - это примерно как рассекать в потоке на автостраде используя старую клячу.
| | |
| |
| 3.31, Аноним (-), 18:59, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Скорее было бы уместнее рассматривать сборку софта без использования OpenSSL. До опеночников
> наконец доползло каким г-ном OpenSSL является и насколько там "компетентные" разработчики.
Знали-то и раньше. Но форкать не решались, это ведь не libvasyapupkin, а весьма распространённая библиотека. Обходились собственными патчами, далеко не все из которых принимались в апстрим. Сейчас LibreSSL занимается как минимум четверо человек, плюс патчи идут со стороны. Если бы форк сделали раньше, не факт, что заинтересованности/поддержки со стороны сообщества хватило бы.
| | |
| |
| 4.36, Аноним (-), 22:04, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> весьма распространённая библиотека.
Не очень понимаю эту манию наедаться г-ном досыта. Грабельная либа под проблемной лицензией, с авторами которые вообще не криптографы ни разу. Зачем народ в такое вляпывается - загадка природы.
> Сейчас LibreSSL занимается как минимум четверо человек,
C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для совместимости с допотопным шитом, команда из 4 человек на такой проект - это примерно как строительство космодрома аж четырьмя таджиками. Да и вообще, все кто в это вляпался, как и вообще в TLS - будут обречены на постоянный гемоppoй.
> факт, что заинтересованности/поддержки со стороны сообщества хватило бы.
Самое разумное что сделали в openssh - сборку беэ крапа с названием "OpenSSL" вообще.
| | |
| |
| 5.39, Ivan_83 (?), 22:36, 25/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Сейчас LibreSSL занимается как минимум четверо человек,
> C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для
> совместимости с допотопным шитом, команда из 4 человек на такой проект
> - это примерно как строительство космодрома аж четырьмя таджиками. Да и
> вообще, все кто в это вляпался, как и вообще в TLS
> - будут обречены на постоянный гемоppoй.
Ты преувеличиваешь сложность.
Это инженерная задача: цель есть, нужно придумать и сделать.
Я самолично за 5 месяцев неспешных разбирательств въехал с нуля в ECDSA и запилил код с нуля. Мат образования у меня нет, и этот предмет мне легко не давался. Код выдаёт во всех тестах ровно то что и должен.
Им же даже с нуля пилить не надо, и багаж знаний у них есть.
| | |
| 5.41, Аноним (-), 03:15, 26/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> весьма распространённая библиотека.
> Не очень понимаю эту манию наедаться г-ном досыта. Грабельная либа под проблемной
> лицензией, с авторами которые вообще не криптографы ни разу. Зачем народ
> в такое вляпывается - загадка природы.
И всё же что-то мешало остальным (включая комментаторов на Опеннете) сделать лучше...
>> Сейчас LibreSSL занимается как минимум четверо человек,
> C учетом сложности SSL/TLS, завалов легаси, дурного апи и уймы останков для
> совместимости с допотопным шитом, команда из 4 человек на такой проект
> - это примерно как строительство космодрома аж четырьмя таджиками. Да и
> вообще, все кто в это вляпался, как и вообще в TLS
> - будут обречены на постоянный гемоppoй.
... но тут вы противоречите сами себе. Если задача сложная - что удивительного в том, что используется хоть какое-то решение, ведь альтернатива - никакого?
>> факт, что заинтересованности/поддержки со стороны сообщества хватило бы.
> Самое разумное что сделали в openssh - сборку беэ крапа с названием
> "OpenSSL" вообще.
Де-факто она там была уже несколько лет, но в portable-версии её не включали во избежание проблем в даунстриме. Как ни странно, некоторые открытые проекты без большого коммерческого брата за спиной действительно об этом думают. :)
И, кстати, это отвечает ещё и на исходный вопрос - почему OpenSSL? Да потому что кардинально менять API никто не решался. А без этого - конечная цель (написание вменяемой криптолибы под доступной для всех лицензией) была не достижима. Кто бы взялся за переделывание тысяч проектов, использующих OpenSSL? Не вы и не я точно.
| | |
|
|
|
|
| 1.5, Нанобот (ok), 10:10, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 >Кроме того, можно отметить заметку Арьяна ван де Вена
Кроме того, можно отметить никак не связанную с этой новостью заметку Арьяна ван де Вена
| | |
| |
| 2.7, YetAnotherOnanym (ok), 10:53, 25/03/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Кроме того, можно отметить напрямую связанную с этой новостью заметку Арьяна ван де Вена
Не благодари.
| | |
|
| 1.6, Сергей (??), 10:14, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может конечно и надо из SSh удалить код, но может проще протокол 1 сделать не активным по дефолту, а так я на протяжении как только появился ghjnjrjk 2 его только и включаю...
| | |
| 1.8, mike_t (?), 11:18, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
это касается только сервера или клиента тоже?
у меня куча железа ssh 1 only :(
| | |
| |
| 2.9, _KUL (ok), 12:15, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Так собирай с включением не по умолчанию, делов то.
| | |
| |
| 3.25, Аноним (-), 17:02, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Так собирай с включением не по умолчанию, делов то.
Главное еще порт не забыть пробросить наружу. Иначе товарищмайор из NSA будет ругаться на возню с обходом файрвола.
| | |
|
| 2.10, близняшко (?), 13:05, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
зависит от дистрибутива, обычно клиент и сервер - разные пакеты зависимые друг-от-друга.
но вот смотри, твои сервера ходят клиентами на твой новый сервер с sshd без планируемого протокола ssh1? если да, то тут ты попал.
если нет, старое железо с sshd, оставь себе старый клиент (или путти например ха-ха-ха). наверняка в таком барахле по-дефолту работает телнет, а ссш - фича за отдельную секурити лицензию.
| | |
| |
| 3.24, Аноним (-), 17:01, 25/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Смени прошивку ;)
> Dropbear - SSH-2 only.
А заодно теперь вы понимаете, почему фэйсбук припекло свои коммутаторы и BMC выпускать. Не нравится им, когда кто попало без спроса по их инфраструктуре шарится. А вы цепляйтесь за ssh1, цепляйтесь. NSA нужны идиoты в других странах! ;)
| | |
| |
| 4.34, Xasd (ok), 21:43, 25/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
 кстати хотел узнать -- а Facebook разве не является ли той организацией, которая в ходит в список организаций, кто сотрудничает с NSA и добровольно делится всей запрашиваемой информаций?
зачем NSA что-то взламывать, если им проще напрямую у Facebook запросить? :)
| | |
| |
| 5.37, Аноним (-), 22:25, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> зачем NSA что-то взламывать, если им проще напрямую у Facebook запросить? :)
Ну так одно дело если NSA у тебя контролируемо просит, и другое - если они просто в режиме гопника делают у тебя в инфраструктуре что хотят.
| | |
| |
| 6.43, Аноним (-), 18:59, 26/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
А ну то есть ты думаешь что NSA просит? :)
Такие дятлы - просто клад, вас будут окучивать до самой смерти, а может и даже и после.
| | |
|
|
|
|
| 2.20, Аноним (-), 16:58, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> у меня куча железа ssh 1 only :(
Ну, радуйся: тебя поимело NSA.
| | |
|
| 1.12, клоун (?), 14:51, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> Во первых, попытка сборки OpenSSL без кода RC4 и DES привела к ошибке компиляции
Закомментил кусок кода, нажал Compile, получил ошибку, запостил новость "Я, Арьяна ван де Вена (Arjan van de Ven), известный разработчик Linux из компании Intel, в который раз поднимаю тему трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования. Проведённый Мною сегодня эксперимент по избавлению от *** окончился неудачей. Разбираться в причинах Я не стану, т.к. это требует от Меня большой работы."
Профессионал... Может м-дак?.. Нет, профессионал...
| | |
| |
| 2.13, Crazy Alex (ok), 15:02, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
 И правильно. Он сделал первую часть - показал, где есть проблема. И за это ему спасибо. если бы он нашёл как её решить и приложил патч - было бы отдельное спасибо, но и то, что есть - уже хорошо. Дальше этим займётся маинтайнер и при необходимости дело дойдёт до апстрима. Как-то так оно и работает, на сотрудничестве - каждый делает тот кусок, который для него в данный момент приемлем.
Но нет, клоуну надо поругаться (впрочем, мы все знаем почему) - ему надо чтобы мёд, да ещё ложкой.
| | |
| |
| 3.15, клоун (?), 15:23, 25/03/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
- Вовочка, как?? Ты же всегда только и говорил что "Я не хочу".
- Я и сейчас всегда так говорю, но вначале добавляю "Я, Арьяна ван де Вена (Arjan van de Ven), известный разработчик Linux из компании Intel, в который раз поднимаю тему трудности избавления дистрибутивов Linux от устаревших и небезопасных алгоритмов шифрования."
И да, лучше жрать большой ложкой мёд, чем маленькой г-вно. И дело здесь не в размере ложки :-).
| | |
| |
| 4.17, Аноним (-), 16:25, 25/03/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
> И да, лучше жрать большой ложкой мёд, чем маленькой г-вно. И дело
> здесь не в размере ложки :-).
И по этому ты жрёшь "г-вно" большой ложкой? Клованская мутагенная логика ...
| | |
| |
| 5.29, Аноним (-), 18:32, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> И по этому ты жрёшь "г-вно" большой ложкой? Клованская мутагенная логика ...
У него есть забойный аргумент: взять ложку побольше - проще чем сделать из г-на мед.
| | |
| |
| 6.35, клоун (?), 21:52, 25/03/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Лучше так, чем отказываться от мёда и жрать г-вно только потому, что оно "свободное" и "выпущено" не корпорастами, а пролетарием.
| | |
|
|
| 4.28, Crazy Alex (ok), 18:23, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ещё раз, специально для клоунов. Если человек чем-то помог - например, указал на ранее не замеченную проблему, то нормальные люди за это благодарят. А вот идиоты и сволочи - начинают хамить.
| | |
| |
| 5.32, Нанобот (ok), 19:20, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Да практически в любом софте возникнут могут возникнуть проблемы со сборкой, если собирать его с редкоиспользуемыми флагами. Обычно это не так сложно поправить и совсем необязательно по таким мелочам падать на землю, бить ножками по земле и реветь "нисабираааицца"
| | |
| |
| 6.33, Crazy Alex (ok), 20:22, 25/03/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ты что, дистры не знаешь? Ёж - птица гордая, пока не пнёшь - не полетит. А суть крика - как раз в том, что не должно это быть редкоиспользуемым флагом, а как бы не дефолтом.
| | |
|
|
|
|
|
| 1.14, Аноним (-), 15:09, 25/03/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Хотет в генте юзовую переменную на этот счёт (наподобие CPU_FLAGS_X86), например CYPHER_ALGORITHMS , чтобы можно было сразу во всех возможных пакетах поотрубать ненужное.
| | |
| |
| 2.27, Я (??), 17:06, 25/03/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Для этого уже есть юзфлаги. Делать 9000 переменных и разносить флаги по ним это как-то костыльно.
Хотя может в будущем придумают что-нибудь типа одной переменной, но чтобы флаги указывались с категориями.
| | |
| 2.30, Аноним (-), 18:33, 25/03/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> CYPHER
Ммм..да, вас к криптографии лучше не подпускать на дальность полета баллистической ракеты.
| | |
|
|
