| 1.1, Andrew (??), 12:28, 23/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Они хотят за неделю найти то что другие там "закапывали" несколько лет?!
| | |
| |
| 2.3, Амнезинус (?), 12:42, 23/12/2010 [^] [^^] [^^^] [ответить]
| +7 +/– |
Трудно искать черную кошку в темной комнате, особенно если ее там нет.
| | |
| |
| 3.7, Andrew (??), 13:04, 23/12/2010 [^] [^^] [^^^] [ответить]
| –1 +/– |
Только после полного независимого анализа кода можно говорить что никаких бэкдоров нет.
| | |
| 3.19, shpsn (?), 15:50, 23/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Еще труднее найти белую кошку в тёмной комнате, в которой помимо неё еще 50 чёрных.
| | |
| |
| |
| 5.22, zazik (ok), 17:07, 23/12/2010 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > белую в темной комнате? да запросто.
Ну-ну. Задачу можно свести к поиску белого шара в тёмной комнате среди 50 чёрных шаров. По теории вероятности шансы есть.
| | |
| 5.33, Bolek (ok), 21:50, 23/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 белую... в темной комнате... а как цвет различать будете без источника света... усилием мысли?
| | |
|
|
| 3.32, 8 (?), 19:01, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Зато такой, надеюсь, в результате неудачный, поиск выявит изрядно таракашек (что, собственно, уже и началось).
| | |
|
| 2.29, User294 (ok), 18:34, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Есть надежда что в открытой реализации теперь покопаются грамотные криптографы. Думаю что теперь после такого наброса немало специалистов по криптографии начнут искать бэкдор. Ведь если его найти - это однозначный EPIC WIN в профессиональном плане.
Проблема только в том что бзди позволяют еще и абузивное использование лицензионной свободы:
> что бэкдор был интегрирован в выпускаемые NETSEC продукты на основе OpenBSD.
Вероятно, NETSEC ни разу не собирается показывать всем исходники своих продуктов с бэкдорами, да? Ну как, кто-то еще хочет купить блобятину с черт знает чем, недоступным для аудита сторонними специалистами? :)
| | |
| |
| 3.41, PereresusNeVlezaetBuggy (ok), 03:45, 24/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Есть надежда что в открытой реализации теперь покопаются грамотные криптографы.
Они копались там и до этого, вообще-то. Но свежий взгляд, конечно, не помешает.
> Думаю что теперь после такого наброса немало специалистов по криптографии начнут искать
> бэкдор. Ведь если его найти - это однозначный EPIC WIN в профессиональном
> плане.
Угу, на misc@openbsd.org и tech@openbsd.org уже поимела место быть куча дискуссий различной степени толковости, начатых новичками в криптографии. Правда, почему-то они в основном сваливаются в смежные темы.
> Проблема только в том что бзди позволяют еще и абузивное использование лицензионной
> свободы:
>> что бэкдор был интегрирован в выпускаемые NETSEC продукты на основе OpenBSD.
> Вероятно, NETSEC ни разу не собирается показывать всем исходники своих продуктов с
> бэкдорами, да? Ну как, кто-то еще хочет купить блобятину с черт
> знает чем, недоступным для аудита сторонними специалистами? :)
1. Если NETSEC и так разрабатывали этот код, то BSDL тут ни при чём.
2. Вам как будто неймётся, лишь бы связать BSDL и те или иные проблемы BSDL-продуктов. Сейчас это получилось уже слишком толсто.
| | |
| 3.44, iZEN (ok), 07:43, 24/12/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
 >Проблема только в том что бзди позволяют еще и абузивное использование лицензионной свободы:
Это не проблема бзди, а проблема пользователей — если они не способны для своей инфраструктуры решить все вопросы самостоятельно и им требуется "поводырь" в лице NETSEC/MS, Red Hat, Novell/, то они сами такие беспомощные и в некотором смысле безответственные, раз перекладывают существенную часть ответственности на "дядю".
>Вероятно, NETSEC ни разу не собирается показывать всем исходники своих продуктов с бэкдорами, да?
А что, должна? Лицензию-то прочёл?
| | |
|
|
| 1.6, Аноним (-), 12:51, 23/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– | |
> Проведенный за неделю беглый аудит выявил несколько несущественных проблем, но ничего значительного
О, и баги до кучи пофиксят. ^_^
| | |
| |
| 2.9, Аноним (-), 13:30, 23/12/2010 [^] [^^] [^^^] [ответить]
| –3 +/– |
Блин. И как же они до этого аудитили, что беглым аудитом сразу сразу нашли проблемы?
| | |
| |
| 3.14, Vitaly_loki (ok), 14:13, 23/12/2010 [^] [^^] [^^^] [ответить]
| +8 +/– |
 Премногоуважаемый анонимный Дон видимо пишет безошибочный код с первого раза. Куда уж там Тео до него
| | |
| |
| 4.50, Аноним (-), 12:36, 24/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Премногоуважаемый анонимный Дон видимо пишет безошибочный код с первого раза. Куда уж там Тео до него
Да не в этом дело. OpenBSD славилась своим аудитом. ПО крайней мере, так говорили. Теперь же говорят, что беглый аудит выявил проблемы. Отксюда и вопрос: как же они аудитили (а не кодили, как Вы написали, уважаемый неаноним Дон), что беглый аудит (еще раз: "беглый аудит") сразу выявил проблемы, которые не нашлись во время предыдущего аудита. Почему все надо разжевывать?
| | |
| |
| 5.52, PereresusNeVlezaetBuggy (ok), 15:24, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>Премногоуважаемый анонимный Дон видимо пишет безошибочный код с первого раза. Куда уж там Тео до него
> Да не в этом дело. OpenBSD славилась своим аудитом. ПО крайней мере,
> так говорили. Теперь же говорят, что беглый аудит выявил проблемы. Отксюда
> и вопрос: как же они аудитили (а не кодили, как Вы
> написали, уважаемый неаноним Дон), что беглый аудит (еще раз: "беглый аудит")
> сразу выявил проблемы, которые не нашлись во время предыдущего аудита. Почему
> все надо разжевывать?
Может, дело в том, что разработчики OpenBSD сами знают реальную цену кода, прежде всего - своего собственного?
http://www.openbsd.org/images/hackathons/c2k10.gif
Попробуйте предложить им, к слову, провести аудит аналогов, коли уж вас этот вопрос так волнует...
| | |
|
|
|
| 2.18, Aleksey (??), 15:36, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
I've already found a small bug in a totally different side of the random subsystem, and am looking at cleaning up a truly ugly function.
Т.е. нашли один маленький баг и подчистили "страшную" функцию, т.е. пока ничего серьезного.
| | |
|
| |
| 2.13, Аноним (-), 13:42, 23/12/2010 [^] [^^] [^^^] [ответить]
| +4 +/– | |
Может быть девелоперы OpenBSD просто стали лениться аудиттить код, и Тэо де Раадт таким хитрым способом с помощью вброса решил их подстегнуть?
Как в анекдоте.
Жена во время Гражданской Войны пишет мужу на фронт, сажать картошку или нет. Он ей отвечает:
- Не вздумай! Я на нашем огороде припрятал кое-какое золотишко которое мы с мужиками поделили, когда раскулачивали нашего барина.
Жена снова пишет:
- Пришли из ВЧК, перекопали весь огород.
Муж:
- Вот теперь сажай картошку.
| | |
| |
| 3.17, zazik (ok), 15:26, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Может быть девелоперы OpenBSD просто стали лениться аудиттить код, и Тэо де
> Раадт таким хитрым способом с помощью вброса решил их подстегнуть?
Это очень глупый способ мотивации, аудит-то проведут, а осадок всё равно останется.
| | |
| |
| 4.24, Аноним (-), 17:33, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Это очень глупый способ мотивации, аудит-то проведут, а осадок всё равно останется.
Вы неверно рассуждаете.
Здесь получается выбор. Либо осадок останется у одних, что их "смотивировали" провести аудит. Либо осадок останется у других, что аудит должным образом не проводится.
| | |
| 4.60, Анон (?), 11:57, 25/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
О каком именно осадке идет речь?
кто то вбросил, провели аудит, ничего не нашли. Все довольны, да еще и баги исправили
| | |
| |
| 5.61, zazik (ok), 14:49, 25/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> О каком именно осадке идет речь?
> кто то вбросил, провели аудит, ничего не нашли. Все довольны, да еще
> и баги исправили
О таком, что в любом случае многие теперь будут думать, что не закладок нет, а аудит плохо проведён. А можно пойти ещё дальше - найдены только специально оставленные на виду закладки, а настоящие не найдут.
| | |
|
|
|
|
| |
| 2.21, pro100master (ok), 16:44, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Проще один раз публично засудить ФБР и им подобных. Надо жить и развиваться, а не ставить полицейский над полицейскими :)
| | |
| |
| 3.26, Аноним (-), 17:41, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Проще один раз публично засудить ФБР и им подобных. Надо жить и развиваться, а не ставить полицейский над полицейскими :)
По-вашему это сильно упрощает дело - поставить судью над полицейским, чем полицейского над полицейским.
Т.е. раньше полицейский приводил других к судье, в том числе других полицейских. А теперь вы предлагаете выполнять роль полицейского судье, как будто судьи обычно бездельничают, в судах нет никаких очередей, и все дела за секунды проворачиваются.
Когда такие вот как вы "рационализаторы" обычно все и разваливают, поскольку дальше своего носа не видят.
| | |
| |
| 4.27, Аноним (-), 17:49, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
И дело даже не в загруженности, а в том, что судебные и исполнительные функции по-вашему легко можно возложить на одни и те же структуры. Точнее возложить-то можно. У нас в 30-х годах прошлого века так и было. Только вы уверены, что вам это потом понравится?
| | |
| |
| 5.28, Aleksey (??), 18:05, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
Видимо, человек из России и думает, что везде так: президент куда-нибудь звонит и бабушке проводят воду.
| | |
| |
| 6.35, pro100master (ok), 23:07, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Видимо, человек из России и думает, что везде так: президент куда-нибудь звонит
> и бабушке проводят воду.
хахаха, видимо, вы не знаете, что в штатах некоторые только и живут, что судятся с кем угодно. На уровне бабушек, это вы правы - в РФ такая себе ситуёвина
| | |
| |
| 7.38, Аноним (-), 23:24, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> хахаха, видимо, вы не знаете, что в штатах некоторые только и живут, что судятся с кем угодно. На уровне бабушек, это вы правы - в РФ такая себе ситуёвина
Ну да, просто среднестатисчический уровень развития позволяет там местным гражданам знать законы, свои права и судиться друг с другом "на уровне бабушек".
А вам, как видно по вашим высказываниям, уровень судебных разбирательств кажется чем-то недоступным, поэтому вам проще, как и большинству таких же "грамотеев" считать недостойным судиться из-за чего-то чуть более мелкого, чем в масштабах всего государства.
Зато уж если вы сами о чем-то судите, то это вам представляется неопровержимой истиной, которая должна приниматься в вашу пользу без каких либо судов и следствий.
| | |
|
|
| 5.30, pavlinux (ok), 18:34, 23/12/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > И дело даже не в загруженности, а в том, что судебные и
> исполнительные функции по-вашему легко можно возложить на одни и те же
> структуры. Точнее возложить-то можно. У нас в 30-х годах прошлого века
> так и было. Только вы уверены, что вам это потом понравится?
А причем тут OpenBSD?
| | |
| |
| 6.34, Аноним (-), 23:02, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> А причем тут OpenBSD?
Наверное при том же, при чем и ФБР, и далее по тексту.
Или вы обо всем делаете выводы на основании последних прочитанных вами строк?
| | |
|
|
|
| 3.31, User294 (ok), 18:38, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Проще один раз публично засудить ФБР.
Оно, конечно, было бы хорошо и правильно, но как-то с трудом представляю себе такую картину.
| | |
| |
| 4.36, pro100master (ok), 23:08, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> Проще один раз публично засудить ФБР.
> Оно, конечно, было бы хорошо и правильно, но как-то с трудом представляю
> себе такую картину.
Люди судятся и за меньшее. Неримское право, знаете ли :)
| | |
| |
| 5.39, Аноним (-), 23:32, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Люди судятся и за меньшее. Неримское право, знаете ли :)
То есть для вас правовые вопросы представляются исключительно на уровне "больше-меньше".
А с учетом ваших рассуждений о "полицейских" было бы интересно узнать, что именно вы имеете в виду под "неримским правом", кроме желания показать, что вы об этом что-то слышали.
| | |
| |
| |
| 7.47, Аноним (-), 11:52, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Толстый, анонимы такие анонимы. А по существу?
Вот вы и ответьте по существу, что вы имели в виду под "неримским правом".
И почему вы мечтаете засудить ФБР и "полицейских", но при этом вас раздражает, что юридически подкованные "бабушки" могут судиться по любому поводу, пользуясь своими на то правами.
| | |
| |
| |
| 9.55, Аноним (-), 00:11, 25/12/2010 [^] [^^] [^^^] [ответить] | +/– | Римское право тоже включает прецеденты Ну и И что же все-таки означала ваша фр... большой текст свёрнут, показать | | |
|
|
|
|
|
| 4.37, Аноним (-), 23:12, 23/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
>> Проще один раз публично засудить ФБР.
> Оно, конечно, было бы хорошо и правильно, но как-то с трудом представляю себе такую картину.
Вам ведь уже намекнули выше на некоторую почву для развития воображения.
Годике где-то в 17-м в России таки удалось "публично засудить" "полицейских" и прочие местные спецслужбы, "хорошо и правильно".
"Мне не нравится вот эта деталь в системе, было бы хорошо и правильно ее удалить, но как-то с трудом представляю себе такую картину".
Вы уж сначала представьте, прежде чем делать выводы, что хорошо, и что правильно.
| | |
| |
| 5.53, pro100master (ok), 20:53, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
В 17-м? А может раньше? У вас странные, если не сказать - глупые, аналогии. Да - в штатах - англо-американское право и, в отличии от, оно работает. И, в отличии от, это создаст прецедент. Вплоть до курьёзов http://www.google.com/search?q=%D0%B0%D0%BC%D0%
Впрочем все вышеответившие мне лично (непонятно, почему такой ажиотаж) частично правы. Штаты, таки да - стали полицейским государством (страной уже язык не поворачивается назвать).
| | |
| |
| 6.56, Аноним (-), 00:58, 25/12/2010 [^] [^^] [^^^] [ответить] | +/– | Может даже и раньше И что Создаст Т е по-вашему еще не создало Целый один п... большой текст свёрнут, показать | | |
|
|
|
|
|
| 1.40, Buy (??), 00:31, 24/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Команде OpenBSD будет практически невозможно сделать безоговорочное заявление, что бэкдора не было. Доказать отсутствие - нелегкое дело.
"Это будет практически невозможно доказать или опровергнуть", - сказал Нейт Лосон из Root Labs, криптограф и эксперт в сфере безопасности, который выполнил много работ по встроенным устройствам и аппаратной безопасности. "Эти заявления почти точно неправильны, по крайней мере в широком понимании (скрытые каналы, встроенные в основный исходники OpenBSD). Возможно, что кто-то добавил бэкдор в индивидуальные (возможно, созданные частным образом) OpenBSD-исходники или бинарный дистрибутив. Существует множество способов, как это могло бы быть сделано, от простых и очевидных до еле уловимых и изощренных. Возможно создать что-то, что выглядит как простая ошибка в коде и назначение которой будет невозможно доказать".
http://www.xakep.ru/post/54412/
| | |
| |
| 2.42, PereresusNeVlezaetBuggy (ok), 03:50, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– |
> Команде OpenBSD будет практически невозможно сделать безоговорочное заявление, что бэкдора
> не было. Доказать отсутствие - нелегкое дело.
Вы очень-очень-очень большой оптимист. Доказать корректность кода в таком сложном проекте, как стек IPsec, встроенный в достаточно сложное ядро, реально, по сути, только теоретически. По крайней мере, на данном этапе развития средств анализа.
| | |
| |
| 3.43, Аноним (-), 07:09, 24/12/2010 [^] [^^] [^^^] [ответить] | +/– | Можно только представить, что творится во FreeBSD И уж тем более в Linux Хотя ... большой текст свёрнут, показать | | |
| |
| |
| 5.48, Аноним (-), 12:05, 24/12/2010 [^] [^^] [^^^] [ответить] | +/– | Оптимизатор работает на уровне семантики потока исполнения и прочих семантик, не... большой текст свёрнут, показать | | |
| |
| |
| 7.59, Аноним (-), 11:03, 25/12/2010 [^] [^^] [^^^] [ответить] | +/– | Простой в данном случае является не описание семантики, а взаимосвязь отдельных ... большой текст свёрнут, показать | | |
| |
| |
| 9.63, Аноним (-), 20:45, 26/12/2010 [^] [^^] [^^^] [ответить] | +/– | Нет, я ничего не перепутал, я именно об этом и говорил И вы только что подтверд... большой текст свёрнут, показать | | |
|
|
|
|
|
| 4.49, Аноним (-), 12:29, 24/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Можно только представить, что творится во FreeBSD. И уж тем более в Linux.
Это очень важная проблема всех больших проектов: полностью то, что в них творится, реально понимает от силы 1-2 человека.
| | |
|
|
| 2.58, anonymous vulgaris (?), 08:15, 25/12/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Существует множество способов, как это могло бы быть сделано, от простых и очевидных до еле уловимых и изощренных. Возможно создать что-то, что выглядит как простая ошибка в коде и назначение которой будет невозможно доказать.
Приятно послушать умного человека. Вообще то и правда интересно сколько постоянно обнаруживаемых уязвимостей в софте случайных, а сколько умышлено сделано.
| | |
|
| 1.51, upyx (ok), 13:15, 24/12/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Есть у меня подозрение, что этот вброс неспроста. Бэкдора может никогда и не было... Мозила и Гугель не мало денег выплачивают за поиск дырок, а тут... ;)
| | |
|
