| 1.1, Аноним (-), 11:34, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +20 +/– |
Насколько нужно быть тупыми, чтобы использовать для шифрования закрытые коммерческие библиотеки? Воистину, идиотизм работников корпораций никогда нельзя недооценивать.
| | |
| |
| 2.4, Michael Shigorin (ok), 11:46, 13/12/2017 [^] [^^] [^^^] [ответить]
| +10 +/– |
 Его порой сложно переоценить...
> Например, в Facebook используется OpenSSL, который оказался
> уязвим из-за применения собственных дополнительных патчей. | | |
| 2.5, A.Stahl (ok), 11:46, 13/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Ну очевидно, что на момент внедрения эти коммерческие библиотеки имели какое-то конкурентное преимущество. Потому их и внедряли.
| | |
| |
| 3.7, rshadow (ok), 11:53, 13/12/2017 [^] [^^] [^^^] [ответить]
| +46 +/– |
 Самое главное преимущество в энтерпрайзе: "Мы это купили, а значит они за это отвечают, а не мы". И так по цепочке вниз до какого нибудь студента, который вообще для диплома писал эту хрень и особо не парился.
| | |
| |
| 4.50, gaga (ok), 15:53, 13/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Многие не верят, но это действительно так. Когда я в первый раз столкнулся с этими рассуждениями, я просто офигел. Теперь уже только привычно пожимаю плечами.
| | |
| |
| 5.72, Аноним (-), 21:29, 13/12/2017 [^] [^^] [^^^] [ответить]
| +3 +/– | |
От чего вы офигели?
Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете, что любое решение рано или поздно может сломаться. И вы можете либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания, кто ж знал-то?".
В каком случае вы выберете вариант с OpenSource.
Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО верит, или когда вы сам начальние прошу не рассматривать.
| | |
| |
| 6.78, J.L. (?), 14:34, 14/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > От чего вы офигели?
> Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете,
> что любое решение рано или поздно может сломаться. И вы можете
> либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить
> что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания,
> кто ж знал-то?".
> В каком случае вы выберете вариант с OpenSource.
> Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО
> верит, или когда вы сам начальние прошу не рассматривать.
например когда при приёмке поделки подрядчика вы уже 3 недели находите разные и новые ошибки после каждой доделки подрядчика
зы: другого подрядчика нет, или они пишут нужные подмодули или своими силами
выбор своих сил всё ближе
| | |
| |
| 7.79, Аноним (-), 17:18, 14/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
Если за результат отвечаете в любом случае вы, то делать самим, конечно, лучше (ну или аутсорсить зарекомендовавшим себя знакомым). Но часто выбор стоит между отвечать самому и сложить ответственность на другого, при этом нужно хорошо выглядеть в глазах начальства.
| | |
|
|
|
| 4.59, pavlinux (ok), 18:44, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > Самое главное преимущество в энтерпрайзе: "Мы это купили, а значит они за это отвечают, а не мы".
> И так по цепочке вниз до какого нибудь студента, который вообще для диплома писал эту хрень и особо не парился.
Вы когда-нибудь читали хоть одну EULA?
В двух словах:
1. Мы ни за что не отвечаем.
2. Если у вас что-то не работает/сломалось, то см. п. 1
| | |
| |
| |
| 6.69, Аноним (-), 20:06, 13/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Хотя бы тем, что в EULA требуют не смотреть в пирожок, который подсовывают. В GPL подписываются сами и требуют от других привселюдно вывернуть его наизнанку.
| | |
|
| 5.74, Anonymoustus (ok), 03:26, 14/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Когда вы что-то покупаете за деньги в понятиях отношений ынтерпрайзов, то вы подписываете договор, в котором оговариваете права и обязанности сторон, форс-мажор и прочие вещи. EULA это совсем другое.
| | |
|
|
| 3.11, dontletsmac (?), 12:04, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
Потому, что круто купить брендовый программный продукт же. Печатными лицензими с голограммами рисоваться же.
| | |
| 3.15, Аноним (-), 12:16, 13/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Какое может быть конкурентное преимущество у продукта, который используется в целях безопасности, но представляет собой закрытое непроверенное нечто? Верить на слово его авторам, что там всё норм?
| | |
| |
| 4.17, A.Stahl (ok), 12:17, 13/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые. Но куда приятней думать, что что в руководстве больших компаний сидят идиоты не умеющие считать?
| | |
| |
| 5.18, Фуррь (ok), 12:20, 13/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Куда приятней лежать на диване и считать себя умнее руководителей огромных корпораций, чем и занимается сей Аноним.
| | |
| |
| 6.66, Аноним (-), 19:28, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Куда приятней лежать на диване и считать себя умнее руководителей огромных корпораций,
> чем и занимается сей Аноним.
Куда приятней лежать на диване и считать, что руководителей огромных корпораций на самом деле беспокоит приватность твоих данных или твоя цифровая безопасность, особенно когда ответсвенность можно спихнуть на кого-то или вообще, "никто не узнает!".
| | |
|
| 5.22, Аноним (-), 12:40, 13/12/2017 [^] [^^] [^^^] [ответить]
| +6 +/– | |
Ну так может он и выплатит что-то. Только от этого пользователю продукта не легче.
С другой стороны, я вполне поверю, что и обязательств никаких нет. В ToS винды вон прямо прописано, что любой ущерб больше $5 она не выплачивает, даже если ты умер из-за того что винда заглючила. Так что то что ты заплатил деньги абсолютно ничего тебе не гарантирует.
>Но куда приятней думать, что что в руководстве больших компаний сидят идиоты не умеющие считать?
Я работаю с одной из таких больших корпораций и прекрасно знаю, что там в руководстве сидят дядьки, которые вообще не в курсе что такое шифрование и какое оно бывает. Им какой-нибудь васян из отдела маркетинга выдал список вариантов, они выбрали самый дорогой или от самой известной компании, а в технические подробности не вдавались. А бывает что специалисты прямо говорят, что лучше с технической точки зрения, но на их мнение все ложили болт, потому что кто они, а кто большие дяди-директора. Потом несколько лет все плюются и заваливают дядь отчётами о том какую фекалию мы выбрали, и лет через 10 руководство великодушно принимает решение искать альтернативу. Находится такую же фекалию, только уже от другой компании, и круг повторяется по новой.
//Опеннет совсем поехал, уже слово "фекалия" в более обиходном варианте считает матом.
| | |
| |
| 6.24, A.Stahl (ok), 12:50, 13/12/2017 [^] [^^] [^^^] [ответить]
| –7 +/– |
Вот только по факту большие компании ломают редко, а когда такое случается, то систему быстро восстанавливают. А почему? Да потому что в больших компаниях работают специалисты. И по безопасности и даже какой-то спец по статистике сидит, который может оценить вероятность и стоимость ущерба.
Всё там у них хорошо.
А Васяны это когда програмист админит, девочка-маркетолог отвечает на звонки и шеф надувает щёки. Но такие компании особо в коммерческие либы не лезут. Им бы чтобы хоть как-то работало.
| | |
| |
| 7.27, Sluggard (ok), 13:04, 13/12/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > Вот только по факту большие компании ломают редко, а когда такое случается, то систему быстро восстанавливают.
Кому какое дело, насколько быстро восстанавливают системы, если там успевают утечь миллионные базы учёток? А новостей таких было немало.
| | |
| 7.28, Аноним (-), 13:04, 13/12/2017 [^] [^^] [^^^] [ответить] | +1 +/– | Сам-то в это веришь Большие компании ломают так же как и маленькие, просто в ра... большой текст свёрнут, показать | | |
| 7.30, Аноним (-), 13:12, 13/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Вот только по факту большие компании ломают редко, а когда такое случается,
> то систему быстро восстанавливают. А почему?
А потому что см. недавнюю новость про Uber. Не рассказывают об этом никому, если в большом начальстве не объявится внезапно очень правильный чувак.
| | |
| 7.35, Аноним (-), 13:31, 13/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Вот только по факту большие компании ломают редко, а когда такое случается,
> то систему быстро восстанавливают. А почему? Да потому что в больших
> компаниях работают специалисты.
Тебя пох завербовал в Свидетели Святого Ынтырпрайза?
| | |
| 7.52, mumu (ok), 16:36, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Ты или тролль или никогда не работал в компании больше 10 человек.
Всё совершенно верно и точно описано.
| | |
| |
| 8.56, пох (?), 17:18, 13/12/2017 [^] [^^] [^^^] [ответить] | +/– | возможно тебе стоит поработать в компаниях, больше 12ти Тогда ты узнаешь много ... текст свёрнут, показать | | |
| |
| 9.58, Аноним (-), 17:46, 13/12/2017 [^] [^^] [^^^] [ответить] | +/– | Зависит от страны В очень больших компаниях как правило ворочаются большие капи... текст свёрнут, показать | | |
| |
| 10.73, пох (?), 22:41, 13/12/2017 [^] [^^] [^^^] [ответить] | +/– | вряд ли и хрен вы меня найдете - идея интернациональная Но, к сожалению, инв... текст свёрнут, показать | | |
|
| 9.77, mumu (ok), 09:17, 14/12/2017 [^] [^^] [^^^] [ответить] | +/– | Ну согласен Техническая грамотность руководства действительно играет большую ро... текст свёрнут, показать | | |
|
|
|
| 6.60, pavlinux (ok), 19:04, 13/12/2017 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> //Опеннет совсем поехал, уже слово "фекалия" в более обиходном варианте считает матом.
Тут разве медицинский форум?
| | |
|
| 5.29, Аноним (-), 13:10, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые.
А я почему-то уверен, что в EULA прописан отказ от ответственности.
| | |
| |
| 6.32, Аноним (-), 13:24, 13/12/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Крупные компании между собой обычно работают не по EULA, а заключают кастомный договор с особыми условиями. Если клиент крупный и платит хорошо, автору софта выгодно ему во всём помогать.
| | |
| |
| 7.76, Anonymoustus (ok), 03:33, 14/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
Все компании (юридические лица) всегда работают между собой по договору, EULA к этому отношения вообще не имеет. Просто большинство анонимов опеннета ещё учатся в школе и не знают об этом.
| | |
|
|
| 5.48, scorry (ok), 15:19, 13/12/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > И скорее всего разработчик брал на себя какие-то обязательства.
> Возможно и финансовые.
(слышен хоровой, заливистый, заразительный детский смех)
| | |
| 5.55, arisu (ok), 17:12, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
 считать они, конечно, умеют. деньги в своём кармане. а пользователь не мамонт, и не вымрет, так что его потери никого не интересуют.
| | |
|
|
| 3.38, пох (?), 14:09, 13/12/2017 [^] [^^] [^^^] [ответить]
| –7 +/– |
> Ну очевидно, что на момент внедрения эти коммерческие библиотеки имели какое-то конкурентное
> преимущество. Потому их и внедряли.
перечитай еще раз: netscaler, f5, ace.
Это железки, способные принимать сотни тысяч и миллионы ssl-сессий (за счет реализации части библиотеки в asic, чаще всего), успехов лепить такое на коленке.
И пострадали, скорее всего, как раз за неуместную любовь к опенотсосию - то есть за использование как раз openssl (которую там очень неудобно обновлять, поэтому она будет гарантированно древних версий) вместо собственной разработки с нуля (да, почти невозможной в наши дни - потому что кроме прочего надо обеспечивать совместимость со всеми багами и глюками openssl'я, включая вчера привнесенные)
| | |
| |
| 4.51, примус (?), 16:09, 13/12/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
>[оверквотинг удален]
>> преимущество. Потому их и внедряли.
> перечитай еще раз: netscaler, f5, ace.
> Это железки, способные принимать сотни тысяч и миллионы ssl-сессий (за счет реализации
> части библиотеки в asic, чаще всего), успехов лепить такое на коленке.
> И пострадали, скорее всего, как раз за неуместную любовь к опенотсосию -
> то есть за использование как раз openssl (которую там очень неудобно
> обновлять, поэтому она будет гарантированно древних версий) вместо собственной разработки
> с нуля (да, почти невозможной в наши дни - потому что
> кроме прочего надо обеспечивать совместимость со всеми багами и глюками openssl'я,
> включая вчера привнесенные)
Один из немногих адекватных комментариев.
Для остальных: и да, мы общаемся не на языке EULA. А на языке SLA. и там прописано все жестко.
| | |
| |
| 5.57, пох (?), 17:25, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Для остальных: и да, мы общаемся не на языке EULA. А на
> языке SLA. и там прописано все жестко.
ну, consequent damages там обычно не прописаны - то есть если тебе обещали время реакции два часа и время устранения инцидента двое суток - то вот через два дня после заявки "что-то у меня тут ssl дырявый" приползет новая прошивка, а не приползет - кто-то заплатит изрядных денег. Если поломали раньше/в процессе - никто вроде как не виноват. Собственно, как будто опенсорсные или самодельные поделки от этого защитят...
/уползает пересобирать libc для неподдерживаемого сто лет дистрибутива. К сожалению, слишком современный, чтобы не быть затронутым известной проблемой.
| | |
|
|
|
|
| 1.10, Аноним (-), 12:01, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Из открытых проектов уязвимость присутствует Erlang
Не присутствует, а зыакрыта 23 ноября.
| | |
| |
| |
| 3.70, Аноним (-), 20:12, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Т.е. присутствует во всех версиях, выпущенных до 23 ноября
Ооо, если бы Вы знали, как замечательно Эрланг умеет менять обувь прямо в полёте...
| | |
|
|
| 1.33, zanswer CCNA RS and S (?), 13:26, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– | |
Стоит отметить, что уязвимость подтверждена только для EOS и EOL (ещё с 2013 года) продуктов Cisco ACE 4710 и Cisco ACE 30, для которых в числе прочего не будет выпускаться обновление, закрывающие данную уязвимость, кроме возможно, случаев наличия персонализированных контрактов на поддержку.
Не берусь утверждать на 100%, что везде, но Cisco много где использует GPL программные продукты, включая OpenSSL.
| | |
| |
| 2.37, пох (?), 14:02, 13/12/2017 [^] [^^] [^^^] [ответить]
| –6 +/– |
> Стоит отметить, что уязвимость подтверждена только для EOS и EOL (ещё с 2013 года) продуктов
> Cisco ACE 4710 и Cisco ACE 30
и дайте угадаю - к каждой из этих древних хреновин прилагалась бумажко с gpl license - и именно из-за использования openssl.
ибо нехрен.
| | |
| |
| 3.39, zanswer CCNA RS and S (?), 14:09, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Таковыми не обладал, но более чем уверен, что среди литературы, что прилагается к устройство есть указание на то, что оно содержит те или иные компоненты под GPL.
Бегло посмотрел Security Advisories и да, я был прав, Cisco ACE использует OpenSSL и учитывая, что она давно EOS и EOL, то не о какой новой версии OpenSSL речь конечно не идёт. Хотя у Cisco вполне возможно и есть собственная реализация TLS конечно, в каких-то других продуктах.
| | |
| |
| 4.43, пох (?), 14:16, 13/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> к устройство есть указание на то, что оно содержит те или
> иные компоненты под GPL.
хуже, именно openssl и есть эта (и единственная) компонента (и еще xml/xslt они очень раньше любили тащить куда надо и куда не надо).
> о какой новой версии OpenSSL речь конечно не идёт. Хотя у
> Cisco вполне возможно и есть собственная реализация TLS конечно, в каких-то
> других продуктах.
наоборот, если где и была, ее давно радостно выкинули на помойку.
Индусы по другому не умеют. А кроме них, увы, никого.
Я тут посмотрел (не спрашивайте меня, зачем и как угораздило - каждый может с бодуна упасть разинутым хлебальником прямо в яму с навозом) вот это:
https://www.youtube.com/watch?v=eP5lQBZOTgE
- дальше момента, когда (второй) чувак представляется, можете не смотреть. Это все, что вам надо знать о циске и ее разработчиках. (ну и об nginx+ тоже, но там кто бы сомневался)
| | |
| |
| 5.53, Аноним (-), 16:48, 13/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
И openssl не под gpl, и не единственный это опенсоурсный компонент, и вообще ты напыщенный дурак, нахватавшийся верхушек.
| | |
|
|
|
| 2.42, Аноним (-), 14:15, 13/12/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> GPL программные продукты, включая OpenSSL
Сразу видно эксперта.
| | |
| |
| 3.44, zanswer CCNA RS and S (?), 14:25, 13/12/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Я не утверждал, что OpenSSL под GPL, хотя согласен, что выглядит предложение двояко.
С другой стороны, даже если представить, что я ошибся в лицензии на OpenSSL, вряд ли это коренным образом меняет суть сказанного в контексте того, что Cisco активно использует OpenSource продукты для создания своих без сомнения проприетарных продуктов.
| | |
|
| 2.62, Нанобот (ok), 19:11, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > GPL программные продукты, включая OpenSSL.
Насколько я помню, у openssl не GPL. Сам внедрял его в проприетарный продукт
| | |
| |
| 3.64, irinat (ok), 19:17, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > Насколько я помню, у openssl не GPL.
А софту под GPL нужно ещё и дополнительное разрешение к лицензии добавлять, чтобы пользователи этого софта могли его линковать с OpenSSL. Есть (были?) там какие-то проблемы совместимости.
| | |
| |
| 4.80, пох (?), 17:33, 14/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
в мусорке, куда я перекладывал их бумажные копии из каждой очередной коробки с циской - смотрятся совершенно одинаково.
| | |
|
|
|
| 1.36, Аноним (-), 13:47, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
То самое чувство, когда Facebook не зря сделал onion зеркало своего сайта.
| | |
| 1.45, Ващенаглухо (ok), 14:29, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Питоновский скрипт че то не работает.
Cannot connect to server: [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] sslv3 alert handshake failure (_ssl.c:777)
| | |
| |
| 2.46, Ващенаглухо (ok), 14:46, 13/12/2017 [^] [^^] [^^^] [ответить]
| +/– | |
С сайта зеленая табличка:))
This host does not support RSA encryption ciphers.
This is ideal!
| | |
|
| 1.68, ALex_hha (ok), 20:02, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые.
просвети об этом парней из Рэдмонда, а то они по ходу не в курсе
| | |
|
