| 1.6, Тот_Самый_Анонимус (?), 12:11, 08/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –13 +/– | |
>Для обхода данной несовместимости GPL-проекты вынуждены были применять специфичные лицензионные соглашения, в которых основной текст GPL дополнялся пунктом, явно разрешающим связывание приложения с библиотекой OpenSSL и упоминающим, что требования GPL не распространяется на связывание с OpenSSL.
Это не проблема других лицензий же, так ведь, гпльщики?
Когда гпл ворует код из апача и нет возможности вернуть его обратно из-за паразитности гпл, то вы говорите что это проблема апача. Интересно что вы скажите про этот случай. Жду применения шаблона «это другое, понимать надо» и доказательств того, что стрелочка обратно не поворачивается.
| | |
| |
| 2.8, пох. (?), 12:15, 08/09/2021 [^] [^^] [^^^] [ответить]
| –6 +/– | |
> Это не проблема других лицензий же, так ведь, гпльщики?
конечно проблема - мы создадим им массу грабель - вплоть до несобираемости нашим единственно-верным компилятором.
И да, очень интересно, а автора ssleay они спросили?
| | |
| |
| 3.73, Аноним (73), 23:00, 08/09/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> И да, очень интересно, а автора ssleay они спросили?
Спросили всех контрибуторов в OpenSSL, и это вообще-то многомесячный процесс был, ото всех ответы получить.
| | |
|
| 2.10, Аноним (10), 12:21, 08/09/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
В лицензии Apache это by design. Если бы использующим эту лицензию это не нравилось, они взяли бы другую, но их, очевидно, всё устраивает.
| | |
| |
| 3.57, Тот_Самый_Анонимус (?), 18:38, 08/09/2021 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>В лицензии Apache это by design.
В приведённой мною цитате страдали именно гпльщики. Своими оценками поделились семеро, а мнение почему-то не высказали. Мне бы хотелось услышать их мнение почему «это другое», и почему они позасовывали языки кой-куда, вместо того, чтобы объяснить, почему такое возможно с божественной лицензией.
| | |
|
| 2.66, anonymous (??), 20:42, 08/09/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты в курсе, что в мире софта GPLесть достойные библиотеки? Я тебе их перечислю: GnuTLS, Libgcrypt, Nettle. Выбирай какая больше нравится и подходит под твои задачи.
| | |
| |
| 3.84, Тот_Самый_Анонимус (?), 05:27, 09/09/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Как это оправдало страдания гпльщиков, вынужденных есть кактус, как в приведённой цитате? Дан конкретный пример, и вопрос был почему в этом случае страдания оправданы. Не как этого избежать, а почему это хорошо и «это другое».
| | |
| |
| 4.126, anonymous (??), 20:57, 11/09/2021 [^] [^^] [^^^] [ответить]
| +/– |
Люди, которые ценят свою свободу и чистоту кода не буду пользоваться лицензиями отличными от GPL. Ответ достаточный?
| | |
|
|
| 2.67, Аноним (67), 21:10, 08/09/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ничего ты не понимаешь. Это другое. Когда используют код ГПЛ и не раскрывают свой - это воровство. А когда ГПЛ использует чужой код делая непозволительные собственной лицензией действия - это щедрость. Так что раньше, когда проекты гпл использовали опенссл, это опенссл воровал код, но гпл своей доброй волей их прощал.
| | |
| |
| 3.104, Аноним (104), 23:33, 09/09/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вы так говорите, как будто это плохо. Хотя в bsd-like лицензиях черным по белому написано "используйте и унижайте меня как хотите, мне это нравится".
| | |
|
|
| |
| 2.11, Аноним (10), 12:23, 08/09/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Были PR, зависти в бесконечном кругу "долго ждУТ ревью – ещё дольше ждут исправлений после review – GOTO 10" с экспоненциальным увеличением времени ожидания на каждой итерации.
| | |
| 2.13, Аноним (13), 12:24, 08/09/2021 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>В libcrypto реализована концепция подключаемых провайдеров, ... При помощи провайдеров можно добавлять собственные реализации алгоритмов для таких операций как шифрование, расшифровка, формирование ключей, вычисление MAC, создание и проверка цифровых подписей.
Если стрибогим кузнечикам надо, сами добавят.
| | |
| |
| 3.44, Аноним (44), 16:47, 08/09/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
На AES лапу-то поднять стрёмно. Кушайте АНБшной криптографии, не обляпайтесь.
| | |
| |
| 4.91, Аноним (90), 11:57, 09/09/2021 [^] [^^] [^^^] [ответить]
| –7 +/– |
Какое у вас бинарное мышление, "есть крипта не подчиняется товарищу майору, значит она АНБ-шное". По другому мыслить не умеете.
| | |
| |
| 5.94, Аноним (73), 12:46, 09/09/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
Это вам везде товарищи майоры мерещатся. А тут скорее ситуация, что есть нога кого надо нога, а есть нога людей второго сорта, их интересы как бы и не важны.
| | |
| 5.103, Аноним (104), 23:31, 09/09/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Какое у вас бинарное мышление, "есть крипта не подчиняется товарищу майору, значит она АНБ-шное".
Докажите, что оно не АНБ-шное. В случае с зондами от товарища майора - доказательство тривиально.
| | |
| |
| 6.111, Аноним (111), 10:54, 10/09/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> В случае с зондами от товарища майора - доказательство тривиально.
Что-то вроде Бритвы Мицгола, да?
| | |
|
|
|
|
| 2.29, nmorozov (ok), 15:14, 08/09/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Алгоритмы ГОСТ добавляются отдельным модулем. Кстати кроме указанного ченжлога в билиотеке есть заментное кол-во улучшений связанных именно с русской криптографией (ну и с китайской тоже)
| | |
| |
| |
| |
| |
| 6.119, Michael Shigorin (ok), 12:56, 11/09/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Мне вот интересно -- ляпающие подобное вообще хоть в чём-то _для себя_ разобрались или слепо верят во всё, что в книжке (или на лопате), а чтоб как-то вроде бы как самооправдаться -- пытаются остро шютить?..
| | |
|
|
|
| 3.77, Аноним (73), 23:14, 08/09/2021 [^] [^^] [^^^] [ответить]
| +/– |
Кстати, китайскую, корейскую и японскую криптографию почему-то приняли в OpenSSL как внутренние алгоритмы с доступом через EVP API. А русскую криптографию единственную заставили переписать в виде ENGINE, механизм который вообще-то используется для подключения аппаратных шифроустройств. И использование алгоритмов через ENGINE естественно сложнее, чем просто через EVP API.
| | |
|
| |
| |
| 4.49, Аноним (33), 18:05, 08/09/2021 [^] [^^] [^^^] [ответить]
| +/– |
Это криптография, солнышко, тут нужны пруфы что они безопасны. Нет алгоритма генерации сбоксов - нет пруфов. Нет пруфов - нет безопасности. Повторяю, они небезопасны.
| | |
| |
| 5.59, Аноним (111), 18:47, 08/09/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вся симметричная криптография - это security through obscurity.
Вся ассиметричная основана на недоказанных предположениях.
| | |
| 5.120, Michael Shigorin (ok), 12:58, 11/09/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Это криптография, солнышко, тут нужны пруфы что они безопасны.
Вы готовы принимать такие доказательства на веру? (что неспособны их проверить -- и так вижу)
| | |
|
| 4.54, Анон123амм (?), 18:13, 08/09/2021 [^] [^^] [^^^] [ответить]
| –4 +/– |
это там где для с-бокса, который должен быть рандомным, удалось написать код который его генерит, причем код в 4 раза меньше самого с-бокса, БУГАГА очень "безопасное" шиврование да!
| | |
| |
| |
| 6.81, Аноним (81), 03:16, 09/09/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я читал такое объяснение ситуации: некоторые варианты конфигурации могут быть слабее остальных. Никто не доказал, что выбранные значения слабые. Случайные же значения могут быть более слабыми, чем задумано.
| | |
|
| 5.96, Аноним (73), 14:36, 09/09/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
А в AES S-box тоже не рандомный, но никого это почему-то не беспокоит
| | |
| |
| 6.112, Аноним (111), 10:55, 10/09/2021 [^] [^^] [^^^] [ответить]
| +/– |
AES S-box сделан в соответствии с принципом "У меня в рукаве ничего нет".
| | |
|
|
|
|
|
| 1.12, suffix (ok), 12:24, 08/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 "QUIC is on our minds, but it will not be included in the OpenSSL 3.0 release."
Значит пока в топку, ждём дальше.
| | |
| |
| 2.28, Аноним (104), 15:10, 08/09/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Значит пока в топку, ждём дальше.
Не стоит. QUIC - это местечковый гугловый продукт, все, кто не гугл, используют его на свой страх и риск. Гугловцы допиливают его очень активно, и стандартизированные версии быстро устаревают. Поэтому, если нужен QUIC, кроме BoringSSL вариантов нет.
| | |
| |
| 3.30, suffix (ok), 15:17, 08/09/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> кроме BoringSSL вариантов нет.
Сейчас да, но через пару лет (год на пока openssl разродится и год пока nginx интегрирует)надеюсь все болячки протокола уже победят.
Так что я очень неспешно жду :)
| | |
| |
| 4.31, Аноним (104), 15:23, 08/09/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
К тому времени гугловцы QUIC уже задепрекейтят и забросят, и сделают какой-нибудь FAST (HTTP/7) поверх DCCP :)
| | |
|
| 3.61, qwerty (??), 19:35, 08/09/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Помниться где то читал, что это будующий http 3 или 4, сколько их там уже. Или я его с чем то путаю?
| | |
|
|
| 1.14, Аноним (14), 12:27, 08/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Теперь старым играм и эту либу подкладывать придётся. Ну, чо, не в первый раз.
| | |
| |
| 2.50, Аноним (33), 18:06, 08/09/2021 [^] [^^] [^^^] [ответить]
| +/– |
Это что за игры которые либо нельзя пересобрать, либо не таскают с собой все библиотеки?
| | |
|
| 1.40, Аноним (111), 16:37, 08/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Такая масштабная поломка API требует слоя совместимости со старыми программами. Чтобы можно было слинковать со слоем совместимости, который будет оборачивать новый API, и старые программы получили security-апдейты.
| | |
| |
| 2.51, Аноним (33), 18:08, 08/09/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Под старыми программами вы подразумеваете программы которые не развиваются (иначе у них бы не было проблем перейти на новую версию openssl). Но такие программы сами по себе не получают security-апдейты, зачем им апдейты openssl? Другими словами, они априори дырявое гнильё, версией openssl это не вылечить.
| | |
| |
| 3.58, Аноним (111), 18:43, 08/09/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Весь софт - гнильё, недырявых программ и библиотек не бывает, включая openssl новейшей версии. Да и вообще valar morghulis, улавливаешь?
| | |
|
|
| 1.55, Аноним (55), 18:21, 08/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Осуждаю за сломанный abi. Если до 23 года не придумают какой-нибудь враппер, который позволит работать десктопным приложениям без перекомпиляции, это будет фейл.
| | |
| |
| 2.75, Аноним (76), 23:02, 08/09/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Позволь поинтересоваться, ты в мире опенсорса или как? Неизменное ABI это для клозетсорщиков. Перекомпиляция при открытых исходниках это нормальное явление.
| | |
| 2.97, Аноним (33), 14:38, 09/09/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Никаких врапперов не будет, и это правильно. И не вижу с чем у вас проблема - что за непонятное желание обновить OpenSSL не обновляя софт его использующий? Хотите сидеть на гнилье - сидите на гнилье. Хотите свежего - будет свежий софт со свежим OpenSSL. ABI надо чуть ли не специально ломать, чтобы усложнить жизнь таким вот некрофилам. А то вы же ещё и issue пишете со своими странными хотелками, время сообщества тратите.
| | |
| |
| 3.100, Аноним (111), 17:57, 09/09/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Этот фанат Xiaomi/Huawei/Oppo/OnePlus/ZTE/realme порвался, уносите.
| | |
| 3.110, Аноним (110), 10:23, 10/09/2021 [^] [^^] [^^^] [ответить]
| +/– |
Проблема в том, что некоторый софт обновится, а некоторый нет. А DLL hell никак не решается
| | |
|
|
| 1.69, Ilya Indigo (ok), 21:53, 08/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Новая ветка включает изменения, нарушающие обратную совместимость на уровне API и ABI
Это реально ВСЁ что она содержит!
> но изменения не повлияют на работу большинства приложений, для перевода которых с OpenSSL 1.1.1 достаточно пересборки.
Ага!
https://build.opensuse.org/staging_workflows/openSUSE:Factory (зарегиться для OBS на SuSE нужно)
Staging:Gcc7 openssl-3
Там дохренища несобранных приложений (пока не соберётся (красный цвет) кол-во не собравшихся приложений будет не полным).
| | |
| |
| |
| 3.122, Michael Shigorin (ok), 13:10, 11/09/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Попробуйте выкинуть доистрический компилятор для начала.
Деточка, опять же с этим сперва к своему работодателю (можно непосредственному начальнику) -- для начала посмотрев версию gcc в каком-нить centos7. Вот _там_ -- нет, не доисторическая, а по меркам эксплуатационщиков всего лишь почти вчерашняя.
| | |
| |
| 4.124, Аноним (81), 13:25, 11/09/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Это не отменяет того, что актуальный софт зачастую не поддерживается доисторическими компиляторами и в лучшем случае кое-как собирается. А вот хамить не обязательно, я тоже могу тебе поводить кое-чем по губам, да вот тебе не понравится, ага?
| | |
|
| 3.131, Аноним (131), 11:43, 05/12/2021 [^] [^^] [^^^] [ответить]
| +/– |
gcc-10, Gentoo.
В системе порядка 2700 программ. Из них порядка 130 - требуют openssl.
Переход на версию 3.0.0 был остановлен после достижения 15-ти пакетов, сборка которых обломалась с сообщением "Deprecated in version >= 3.0.0".
Так что версия 3+ ещё не готова к повсеместному внедрению не потому, что OpenSSL 3.0.0 такой кривой-косой или компилятор тупой, а потому что некоторые прикладные программы завязаны на особенности ветки OpenSSL версии 1.1.1. Т.е. без переделывания самих прикладных программ забуксуем на ветке 1.1.1.
| | |
|
|
| 1.74, Andrey_Karpov (ok), 23:02, 08/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Кто про что, а меня интересные баги интересуют. На этот раз приглянулось:
static int dh_cmp_parameters(const EVP_PKEY *a, const EVP_PKEY *b)
{
return ossl_ffc_params_cmp(&a->pkey.dh->params, &a->pkey.dh->params,
a->ameth != &ossl_dhx_asn1_meth);
}
Предупреждение PVS-Studio: V751 Parameter 'b' is not used inside function body. dh_ameth.c 312
Классика :) https://pvs-studio.com/ru/blog/posts/cpp/0509/
| | |
| |
| 2.78, пох. (?), 23:22, 08/09/2021 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> return ossl_ffc_params_cmp(&a->pkey.dh->params, &a->pkey.dh->params,
эпоха копипастеров :-( это вот насколько ж надо не уметь пользоваться клавиатурой, чтобы тут было быстрее (и неправильно) скопировать чем вручную набрать?
вряд ли такой ляп можно внести руками.
| | |
| 2.98, Аноним (33), 14:41, 09/09/2021 [^] [^^] [^^^] [ответить]
| –3 +/– |
Это определяется как warning обычным компилятором, для этого проприетарный анализатор который рекламируют спамом и враньём, и который на деле недалеко ушёл от тех же варнингов, а до взрослых анализаторов типа cppcheck ему вообще как до китая раком, для этого не нужен.
| | |
| |
| 3.101, Аноним (73), 18:42, 09/09/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Я сообщений про PVS-Studio за последние 12 месяцев видел, даже не помню сколько, но точно меньше 10 штук. Не тянет на спам.
Потока вранья от Андрея тоже не вижу.
И может потрудитесь дать ссылку на какое-нибудь сравнение анализаторов, которое доказывает, что "до взрослых анализаторов типа cppcheck ему вообще как до китая раком" ?
А то как-то балабольством попахивает, аж 3 раза.
| | |
| |
| 4.102, Аноним (33), 21:47, 09/09/2021 [^] [^^] [^^^] [ответить] | +/– | Вы наверное профильных ресурсов вовсе не читаете Так-то моя бабушка тоже не вид... большой текст свёрнут, показать | | |
| |
| 5.105, Аноним (73), 00:04, 10/09/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Спасибо за объяснение. Да, рассылка на спам пожалуй потянет. А на ЛОРе же вроде Андрей раньше спамил, а потом перестал, встал на путь исправления так сказать? Или нет, просто не очень слежу? А публикации на Хабре где были, на своём канале? Если да, то все коммерческие компании свои каналы на Хабре и других площадках как раз для саморекламы и используют, это обычная практика, я бы не назвал это спамом если Хабр не пихает те статьи в ленту всё время.
А про враньё Андрея и низкий уровень PVS-Studio относительно cppcheck и других есть что-то? Как-то хочется верить в хорошее в людях.
| | |
| |
| 6.117, Аноним (33), 15:56, 10/09/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Залогинься, Андрей. Уж лучше оправдывайся чем из-под анонима себя пытаться выгородить, выглядит как детский сад.
| | |
|
|
|
| 3.123, Michael Shigorin (ok), 13:13, 11/09/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> а до взрослых анализаторов типа cppcheck
Деточка, сообщить миру "хочу на мороз" можно проще и прямее.
И да, всякому хамству есть мера. Тем более, повторюсь, прям в рабочее время из AS208722.
| | |
| 3.128, Andrey_Karpov (ok), 11:49, 13/09/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Это определяется как warning обычным компилятором
Хочется внести ясность. Судя по комментариям многие подумали, что анализатор PVS-Studio предупреждает про неиспользуемый аргумент функции. Это не совсем так. Вернее, это так, но анализатор действует более умно, чем большинство линтеров или компиляторов.
Просто ругаться на неиспользуемые аргументы - плохая идея. Будет очень много ложных срабатываний, и именно поэтому многие программисты не смотрят (отключают) эти предупреждения компиляторов/анализаторов.
В анализаторе реализуется некая эмпирическая "магия". PVS-Studio опирается на то, что есть однотипные аргументы, и при этом некоторые из них не используются, в то время как некоторые используются несколько раз. При этом действует ещё ряд дополнительных исключений из правила. Например, диагностика не сработает, если число неиспользуемых аргументов больше двух.
Всё это позволяет диагностике V751 выдавать мало ложных срабатываний, что выгодно отличает инструмент от аналогов - https://pvs-studio.com/ru/blog/posts/0802/ . Собственно, при разработке PVS-Studio не реализуются правила, если невозможно их сделать лучше, чем у компиляторов. Благодаря описанной диагностике, удаётся находить вот такие интересные ошибки - https://pvs-studio.com/ru/blog/examples/v751/ .
P.S. В анализаторе PVS-Studio есть и "тупой" вариант этой диагностики - V2537 - https://pvs-studio.com/ru/docs/warnings/v2537/ . Она разработана для проверки соответствия кода программы стандарту MISRA C и MISRA C++. Но это особенный случай, и по умолчанию эта диагностика отключена, как и все остальные диагностики, относящиеся к MISRA.
| | |
|
|
| 1.109, Аноним (110), 10:22, 10/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>> Реализован полноценный клиент для протоколов HTTP и HTTPS, поддерживающий методы GET и POST
Кто-то может объяснить что это и зачем? А метод PUT и другие?
| | |
| 1.113, mumu (ok), 11:35, 10/09/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 > Реализован полноценный клиент для протоколов HTTP и HTTPS, поддерживающий методы GET и POST
Ой. Мелькание в заголовках с очередной найденной дырой в реализации этого клиента в ближайшие пять лет им обеспечено. План был именно в этом?
| | |
| |
| 2.132, Аноним (131), 17:29, 05/12/2021 [^] [^^] [^^^] [ответить]
| +/– | |
с AES-128 та же история - примерно в 6 раз ускорилась операция.
Как я понял - в ветке 3.0.0+ задействованы оптимизации под фичи новых процессоров. Именно поэтому операции расчёта AES так ускорились.
| | |
|
|
