> деньги, скорее всего, нереален (а за неразумное бесполезен - Поэтому гугл и мозила объявили награду и многие баги им стали заносить горяченькими на блюдечке. Тоже вариант.
> А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода.
Однако код в целом достаточно жирный и наворачивают его достаточно активно. Поскольку ресурсов у них меньше, проблема остается.
> Вполне можно было аккуратно его просмотреть.
Чтобы такой объем кода аккуратно просматривать - надо все каверити припахать и периодически повторять. И даже так что-нибудь может проскочить.
> (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-)
А может и ему. Откуда ты знаешь что все блэкхэты на черном рынке делают?
> ну а как иначе-то? Это как раз базовое требование - заманаешься ты
> вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили,
Ну тогда и баги в комплекте уж извольте. Тут уж или простое и безглючное, или нафиченое но извольте баги собирать.
> и нормальное разделение привиллегий хотели, а не ту имитацию, что позволяет
> только весь код целиком запустить как виндовый service.
В линухе даже что-то такое есть, немного кривоватое но работает. Как оно в винде работает хрен бы его знает.
> нет, Б-же упаси! Просто это на порядок снижает требуемую квалификацию аудитора -
> одно дело, быстренько пробежаться по используемым примитивам libcrypto,
Проблема в том что либы тоже надо бы аудитить. Как показал openssl - его писали те кто лишь чуть лучше упомянутых. SSL и TLS сами по себе очень сложные, там много фич, позволяющих все нагнуть креативом со стороны атакующего.
> ну так в нем, помимо опен-совместимости, еще свой отдельный протокол, и сама
> структура гораздо сложнее. А размер все еще довольно разумный.
Все познается в сравнении. У "просто vpn" бинарь кил 50. У цуки бинарь мега три.
> называют, и тут же забил на проект.
Иппонец забил а дело живет. На то оно и опенсорс.
> они-то и к нормальному ipsec-концентратору могут коннектиться.
Я не думаю что это интересует большинство пользователей цуки.
> Но его, во-первых, из дерьма и палок не очень-то соберешь, во-вторых
, нафиг не упало. Ставят несколько впн серверов и используют более вменяемые протоколы. Не застревающие на половине роутеров, фаеров и натов по дороге и не требующих phd для конфигурирования.
> вот это - действительно, сцуко сложно.
Поэтому ipsec-ом мало кто пользуется. Тупиковая ветвь эволюции. Его даже из mandatory в ipv6 убрали - все очень уж плевались на такое требование в mandatory при таком уровне использования. Много работы и при том вникуда. На конкурентное преимущество не тянет.
> Ну и до кучи - примитивный udp-туннелинг, в отличие от энтерпрайзных технологий,
> внезапно оказался нечувстителен ни к натам, ни к кривым файрволлам без
> дополнитеных танцев с граблями.
Есть такая штука - overengineering. До добра он еще никого не доводил. Это касается и многих других протоколов семейства "designed by committee". Что SIP, что XMPP какой. Тоже переусложненные и кривые вещицы не от мира сего. Потом приходит какой-нибудь выскочка и делает в 20 раз проще и в 5 раз лучше. Работает этот мир так.