> ну, а что будет анонимному патчеру? аась?Потеря доверия и как минимум нужда убить заново кучу времени (годы!!!) на выращивание нового виртуала и втирание в доверие. Которое будет продолбано после очередной попытки.
В результате вкатить бэкдор ну не то что фундаметально невозможно, но намного выше риск запала и сильно выше затраты. По поводу чего на старте я по умолчанию доверять открытому коду буду зело больше чем закрытому.
> и кстати, что было автору хартблида? аась?
Во первых, автор серьезно подмочил свою репутацию. Известно кто он и прочая. И думаю теперь у него будут сложности с коммитами в security-sensitive проекты.
Во вторых, проект в целом репутацию подмочил прилично и аудит пошел изрядный. Появилась пара версий с менее ДЛБ-ским управлением и большей тщательностью приема коммитов. Вон всякие либрссл и так далее.
Но на самом деле это высветило намного более иные проблемы.
- SSL/TLS сложен и содержит кучу опций и легаси. Ну ясен фиг там будет куча багов. В любой реализации. Даже в polarssl нашли, что уж там про этого монстра говорить.
- OpenSSL вообще ДЛБскя либа. С неадекватным апи и кучей багов. И неадекватом в крипто. И дурной лицензией. Я не знаю чего все за это ГЭ так ухватились. Наверное buzzword "open" так действует.
> Короче, не парьте мне мозги.
Ну так валите на течнет и там вас поймут с рассказами о проприерасах.
> А поклонники фразы "опенсорсное фирмваре где все заведомо честно" могут
> смело выставлять технологические порты в инет - у них же всё честно
Для начала, когда BMC имеет доступ к "сетевому интерфейсу вообще" - при этом достаточно воткнуть провод с выходом в сеть. И все, вас можно поиметь. И фаер в OS на основном проце от этого не спасет.
И да, что вы хотите сказать? Что поднасироны от блобмейкеров это так и надо? Нет, мне так нафиг не надо. По поводу чего я совершенно искренне желаю блобмейкерам именно того чего они заслуживают.
