Исходное сообщение
"В OpenSSL обнаружена критическая уязвимость, которая..." Отправлено Аноним, 08-Апр-14 13:47
> мягко намекаю, что *уже* есть куча софта, которая использует OpenSSL. При том большинство оного по факту использует сие в виде декоративной бесполезной ширмы - мол, а мы типа тоже умеем шифрование \m/ \m/. Правда, никто не проверяет, тот ли сертификат приехал от сервера, и уж конечно никто не париться указать либе секурные алгоритмы. Тем более что в TLS/SSL еще и ремотный сервер мнение имеет. А там его либа и его дефолты. Подпихнет он тебе DES какой-нибудь, и никто и не пикнет. Каким ауторити эта ... по дефолту доверяет в конкретной системе/инкарнации - без поллитра не разберешься. А если этого мало и ты хочешь поиметь мнение о квалификации разработчиков конкретно OpenSSL, посмотри на ченжлог свежих версий Tor, чувакам пришлось воркэраундить эталонный кретинизм авторов SSLной либы: если попросить аппаратное ускорение шифрования....аппаратный генератор случайных чисел просто напрямую выдается как есть, остальные источники энтропии за каким-то лешим отправляются в пешее(!!!). Подмешивать вывод аппаратного генератора к чему-то еще? Ну что вы, как можно! А как АНБ будет ключи подбирать?! А потом вот так через несколько годиков окажется что генератор случайных чисел у интела не совсем случайный, и чего? Дебиан номер два, опять рекеить все машины, теперь те которые с RDRAND? Как видишь, мое мнение что авторы openSSL долбодятлы возникло не на пустом месте. > поскольку я вижу тут любителя nacl, то я так понимаю, что оный любитель > успешно патчит софт для использования nacl. Нет, ты неправильно понимаешь. Любитель нашел хорошую вещицу и осознал что теперь для новых дизайнов будет пользоваться чем-то таким. >  (иначе он просто балабол) - Парни, этот самолет старый, он выработал свой ресурс! Сдайте на металлолом! - Что? Где твои инструменты?! А ну чини эту рухлядь давай! - Парни, его списать надо. Это единственный вариант. Е#$%тся! - Балабол!!! А ну давай заплатки накладывай! - (сматывая удочки) Ну ок, удачного полета. Я не знаю, как понятнее объяснить что общая гнилость фюзеляжа никак не лечится одной-двумя заплатками? > вот и спрашиваю: где патчи-то взять? Я думаю пример с самолетом хорошо объясняет ситуацию. Если весь фюзеляж от многочисленных взлетов и посадок в микротрещинах, единственное что с ним можно сделать - сдать в металлолом. Нет никакого способа починить глобально разваливающуюся конструкцию. Нет, одна-две заплатки ситуацию не исправят. API OpenSSL - это одна из больших проблем, вносящих свой вклад в галимую секурность софта который этим пользуется. Единственный фикс - сделать заново. Но ты в своем праве лететь гнилым самолелом. Я честно предупредил что он может развалиться в воздухе, а дальше у каждого своя голова на плечах.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> мягко намекаю, что *уже* есть куча софта, которая использует OpenSSL. > При том большинство оного по факту использует сие в виде декоративной бесполезной > ширмы - мол, а мы типа тоже умеем шифрование \m/ \m/. > Правда, никто не проверяет, тот ли сертификат приехал от сервера, и > уж конечно никто не париться указать либе секурные алгоритмы. Тем более > что в TLS/SSL еще и ремотный сервер мнение имеет. А там > его либа и его дефолты. Подпихнет он тебе DES какой-нибудь, и > никто и не пикнет. Каким ауторити эта ... по дефолту доверяет > в конкретной системе/инкарнации - без поллитра не разберешься. > А если этого мало и ты хочешь поиметь мнение о квалификации разработчиков > конкретно OpenSSL, посмотри на ченжлог свежих версий Tor, чувакам пришлось воркэраундить > эталонный кретинизм авторов SSLной либы: если попросить аппаратное ускорение шифрования....аппаратный > генератор случайных чисел просто напрямую выдается как есть, остальные источники энтропии > за каким-то лешим отправляются в пешее(!!!). Подмешивать вывод аппаратного генератора > к чему-то еще? Ну что вы, как можно! А как АНБ > будет ключи подбирать?! А потом вот так через несколько годиков окажется > что генератор случайных чисел у интела не совсем случайный, и чего? > Дебиан номер два, опять рекеить все машины, теперь те которые с > RDRAND? Как видишь, мое мнение что авторы openSSL долбодятлы возникло не > на пустом месте. >> поскольку я вижу тут любителя nacl, то я так понимаю, что оный любитель >> успешно патчит софт для использования nacl. > Нет, ты неправильно понимаешь. Любитель нашел хорошую вещицу и осознал что теперь > для новых дизайнов будет пользоваться чем-то таким. >> (иначе он просто балабол) > - Парни, этот самолет старый, он выработал свой ресурс! Сдайте на металлолом! > - Что? Где твои инструменты?! А ну чини эту рухлядь давай! > - Парни, его списать надо. Это единственный вариант. Е#$%тся! > - Балабол!!! А ну давай заплатки накладывай! > - (сматывая удочки) Ну ок, удачного полета. > Я не знаю, как понятнее объяснить что общая гнилость фюзеляжа никак не > лечится одной-двумя заплатками? >> вот и спрашиваю: где патчи-то взять? > Я думаю пример с самолетом хорошо объясняет ситуацию. Если весь фюзеляж от > многочисленных взлетов и посадок в микротрещинах, единственное что с ним можно > сделать - сдать в металлолом. Нет никакого способа починить глобально разваливающуюся > конструкцию. Нет, одна-две заплатки ситуацию не исправят. API OpenSSL - это > одна из больших проблем, вносящих свой вклад в галимую секурность софта > который этим пользуется. Единственный фикс - сделать заново. Но ты в > своем праве лететь гнилым самолелом. Я честно предупредил что он может > развалиться в воздухе, а дальше у каждого своя голова на плечах.
	Введите код, изображенный на картинке: