| |
| 1.1, пох (?), 09:56, 28/09/2017 [ответить] [показать ветку] [···] [к модератору]
| +3 +/– | |
"мы аудитили-аудитили, да так и не выаудитили".
Напомним, что аудит был инициирован фондом OSTIF (Open Source Technology Improvement Fund) и выполнен французской компанией QuarksLab, которая уже привлекалась для аудита проекта VeraCrypt.
так что имейте в виду.
|  | | |
| |
| |
| |
| |
| |
| |
| 7.24, Аноним (-), 11:42, 29/09/2017 [^] [ответить] [к модератору]
| +1 +/– | |
> его --help не умещается на монитор. Это показатель.
man --help тоже не умещается на монитор. Это тоже показатель.
Писши исчо, аналитег!
| | | |
| 7.28, пох (?), 13:06, 29/09/2017 [^] [ответить] [к модератору]
| +/– |
> Ты вообще сорец openvpn видел? Впн может быть в 50 раз проще.
> Но openvpn покусал энтерпрайз. Он даже после 10 аудитов будет с
их недопрочитанная книжка по ipsec'у покусала - они хотели сделать "все так же, но попроще" (все кто делали по книжке, напарывались на миллиарды проблем с совместимостью). отсюда миллиард настроек и стопиццот вариантов авторизации, "как у больших".
при этом код у них, полагаю, не настолько плох, как можно подумать - серьезных проблем именно в коде, а не очередном heartbleed, за всю историю было крайне мало.
А вот чем занимались лягушатники-аудиторы и стоит ли им доверять в других случаях - вопрос, по-моему, уже не открыт, а закрыт.
| | | |
|
| 6.32, Andrey_Karpov (ok), 17:10, 30/09/2017 [^] [ответить] [к модератору]
| +/– | |
Тот-кого-нельзя-называть, просто хочет оставить маленький комментарий
> ты будешь смеяться, но долбаться он будет прежде всего со своим кодом, переделывая его так, чтобы свести количество срабатываний к нулю. Тяжелая и нудная работа (хотя и весьма полезная). Без нее просто бестолку связываться с pvs, и с конкурентами тоже. Можно разово прогнать (это-то бесплатно), наковырять пару ошибок, и гордиться собой, но это совершенно не означает что еще пара сотен не осталась в коде, или не будет внесена прямо сейчас. Оно тебе об этом даже сообщает, но в куче срабатываний, вызванных просто неаккуратным кодом, ты этого не заметишь.
Есть ещё один вариант. Отложить существующие баги на потом, и анализировать для начала только новый код. Это не подходит, если речь идёт о поисках потенциальных уязвимостей. В этом случае неважно, старый баг или новый. Но с точки зрения легкого начала использования - очень хороший вариант. Старые ошибки, как правило не так существенны, как новые (работает ведь как-то, я серьезное уже исправлено). Подробнее: https://www.viva64.com/ru/m/0032/
|  | | |
|
|
|
|
| 2.5, Волосатый шмель (?), 12:04, 28/09/2017 [^] [ответить] [к модератору]
| –2 +/– | |
> Для большинства пользователей проблема не представляет опасности, так как проявляется только при явном включении в настройках режима "key method 1", который давно помечен как устаревший
Видимо, из-за этого аудиторам было [ник комментатора выше] на такую уязвимость.
| | | |
| |
| 3.10, пох (?), 13:03, 28/09/2017 [^] [ответить] [к модератору]
| –1 +/– | |
> Видимо, из-за этого аудиторам было [ник комментатора выше] на такую уязвимость.
скорее, они просто очень хотели побыстрее смузи и новый ипхон на вырученные деньги.
Представь (я понимаю, сложно) себя на месте админа - который лет пять назад включает этот режим для совместимости с необновляющимися юзерами, давно про него забыл (все ж работает, никаких указаний что "устаревшее" еще и опасно, а не просто отключает ненужный улучшизм в протоколе, нет), или вовсе уволился, сервис при этом старательно обновляют, считают надежным, вон, аудит же ж прошел!
разработчики, в принципе, тоже так думают, и не идут путем openssh, у которого то dsa auth отвалится без объявления войны, то ssh1 из клиента (клиента, блин!) выпилят то еще что улучшат (а roaming, в котором уже была дыра, нежно берегут), еще через пару лет подумывают может выпилить.
| | | |
| |
| 4.18, name (??), 20:38, 28/09/2017 [^] [ответить] [к модератору]
| +/– |
Не, так то openvpn пишет в доги про deprecated ключи. А вот если админ периодически не смотрит в логи, то ты сам понимаешь (я очень надеюсь), кем он становится.*
| | | |
| |
| 5.19, angra (ok), 00:04, 29/09/2017 [^] [ответить] [к модератору]
| +2 +/– | |
> А вот если админ периодически не смотрит в логи, то ты сам понимаешь (я очень надеюсь), кем он становится.*
Если когда-нибудь ты вырастешь из админа локалхоста до полноценного, то с удивлением обнаружишь, что в нагруженных системах в логах за час набегает больше текста, чем ты прочитал за всю свою жизнь.
|  | | |
| |
| 6.20, user (??), 00:19, 29/09/2017 [^] [ответить] [к модератору]
| +/– |
Сколько напыщенности. Я так понимаю Полноценные Ынтырпрайз(тм) админы всё же логи не перечитывают периодически (пусть даже бегло)? Или только когда всё сломалось? И, да логи нагруженных систем(тм), которые льются по нескольку гигабайт в сутки, анализируются полуавтоматом, хотя бы по ключевым фразам. И, да, OpenVPN с дефолтным логгированием не особо активно пишет логи, даже под нагрузкой ~50 пользователей на сервер.
| | | |
| |
| 7.23, пох (?), 09:45, 29/09/2017 [^] [ответить] [к модератору]
| –1 +/– | |
> Много там набегает текстов у опенвпна?
если ты тоже не видел vpn-серверов не на 50 юзеров, то у меня для тебя плохие новости...
> grep -ie "depricated\|error\|warning" для слабаков?
когда заранее знаешь правильный ответ? (кстати, ты его не знаешь, с нашего сервера тебе этих еггогов высыплется мегабайтик, поскольку это в том числе отвалы дрянных 4g, а искомой строчки там не будет)
Софтина прошла аудит. Софтина у тебя работает много лет, регулярно, кстати, пожарно апгрейдясь на предмет дыр. Софтина нигде не заявляет что эту фичу использовать нельзя вообще, они говорят "ну мы тут что-то улучшили, хрен его поймешь чего, мы не эксперты в криптографии, так, с пятого на десятое прочитали мурзилку про ipsec, реализовав из нее то, что показалось несложно", и ломается совместимость со старыми клиентами (которые могут быть очень далеко и вовсе не люди, поэтому быстренько сбегать заставить их поапгрейдиться у тебя не получится). Попрешься ли ты по этому поводу на точку где-нибудь в трехста километрах от чудного города Когалыма, в дерьме и на морозе ковыряться с апгрейдом ржавого железа, сливающего оттуда телеметрию?
(впрочем, всезнайки, вычитавшие правильный ответ прямо на этой странице, конечно же, ответят "да")
| | | |
| |
| 8.35, пох (?), 12:28, 01/10/2017 [^] [ответить] [к модератору]
| –1 +/– | |
> Да, я заметил, что ИБ.
видимо, по неумению пользоваться grep и shell escapes, а так же невладению английским на школьном уровне? ;-)
| | | |
|
|
|
|
|
|
| 2.6, dry (ok), 12:16, 28/09/2017 [^] [ответить] [к модератору]
| +2 +/– |
Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем, а аудиторы это такие волшебники на сказочных конях и чудотворным сканером, который сразу показывает где что не так.
Увы, но дело обстоит сильно иначе, мир гораздо сложнее.
|  | | |
| |
| 3.8, пох (?), 12:52, 28/09/2017 [^] [ответить] [к модератору]
| –1 +/– |
> Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем
> а аудиторы это такие волшебники на сказочных конях
а этот баг нашел - волшебник? Или обычный разработчик, обычным методом пристального вглядывания в подозрительные места в коде - ровно тем, чем, по идее, должны были заниматься эти аудиторы?
> Увы, но дело обстоит сильно иначе, мир гораздо сложнее.
аудит бесполезная трата времени и денег, надпись "наш проект прошел аудит" - бессмысленная рекламная наклейка, я вас правильно понял?
В общем-то, если на такой надписи будет ссылка на тех же лягушатников, очевидно, именно так и следует думать.
проектик-то, кстати, весьма небольшой, криптографию за него, традиционно, делает openssl (которая сама дырява насквозь), то есть задача была, мягко говоря, не особенно и сложной.
| | | |
| |
| 4.9, Andrey Mitrofanov (?), 12:56, 28/09/2017 [^] [ответить] [к модератору]
| +/– |
>> Наивный юный мальчик видимо думает, что аудит решает все и выявляет 100% проблем
>> а аудиторы это такие волшебники на сказочных конях
> а этот баг нашел - волшебник?
Нет, поэтому ты сморозил наивнои юнно.
| | | |
| |
| 5.16, пох (?), 16:53, 28/09/2017 [^] [ответить] [к модератору]
| –2 +/– | |
> Назвать opvenvpn 2.4.x небольшим проектиком?
а что, сравнимо с той же palemoon? (сорцы - смотрел, ага)
> Нет, это еще не винда, конечно, но по сравнению с другими vpn кода там дофига и сбоку
> бантик.
стесняюсь спросить -а что вообще делает это дофига кода, если другие vpn без него обходятся (и иногда, при этом, совместимы с openvpn - см странную поделку университета цукубы)?
шифрование при этом используется готовое, tun/tap драйвер тоже готовый. privelege separation нет, конфиг отвратителен (чего стоит одно название параметра, вызвавшее уязвимость). Живет в силу своей примитивности и относительной кроссплатформенности, других положительных свойств не имея.
> И вообще, смешной ты тип. MS с своими 70 000 макак
"а у вас негров линчуют", ага.
причем бы тут - ms?
| | | |
|
|
|
|
|
|
