https://www.opennet.dev/openforum/vsluhforumID3/99135.html Ted Unangst опубликовал (http://www.openbsd.org/papers/eurobsdcon2014-libressl.html) интересную статью, в которой рассказал о причинах создания проекта LibreSSL (http://www.libressl.org/), привёл ретроспективу первого месяца разработки и поделился информацией о последних достижениях и планах на будущее. <br><br><br><br>Из особенностей разработки LibreSSL отмечается большая работа по развитию переносимой версии, которая разрабатывается одновременно с вариантом для OpenBSD и выпущена (http://www.opennet.ru/opennews/art.shtml?num=40184) раньше нативной редакции для OpenBSD, которая будет представлена 1 ноября в составе OpenBSD 5.6. При этом код LibreSSL завязан на генераторе псевдослучайных чисел arc4random (http://www.openbsd.org/papers/eurobsdcon2014_arc4random/index.html), реализация которого для FreeBSD и NetBSD оставляет желать лучшего и находится в заброшенном виде.<br><br><br><br>Из планов и текущих задач отмечается работа по созданию API ressl, который позиционируется в качестве замены API OpenSSL. Главными задачами при п https://www.opennet.dev/openforum/vsluhforumID3/99135.html#28 Sat, 04 Oct 2014 17:08:57 GMT &gt;&gt; Главными задачами при проектировании новго API является обеспечение непротиворечивости и простоты. (...) API будет абстрагирован от внутренностей и будет скрывать низкоуровневые манипуляции с сертификатами X.509 или ASN.1, и по сути близок к описанию защищённого транспорта поверх SSH-туннелей, предоставляя средства для установки защищённых соединений без лишних усложнений.<br>&gt; Сомневаюсь, что "усовершенствования", направленные на облегчение жизни несведущим в вопросе <br>&gt; разработчикам, есть гут.<br><br>"Несведущий" - это который не изучил в деталях все 100500 опций OpenSSL, отличия их работы от документации и между версиями OpenSSL? Ну тогда да, не сведущие они. Как и 100% оставшихся разработчиков в мире.<br> https://www.opennet.dev/openforum/vsluhforumID3/99135.html#27 Fri, 03 Oct 2014 21:52:29 GMT &gt; GPL - вирусная лицензия. Это означает, что код можно перевести под GPL, но из-под GPL ничего вывести нельзя. С GPL совместимы лицензии, которые разрешают изменять лицензию на GPL и несовместимы те, которые запрещают.<br><br>ты что такой странный? НЕ надо менять лицензию чужого встраиваемого компонента!<br><br>прям так как есть -- ВКРЯЧИВАЕШЬ чужой компонент -- внутрь своего GPL-проекта, НЕ меняя лицензию (то есть чужой компонент НЕ превращаются в GPL ... то есть [b]нет ни какой GPL-вирусности! лицензия внутренних компонентов остаётся такая какая и была[/b]).<br><br>такое можно сделать если лицензия дочернего компонента вляется GPL-совместимой.<br><br>то есть понятие "GPL-совместимость" -- это и есть то что я сейчас (выше) описал этом сообщении.<br><br>а если ты захочешь встроить OpenSSL внутрь своего GPL-проекта -- то ФИГУШКИ! так как его несвободные условия заставляют нас делать рекламу, и это протеворечит свободным принципам GPL!<br><br>а если ты захочешь втроить LibReSSL внутрь своего GPL-проекта -- то темболее ЛАЖА получается, https://www.opennet.dev/openforum/vsluhforumID3/99135.html#26 Thu, 02 Oct 2014 12:29:30 GMT Главное от вас улизнуло...<br><br>GPL - вирусная лицензия. Это означает, что код можно перевести под GPL, но из-под GPL ничего вывести нельзя. С GPL совместимы лицензии, которые разрешают изменять лицензию на GPL и несовместимы те, которые запрещают.<br><br>Афера - это когда вы можете положить деньги в банк, но не можете их забрать.<br><br>Если вы можете положить деньги в банк и забрать их, а банк не может использовать ваше имя в своей рекламе без вашего письменного согласия, то это не афера, а деловое партнёрство.<br> https://www.opennet.dev/openforum/vsluhforumID3/99135.html#25 Wed, 01 Oct 2014 18:03:49 GMT &gt; Т.е. весь "маразм" и "сложность", из-за которых потребовалось с нуля переписывать программу, заключаются в том, чтобы вывести две строки текста?<br><br>эти две строчки -- которые необходимо выводить в GUI, и которые в итоге мешают быть программе Свободной -- ты учитываешь только для одной программы.<br><br>а теперь представь какое огромное количество программ может тоже хотеть шифровать SSL. суммарное количество рекламных строчек -- в итоге будет во множество раз больше чем две (пропорционально количеству програм) :-)<br><br>ради такого -- можно было бы и переписать библиотеку с нуля. да..<br><br>и эта реклама надо сказать -- работает! OpenSSL -- очень популярно (быть может именно благодаря рекламе!).. хотя авторы программ, которые вставляют эту рекламу в свои программы -- думаю не очень рады тому факту что они позволили себя запачкать в этой большой афере :-)<br> https://www.opennet.dev/openforum/vsluhforumID3/99135.html#23 Wed, 01 Oct 2014 10:55:33 GMT Они объясняли почему уже - выкидывают подозрительный код, через месяц в нем находят баг. Дальше выкидывают другой странный кусок и по приколу пишут в коммите что в нем дырка (хотя сами нашли ее в другом месте) - через месяц эта шутка становится правдой, там тоже находят уязвимость.. Потом они ressl пилят как новый более простой api, это не будет частью libressl<br> https://www.opennet.dev/openforum/vsluhforumID3/99135.html#22 Wed, 01 Oct 2014 08:12:30 GMT Т.е. весь "маразм" и "сложность", из-за которых потребовалось с нуля переписывать программу, заключаются в том, чтобы вывести две строки текста?<br> https://www.opennet.dev/openforum/vsluhforumID3/99135.html#21 Tue, 30 Sep 2014 23:19:30 GMT А вы писали что-то с использованием libssl, или просто сомневаетесь?<br><br>Я вот писал. API совершенно нечеловеческое. Неконсистентное, плохо документированное, с кучей подводных камней.<br> https://www.opennet.dev/openforum/vsluhforumID3/99135.html#20 Tue, 30 Sep 2014 21:50:15 GMT Да, кривой, но существуенную часть багов уже пофиксили. А эти упыри решили выкинуть все и написать заново дырявый велосипед, на поиск багов в котором уйдут тысячи человеко-часов.<br> https://www.opennet.dev/openforum/vsluhforumID3/99135.html#19 Tue, 30 Sep 2014 15:18:13 GMT &gt; И как это влияет на функциональность? <br><br>лицензия OpenSSL заставляет делать в программах дополнительную (лишнюю) функциональность:<br><br>а именно -- по условиям лицензмм, программа должна в своём GUI рекламировать OpenSSL.<br><br>даже если программа использует LibReSSL -- то всё равно лицензия заставляет рекламировать именно OpenSSL , а не LibReSSL .. и мне кажется это слегка может ввести в забдуждение пользователя такой программы.<br><br>получается -- для того чтобы избежать введения пользователя в заблуждение, но при этом ОДНОВРЕМЕННО и не нарушить лецензию: нужно сначало отобразить строчку с рекламой (как это требует лицензия), а затем вывести дополнительную строчку, разъясняющую текущую ситуацию какая она есть на самом деле (а не то что написано в рекламе).<br><br>мне кажется это должно называться: лицензионный маразм :-) ...<br>