> В palemoon кода больше. А в мозильском движке никогда не было недостатка в vuln-ах btw.ну вот это уже тот размер, когда аудит за разумное время и деньги, скорее всего, нереален (а за неразумное бесполезен - пока ты копаешься с версией 56, обезьянки наблямцали по клавиатурам еще с полсотни мег непроверенного кода, можно начинать заново).
А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода.
Вполне можно было аккуратно его просмотреть. (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-)
> Энтерпрайзные клиенты хотели чтобы оно парило, жарило и крестиком вышивало.
ну а как иначе-то? Это как раз базовое требование - заманаешься ты вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили, кого в другой отдел перевели и надо срочно менять ему доступы (вместе с гейтом, если vpn совсем примитивный). Правда, они бы еще и нормальное разделение привиллегий хотели, а не ту имитацию, что позволяет только весь код целиком запустить как виндовый service.
>> шифрование при этом используется готовое,
> Думаешь, програмеры среднего пошиба смогут лучше?
нет, Б-же упаси! Просто это на порядок снижает требуемую квалификацию аудитора - одно дело, быстренько пробежаться по используемым примитивам libcrypto, чтобы убедиться, что там не используются, если специально не просить, сомнительные и устаревшие алгоритмы, или просто негодные для поточного шифрования, совсем другое - анализировать само шифрование, пытаясь понять - это вот вообще работает, или в результате всех этих мегавычислений из-за мелкой ошибки получается нечто, неотличимое от обычного xor.
> Ты размер цуки видел? Еще более жирный vpn.
ну так в нем, помимо опен-совместимости, еще свой отдельный протокол, и сама структура гораздо сложнее. А размер все еще довольно разумный. Жаль что иппонец, видимо, получил вожделенного phd, или как там у них это называют, и тут же забил на проект.
> Живет потому что все в одном, полно протоколов - ведроиды и яплы могут конектиться
> родным менеджером к серверу.
они-то и к нормальному ipsec-концентратору могут коннектиться. Но его, во-первых, из дерьма и палок не очень-то соберешь, во-вторых, вот это - действительно, сцуко сложно.
Ну и до кучи - примитивный udp-туннелинг, в отличие от энтерпрайзных технологий, внезапно оказался нечувстителен ни к натам, ни к кривым файрволлам без дополнитеных танцев с граблями.