forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обновление OpenVPN 2.4.4 с устранением уязвимости"
Отправлено пох, 30-Сен-17 13:44

> В palemoon кода больше. А в мозильском движке никогда не было недостатка в vuln-ах btw.
ну вот это уже тот размер, когда аудит за разумное время и деньги, скорее всего, нереален (а за неразумное бесполезен - пока ты копаешься с версией 56, обезьянки наблямцали по клавиатурам еще с полсотни мег непроверенного кода, можно начинать заново).
А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода.
Вполне можно было аккуратно его просмотреть. (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-)
> Энтерпрайзные клиенты хотели чтобы оно парило, жарило и крестиком вышивало.
ну а как иначе-то? Это как раз базовое требование - заманаешься ты вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили, кого в другой отдел перевели и надо срочно менять ему доступы (вместе с гейтом, если vpn совсем примитивный). Правда, они бы еще и нормальное разделение привиллегий хотели, а не ту имитацию, что позволяет только весь код целиком запустить как виндовый service.
>> шифрование при этом используется готовое,
> Думаешь, програмеры среднего пошиба смогут лучше?
нет, Б-же упаси! Просто это на порядок снижает требуемую квалификацию аудитора - одно дело, быстренько пробежаться по используемым примитивам libcrypto, чтобы убедиться, что там не используются, если специально не просить, сомнительные и устаревшие алгоритмы, или просто негодные для поточного шифрования, совсем другое - анализировать само шифрование, пытаясь понять - это вот вообще работает, или в результате всех этих мегавычислений из-за мелкой ошибки получается нечто, неотличимое от обычного xor.
> Ты размер цуки видел? Еще более жирный vpn.
ну так в нем, помимо опен-совместимости, еще свой отдельный протокол, и сама структура гораздо сложнее. А размер все еще довольно разумный. Жаль что иппонец, видимо, получил вожделенного phd, или как там у них это называют, и тут же забил на проект.
> Живет потому что все в одном, полно протоколов - ведроиды и яплы могут конектиться
> родным менеджером к серверу.
они-то и к нормальному ipsec-концентратору могут коннектиться. Но его, во-первых, из дерьма и палок не очень-то соберешь, во-вторых, вот это - действительно, сцуко сложно.
Ну и до кучи - примитивный udp-туннелинг, в отличие от энтерпрайзных технологий, внезапно оказался нечувстителен ни к натам, ни к кривым файрволлам без дополнитеных танцев с граблями.

Исходное сообщение
"Обновление OpenVPN 2.4.4 с устранением уязвимости" Отправлено пох, 30-Сен-17 13:44
> В palemoon кода больше. А в мозильском движке никогда не было недостатка в vuln-ах btw. ну вот это уже тот размер, когда аудит за разумное время и деньги, скорее всего, нереален (а за неразумное бесполезен - пока ты копаешься с версией 56, обезьянки наблямцали по клавиатурам еще с полсотни мег непроверенного кода, можно начинать заново). А с openvpn - и скорость гoвнокодинга в сотни раз меньше, и размер этого кода. Вполне можно было аккуратно его просмотреть. (тем более, что кто-то все же это сделал, только денег дали за это не ему ;-) > Энтерпрайзные клиенты хотели чтобы оно парило, жарило и крестиком вышивало. ну а как иначе-то? Это как раз базовое требование - заманаешься ты вручную тыще-двум юзерам пароли выписывать и следить, кого из них уволили, кого в другой отдел перевели и надо срочно менять ему доступы (вместе с гейтом, если vpn совсем примитивный). Правда, они бы еще и нормальное разделение привиллегий хотели, а не ту имитацию, что позволяет только весь код целиком запустить как виндовый service. >> шифрование при этом используется готовое, > Думаешь, програмеры среднего пошиба смогут лучше? нет, Б-же упаси! Просто это на порядок снижает требуемую квалификацию аудитора - одно дело, быстренько пробежаться по используемым примитивам libcrypto, чтобы убедиться, что там не используются, если специально не просить, сомнительные и устаревшие алгоритмы, или просто негодные для поточного шифрования, совсем другое - анализировать само шифрование, пытаясь понять - это вот вообще работает, или в результате всех этих мегавычислений из-за мелкой ошибки получается нечто, неотличимое от обычного xor. > Ты размер цуки видел? Еще более жирный vpn. ну так в нем, помимо опен-совместимости, еще свой отдельный протокол, и сама структура гораздо сложнее. А размер все еще довольно разумный. Жаль что иппонец, видимо, получил вожделенного phd, или как там у них это называют, и тут же забил на проект. > Живет потому что все в одном, полно протоколов - ведроиды и яплы могут конектиться > родным менеджером к серверу. они-то и к нормальному ipsec-концентратору могут коннектиться. Но его, во-первых, из дерьма и палок не очень-то соберешь, во-вторых, вот это - действительно, сцуко сложно. Ну и до кучи - примитивный udp-туннелинг, в отличие от энтерпрайзных технологий, внезапно оказался нечувстителен ни к натам, ни к кривым файрволлам без дополнитеных танцев с граблями.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру