Проект OpenBSD опубликовал корректирующий выпуск переносимой редакции пакета LibreSSL 3.4.2, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. В новой версии устранена уязвимость в коде верификации сертификатов X.509, приводящая к игнорированию ошибки в неверифицированной цепочке сертификатов. Проблема может привести к обходу аутентификации при проверке специально оформленных сертификатов с некорректной цепочкой доверия...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56235
никогда не было и вот, опять!
Никогда не было такого камента и вот, опять!
Что такое "камент"?
> Что такое "камент"?От зари и до зари
Йа пешу камЕнты.
Все мои коментарИ
Рвут аплодисменты.
libressl уже стал никому не нужен, кроме разработчиков и пользователей OpenBSD. Хотя бы потому что очень долго синхронищируют апи с новыми версиями libressl. Если хотите секурной альтернативы openssl, то используйте boringssl
> boringsslА где это есть из коробки в дистрибутивах и завязано в общую инфраструктуру?
>А где это есть из коробки в дистрибутивах и завязано в общую инфраструктуру?Дистрибутивы переходят с libressl. Boringssl может быть прозрачной альтернативной openssl, апи и функции синхронизированы с openssl 1.1.1, думаю проблем будет поменьше. Да и у boringssl меньше уязвимостей, а он используется в андроиде и хроме.
Вроде как в ChromeOS его юзают, но LibreSSL во всей продукции эпл из коробки и Айфоны в том числе
>> boringssl
> А где это есть из коробки в дистрибутивах и завязано в общуюНигде и не будет - это кастрат с реализацией меньше половины фич ("все что сложно и непонятно - выкинем"). Т.е. с ним ничего не работает и не будет. Гуглю не нужно чтобы у вас что-то работало.
nginx отлично работает.
его специально патчили, чтоб "отлично работал". Причем по моему опыту - результаты этих патчей никто не проверяет (как раз принятый с моей подачи патч для совместимости с libressl. На самом деле заметавший очень похожие крошки под ковер - там тоже вызывался каллбэк ровно в том месте, где он вызываться был не должен никогда. Нет, никто не стал разбираться, почему это так. А там скорее всего - баг именно в libressl.)Т.е. это ровно то о чем я говорю - работает специально кастрированный софт, причем не факт что он от этого стал безопасней а не наоборот.
с новыми версиями openssl*
пользуемым он тоже не нужен, но им там никто и не собирался предоставлять выбор, разработчики знают лучше.Если вы хотите ssl/tls - просто пользуйтесь openssl. При всем его уродстве его хотя бы поддерживают и пытаются вовремя затыкать дыры. Все остальное - продукт вторичный, наследующий все глюки и баги оригинала и еще и добавляющее свои.
Либо унылые кастраты пригодные к использованию только в специально под них изуродованном софте, причем никто не обещал что без глюков и багов (в том числе но не ограничиваясь - добавленных при уродовании). (ни на что не намекаю, wolfssl просто проходя пнул)
Вполне работает во фре вместо опенссл, пропатчить софт для совместимости проблемы не составляет никакой, часто вообще патчей не требуется.
Зачем за всех говорите? Нужен.
Вы вообще из своего манямирка иногда вылезайте.libressl может использоватся на фре вместо опенссл для всех портов, сломаных портов не совместимых с либрой довольно мало.
Когда либра последний раз у нас обновилась я сам 4 порта поправил которые у меня используются чтобы исправить ошибки компиляции, для нескольких потребовалось патч сделать который просто разрешает юзать новое апи как опенссл, для остальных просто подтянуть готовое из апстрима или обновить.
Все более-менее популярные проекты уже совместимы с либрой и то что какие то линукса перестали либру юзать не значит что из проектов сразу выкинут эту поддержку.
Обычно проблемы есть с проктами не слишком популярными и которые слишком интенсивно используют всякие странные АПИ, которые в либре отсутствуют скорее всего по причине того что это старый ненужный мусор.
И отдельно про боринг.Боринг гугль родил только для того чтобы не пустить ГОСТовые алгоритмы в хромиум.
Просто тогда повод подвернулся с мегадырами в опенссл, и они типа как дартаньяны решили всё переписать на модных крестах, заодно дропнув плагины=энджины с гостом и прочими не вошедшими в основной проект алгоритмами.И прежде чем советовать борринг - вы сами попробуйте с этим недоразумением что то собрать кроме хромиума.
А не много ли ГОСТу чести - из-за него аж форк на кресты переписывать.
Видимо не много, для гугла переписать на кресты такой проект не представляется затратным.
У вас какой-то личный интерес в том чтобы openssl, с учетом всего с ним случившегося, не был навсегда закопан вместе с его авторами?
Как обстоят дела в OpenBSD с монтированием флэшек, зашифрованных в линукс LUKS'ом? Косяков нет? С vfat всё в порядке? NTFS/cp1251 читает, понимает, монтирует? Помню в позапрошлом релизе были с этим проблемы. Есть юзеры опёнка?
Тебе на unixporn )) Там их дохрена
почти все фс'ки не поддерживаются, но вот ntfs через fuse работает
> почти все фс'ки не поддерживаются, но вот ntfs через fuse работаеткак и exfat
но это было бы еще пол-беды, беда - что сама fuse у них работает из рук вон плохо.
Точнее, она плохо работает с локальными дисками - потому что разработчики под линуксы активно насилуют линуксный буферный кэш (даже не зная о нем - у них просто само все кэшируется), а у bsd такого нет, там каждая fs должна как-то сама себе кэшировать нужное. В случае fuse (которая сама по себе fs не является) - это делать просто некому и негде.Но есть костылик... добавляющий еще пару контекст-свитчей на каждый блок, но лучше так чем никак.
Правда, его автор сделался вечноживой еще лет десять назад.
>NTFS/cp1251NTFS исполользует UTF-16LE.
Ппц, вот это новость... Проэкты опёнка ведь ультра-секурные
особено им удался opensmtp!
Я так понимаю - это сарказм? ;)
Ладно... ваше отношение к проекту OpenBSD понятно.А что на счёт двух других?
- FreeBSD?
- NetBSD?
Как вы оцениваете это?
Трупы смердящие, увы.То есть разработка ведется в интересах разрабатывающих - пока тем платят деньги разнообразные фонды. Денег мало, поэтому ничего особо фантастического разработано не будет. Идеологов и менеджеров в хорошем смысле тоже давно нет - поэтому йапнуть кулаком по столу и заставить сделать что-то для людей, а не что попроще получается - тоже некому.
И так во всех шва6одко прожектах, "вырвавшихся" на полную свободу без руля и ветрил.
Вон, недавно принесло:
https://www.ixsystems.com/blog/openzfs-3-0-introduced-at-dev.../а что оно "works as intended" и пул в любой момент может превратиться в тыкву - это даже и не обсуждается - всем похрен. Вишенка на тортике - программа позволяющая хотя бы частично спасать данные с рухнувшей - платная и только под винду(sic!).
Был бы у проекта хозяин поприличнее дельфиксов - очевидно что все эти прожекты надо было бы поставить на мертвую паузу и заставить разработчиков закрывать технические долги, а не ляпать фичи поверх фич. Причем все подобные патчи отбрасывать с обидными комментариями (вот что они как раз умеют). Чтоб неповадно было бросать недоделанную работу.
> все эти прожекты надо было бы поставить на мертвую паузу и заставить разработчиков закрывать технические долги, а не ляпать фичи поверх фичВряд ли после такого проект когда-нибудь оживет.
ZFS и btrfs изначально дизайнили так, чтобы баланс "стабильность-продвинутость" был смещен в сторону продвинутости.
Вполне вероятно, что если начать устранять критичные проблемы, окажется, что надо полностью переделать архитектуру, при этом отвалятся почти все крутые фичи, и получится аналог XFS.
Прожект прекрасно жил, пока sun обезьянков именно п-дила.Не думаю что у них вышло бы отмотаться от запроса пострадавшего клиента методом "уничтожь пул и создай заново - нет у нас никаких средств чинить поврежденные пулы, надеемся у тебя был бэкап".
У btrfs, что характерно - такое средство появилось через пару лет, то есть сразу после первоначального этапа. Что неудивительно - орацл тоже п-дит.
А вот когда орацл решил что эта технология нивзлитит и выкинул ее на мороз - тоже начались разброд и шатания и наращивание техдолга ради сиюминутных фич.
Не забывайте, что есть:https://itsfoss.com/solaris-alternatives/
Нету у вас уже ничего.Объедки со стола карликовых лавочек, доящих пару глупых клиентов, застрявших в блаженных нулевых.
Ничего они разработать неспособны, поддерживать тоже. Бэкпортят фичи вместе с багами и бредом из линукса.
Точно оракл, а не суся?
> ZFS и btrfs изначально дизайнили так, чтобы баланс "стабильность-продвинутость" был смещен в сторону продвинутости.Про btrfs не скажу, а дизайн zfs как раз явно был направлен на сохранность данных, всё эти cow и merkle tree служат именно тому, чтобы вживую систему в случае сбря можно было откатить в консистентное состояние.
Я уже не говорю про борьбу с silent data corruption, что ещё из мейнстрима умеет определять на каком именно диске в raid5 побились данные? Это заодно закрывает и write hole, кстати.
> Про btrfs не скажу, а дизайн zfs как раз явно был направлен на сохранность данных, всё эти cow и
> merkle tree служат именно тому, чтобы вживую систему в случае сбря можно было откатить в
> консистентное состояние.А на практике даже доступ к журналу транзакций человеческими средствами отсутствует - на тебе zdb и dd, иппись как хочешь, чтобы хотя бы посмотреть какие у этих транзакций вообще номера бывали. Про возможность неразружающего монтирования тем более забудь.
То есть оно недоделано и не будет никогда - пацаны срочна-срочна пилят супервостребованную маркетинговым отделом идею добавления отдельных дисков в vdev (после чего при малейшем сбое отыквливание всех твоих данных как раз гарантировано)
Все для дорогих клиетов - любителей докера в докере под докером прямо на хранилище данных чтоб денег никому не платить. Для которых и трудится iX. Поскольку нормальные СХД производят совсем-совсем другие фирмы. Но те своими наработками с нами не делятся.
Ага, нету там 100500 странных фич которые в линукс натащили за последние пару лет.
В остальном прекрасно работает, если не хотеть странного или не знать как это сделать самому.
А тут вы передёргиваете.
OpenZFS проект не прибитый теперь к одной одинственной ОС, и там что на фре что на линухе все одинаково уже, с одного апстрима забирают.PS: я бы хотел Hammer из DragonFlyBSD попробовать, кажется интересней ZFS для меня.
> из DragonFlyBSD попробовать, кажется интереснейХаммер - это довольно специфическая фс, это не вещь в себе (как zfs, или xfs, или ext4). Люди, которые говорят - "портировать бы эту фс в линукс и на этом всё", проявляют в некотором роде дилетантизм. Поскольку ключевой особенностью тут является SwapCache. Для того, чтобы начать пользовать этой фс корректным образом, то потребуется использовать специальный SSD под утилизацию SwapCache. Более того, сама фс предназначен для работы на SSD.
Также использование этой фс на жёстких дисках бессмысленно и даже вредно (довольно комично, что незадачливые юзеры то тут, то там пытаются юзать её на своих жд тазиках). Более того, хаммер __бессмысленна__ на слабых конфигах, последние бенчмарки показывают, что хаммер начинает обгонять другие фс на конфигах рода 128GB+ DDR4 ECC RAM, несколькими high-end процессорами (i5-i9, 32+ ядра), несколькими большими HAMMER2-форматированными M.2/NvMe SSD и 256GB+ SSD, выделенными для SwapCache. То бишь во всех других случаях надо брать другие фс (они покажут себя лучше), особенно когда нет специального SSD под SwapCache.
Одним словом, целевая фс заточена под высокопроизводительные окружения, требует (для раскрытия полного потенциала) большое количество ОЗУ и high-end процессоры. Также требуется SSD (или стак SSD) + специальный SSD, выделенный под SwapCache. Именно так и никак иначе. Если всё вышеописанное для вас недоступно, то использование DragonFlyBSD даёт принципиально __НУЛЕВОЙ ПРОФИТ__. Поэтому надо брать другие фс и не прыгать выше головы.
Так что довольно забавны те юзеры, которые на свои домашние тазики зачем-то ставят DragonFlyBSD и используют неадекватным образом хаммер, не понимая, что эта фс заточена под определённое высокопроизводительное production-окружение и аппаратный сетап (стаки SSD + стаки под SwapCache).
В свете вышеизложенной информации теперь советую зайти куда-нибудь сюда:
https://www.opennet.ru/opennews/art.shtml?num=55120
и почитать комментарии в контексте вышеизложенного. Видно, что у людей явное непонимание целеполагания DragonFlyBSD и задач соответствующих фс. Причём весь этот фарш собирает много плюсиков. А вот яркий пример непонимания:
https://www.opennet.ru/openforum/vsluhforumID3/124192.html#28
Чувак-де, задаётся вопросом, что "Все более менее неиспользуемые программы довольно быстро улетают в своп", явно не понимая, что это основной аспект и архитектурная идея. Далее он вроде бы нащупывает истину: "Вероятно зависимость можно настроить, и вероятно это не всегда даже и минус при наличии оперативки и ssd с умным кешем для него от системы...".
Не нужно настраивать никакую зависимость. Нужно раз и навсегда определить для себя, что такое SwapCache и разобраться с его логикой работы, ориентируясь на стаки под SwapCache из SSD.
"но я на своих медленных жёстких дисках это чувствую особо остро." - очень смешно, конечно. В свете вышеизложенной информации - зачем на ЖД вообще использовать DragonFlyBSD вместе с хаммером?
Очень смешны комментарии и такого рода: "Со временем приорететы сменились и свап с некоторой версии юзается лишь когда все плохо, а не на всякий случай. Это я про дефолты."
Лол.
В итоге целая гора юзеров DragonFlyBSD забивает микроскопом гвозди.
DragonFly's Major Features List:
...
- Supports up to 4 swap devices for paging and up to 55TB (Terabytes) of configured swapspace. Requires 1MB of physical ram per 1GB of configured swap. When multiple swap devices are present, I/O will be interleaved for maximum effectiveness. The paging system is extremely capable under virtually any load conditions, ____particularly when swap is assigned to NVMe storage____ (!!!). Concurrent page-in across available cpus, in particular, works extremely well. Asynchronous page-out. Extended filesystem data caching via the swapcache mechanism can operate as an extended (huge) disk cache if desired, and/or used to increase the apparent total system memory.
...
SWAPCACHE - Managed SSD support
The swapcache(8) feature allows SSD-configured swap to also be used to cache clean filesystem data and meta-data. This feature is carefully managed to maximize the write endurance of the SSD. swapcache(8) is typically used to reduce or remove seek overheads related to managing filesystems with a large number of discrete inodes. DragonFly's swap subsystem also supports much larger than normal swap partitions. 64-bit systems support up to 512G of swap by default.
...
Без адекватного восприятия вышеизложенного - невозможно использовать DragonFlyBSD адекватным образом. К сожалению, некоторые незадачливые юзеры, незнакомые с мат.частью, машут вилами на своих тазиках насилуя свои винты или неправильно составляя аппаратные сетапы, неверно интерпретируя работу подсистемы SwapCache.
Вы как то сильно упираете в хайлоад, а я её в 2009 году у себя дома на роутере юзал без проблем и помнится даже иксы поднял пока экспериментировал.
На фрю перешёл довольно не сразу, по мере того как понял что в PF меньше плюшек (впрочем я всё равно ничего из них не юзал, вроде) и что порты по меньше и старее.
батенька, вы либо крестик либо трусы.
Апстримом является linoops, и да, из него без разбора копипастят весь линуксячий мусор.Все одинаково плохо, и с надежностью, и с 64x write amplification наверняка уже тоже паритет достигнут.
Была у фряхи уникальная фича, а теперь нету.
Вы всё на ФС смотрите.
А плюшки там по прежнему остались: MAC, GEOM, NetGraph.
Последними двумя я активно пользуюсь, под нетграф даже свои ноды накорябал, очень зачотная штука для манипуляций с трафиком.
В целом всё ещё актуальная, хотя наверное после 10г++ и может стать узким местом.
Часть LibreSSL - LibTLS, отличная надстройка, которая соместима и с опенссл и делает всю чёрную работу типа правильно.
Втащил её в имеющийся легаси проект вместо тамошней родной тлс либы, остался очень доволен в целом, хотя серверная часть мне показалась немного трудно расширяемой.
> Ппц, вот это новость... Проэкты опёнка ведь ультра-секурныеЭто маркетинг. Нет в них особо ничего хорошего ни в плане безопасности, ни в плане фич.
Просто большинство проектов пилят полтора землекопа (единственное исключение - OpenSSH), и обеспечить сопоставимый с "взрослыми" аналогами набор фич обеспечить не в состоянии. Поэтому делают 5-10%, а про остальное говорят "это НЕБЕЗОПАСНЫЕ фичи, с ними проект ЖИРНЫЙ, и вообще".
Про то, что для написания безопасного кода нужны люди с прямыми руками, и оба таких разработчика опенка заняты в OpenSSH, а остальные - студенты и хоббисты, которые не всегда отличают сишку от перла, стараются не вспоминать.
> Просто большинство проектов пилят полтора землекопа (единственное исключение - OpenSSH),ничуть не исключение - достаточно вспомнить прекрасную историю с "roaming" и remote root из фичи, которая никогда не была даже дописана.
Кто позволил это вмержить в основную ветку и почему ему сразу не дали по рукам с ровно тем же рефреном - "с ним проект жырный" - вопрос риторический.Очевидно что опять же у прожекта нет управления и любой дорвавшийся до комит-бита др-ит что хочет.
Причем выгребать за ним некому и некогда, деньги спонсоров сами себя не потратят.
ГнуТЛС же есть
> ГнуТЛС же естьрекомендую ознакомиться со списком уязвимостей.
Ее не для безопасности делали, а чтоб не это вот ваше, а за шва6одку!
Есть же Mozilla NSS.
Жалко, если Фряха загнётся. Великолепная оська. И слава Богу, что мне с смузидокером, смузирнетесом, всякими аля NoSQL (которые всё же SQL) и прочим аналогичным барахлом сталкиваться не приходится.
Загибается она как раз от недостатка того, что вы называете "смузи" - эффективных серверных технологий, сокращающих количество монотонного ручного труда, в результате чего "бессмузевая" система годится только для небольших и примитивных по архитектуре проектов (типа домашней страницы Васи).
Ну почту можно крутить, базы данных, забиксы, файлохранилище, централизированное резервное копирование. Чем не еффективные серв. технологии? Для всего этого смузи не нужно
Так не давайте ей загнутся, пользуйтесь сами, репортите баги, пишите патчи, добавляйте порты, делайте пулрегвесты с фиксами и фичами.Я вот пользуюсь и оно как то само по себе получается, по ходу дела :)
> Так не давайте ей загнутся, пользуйтесь сами, репортите баги, пишите патчи, добавляйте
> порты, делайте пулрегвесты с фиксами и фичами.ну ведь венда поганая не загибается от того что я ничего этого не делаю?
> Я вот пользуюсь и оно как то само по себе получается, по
> ходу дела :)а мне вот надоело.
Венде деньги "донатят", никто не запрещает донатить их фре/специалисту и получать сервис.А мне не надоело, но у меня есть годовая цикличность - в основном я там что то делаю зимой-весной, особенности связанные с увлечениями и семьёй.
Тоже набирали разработчиков как в openssl?"Advantageous, but *not required* are:
an understanding of Cryptography;
an ability to write secure code;"https://www.openssl.org/blog/blog/2021/11/24/hiring-manager-.../
"Игнорирование ошибки". Это явно С/С++ болячка. В языках где принято использовать исключения такое вряд ли возможно.
Ды щаз.
try { } catch { /* suppress failure */ }
уже давно норма жизни.
В обычном си и не под вендой с её SEH?
В обычном си уже есть эксепшны и я что-то пропустил? :D
Под вендой помнится были.
пропустил
Какие нафиг исключения!?
Там нет исключений и не только потому что это обычный С без крестов, но и потому что подразумевается что оно не будет валится от каждого чиха, потому что исключение это дорого.
Скорее всего не проверяли позвращаемое функцией значение.