The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

OpenBSD идёт в сторону использования цифровых подписей для пакетов и релизов

20.01.2014 03:37

Тео де Раадт (Theo de Raadt), лидер проекта OpenBSD, сообщил в списке рассылки misc@openbsd, — "Мы идём в сторону подписанных пакетов". Чуть позже, в рассылке tech@ Тео опубликовал инструкцию по проверке подлинности релизов с использованием утилиты signify(1), и призыв к тестированию нововведений.

Данные заявления поступили вслед недавнему внедрению новой утилиты signify, которая была написана из-за слишком большого размера пакета gnupg, так как в OpenBSD до сих пор поддерживается установка системы с одной дискеты. Signify отличается поддержкой только минимально необходимого набора функций. Информации о цифровой подписи распространяется в отдельном файле очень простого формата (идентификатор алгоритма, сигнатура, сопутствующие данные для шифрования и комментарий). Используется система цифровой подписи с открытым ключом Ed25519, разработанная небезызвестным D. J. Bernstein, чей код был опять добавлен в OpenBSD, всего через пару недель после того, как некоторые другие из его изобретений были интегрированы в близлежащий OpenSSH.

Алгоритм Ed25519 отличается очень высокой скоростью верификации и создания подписей, режимом пакетной верификации цифровых подписей (проверка группы сигнатур за раз) и небольшим размером цифровой подписи и открытого ключа, которые составляют всего 64 и 32 байта. При этом алгоритм нацелен на обеспечения уровня стойкости к взлому порядка 2^128 (в среднем для атаки на Ed25519 потребуется совершить 2^140 битовых операций), что соответствует стойкости таких алгоритмов, как NIST P-256 и RSA с размером ключа в 375 байт или 128-битному блочному шифру. Ed25519 также не подвержен проблемам с коллизиями в хэшах, не чувствителен к атакам через определение содержимого кэша (cache-timing attacks) и атакам по сторонним каналам (side-channel attacks).

Дополнительно можно отметить, что финансовые проблемы проекта OpenBSD успешно решены - нашёлся спонсор, перечисливший 20 тысяч долларов на покрытие расходов OpenBSD Foundation. Пожертвование поступило от Mircea Popescu из Румынии, который владеет MPEx, одной из крупнейших бирж по обмену биткойнов.

  1. Главная ссылка к новости (http://bsd.slashdot.org/story/...)
Автор новости: cnst
Тип: К сведению
Ключевые слова: crypt, sign, verify, openbsd, ports, pkg, bsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (116) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.2, бедный буратино (ok), 07:42, 20/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    неделя openbsd :)

    ну, раз официально рекомендуется пользоваться бинарными пакетами - то, конечно, нужно их подписывать... а то мало ли, что там на зеркалах подмешают... сделаешь pkg_add -u - а у тебя, хоп, и linux завместо openbsd появился :) [шутка, базовую систему так не подменишь, только пакеты]

     
     
  • 2.41, Аноним (-), 13:31, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а то мало ли, что там на зеркалах подмешают...

    А потом мы задумаемся что с сорцами может получиться такая же фигня...

     
     
  • 3.42, бедный буратино (ok), 13:34, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> а то мало ли, что там на зеркалах подмешают...
    > А потом мы задумаемся что с сорцами может получиться такая же фигня...

    Левый сырец не подмешают :)

    Ну а если нет доверия официальному сырцу от автора, то какая разница, в сырце он или в пакете? Сырец хотя бы даёт гарантию, что это именно с него собирали.

     
     
  • 4.81, Аноним (-), 19:42, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Левый сырец не подмешают :)

    И что этому помешает?

     
     
  • 5.203, Аноним (-), 21:21, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    SSH. Гуглить по слову "AnonCVS"
     

  • 1.11, AlexAT (ok), 10:13, 20/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    А полноценный криптографический аудит Ed25519 кем-нибудь когда-нибудь проводился? На сайте и в самой работе ни единого упоминания об аудите.
     
     
  • 2.24, metallica (ok), 11:50, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    У разрабов опенбсд гениальная стратегия безопасности всей системы
    и отдельных её компонентов-околонулевая её популярность и восстребованность.
    Тем самым достигается беспрецендентная защита от хакеров, средствами
    наличия у них здравого смысла, согласно которому они никогда не будут тратить время
    на ковыряние в ОС, которая нигде кроме шкафа у Тео и дешёвого нетбука у
    деревянного не применяется.
     
     
  • 3.94, Аноним (-), 20:08, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, эта стратегия называется "elusive Joe".
     
     
  • 4.101, Аноним (-), 20:15, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И, между прочим, она вполне эффективна.
     
  • 2.53, Аноним (-), 14:32, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А полноценный криптографический аудит Ed25519 кем-нибудь когда-нибудь проводился?

    Смотря что понимать под "полноценный".

    Сам по себе 25519 выглядит достаточно интересно, Берштейн в общем то известный параноик и специалист в ИБ, который временами даже выдвигает премии за взлом своих алгоритмов. Не помню касалось ли сие 25519, но за наиболее интересный криптоанализ алгоритма Salsa полагался килобакс не так давно. Тем не менее, даже самая слабая версия salsa не была сломана полностью, не говоря уж о полной. А жтот 25519 нынче применяется кучей народа и какой-то большой криминал пока не обнаружили. Более того, Берштейн вполне доходчиво описывает его свойства, например слабые ключи (каковых можно считать что нет, если для diffie-hellman'а).

     
     
  • 3.76, myhand (ok), 17:09, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сам по себе 25519 выглядит достаточно интересно, Берштейн в общем то известный
    > параноик и специалист в ИБ, который временами даже выдвигает премии за
    > взлом своих алгоритмов. Не помню касалось ли сие 25519, но за
    > наиболее интересный криптоанализ алгоритма Salsa полагался килобакс не так давно.

    Килобакс как-то смишно выглядит, не находите?


     
     
  • 4.82, Аноним (-), 19:45, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Килобакс как-то смишно выглядит, не находите?

    Это скорее дань уважения. Криптографы все-равно изучают алгоритмы. Получить при этом такой бонус от создателя алгоритма врядли кто откажется. Ну а Берштейн все-таки академик а не магнат. Если вы хотите миллион - идите минет делать какому-нибудь Рокфеллеру, чтоли.

     
     
  • 5.163, myhand (ok), 21:25, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Килобакс как-то смишно выглядит, не находите?
    > Это скорее дань уважения.

    Чек на стенку повесить?  Так тут сумма как бы и не важна - можно
    и 2.56$ пообещать.

    В чем прикол и великая ценность конкретно 1k$?  Как стоимость аудита
    практически ценного криптографического алгоритма - она смешна, не менее чем 2$.

    > Криптографы все-равно изучают алгоритмы. Получить при этом такой
    > бонус от создателя алгоритма врядли кто откажется.

    Для академиков - вполне достаточно и публикации.  А денюшки - есть
    гранты, фонды и реальные призы...

     
     
  • 6.215, KBAKEP (ok), 00:01, 31/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    "Штука" баксов примерно как миллион, имеет психологическое значение.
     
     
  • 7.216, myhand (ok), 00:09, 31/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Повторяю, с точки зрения реальной ценности работы: 2$ здесь неотличимы от 1k$.
     

  • 1.13, Аноним (-), 10:50, 20/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    20.000 баксов нашли, стало быть?
     
     
  • 2.18, Аноним (-), 11:28, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гугл-пожертвования...
     
  • 2.30, Хвост (?), 12:14, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Румынский биткоин-миллионер оплатил долги OpenBSD.
    http://habrahabr.ru/post/209660/
     
     
  • 3.31, бедный буратино (ok), 12:19, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Румынский биткоин-миллионер оплатил долги OpenBSD.
    > http://habrahabr.ru/post/209660/

    "Но нельзя отрицать и наличие преимущества: маленькая часть мировых финансов перешла в руки хакеров и инженеров-программистов, которые используют эти деньги так, как их никогда не потратит миллиардер с Уолл-Стрит, то есть правильным образом."


    вот это мощно... вот это по-анонимовски... хотя ещё недавно у этих "инженеров-программистов" была ВСЯ власть, и они могли определять всё развитие...

     
     
  • 4.84, Аноним (-), 19:48, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > была ВСЯ власть, и они могли определять всё развитие...

    Вся власть над чем? Над мировыми финансами? Ты ушибся, буратина. А биткоины хоть как-то контролируются только теми кто вносит изменения в клиент и общим консенсусом сети. Ты о чем?

     

  • 1.16, myhand (ok), 11:04, 20/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю инфраструктуру?
     
     
  • 2.17, Andrey Mitrofanov (?), 11:23, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю
    > инфраструктуру?

    Конечно. Ведь у самой безопасной ОС не может быть долгов по безопасности инфраструктуры, инсталятора и пакеж менеджера.

     
     
  • 3.26, myhand (ok), 11:53, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ведь у самой безопасной ОС не может быть долгов

    Почему?  Да запросто.

    PS: Если вы увидели в моем сообщении какой-то негатив или осуждение - то зря.  OpenBSD мы любим, причем не только за openssh.  Несмотря на упоротость (временами) Тео...

    PPS: А еще там нет systemd.

     
     
  • 4.103, Аноним (-), 20:18, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > PPS: А еще там нет systemd.

    В слаке его тоже нет, вообще-то.

     
     
  • 5.136, Аноним (-), 20:45, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А также в openwrt, дебиане, убунте, и еще куче дистров. Сложно всех под 1 гребенку 1 махом загнать.
     
     
  • 6.217, Аноним (-), 02:07, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А также в openwrt, дебиане, убунте, и еще куче дистров. Сложно всех
    > под 1 гребенку 1 махом загнать.

    Двоих из перечисленных уже вычёркиваем...

     
  • 2.19, бедный буратино (ok), 11:32, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Может, потому что долги за лектричество побудили задуматься о миграции на стороннюю
    > инфраструктуру?

    На виндовые ботнеты. Их много.

    Причём сама хостовая винда постепенно превращается в openbsd.

     
     
  • 3.85, Аноним (-), 19:50, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Причём сама хостовая винда постепенно превращается в openbsd.

    Ты намекаешь что там точно так же ничего не работает? Ну да, в опенке нет виртуализаторов, для начала. Так что если виртуализатор сдох - винда превращается в опенбзду :)

     

  • 1.21, dxd (?), 11:33, 20/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Итак, самая безопасная ось в начале 2014 года начала думать о проверке подлинности. Я люблю этот мир.
     
     
  • 2.22, AlexAT (ok), 11:41, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Итак, самая безопасная ось в начале 2014 года начала думать о проверке
    > подлинности. Я люблю этот мир.

    Неплохо бы начать с того, что ни хрена она не самая безопасная. 99% атак идут на софт, а не на ядро ОС, а софт там вполне обычный. MAC, способного оградить софт от несвойственных ему действий, там тоже нет.

     
     
  • 3.23, Аноним (-), 11:43, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Виртуальные машины и банки на что?
     
     
  • 4.25, AlexAT (ok), 11:52, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Виртуальные машины и банки на что?

    Речь об OpenBSD, авторы которой упорно игнорируют саму концепцию виртуализации. Так что в обсуждаемом случае - исключительно FHV, с безнадежной производительностью.

     
     
  • 5.34, Аноним (-), 12:53, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так виртуалки и не нужны, если есть банки.
     
     
  • 6.93, Аноним (-), 20:07, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну так виртуалки и не нужны, если есть банки.

    Какие еще банки? Вы имеете в виду того миллионера который оплачивает долги Тео? Ну да, кто-то должен волочь на своем горбу неэффективную доистрическую инфраструктуру. А виртуализация как раз позволяет на 1-2 современных сервака набить сервисы поплотнее, почти не в ущерб изоляции относительно железных машин. А бздюки думали что ей чисто для прикола пользуются, чтоли? Ручник иногда полезно отпускать, господа!

    Вон про подписи уже доползло. Не прошло и полувека...

     
     
  • 7.172, Аноним (-), 03:32, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Банка - софт изолирующий программу, запущенную в нём, от основной ОС, без полноценной эмуляции компьютера, как это происходит в виртуальных машинах.
     
     
  • 8.187, AlexAT (ok), 10:17, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это называется контейнер ы В openbsd их, строго говоря, нет ... текст свёрнут, показать
     
     
  • 9.189, Аноним (-), 12:01, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Нет, это называется банка И их много разных видов ... текст свёрнут, показать
     
  • 5.37, Аноним (-), 13:18, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    >> Виртуальные машины и банки на что?
    > Речь об OpenBSD, авторы которой упорно игнорируют саму концепцию виртуализации. Так что
    > в обсуждаемом случае - исключительно FHV, с безнадежной производительностью.

    Не игнорируют, а всего лишь не ведутся на тренды. В качестве гостевой ОС опёнок работает неплохо, спецдрайвера для большинства распространённых гипервизоров имеются.

     
     
  • 6.40, бедный буратино (ok), 13:29, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Не игнорируют, а всего лишь не ведутся на тренды. В качестве гостевой
    > ОС опёнок работает неплохо, спецдрайвера для большинства распространённых гипервизоров  имеются.

    Аналог jail не помешал бы...

     
     
  • 7.49, metallica (ok), 14:23, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    На спарках объявлена поддержка  аппаратных LDOM-ов.
    Есть здесь кто проверял, работает или нет?
     
  • 6.77, Miha (??), 19:29, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ну какой нафиг тренд. Тут даже для самой жлобской конторы выставлять сайт в мир на базовой системе страшно. Ну ифиг с ним, что система типа безопасная, взломали php-приложение и тю-тю.
     
     
  • 7.79, бедный буратино (ok), 19:35, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Ну какой нафиг тренд. Тут даже для самой жлобской конторы выставлять сайт
    > в мир на базовой системе страшно. Ну ифиг с ним, что
    > система типа безопасная, взломали php-приложение и тю-тю.

    В openbsd хотя бы из базового сервера из дефолтного чрута хрен сбежишь. Secure by default, чё уж там.

     
     
  • 8.86, Аноним (-), 19:51, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Чрут вообще не есть средство безопасности и позволяет программе делать уйму неже... текст свёрнут, показать
     
     
  • 9.87, бедный буратино (ok), 19:54, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Хорошо, сделаю поправку - chroot есть средство безопасности для всех, кроме теор... текст свёрнут, показать
     
     
  • 10.95, Аноним (-), 20:09, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Моя поправка лучше чрут - средство безопасности Для сам себе злобных буратин ... текст свёрнут, показать
     
     
  • 11.104, бедный буратино (ok), 20:20, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так сломай другие вещи с помощью дырявого php, теоретик ... текст свёрнут, показать
     
     
  • 12.107, Аноним (-), 20:23, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не знаю, как насчет теоретиков, а практики вполне себе ломают Иногда очень инте... текст свёрнут, показать
     
  • 12.143, Аноним (-), 20:54, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дырявая вебня как правило позволит выполнить произвольный код А вот дальше я мо... текст свёрнут, показать
     
     
     
     
     
    Часть нити удалена модератором

  • 16.157, Аноним (-), 21:14, 20/01/2014 [ответить]  
  • +1 +/
    Это, конечно, абсолютная гарантия защиты Патчи, переставляющие отступы и переим... текст свёрнут, показать
     
     
  • 17.180, бедный буратино (ok), 05:46, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это теоретикам нужны громкие маркетинговые слова, чтобы производить впечатление ... текст свёрнут, показать
     
  • 16.165, Аноним (-), 21:28, 20/01/2014 [ответить]  
  • +/
    Начались отмазки А я разве говорил про httpd Я сказал - пролезут через дырявую... текст свёрнут, показать
     
  • 10.169, Michael Shigorin (ok), 22:53, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет Другое дело, если это не только смена области видимости в пространстве имён... текст свёрнут, показать
     
     
  • 11.176, бедный буратино (ok), 05:38, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть, я правильно понял кинутую предъяву, что вот это http www openbsd org ... текст свёрнут, показать
     
     
  • 12.188, исчо_адын_аноним (?), 12:01, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, в данный момент 2014-год это именно так ... текст свёрнут, показать
     
  • 12.204, Аноним (-), 21:27, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сам по себе chroot мало что даёт А вот в сочетании с отказом от привилегий Apa... текст свёрнут, показать
     
  • 12.209, Michael Shigorin (ok), 02:20, 22/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как совершенно справедливо заметили в 204, это -- не чрут, а другой комплекс ... текст свёрнут, показать
     
  • 8.105, Аноним (-), 20:22, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    До многих вещей в системе можно добраться и не сбегая из чрута Bullshit идет во... текст свёрнут, показать
     
     
     
    Часть нити удалена модератором

  • 10.146, Аноним (-), 20:59, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сисколы и библиотечные функции Ну да, бидонисты о такой мелочи не знают За них... текст свёрнут, показать
     
     
  • 11.147, бедный буратино (ok), 21:03, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Мсье теоретику предложили конкретный вопрос - как он будет убегать из чрута дефо... текст свёрнут, показать
     
     
  • 12.166, Аноним (-), 21:32, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем убегать из чрута Многие вещи будут работать и там Да, некоторые файл... текст свёрнут, показать
     
     
  • 13.173, chinarulezzz (ok), 04:27, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    аж отсвечивает 31337тарностью По факту, тех принципов безопасности которых при... текст свёрнут, показать
     
     
  • 14.179, бедный буратино (ok), 05:44, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они медленнее Массовый продукт из скорости и безопасности почти всегда выбирает... текст свёрнут, показать
     
  • 3.27, бедный буратино (ok), 11:57, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Если не ставить php, который небезопасен by design, и который ломают даже девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно ядра.
     
     
  • 4.28, исчо_адын_аноним (?), 12:01, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Если не ставить php, который небезопасен by design, и который ломают даже
    > девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно
    > ядра.

    А если не ставить ОС на комп, то тут даже деревянная затычка будет бессильна.

     
     
  • 5.29, бедный буратино (ok), 12:06, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А если не ставить ОС на комп, то тут даже деревянная затычка будет бессильна.

    Смотря, что хочешь получить. Возможно, в твоём случае, не ставить ОС на комп - это лучший выбор.


     
     
  • 6.97, Аноним (-), 20:10, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В твоем случае компьютеры вообще лучше даже не включать. Я помню как ты месяц пытался вику раскатать на ноут. При таком феерическом уровне ламерства лучше не использовать ничего сложнее палки-копалки.
     
     
  • 7.106, бедный буратино (ok), 20:22, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В твоем случае компьютеры вообще лучше даже не включать. Я помню как
    > ты месяц пытался вику раскатать на ноут. При таком феерическом уровне
    > ламерства лучше не использовать ничего сложнее палки-копалки.

    Чувак, если указана вполне конкретная инструкция, и она не работает, то единственный косячник - это тот, кто её делал. Кстати, и авторы, и сама жизнь признали, что этот вариант не работает. В принципе. Вообще. Уж не знаю, потому что php, или нет, это не ко мне вопросы.

     
     
  • 8.110, Аноним (-), 20:25, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неча на зеркало пенять, коли рожа крива У других работает, у тебя нет, а прич... текст свёрнут, показать
     
  • 4.78, Miha (??), 19:31, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если не ставить php, который небезопасен by design, и который ломают даже
    > девочки-дошкольницы, то многим софт-ошибкам openbsd успешно противостоит. Безотносительно
    > ядра.

    Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых рук пишущих его, от растущих с неправильного места использующих его.

     
     
  • 5.80, бедный буратино (ok), 19:37, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
    > рук пишущих его, от растущих с неправильного места использующих его.

    Чей код я не видел?

    В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png

     
     
  • 6.92, Аноним (-), 20:03, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, бидонисты только и умуют что других грязью поливать. Потому что сами вообще нормальные продукты выкатить не в состоянии. Вот и остается других поливать...
     
     
  • 7.170, Michael Shigorin (ok), 23:02, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Вот и остается других поливать...

    Ребята, я понимаю, что у вас обострение рановато началось, но предлагаю всё же знать меру.

     
     
  • 8.171, Led (ok), 02:53, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты посмотри сначала процент постов о буратины от общего числа на опеннете , при... текст свёрнут, показать
     
  • 8.181, бедный буратино (ok), 06:07, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, вы отрицаете, что люди, у которых тот факт, что кто-то где-то выпускает... текст свёрнут, показать
     
  • 6.190, тигар (ok), 13:13, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
    >> рук пишущих его, от растущих с неправильного места использующих его.
    > Чей код я не видел?
    > В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает
    > чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png

    а может там рассказывается о том, как ошибку "мускл лежит" (например) спрятать?

     
     
  • 7.191, бедный буратино (ok), 14:36, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>>  Осмелюсь предположить, что вы даже код не видели. Небезопасен от кривых
    >>> рук пишущих его, от растущих с неправильного места использующих его.
    >> Чей код я не видел?
    >> В php даже сама идеология "маскировать ошибки, насколько это возможно" просто вынуждает
    >> чаще ошибаться... тут на соседнем форуме смешную картинку показывали: http://c.51t.ru/pyphp.png
    > а может там рассказывается о том, как ошибку "мускл лежит" (например) спрятать?

    То есть "mysql лежит, но страница должна продололжать генерироваться дальше? есть же такой неиссякаемый источник данных, как random!"

    Ну, может быть. Потому что я так и не вспомню ни одного языка, где "mysql лежит, но мы продолжаем дальшеупорно генерировать страницу, как будто ничего не произошло" является штатной, кроме как в php.

     
     
  • 8.192, тигар (ok), 14:43, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    на странице может быть и статика, которую можно нужно отдать олсо гламурное ок... текст свёрнут, показать
     
     
  • 9.193, бедный буратино (ok), 14:53, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так эта ситуация любым языком нормально отрабатывается Именно ОТРАБАТЫВАЕТСЯ... текст свёрнут, показать
     
     
  • 10.194, тигар (ok), 14:58, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gt оверквотинг удален у тебя уже веки сгорели от света из глаз пиши на ПХП ч... текст свёрнут, показать
     
     
  • 11.196, бедный буратино (ok), 15:09, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, не примерно Если пришли неоднозначные данные, оно не должно пытаться додум... текст свёрнут, показать
     
     
  • 12.198, тигар (ok), 15:13, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты меня конечно прости но настроить php пригласи того, кто это делать умеет ... текст свёрнут, показать
     
     
  • 13.199, бедный буратино (ok), 15:45, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я говорю о ситуации внезапно отвалилось , например при какой-нибудь ошибке обно... текст свёрнут, показать
     
  • 4.88, Аноним (-), 19:54, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Если не ставить php,

    Ну вон гитхаб на руби - сломали. И moinmoin на бидоне - тоже. Не работает чего-то твой совет нифига. Вебня пишется всякими специалистами по вьюжлвасику типа тебя, при этом не так уж важно, питон там, пых, руби, нода.жс или что там еще. Вы такие хорошие все-равно лажаетесь в самых базовых вещах совершенно одинаково, не будучи в состоянии предусмотреть самые простые и очевидные ляпы.

     
     
  • 5.91, бедный буратино (ok), 20:00, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Если не ставить php,
    > Ну вон гитхаб на руби - сломали. И moinmoin на бидоне - тоже.

    Это имеет такое же отношение к дизайну языка, как Аноним - к адекватности.

    Когда в языке дозволено, несмотря на критические ошибки, продолжать дальше производить расчёты, впору вешать табличку "п...дец" и ползти на кладбище. А не выискивать единичные случаи у других.

     
  • 2.38, Аноним (-), 13:21, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Итак, самая безопасная ось в начале 2014 года начала думать о проверке
    > подлинности. Я люблю этот мир.

    Не "начала думать" а "заканчивает реализовывать". Цифровые подписи - это чуть сложнее, чем openssl -genrsa. Сделать процесс простым, надёжным и безопасным - это совсем не то же, что отрапортовать о внедрении технологии.

    А подписывать пакеты, собираемые из портов, можно было уже N лет назад.

     
     
  • 3.89, Аноним (-), 19:58, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Не "начала думать" а "заканчивает реализовывать".

    "...а 22-е лезвие заканчивает полировку вашей челюсти".

    > Цифровые подписи - это чуть сложнее, чем openssl -genrsa.

    Именно - ЧУТЬ. Вот реально - цифровые подписи это цифровые подписи. В конкретно 25519 юзеж публичной криптографии прост как топор. Берштейн специально это сделал, как контраст с SSL который секурно заюзать и нигде не стрельнуть себе в пятку - семь потов сойдет.

    > совсем не то же, что отрапортовать о внедрении технологии.

    Тем не менее, у того же дебиана или редхатов за годы использования ими подписей прецедентов с именно подделкой подписей не зафиксировано.

    > А подписывать пакеты, собираемые из портов, можно было уже N лет назад.

    А "бы" в этом мире не считается. Это называется "упущенные возможности".


     
     
  • 4.174, chinarulezzz (ok), 04:38, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Тем не менее, у того же дебиана или редхатов за годы использования ими подписей прецедентов с именно подделкой подписей не зафиксировано.

    в среде kernel-хакеров была замечена привычка умалчивать об уязвимостях.

    >Это называется "упущенные возможности".

    для кого? "фатальный недостаток", да. Аноним по причине отсутствия подписей - не выбрал опёнка. Недостаточно секюрна для него :-D Какая упущенная возможность. А ведь если б он ею пользовался, возможно он за электричество уплатил бы Тео, и опёнок не имел таких материальных проблем.

     
  • 4.218, Аноним (-), 02:24, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не чуть Наиболее распространённые схемы вроде X 509 подразумевают наличие ... текст свёрнут, показать
     

     ....нить свёрнута, показать (59)

  • 1.32, Аноним (-), 12:34, 20/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Я не понял, они ещё их не подписывали до сих пор? Фигасе, самая безопасная ОС. Даже в Арче уже достаточно давно есть.
     
     
  • 2.33, бедный буратино (ok), 12:37, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Я не понял, они ещё их не подписывали до сих пор? Фигасе,
    > самая безопасная ОС. Даже в Арче уже достаточно давно есть.

    Теперь будут. Если хотел внедрить что-то на левое зеркало - ты опоздал. :)

    Вообще, механизм был доступен очень давно:

    http://www.openbsd.org/faq/faq15.html#PkgSig

    Но на официальных зеркалах этим никто не занимался - на дискету не влезало :) Теперь нашли способ :) Да и народ как-то больше на портах висел, чем на пакетах.


    ps. Достаточно давно - это год назад? :)

     
     
  • 3.35, Аноним (-), 12:57, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, всего-то было на LZMA перейти.
     
     
  • 4.39, Аноним (-), 13:22, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, всего-то было на LZMA перейти.

    AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря, особенно для упаковки.

     
     
  • 5.68, Аноним (-), 15:27, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да, всего-то было на LZMA перейти.
    > AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря, особенно
    > для упаковки.

    Да прям.....

     
  • 5.90, Аноним (-), 20:00, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > AFAIK, это убьёт старые системы, из-за повышенных требований к размеру словаря,
    > особенно для упаковки.

    Насколько старые? Если кто не может выкроить себе 2 мега на словарь - это не просто старье, это какой-то ZX-спектрум уже.

     
     
  • 6.205, Аноним (-), 21:36, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    2 метра А 32 метра не хотите Не говоря о том, что разница даже в скорости само... текст свёрнут, показать
     

  • 1.70, metallica (ok), 15:42, 20/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    *BSD в атаке ftp.freebsd.org/pub/FreeBSD/releases/ISO-IMAGES/10.0/
     
     
  • 2.98, Аноним (-), 20:11, 20/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Нетка тоже немного участвует:
    http://ftp.netbsd.org/pub/NetBSD/NetBSD-6.1.3/images/
     

  • 1.115, lucentcode (ok), 20:28, 20/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Рад, что финансовые проблемы проекта разрешились. Хоть и не пользуюсь OpenBSD, но всегда симпатизировал данному проекту.
     
  • 1.182, бедный буратино (ok), 06:35, 21/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, пацаны, есть одна проблема, кто знает, как разобраться?

    Есть роутер, по-моему, dlink dir 320. не мой, как мне его дали, так он и шуршит, я там ничего не настраивал.

    Есть линаксы, много разных линаксов, и есть openbsd 5.5beta. В линаксах всё нормально - скорость до сервера в районе 250 кбайт-сек.

    Если же запустить rsync или wget c openbsd, то скорость стабильно 60 кбайт-сек. Хоть по сети подключайся, хоть по вай-фаю. Один раз его всё-таки прорвало на номинал, но я не понял - как.

    При этом, если запустить при этом что-то с другого linux, то скорость будет мизерная-мизерная. Т.е., толи оно весь канал жрёт, то ли провайдер тупит.

    Скорость внутри дома, по лану - нормальная, никаких ограничений.

    В чём может быть проблема?


    Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы (аптайм 80% - это норма. больше - это большое счастье) - помнится, даже было такое, что запуск даже двух вгетов не проходил - т.е. запускаешь один вгет - скорость 500 кбайт.сек, запускаешь второй - минуту к сети коннектится...

     
     
  • 2.183, cnst (?), 08:30, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Где у тебя сервер?  Есть такое понятие, как bandwidth delay product, у OpenBSD есть ограничение в 256KB.
     
     
  • 3.184, бедный буратино (ok), 08:54, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Где у тебя сервер?

    Это не сервер, это мой домашний компьютер.


    >  Есть такое понятие, как bandwidth delay product, у OpenBSD есть ограничение в 256KB.

    Ничё не понял. В роутер оно уходит одинаково. А там уже мальчики налево, девочки направо. И когда оно по комнате бегает, нет никаких лимитов. А когда в интернет - 60 кб с занятием всего канала напрочь. Внимание, вопрос - ОТКУДА ОНО ЗНАЕТ? :)

     
  • 3.185, бедный буратино (ok), 09:18, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это из openbsd

    re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
            lladdr 00:01:2e:3a:ec:b0
            priority: 0
            groups: egress
            media: Ethernet autoselect (100baseTX full-duplex,rxpause,txpause)
            status: active
            inet6 fe80::201:2eff:fe3a:ecb0%re0 prefixlen 64 scopeid 0x2
            inet 192.168.0.120 netmask 0xffffff00 broadcast 192.168.0.255

     
  • 3.195, Neus (?), 15:06, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А причем тут BDP и как оно объясняет указанное поведение?
     
  • 2.197, Neus (?), 15:11, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы

    О! у нас такой был провайдер, походу его техдиректор к вам сбежал :)

     
     
  • 3.200, бедный буратино (ok), 15:46, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Вообще, у меня тут самый неадекватный провайдер (у него всё на генте!), и там постоянно какие-то проблемы
    > О! у нас такой был провайдер, походу его техдиректор к вам сбежал :)

    Боюсь, никакого техдиректора тут нет. Как было настроено один раз 15 лет назад, так оно до сих пор "методом живтительного ребута" и реставрируется. :)

    ps. Почему сбежал? Почему не расстреляли? :)


     
     
  • 4.201, Andrey Mitrofanov (?), 15:56, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ps. Почему сбежал? Почему не расстреляли? :)

    Да, твоё творчество ведт к этой мысли.

     
     
  • 5.202, бедный буратино (ok), 16:00, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> ps. Почему сбежал? Почему не расстреляли? :)
    > Да, твоё творчество ведт к этой мысли.

    То колобок был. Мой брат двоюродный.


     
  • 2.206, Аноним (-), 21:47, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > Есть линаксы, много разных линаксов, и есть openbsd 5.5beta. В линаксах всё
    > нормально - скорость до сервера в районе 250 кбайт-сек.
    > Если же запустить rsync или wget c openbsd, то скорость стабильно 60
    > кбайт-сек. Хоть по сети подключайся, хоть по вай-фаю. Один раз его
    > всё-таки прорвало на номинал, но я не понял - как.
    > При этом, если запустить при этом что-то с другого linux, то скорость
    > будет мизерная-мизерная. Т.е., толи оно весь канал жрёт, то ли провайдер
    > тупит.
    > Скорость внутри дома, по лану - нормальная, никаких ограничений.
    > В чём может быть проблема?

    Покажи вывод:

    1) sysctl -a
    2) netstat -ni  (во время проблемной закачки)
    3) pfctl -vsr

     
     
  • 3.211, бедный буратино (ok), 05:57, 22/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Покажи вывод:
    > 1) sysctl -a
    > 2) netstat -ni  (во время проблемной закачки)
    > 3) pfctl -vsr

    http://ob.51t.ru/n/

    Это, конечно, смешно звучит, но после второй команды у меня скорость закачки поднялась с 60 до 150 кбайт. Секретный код? :) А коды на бессмерть есть? :)

     

  • 1.186, бедный буратино (ok), 09:39, 21/01/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Тээкс, интересненько...

    обновление на снэпшоте от 18 января высветило новое поведение...

    (обновление с диска, как это выглядит при сетевом обновлении, я не знаю)

    сначала взяло SHA256 (файл SHA256.sig я не ложил, поэтому не знаю, проверяло бы оно его), хотя раньше - не брало, и все суммы, по-моему, были прошиты в bsd.rd (впрочем, я не уверен). и потом написало Installing sets, но при этом не выводило графиков установки - я даже не понял, что это с ним, чего оно просто так висит...

    Ждём новых снапшотов, и буду экспериментировать с ними уже в виртуалке, ставить до обновлять туда-сюда...

     
     
  • 2.207, Аноним (-), 21:50, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Оно теперь пробует, если есть возможность, сначала слива... текст свёрнут, показать
     
     
  • 3.208, Аноним (-), 23:10, 21/01/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Оно теперь пробует, если есть возможность, сначала сливать сеты в /home на
    > системе, делать им проверку подписи (это не то же, что проверка
    > контрольных сумм) и уже потом устанавливать. На лету проверить и тут
    > же установить по определению, нельзя - подпись проверить можно только получив
    > файл полностью, но и устанавливать из ещё не проверенного файла тоже
    > как-то глупо. В случае установки с диска это, действительно, излишне -
    > думаю, скоро это исправят.

    А, нет, при установке с диска делаются симлинки. Так что лишнего копирования не происходит, но "полосок прогресса" мы на данный момент лишены, увы.

     
     
  • 4.212, бедный буратино (ok), 05:59, 22/01/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
    > не происходит, но "полосок прогресса" мы на данный момент лишены, увы.

    Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying base55.tgz"... а то я уже начал волноваться, чего это он такое делает....

     
     
  • 5.214, бедный буратино (ok), 05:34, 24/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
    >> не происходит, но "полосок прогресса" мы на данный момент лишены, увы.
    > Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не
    > мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying
    > base55.tgz"... а то я уже начал волноваться, чего это он такое
    > делает....

    О, свежесобранный снапшот уже индикаторы показывает. Правда, напрочь пропало 3д ускорение... короче говоря, если постоянно обновлять снапшоты - ничего хорошего не будет :) жду релиза, будем ставить начисто :)


    ps. А почему про OpenBSD уже два дня нет никаких новостей. Что-то случилось? :)

     
     
  • 6.219, Аноним (-), 02:28, 26/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>> А, нет, при установке с диска делаются симлинки. Так что лишнего копирования
    >>> не происходит, но "полосок прогресса" мы на данный момент лишены, увы.
    >> Надо хотя бы написать "донтвори, би хеппи, это займёт несколько минут, не
    >> мучайте клавиатуру и не дуйте в мышку"... и хотя бы "Copying
    >> base55.tgz"... а то я уже начал волноваться, чего это он такое
    >> делает....
    > О, свежесобранный снапшот уже индикаторы показывает. Правда, напрочь пропало 3д ускорение...

    Стоит проверить права на /dev/drm0. Если для входа в систему используется *dm, проблем не должно быть, они сами выставляют нужные.

     
  • 3.210, бедный буратино (ok), 05:10, 22/01/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Оно теперь пробует, если есть возможность, сначала сливать сеты в /home на
    > системе, делать им проверку подписи (это не то же, что проверка
    > контрольных сумм) и уже потом устанавливать. На лету проверить и тут
    > же установить по определению, нельзя - подпись проверить можно только получив
    > файл полностью, но и устанавливать из ещё не проверенного файла тоже
    > как-то глупо. В случае установки с диска это, действительно, излишне -
    > думаю, скоро это исправят.

    ну дысь, я так и понял, логично...

    /altroot2? :)

    хотя я и первый не использовал никогда. :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру