The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлен новый защищённый SSH-сервер TinySSH

12.05.2014 11:21

В рамках проекта TinySSH началось развитие компактного и защищённого сервера для организации удалённого доступа по протоколу SSH-2. Для организации защищённого сетевого взаимодействия, шифрования и работы с цифровыми подписями в TinySSH задействована развиваемая Дэниэлом Бернштейном (Daniel J. Bernstein) библиотека NaCl (Networking and Cryptography library), а также её урезанный вариант TweetNaCl. Для дополнительной защиты может использоваться протокол передачи данных CurveCP, обеспечивающий верификацию каждого переданного пакета. Код проекта распространяется как общественное достояние (public domain).

Сервер поддерживает только аутентификацию на основе открытых ключей, организация входа через пароли не поддерживается. Разработчики также не планируют создание утилиты scp, вместо которой рекомендуют использовать "rsync -e ssh". Обмен ключами построен на базе функции Curve25519, для цифровых подписей применяется схема Ed25519, в качестве транспортного протокола задействован "chacha20-poly1305@openssh.com" на основе алгоритмов потокового шифра ChaCha20 и аутентификации сообщений Poly1305-AES.

В настоящее время проект находится на стадии экспериментального прототипа, первый альфа-выпуск ожидается в начале следующего года, а первый выпуск, пригодный для промышленного использования, запланирован на 2016 год. Текущая экспериментальная реализация TinySSH совместима с SSH-клиентом OpenSSH 6.5 и более новыми версиями. В будущем планируется обеспечить поддержку методов ecdsa-sha2-nistp256, ecdh-sha2-nistp256 и aes128-ctr/aes256-ctr.

Основные особенности TinySSH:

  • Лёгкость аудита - код состоит менее чем из 100 тысяч слов (~ 15 тысяч строк);
  • Неприменение динамических методов распределения памяти, вся память выделяется статически;
  • Простая конфигурация, исключающая возникновение проблем с безопасностью из-за ошибок при настройке;
  • Использование проверенного и надёжного стороннего кода: система сборки, используемая в NaCl и CurveCP, применение tcpserver и curvecpserver для создания организации приёма TCP и CurveCP соединений;
  • Исключение излишней функциональности, разработчики принципиально отказались от поддержки SSH1, сжатия, scp, sftp;
  • Отказ от поддержки устаревших криптографических примитивов, таких как rsa, dsa, classic diffie-hellman, md5, sha1, 3des, arcfour и т.п.
  • Отказ от авторских прав на код и перевод проекта в категорию общественного достояния;
  • Не использование OpenSSL в качестве внешней зависимости, для работы TinySSH достаточно NaCl или TweetNaCl.


  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Представлена новая криптографическая библиотека Sodium
  3. OpenNews: Релиз библиотеки libssh 0.6.0
  4. OpenNews: Выпуск OpenSSH 6.6
  5. OpenNews: OpenSSL исключен из числа обязательных зависимостей OpenSSH
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/39752-ssh
Ключевые слова: ssh, tinyssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (231) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, novic_dev (ok), 11:27, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ещё бы компиллятор "доверенный"... А ведь аудит компилятора, который может включить ту же "закладку" в бинарь - дело далеко не тривиальное..
     
     
  • 2.3, xxxxxx (??), 11:38, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть кажется mcc какой-то. (micro c compiler)
     
  • 2.31, Аноним (-), 14:04, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    tiny c compiler - его можно подвергнуть аудиту без особых проблем.
     
  • 2.204, АнонуС (?), 04:29, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > ... Лёгкость аудита - код состоит менее чем из 100 тысяч слов (~ 15 тысяч строк);

    Крамольные вещи говорите, товарищ !

    Любой школьник начальных классов, скажем второклассник и второгодник, за вечер - под пивко и группу "Ленинград", легко проаудитит и компилятор и эти несчастные 15000 строчек.

    И будет вам и "доверенный" компилятор и TinySSH в придачу.


    P:S.: По крайней мере такого мнения придерживаются местные эксперты-старожилы, а лично я им безусловно доверяю.

     
     
  • 3.216, Аноним (-), 05:06, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну ты то с твоим ником точно эксперт.
     

  • 1.2, Нанобот (ok), 11:33, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    уж слишком много всего вырезали, получилась практически нулевая функциональность.
     
     
  • 2.4, Аноним (-), 11:41, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +13 +/
    А зачем вам какая-то дополнительная функциональность, кроме выполнения главной функции - безопасного входа по SSH ?
     
     
  • 3.10, Crazy Alex (ok), 11:52, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Потому что в реальном использовании нужен вагон других фич - от совместимости с существующими системами до разных пробросов и тому подобного. Конечно, для определённых применений - эмбеда того же - оно сгодится, но для большинства случаев просто нет никакой необходимости заменять OpenSSH - он вполне надёжно работает, и большого количества дыр в нём не замечено.

    Допустим, я люблю применять scp+arcfour чтобы гонять файлы в локалке, - необходимости в защите данных нет, зато можно закинуть файл куда угодно, где есть доступ по ssh.

     
     
  • 4.11, хмм (?), 12:05, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >эмбеда того же - оно сгодится

    В эмбеде уже есть dropbear

    >закинуть файл куда угодно, где есть доступ по ssh

    ssh user@host 'cat > somefile' < somefile # Должно и на этом убогом работать.
    Но по сути верно, многие другие фичи вроде туннелей, sftp, X11 и разнообразной аутентификации нужны.

     
     
  • 5.24, Аноним (-), 13:19, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Но по сути верно, многие другие фичи вроде туннелей, sftp, X11 и разнообразной аутентификации нужны.

    Нужны, но не в базовых ssh сервере/клиенте.

     
     
  • 6.32, хмм (?), 14:12, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно в базовом, оно может понадобиться на рандомном сервере с рандомной осью, поставленной рандомным админом, уволенным рандомное число лет назад.
    Наоборот для параноиков и аскетов нужны свои особенные версии не как у всех.
     
     
  • 7.35, Andrey Mitrofanov (?), 14:25, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >оно может понадобиться на рандомном сервере с рандомной осью,
    > поставленной рандомным админом, уволенным рандомное число лет назад.

    Ну, прямо как необязательное расширение протокола SSL heartbeat!

    > Наоборот для параноиков и аскетов нужны свои особенные версии не как у всех.

     
  • 7.55, Аноним (-), 18:16, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Именно в базовом, оно может понадобиться на рандомном сервере с рандомной осью,

    Знаешь, обшить парашют золотой бахромой я и сам могу, наконец, если это сильно надо. А вот если основной парашют запутался (память на серваке кончилась) а запасной (ssh) отказался раскрываться, сославшись на то что там память кончилась (какая неожиданность) - очень "приятно", да. При дерге запасного парашюта появилась табличка с "извините, но вам пи...ц!"

     
     
  • 8.158, Crazy Alex (ok), 01:29, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то я таких чудес не припомню А вот вариант вот щас надо через этот сервер ... текст свёрнут, показать
     
     
  • 9.173, Аноним (-), 05:44, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да на такую ситуацию еще нарваться надо ухитриться, в нормальном случае OOM килл... большой текст свёрнут, показать
     
  • 7.88, Аноним (-), 19:26, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Именно в базовом, оно может понадобиться на рандомном сервере с рандомной осью,
    > поставленной рандомным админом, уволенным рандомное число лет назад.

    Один из любимых аргументов Лени Поттера. Он сейчас как раз делает свой NTP-демон, чтобы обязательно входил в базовую систему инициализации и был доступен сразу на всех линуксах.

     
     
  • 8.107, хм (?), 20:05, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да, уже слышал, аргументаци тут следующая OpenSSH -- это такой systemd scp - h... текст свёрнут, показать
     
     
  • 9.109, Аноним (-), 20:12, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что-то общее у них есть, да - оба швейцарские ножи с 120 лезвиями ... текст свёрнут, показать
     
     
  • 10.157, Crazy Alex (ok), 01:27, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Разница в том, что OpenSSH уже давно показал свою беспроблемность и удобство Я ... текст свёрнут, показать
     
     
  • 11.174, Аноним (-), 06:01, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Да, достаточно вывесить openssh голой попой на стандартном порту в интернет, и м... большой текст свёрнут, показать
     
  • 4.25, Аноним (-), 13:24, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В общем-то, аргумент из серии в systemd есть свой встроенный , а в вашем ини... большой текст свёрнут, показать
     
     
  • 5.51, Аноним (-), 18:10, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Проблема в том, что кодовая база OpenSSH чудовищно раздута, и в ней
    > может скрываться еще хренова туча дыр. Нормально проаудитить эти мегабайты кода
    > - малореально.

    Вы не поверите, но полный аудит OpenSSH делался не один и не два раза. Учитывая, что объём "чудовищно раздутой кодовой базы" составляет порядка всего ста килострок - вместе с текстами лицензии в файлах и комментариями - это не такая уж и сложная задача. Особенно по сравнению с какой-нибудь Samba, например, которую тоже, в общем-то, далеко не дураки пилят.

     
     
  • 6.58, Аноним (-), 18:18, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > всего ста килострок -

    На фоне 15 килострок, 100 не выглядит "всего", извините.

    > сравнению с какой-нибудь Samba, например,

    А защищенность от виндус шарез вообще никто не ожидает. И критичные дыры там были.

     
     
  • 7.63, Аноним (-), 18:27, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Соотношение нормальное, учитывая бОльшую портабельность OpenSSH, недописанность ... большой текст свёрнут, показать
     
     
  • 8.70, Аноним (-), 18:45, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как я уже сказал, мне от ssh для начала надо защищенность и безотказность Это п... большой текст свёрнут, показать
     
     
  • 9.71, Аноним (-), 18:48, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разница между одной страницей и семью не такая же, как между одним томом и семью... текст свёрнут, показать
     
     
  • 10.72, Аноним (-), 18:50, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Whatever При наличии выбора читать 1 страницу или 7, я прочитаю 1 И это будет ... текст свёрнут, показать
     
     
  • 11.76, Аноним (-), 19:01, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да читайте на здоровье свою одну страницу Но когда ж до вас дойдёт, что если ва... большой текст свёрнут, показать
     
     
  • 12.84, Аноним (-), 19:17, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Использование OpenSSH вместо нормального SSH-сервера на подавляющем большинстве ... текст свёрнут, показать
     
     
  • 13.161, Crazy Alex (ok), 01:42, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если у вас на серваке может так уйти память, что он вообще становится недоступен... текст свёрнут, показать
     
     
  • 14.176, Аноним (-), 06:31, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да я не скажу что я каждый день встречаю такие обломы Но вы знаете, мне и едини... большой текст свёрнут, показать
     
  • 12.103, Аноним (-), 20:00, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    про который гуляют упорные слухи про неизвестный 0-day есть утверждения о пр... большой текст свёрнут, показать
     
     
  • 13.110, хм (?), 20:12, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    SSH тебе не подходит, там лишние функции байдизайн Гоняй телнет через TLS или с... текст свёрнут, показать
     
     
  • 14.114, Аноним (-), 20:26, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не вижу в каком таком дизайне написано что это должен быть комбайн с 120 лезвиям... текст свёрнут, показать
     
     
  • 15.132, хм (?), 21:02, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Транспорт шифрование rsh -- это фууу комбааайн У каждой программы должна быть о... текст свёрнут, показать
     
     
  • 16.135, Аноним (-), 21:09, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так это и есть 1 функци - секурный шелл Это бесполезно - я составил свое мне... текст свёрнут, показать
     
     
  • 17.137, хм (?), 21:23, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это 4 функции в одном комбайне И пошло поехало по новой Ну да, меньше строчек э... текст свёрнут, показать
     
     
  • 18.144, Аноним (-), 22:44, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А почему 4 Если например посчитать все системные вызовы - получится и 100 запро... большой текст свёрнут, показать
     
  • 13.124, Аноним (-), 20:45, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вы, похоже, вообще не в курсе современного OpenSSH RSA по дефолту вырублен ком... текст свёрнут, показать
     
     
  • 14.136, Аноним (-), 21:15, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да А вот новость на опеннете про то что openssl убрали из числа обязательных за... большой текст свёрнут, показать
     
     
  • 15.190, Аноним (-), 18:18, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Отчасти я ступил, признаю - в portable-варианте действительно выпилили недавно ... большой текст свёрнут, показать
     
     
  • 16.199, Аноним (-), 22:36, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    И чего ожидать от реализаторов из этой либы - я уже видел в ченжлоге Tor в новых... большой текст свёрнут, показать
     
  • 9.138, anonymous (??), 21:37, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Смысла от захода по ssh при закончившейся памяти не так уж и много, учитывая нео... большой текст свёрнут, показать
     
     
  • 10.142, Аноним (-), 22:08, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Зависит от К тому же, навороченный демон кушает довольно ощутимо памяти, что по... большой текст свёрнут, показать
     
     
  • 11.146, anonymous (??), 22:57, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Не умеют, просто на той консоли, куда оно подключено, обычно либо уже bash висит... большой текст свёрнут, показать
     
     
  • 12.153, Аноним (-), 00:14, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так это и про сабж можно сказать как раз с его статичным выделением памяти Разн... большой текст свёрнут, показать
     
  • 7.66, Аноним (-), 18:31, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> всего ста килострок -
    > На фоне 15 килострок, 100 не выглядит "всего", извините.

    Кстати, TinySSH, это ещё и только сервер. А OpenSSH включает и клиентскую часть...

     
     
  • 8.73, Аноним (-), 18:50, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Валидный пойнт Надо такой же мелкий и аккуратный клиент ... текст свёрнут, показать
     
  • 6.59, Аноним (-), 18:20, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кстати, может, сначала с coreutils или glibc начать разговор о блоатвари А то, ... большой текст свёрнут, показать
     
     
  • 7.65, Аноним (-), 18:30, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати, может, сначала с coreutils

    Они сами по себе к защищенным протоколам передачи данных не относятся чуть менее чем никак.

    > или glibc начать разговор о блоатвари?

    Если это беспокоит, есть uclibc.

    > то, вон, Гугл признался, что libc в Android использует немало кода
    > из той же OpenBSD.

    Так они в андроиде перед проприерасами подмахивают, а т.к. "лицензия позволяет" - вот и...

    > чужом глазу, не замечая бревна в своём?

    Тезис о том что андроид заботится о безопасности пользователя - не выдерживает никакой критики.

     
     
  • 8.68, Аноним (-), 18:38, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, к протоколам передачи относятся слабо Они всего лишь работают кирпичикам... большой текст свёрнут, показать
     
     
  • 9.78, Аноним (-), 19:05, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так протокол secure shell - обеспечивает секурность шелла А что там за шелло... большой текст свёрнут, показать
     
     
  • 10.98, Аноним (-), 19:47, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    был ... текст свёрнут, показать
     
     
  • 11.115, Аноним (-), 20:27, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А какой Интересно же ... текст свёрнут, показать
     
  • 10.99, Аноним (-), 19:48, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Никто, это вы сами додумали, что я говорю о безопасности Android Я понимаю, что... текст свёрнут, показать
     
     
  • 11.118, Аноним (-), 20:29, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не читаю никаких секлабов Для выводов о андроиде и его безопасности мне доста... текст свёрнут, показать
     
     
  • 12.121, Аноним (-), 20:36, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё раз не было с моей стороны тезиса о безопасности Android Не торопитесь лов... текст свёрнут, показать
     
     
  • 13.145, Аноним (-), 22:51, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда не понятно к чему были заявления про аудит и прочее размахивание тем как... большой текст свёрнут, показать
     
     
  • 14.196, Аноним (-), 19:53, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что, повторяю в пятый, кажется, раз про аудит безопасности вы додумали... большой текст свёрнут, показать
     
     
  • 15.200, Аноним (-), 22:51, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так откармливают же OpenSSH как минимум - перекормили, имхо Сделав слишком ... большой текст свёрнут, показать
     
     
  • 16.210, Аноним (-), 15:04, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    КРОМЕ OpenSSH к чему, растущему под крылом OpenBSD, есть претензии на тему избыт... большой текст свёрнут, показать
     
     
  • 17.217, Аноним (-), 05:28, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Я не задавался целью выкатывать опенбзде претензии по чрезмерной жирности софта... большой текст свёрнут, показать
     
  • 10.100, Аноним (-), 19:49, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то речь была отнюдь не о портянках на локалхостах А о системных компонен... текст свёрнут, показать
     
     
  • 11.116, Аноним (-), 20:28, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У меня на серверах нет никаких Xsession И вообще, это уже куда-то сильно в стор... текст свёрнут, показать
     
  • 10.102, хм (?), 19:57, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это пресловутый Юзер294... текст свёрнут, показать
     
     
  • 11.104, Аноним (-), 20:01, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    294 - это второй собеседник А мне интересно как назывался мой оппонент Вроде н... текст свёрнут, показать
     
     
  • 12.177, Аноним (-), 07:09, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    значит минона ... текст свёрнут, показать
     
  • 9.185, arisu (ok), 11:58, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    потому что оно еле-еле реализует огрызок позикса вполне логично, что чем менее ... текст свёрнут, показать
     
     
  • 10.201, Аноним (-), 22:53, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пришел поручик Ржевский W W капитан очевидность и как обычно эпичен Правда я та... текст свёрнут, показать
     
  • 6.80, Аноним (-), 19:12, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы не поверите, но полный аудит OpenSSH делался не один и не два раза.

    Количество не заменяет качества.

    > Учитывая, что объём "чудовищно раздутой кодовой базы" составляет порядка всего ста килострок

    Всего-то? Ну тогда и у systemd "всего-то порядка пятисот килострок", совсем маленький проектик ведь!

     
     
  • 7.91, Аноним (-), 19:29, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вы не поверите, но полный аудит OpenSSH делался не один и не два раза.
    > Количество не заменяет качества.

    Ваши претензии к качеству аудита? Мсье может представить результаты своего анализа?

    >> Учитывая, что объём "чудовищно раздутой кодовой базы" составляет порядка всего ста килострок
    > Всего-то? Ну тогда и у systemd "всего-то порядка пятисот килострок", совсем маленький
    > проектик ведь!

    Сложность реальных программных комплексов как систем возрастает не линейно.

     
     
  • 8.105, Аноним (-), 20:02, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, вы правы Она возрастает квадратично Если не разбивать на некие независи... текст свёрнут, показать
     
     
  • 9.117, Аноним (-), 20:29, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Возрастать она может по-разному В худшем случае она будет, если правильно сообр... текст свёрнут, показать
     
     
  • 10.122, Аноним (-), 20:41, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Мне в свое время попадались оценки что зависимость квадратичная, выглядело вроде... текст свёрнут, показать
     
     
  • 11.197, Аноним (-), 21:08, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это клинический случай, когда каждая функциональная единица завязана на все оста... большой текст свёрнут, показать
     
  • 6.113, Золотой Молох (?), 20:19, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Проблема в том, что кодовая база OpenSSH чудовищно раздута, и в ней
    >> может скрываться еще хренова туча дыр. Нормально проаудитить эти мегабайты кода
    >> - малореально.
    > Вы не поверите, но полный аудит OpenSSH делался не один и не
    > два раза. Учитывая, что объём "чудовищно раздутой кодовой базы" составляет порядка
    > всего ста килострок - вместе с текстами лицензии в файлах и
    > комментариями - это не такая уж и сложная задача. Особенно по
    > сравнению с какой-нибудь Samba, например, которую тоже, в общем-то, далеко не
    > дураки пилят.

    Сколько раз точно и кем конкретно проводился аудит кода OpenSSH? Где можно ознакомиться с результатами аудита?

     
     
  • 7.129, Аноним (-), 20:55, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Последний известный мне большой аудит производился после... большой текст свёрнут, показать
     
     
  • 8.140, Золотой Молох (?), 21:48, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    gt оверквотинг удален То есть ни разу, никем и нигде Я так и понял ... текст свёрнут, показать
     
  • 5.101, Аноним (-), 19:52, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> нет никакой необходимости заменять OpenSSH - он вполне надёжно работает, и большого количества дыр в нём не замечено.
    > OpenSSL тоже вполне надежно работал, и (до недавнего времени) серьезных дыр в
    > нем не замечено.

    Было, и не раз, и не два. HeartBleed стал последней каплей перед форком LibreSSL, но претензии копились годами, если не сказать больше. О чём вообще говорить, если серьёзные запросы в багтрекере OpenSSL порой не закрывались годами, даже при наличии патчей?

     
     
  • 6.106, Аноним (-), 20:04, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > форком LibreSSL, но претензии копились годами, если не сказать больше.

    Ну раз так - о SSL/TLS лучше забыть как о ночном кошмаре и посмотреть на хоть тот же CurveCP. Куда как более вменяемый пример криптографического протокола. Простой, логичный, современный, реализующий все лучшее что вы в принципе можете ожидать от такого протокола (на берштейновской криптографии делать хорошие вещицы легко и приятно).

     
     
  • 7.119, Аноним (-), 20:31, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> форком LibreSSL, но претензии копились годами, если не сказать больше.
    > Ну раз так - о SSL/TLS лучше забыть как о ночном кошмаре
    > и посмотреть на хоть тот же CurveCP. Куда как более вменяемый
    > пример криптографического протокола. Простой, логичный, современный, реализующий все
    > лучшее что вы в принципе можете ожидать от такого протокола (на
    > берштейновской криптографии делать хорошие вещицы легко и приятно).

    Да кто ж спорит, что TLS - overengineered, мягко говоря. Но уйти от него быстро нереально, слишком многое на него завязано в финансовом секторе, в собственно ИТ... да и в промышленности нет-нет, да и встретится, а промышленность весьма и весьма инертна.

     
     
  • 8.123, Аноним (-), 20:43, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А это кому как Я вот например могу хоть завтра развернуть на всех моих серверах... текст свёрнут, показать
     
     
  • 9.127, Аноним (-), 20:52, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Почитайте требования PCI, например Без которых современный интернет-магазин с ... текст свёрнут, показать
     
     
  • 10.147, Аноним (-), 23:08, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вы еще меня отправьте, блин, к наперсточникам Чего мелочиться А кто сказал ... большой текст свёрнут, показать
     
     
  • 11.198, Аноним (-), 21:14, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Того, что если требуется что-то сделать реальное, в разумные сроки менее пяти л... текст свёрнут, показать
     
     
  • 12.218, Аноним (-), 05:32, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А тут как бы вопрос кому мы будем врать Если лоху-клиенту, продав душу за бабл... большой текст свёрнут, показать
     
  • 5.159, Crazy Alex (ok), 01:36, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как раз к OpenSSL дыр больших и малых можно простыню собрать,  и это закономерно - есть куча претензий к стиле написания, API и тому подобному. heardbeat здесь - вишенка на торте, не более. Об OpenSSH ничего подобного не слышно. Вывод - он достаточно надежен для мейнстрима.

    И, в отличие от systemd, фичи OpenSSL годами росли, все к ним привыкли, масса всего завязана на них. А шифрованный netcat - это, конечно, прикольно, но непонятно, ради чего переходить на него и жертвовать удобством.

     
     
  • 6.230, Аноним (-), 00:34, 16/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    quote OpenSSL is the space shuttle of crypto libraries It will get you to spa... большой текст свёрнут, показать
     
  • 4.43, Аноним (-), 17:11, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > от совместимости с существующими системами до разных пробросов и тому подобного

    И потом вам с этими фичами залетит вагон багов, неожиданных продолбов в конфигурации и прочих прелестей. Вот извините, программа должна делать 1 вещь и делать ее хорошо. А вот третьесортный VPN нафиг не упал. Если вам надо VPN, можно более приличную отдельную софтину взять. А openssh превратился в какой-то швейцарский нож с 120 лезвиями, так что сабж - очень правильная штука. Для тех кому надо именно секурный и именно шелл. А не 100500 свистелок, совместимость с древним/НЕСЕКУРНЫМ легаси и прочим.

    Как известно, безопасность бывает 2 уровней: "high" и "нехай" (с)перто.

     
     
  • 5.52, Аноним (-), 18:11, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> от совместимости с существующими системами до разных пробросов и тому подобного
    > И потом вам с этими фичами залетит вагон багов, неожиданных продолбов в
    > конфигурации и прочих прелестей. Вот извините, программа должна делать 1 вещь
    > и делать ее хорошо. А вот третьесортный VPN нафиг не упал.
    > Если вам надо VPN, можно более приличную отдельную софтину взять. А
    > openssh превратился в какой-то швейцарский нож с 120 лезвиями, так что
    > сабж - очень правильная штука. Для тех кому надо именно секурный
    > и именно шелл. А не 100500 свистелок, совместимость с древним/НЕСЕКУРНЫМ легаси
    > и прочим.
    > Как известно, безопасность бывает 2 уровней: "high" и "нехай" (с)перто.

    Сразу видно человека, который исходники SSH сам не изучал, но Рабинович ему напел.

     
     
  • 6.61, Аноним (-), 18:21, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сразу видно человека, который исходники SSH сам не изучал, но Рабинович ему напел.

    Зато я как-то раз залетал в ситуацию когда логин по ssh не работал, потому что памяти для форка нового процесса не хватило. Поэтому надпись про полностью статичное распределение памяти мне нравится. А еще я умею использовать NaCl и в курсе его производительности. Который RSA затыкает неимоверно. Так что можно будет забыть о проблемах с нагрузкой на сервант если 100500 ботов брутфорсят логин.

     
     
  • 7.67, Аноним (-), 18:34, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вот что ты точно знаешь - так это как _не_надо_ настраивать сервера! :)))
    И памать у него кончается, и любой китаец его ssh брутфорсить может :)

    Вынь руки из ****, RTFM twice, или иди уже займись укладкой асфальта ...

     
     
  • 8.81, Аноним (-), 19:11, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да, знаешь, случаи бывают разные А на сервере может быть более 1 программы И ... большой текст свёрнут, показать
     
     
  • 9.171, Аноним (-), 04:47, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Знаю - работа у меня такой TinySSH тут тебе _____НЕ_____ поможет Заранее надо ... большой текст свёрнут, показать
     
     
  • 10.178, Аноним (-), 07:27, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Знаю Беседовал как-то кучер с инженером Кучер доказывал что его работа - зашиб... большой текст свёрнут, показать
     
  • 7.75, Аноним (-), 18:51, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Сразу видно человека, который исходники SSH сам не изучал, но Рабинович ему напел.
    > Зато я как-то раз залетал в ситуацию когда логин по ssh не
    > работал, потому что памяти для форка нового процесса не хватило. Поэтому
    > надпись про полностью статичное распределение памяти мне нравится. А еще я
    > умею использовать NaCl и в курсе его производительности. Который RSA затыкает
    > неимоверно. Так что можно будет забыть о проблемах с нагрузкой на
    > сервант если 100500 ботов брутфорсят логин.

    ... разумеется, существуют другие вывешиваемые в Интернет и при этом не являющиеся bloatware сервисы (особенно богат выбор среди средств удалённого управления) изначально не подвержены DDoS-атакам, и сейчас User294 приведёт их примеры...

     
     
  • 8.82, Аноним (-), 19:16, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот сабж например Если что, берштейновская криптография по скорости очень си... текст свёрнут, показать
     
     
  • 9.89, Аноним (-), 19:26, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вы, видимо, не в курсе, что в OpenSSH 25519 поддерживается ... текст свёрнут, показать
     
     
  • 10.108, Аноним (-), 20:10, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы не поняли Я хитрый тип и в силу моих предпочтений я думаю что единственно... текст свёрнут, показать
     
     
  • 11.120, Аноним (-), 20:34, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В OpenSSH это доползало ещё лет десять назад Но они - реалисты, и работают с ... большой текст свёрнут, показать
     
     
  • 12.126, Аноним (-), 20:50, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря что доползало Криптография - как осетрина, бывает только первой свежес... большой текст свёрнут, показать
     
     
  • 13.211, Аноним (-), 16:12, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А вас никто и не заставлял использовать RSA DSA, а позднее - ECDSA был рекоменд... большой текст свёрнут, показать
     
     
  • 14.219, Аноним (-), 05:51, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    На лично мое мнение - отпилить всякое легаси при появлении более хороших альтерн... большой текст свёрнут, показать
     
     
  • 15.238, Аноним (-), 23:34, 17/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Привет фашистам ... текст свёрнут, показать
     
     
  • 16.239, arisu (ok), 00:21, 18/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а вот и живое доказательство пришло ... текст свёрнут, показать
     
     
  • 17.240, Аноним (-), 04:16, 19/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну а что, человек на голубом глазу сказал, что он - умный, а 95 остальных - ... текст свёрнут, показать
     
     
  • 18.241, arisu (ok), 08:57, 19/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    давай начнём с того, что 171 фашизм 187 тут вообще не при чём и именно о то... текст свёрнут, показать
     
  • 3.23, Аноним (-), 13:18, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем вам какая-то дополнительная функциональность, кроме выполнения главной функции - безопасного входа по SSH ?

    Все уже привыкли, что вместо небольших сервера и клиента для ssh-входа, имеется целый systemd, позволяющий и порты пробрасывать, и файлы копировать, и с графикой удаленно работать.

    А на безопасность всем, в общем-то, пофиг. Ну гуляет по сети сплойт к openssh, и хрен с ним. Со мной этого точно не произойдет.

     
     
  • 4.41, Аноним (-), 16:15, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> А зачем вам какая-то дополнительная функциональность, кроме выполнения главной функции - безопасного входа по SSH ?
    > Все уже привыкли, что вместо небольших сервера и клиента для ssh-входа, имеется
    > целый systemd, позволяющий и порты пробрасывать, и файлы копировать, и с
    > графикой удаленно работать.
    > А на безопасность всем, в общем-то, пофиг. Ну гуляет по сети сплойт
    > к openssh, и хрен с ним. Со мной этого точно не
    > произойдет.

    Ты используешь телнет? ;)

     
     
  • 5.77, Аноним (-), 19:03, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Для нелюбителей вантуз-стайл комбайнов есть dropbear ;)
     
  • 3.29, Michael Shigorin (ok), 13:44, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А зачем вам какая-то дополнительная функциональность

    Ну как же оно с такой нулевой функциональностью будет конкурировать с Microsoft Office? (ц)

     
  • 3.46, Аноним (-), 17:53, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > безопасного входа по SSH ?

    Более того:



    Неприменение динамических методов распределения памяти, вся память выделяется статически;



    Кроме всего прочего это означает что данная прога - не подкачает.

    Если даже на сервере будет полная ж... с памятью, оно уже выделило себе всю память и все-равно отработает. В отличие от некоторых других, с которыми можно в два счета обломаться из-за того что памяти не хватило. Я как-то раз нарывался на такое и было очень неприятно - сервак приходится ребутать через сторонний менеджмент (IPMI, etc). По другому взять бразды правления вообще совсем никак.

     
  • 3.192, umma (?), 19:02, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сжатие очень важно иногда, ващето
     
  • 3.228, Аноним (-), 23:54, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Безопасный шелл основной функциональностью был во времена ssh1. С тех пор архитекрута ssh поменялась и основной функциональностью стало создание криптотуннелей. И хождение по ним данных псевдотерминалов является только частным их применением.
     
  • 2.21, Аноним (-), 13:13, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > уж слишком много всего вырезали, получилась практически нулевая функциональность.

    Разработчики OpenBSD, когда форкали OpenSSL, руководствовались тем же самым подходом. Меньше функциональности - меньше дыр. И не удивительно, что кто-то решил применить тот же принцип к их собственному монстрику.

     
     
  • 3.44, Аноним (-), 17:12, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > применить тот же принцип к их собственному монстрику.

    Которому давно пора сделать debloat. Ибо напихали туда всякого шита, который к secure shell не относится чуть менее чем совсем.

     
     
  • 4.54, Аноним (-), 18:13, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> применить тот же принцип к их собственному монстрику.
    > Которому давно пора сделать debloat. Ибо напихали туда всякого шита, который к
    > secure shell не относится чуть менее чем совсем.

    Загляните, что ли, в исходники OpenSSL и OpenSSH и сравните, для начала.

    Изрядно подчищенный OpenSSL в той же OpenBSD составляет всё ещё 600+ kLoC.

    Полный OpenSSH <100 kLoC.

     
     
  • 5.94, Аноним (-), 19:34, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Изрядно подчищенный OpenSSL в той же OpenBSD составляет всё ещё 600+ kLoC.

    Посчитал нечищенный OpenSSL 0.9.8o (распространенная версия на продакшенах) - 300к *.c, 80к *.h. По порядку вполне сопоставимо с 80к *.c и 10к *.h OpenSSH 5.5p1.

     
     
  • 6.97, Аноним (-), 19:41, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Изрядно подчищенный OpenSSL в той же OpenBSD составляет всё ещё 600+ kLoC.
    > Посчитал нечищенный OpenSSL 0.9.8o (распространенная версия на продакшенах) - 300к *.c,
    > 80к *.h. По порядку вполне сопоставимо с 80к *.c и 10к
    > *.h OpenSSH 5.5p1.

    Я брал свежие версии. Получается, OpenSSL ещё и прирос основательно за четыре года, в то время как в OpenSSH объём изменений в коде минимален. Что как бы тоже намекает на то, где - хорошо спроектированная система, а где - тяп-ляп на скорую руку, сделанный под дудочку некоторых контор...

     
  • 5.128, Аноним (-), 20:53, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Загляните, что ли, в исходники OpenSSL и OpenSSH и сравните, для начала.

    Спасибо, я уж лучше в исходники этой штуки на 15Kloc посмотрю. Ну и на исходники мелкого варианта NaCl. Качественно въехать в 15К строк еще куда ни шло, в 100К - нафиг надо!

     
  • 4.229, Аноним (-), 23:56, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> применить тот же принцип к их собственному монстрику.
    > Которому давно пора сделать debloat. Ибо напихали туда всякого шита, который к
    > secure shell не относится чуть менее чем совсем.

    ssh, кроме исторического названия, к secure shell тоже уже давно (со времен появления ssh2) никак жестко не связан.

     
     
  • 5.231, Аноним (-), 00:38, 16/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ssh, кроме исторического названия, к secure shell тоже уже давно (со времен
    > появления ssh2) никак жестко не связан.

    Да, понапихали туда всякого крапа третьесортного, неизвестно зачем. Аудит кода стал намного сложнее, надежность демона так себе. Зато 120 лезвий на все случаи жизни. Хреновые ножницы соседствуют с поганой отверткой и отвратной открывашкой.

     
     
  • 6.237, arisu (ok), 01:22, 16/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тебя просто название с толку сбивает. на самом деле ssh2 стоило бы назвать как-нибудь вроде «snt» — «secure network tunneling».
     
  • 2.6, karapuz2 (ok), 11:46, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    какие минусы 'rsync -e ssh' перед scp ? Если нет, то назначаешь alias и вперед, будет тебе scp
     
     
  • 3.13, хмм (?), 12:11, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > какие минусы 'rsync -e ssh' перед scp ? Если нет, то назначаешь
    > alias и вперед, будет тебе scp

    для подключения к домашней файлопомойке нет, а когда возьмут на работу дирижировать зоопарком серверов, обнаружишь очевидный минус.

     
     
  • 4.27, Аноним (-), 13:31, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > когда возьмут на работу дирижировать зоопарком серверов, обнаружишь очевидный минус.

    О Великий! Расскажите же нам, жалким слепцам!

     
  • 3.14, Пропатентный тролль (?), 12:24, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Минус один - рсинк ставить надо.

    Идея хорошая, но надо ещё патти допилить, чтобы поддерживал эти адские алгоритмы - тогда победим. Без патти - нет пути.

     
     
  • 4.16, Аноним (-), 12:50, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Вантузопроблемы.
     
     
  • 5.28, хмм (?), 13:38, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Вантузопроблемы.

    ок, открою тебе секрет. rsynk нужно ставить на сервер.

     
     
  • 6.33, Куяврег (?), 14:23, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ииии....?
     
     
  • 7.53, Аноним (-), 18:13, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дыра. Мы написали заявку на рсинк, нам ответили в духе а чё не сразу самбу?
     
     
  • 8.186, arisu (ok), 12:04, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кто же вам виноват, что вы работаете с дебилами ... текст свёрнут, показать
     
  • 8.215, vn971 (ok), 01:28, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Дыра где, в футболке rsync может наружу никаких портов не открывать Т е главн... текст свёрнут, показать
     
  • 8.220, Аноним (-), 05:54, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вот ведь блин, уже несколько лет пользуюсь - и хоть бы 1 хаксор ... текст свёрнут, показать
     
  • 5.40, YetAnotherOnanym (ok), 15:50, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Вантузопроблемы.

    Мсье не бывал застигнут необходимостью зайти на своё хозяйство, когда его бренное тело находится в бухтерии или морковкинге, и бежать в свою комнату, где стоит православный линух с кошерным ssh-клиентом, нет ни времени, ни желания.

     
     
  • 6.42, Аноним (-), 16:16, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вантузопроблемы.
    > Мсье не бывал застигнут необходимостью зайти на своё хозяйство, когда его бренное
    > тело находится в бухтерии или морковкинге, и бежать в свою комнату,
    > где стоит православный линух с кошерным ssh-клиентом, нет ни времени, ни
    > желания.

    Месье вообще походу окромя локалхоста нигде не работал. И реальных условий в реальных заведениях тупо не знает.

     
  • 6.50, Аноним (-), 18:07, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > где стоит православный линух с кошерным ssh-клиентом, нет ни времени, ни
    > желания.

    Мсье ставит бухам putty.exe и логинится прямо с буховских машин? И, конечно же, мсье тщательно проверяет каких троянов бухи успели нацеплять? А, кажется понимаю! Это как раз у таких мсье пи... приватные ключи и пароли от *никсных серваков и потом именно так собирают из них ботнеты. Ведь ламер остается ламером независимо от используемой операционки.

     
     
  • 7.69, YetAnotherOnanym (ok), 18:40, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если на буховской машине троян, то сохранность паролей от серверов уже не актуальна. Кроме того, осмелюсь направить Ваш взгляд в сторону OPIE, например.
     
     
  • 8.130, Аноним (-), 20:56, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вот мне и не понятно - какого дьявола админ лазит по сети с буховской машины куд... текст свёрнут, показать
     
     
  • 9.165, YetAnotherOnanym (ok), 02:42, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если бух - злонамеренный юзер, надо с фактами на руках идти в службу безопасност... текст свёрнут, показать
     
     
  • 10.179, Аноним (-), 07:41, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    У админа который с буховского компа админит ремотные сервера из putty exe - на т... текст свёрнут, показать
     
     
  • 11.183, YetAnotherOnanym (ok), 09:57, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё раз машина буха не есть чужая машина Размышлять над этим тезисом до просве... текст свёрнут, показать
     
     
  • 12.187, arisu (ok), 12:05, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а тут нечего размышлять после такого заявления гнать поганой метлой и всем знак... текст свёрнут, показать
     
     
  • 13.189, Michael Shigorin (ok), 14:29, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаю сойтись на таком наборе утверждений - с точки зрения последствий прол... текст свёрнут, показать
     
  • 13.191, YetAnotherOnanym (ok), 18:42, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Аааа, так вот кто это был ... текст свёрнут, показать
     
  • 12.203, Аноним (-), 02:51, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я конечно понимаю что вам микрософт с активной директорией мозг промыл Но, пове... текст свёрнут, показать
     
  • 4.45, Аноним (-), 17:15, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Без патти - нет пути.

    Если вы используете виндyзи - безопасность вас и так заведомо не интересовала, ибо вы гоняете кучу недоверяемого кода в котором может быть навалом закладок от АНБ, не говоря уж об элементарных троянцах, которые по жизни и воруют у таких бакланов ключи ssh. Поэтому заботиться о вашей безопасности - то же самое что работать на мусорный бак. Если что, NaCl вообще только под *nix-like собирается. Есть libsodium для таких как вы, но - от сторонних авторов.

     
     
  • 5.111, Аноним (-), 20:16, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Без патти - нет пути.
    > Если вы используете виндyзи - безопасность вас и так заведомо не интересовала,
    > ибо вы гоняете кучу недоверяемого кода в котором может быть навалом
    > закладок от АНБ, не говоря уж об элементарных троянцах, которые по
    > жизни и воруют у таких бакланов ключи ssh. Поэтому заботиться о
    > вашей безопасности - то же самое что работать на мусорный бак.
    > Если что, NaCl вообще только под *nix-like собирается. Есть libsodium для
    > таких как вы, но - от сторонних авторов.

    Загляни внутрь этого архива, прошу тебя.

    http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-win32-full-1.4.0.z

    То, что ты знаешь не равносильно тому, что существует.

     
     
  • 6.131, Аноним (-), 21:01, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Загляни внутрь этого архива, прошу тебя.

    Negative.

    > http://download.dnscrypt.org/dnscrypt-proxy/dnscrypt-proxy-win32-full-1.4.0.z

    Судя по названию - какая-то виндовая штука. Зачем я на нее буду смотреть? У меня виндов нет. Совсем никаких. Нигде. И вайна тоже нет. Сами имхо и смотрите.

    > То, что ты знаешь не равносильно тому, что существует.

    Еще раз, для тyпых: у винды закрытый код. Это означает что поведение ядра и системных либ никто не может по простому изучать, даже чисто теоретически. Ну а строить надежный дом на гнилом фундаменте - дохлый номер. Плюс-минус пара этажей из нормального бетона не роялят при гнилом фундаменте.

     
  • 6.194, arisu (ok), 19:40, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > То, что ты знаешь не равносильно тому, что существует.

    уже который день жду доказательств того, что dnscrypt использует NaCl, а не libsodium.

     
     
  • 7.205, Аноним (-), 06:55, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > уже который день жду доказательств того, что dnscrypt использует NaCl, а не libsodium.

    Пусть хоть черта лысого использует. Я для начала не понимаю что он пытается доказать. Что libsodium есть для винды? Я в курсе. Это не повышает доверия к системе с закрытым кодом, полностью управляемой сомнительной американской корпорацией и не дает добавочного контроля над поведением системы.

     
     
  • 8.224, arisu (ok), 14:52, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    насколько я смог понять 8212 что NaCl есть для винды а в качестве примера пр... текст свёрнут, показать
     
     
  • 9.232, Аноним (-), 00:43, 16/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А, в таком плане Вот только Libsodium NaCl Хаха, мы можем показать что сам ... большой текст свёрнут, показать
     
     
  • 10.235, arisu (ok), 01:13, 16/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ага с ней, похоже, даже libcurvecpr будет работать по крайней мере 8212 пос... текст свёрнут, показать
     
  • 5.143, Пропатентный тролль (?), 22:12, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вы по-моему совсем со своими этими линуксами крышой поехали. Патти - это огромные юзербэйз. Если на него начхаете, то у этого сервера не будет будущего. Понарожали инженеров, бл[ин]!!!!
     
     
  • 6.148, Аноним (-), 23:17, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Патти - это огромные юзербэйз.

    Мне не надо огромный юзербейз на моем сервере. Мне надо хорошую защищенность и надежность. А то что такие как ты не смогут попадать на мои сервера - это вообще фича, а не баг. Меньше болванов с троянами в системе будет по серверам шариться, компрометируя оные.

     
     
  • 7.152, Пропатентный тролль (?), 00:11, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Вы тролля пытаетесь троллить или правда не понимаете?

    Вот поставите вы этот тиниссш и будете единственным юзером, таким крутым и безопасным. А другие юзеры его ставить не будут, потому что патти не умеет заходить. И что - теперь ДЖБ и ко. ради вас разработку продолжать или какому анониму? Чтобы вам типа удобно было?

    Если же у продукта будут юзеры - у продукта есть будущее. Если из юзеров будете только вы да ещё три с четвертинкой анонима - у продукта будущего нет и он умрёт. Какой бы хорошей идеей он был.

     
     
  • 8.155, Аноним (-), 00:45, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если ты написал себе в нике что ты тролль - это еще не делает глупое виндовое ла... большой текст свёрнут, показать
     
     
  • 9.202, Пропатентный тролль (?), 02:16, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    значит будет ему судьба qmail a - академическая прога для анонимусов без юзеров... текст свёрнут, показать
     
     
  • 10.206, Аноним (-), 07:31, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Если честно, я не думаю что Берштейна все это сильно беспокоит Они работают по... большой текст свёрнут, показать
     
  • 10.225, arisu (ok), 15:01, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    djb это как-то пофигу, он вообще не интересуется тем, сколько идиотов и хипстеро... текст свёрнут, показать
     
     
  • 11.233, Аноним (-), 00:50, 16/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тем не менее, http tweetnacl cr yp to tweetnacl-20131229 pdf - интересный доку... текст свёрнут, показать
     
     
  • 12.236, arisu (ok), 01:19, 16/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    дык я и не говорил, что он оторван от реалий он просто не участвует в хипстерск... текст свёрнут, показать
     
  • 2.18, Аноним (-), 13:02, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да никому оно не нужно. Параноиков абсолютно устраивает в текущем виде, а для всех остальных есть опенссш.
    Если оно будет заменять опен, но не ументь sftp и не работать со всякими nx, то без вариантов.
     

     ....большая нить свёрнута, показать (158)

  • 1.7, dxd (?), 11:46, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Words of code. Ну и метрика у них. Я уж было подумал, что они это щастье на форте написали.
     
  • 1.8, Анонимоус (?), 11:46, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нас малость обманывают, судя по описанию, это не сервер, а заглушка к tcpserver.
     
     
  • 2.15, 20844382831239512354123831238712390 (?), 12:44, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Она имеет право на существование.
    Но я буду страшно страдать, когда у меня не будет работать:
    -A
    -X
    -Y
    -L
    -D
    -R

    Ну, и scp как таковой.

     
     
  • 3.17, Анонимоус (?), 12:57, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я больше страдаю от того, что тут явно пытаются скрестить несколько костылей ограниченной функциональности и непонятной работоспособности.
     
     
  • 4.49, Аноним (-), 18:04, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Я больше страдаю от того, что тут явно пытаются скрестить несколько костылей
    > ограниченной функциональности и непонятной работоспособности.

    А мне очень нравится когда openssh адски жрет проц при брутфорсе хакерами и ему не хватает памяти для форка процесса если на сервере случилась авария и память кто-то всю сожрал.

     
     
  • 5.57, Аноним (-), 18:17, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А мне очень нравится когда openssh адски жрет проц при брутфорсе хакерами

    Только сопливые школяры не могут скопипастить 2 строчки конфига для iptables  которые от такой дури защищают чуть более чем полностью ...

     
     
  • 6.85, Аноним (-), 19:20, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Только сопливые школяры не могут скопипастить 2 строчки конфига для iptables  
    > которые от такой дури защищают чуть более чем полностью ...

    Ну, можно вообще SSH-сервер не запускать, эффект будет тот же.

     
  • 6.149, Аноним (-), 23:19, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Только сопливые школяры не могут скопипастить 2 строчки конфига для iptables  
    > которые от такой дури защищают чуть более чем полностью ...

    Только сопливые школяры не понимают что дочинивать кривизну протокола/неудачную алгоритмику за авторами криптографического софта путем костылирования - несколько криво, знаете ли.

     
     
  • 7.172, Аноним (-), 04:59, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Только сопливые школяры не могут скопипастить 2 строчки конфига для iptables
    >> которые от такой дури защищают чуть более чем полностью ...
    > Только сопливые школяры не понимают что дочинивать кривизну протокола/неудачную алгоритмику
    > за авторами криптографического софта путем костылирования - несколько криво, знаете ли.

    Ути пуси - а кто орал что надо всё выкинуть и сделать код максимально простым?
    А повнивал что дескать должен делать что то одно? Так отчего бы connections rate не оставить инструменту который для этого и делался?

    Школота и есть школота, пока фразу договорит уже забывает о чём врал в еЯ начале :)

     
     
  • 8.180, Аноним (-), 07:55, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот перцы в сабже что-то такое и сделали Все проще, чувак хорошим сетевым и... большой текст свёрнут, показать
     

  • 1.9, anonymous (??), 11:50, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Неясно:
    1) Авторы проекта - где, кто?
    2) Скачать исходники предлагают просто по ссылке. Без проверки ключа (или по их мнению PGP уже тоже моментально устарело, с выходом их альфы?).
    3) Хайп вокруг криптографии, основанной на эллиптических кривых, вполне могли поднять и АНБ. А этот проект "классику" собирается поддерживать только в далеких-далеких планах.

    Ну и просто комментарий: любой софт, выполняющий такие функции, должен пройти проверку временем. А у них в планах только бета в 2016 году. Реально использовать его в продакшне когда можно будет - в 2020?

     
     
  • 2.20, Аноним (-), 13:11, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и просто комментарий: любой софт, выполняющий такие функции, должен пройти проверку временем.

    OpenSSL прошел ее, ага. Именно так можно было сказать за неделю до выявления heartbleed.

     
     
  • 3.92, Аноним (-), 19:32, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну и просто комментарий: любой софт, выполняющий такие функции, должен пройти проверку временем.
    > OpenSSL прошел ее, ага. Именно так можно было сказать за неделю до
    > выявления heartbleed.

    Нет, нельзя. Претензии копились и высказывались давно.

     
  • 2.26, Аноним (-), 13:28, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и просто комментарий: любой софт, выполняющий такие функции, должен пройти проверку временем.

    Не вполне корректно применять одни и те же сроки (5-10 лет) к проектам разной степени раздутости. Один проект на тыщу строк, другой - на несколько миллионов. Полагаете, за десять лет второй успеют проверить во всех аспектах?

    Очевидно, что для простых вещей, вроде сажба, достаточно пары-тройки лет, а для openssh в его современном виде - не хватит и тысячелетия.

     
     
  • 3.79, Аноним (-), 19:06, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ну и просто комментарий: любой софт, выполняющий такие функции, должен пройти проверку временем.
    > Не вполне корректно применять одни и те же сроки (5-10 лет) к
    > проектам разной степени раздутости. Один проект на тыщу строк, другой -
    > на несколько миллионов. Полагаете, за десять лет второй успеют проверить во
    > всех аспектах?
    > Очевидно, что для простых вещей, вроде сажба, достаточно пары-тройки лет, а для
    > openssh в его современном виде - не хватит и тысячелетия.

    Сотни специалистов по всему миру, уже проводивших анализ OpenSSH различной степени подробности, удивлены, что ещё живы.

     
     
  • 4.87, Аноним (-), 19:23, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Сотни специалистов по всему миру, уже проводивших анализ OpenSSH различной степени подробности, удивлены, что ещё живы.

    Очевидно, степень подробности была весьма далека от полноценного аудита.

     
     
  • 5.93, Аноним (-), 19:34, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Сотни специалистов по всему миру, уже проводивших анализ OpenSSH различной степени подробности, удивлены, что ещё живы.
    > Очевидно, степень подробности была весьма далека от полноценного аудита.

    Ух ты. Оказывается, кое-кто Знает Правду, что На Самом Деле никто не проводил качественного аудита OpenSSH, а все заявления по этому поводу - брехня. Скажите, а когда выйдет ваша передача на "Рен-ТВ"?

     
     
  • 6.96, Аноним (-), 19:37, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ух ты. Оказывается, кое-кто Знает Правду, что На Самом Деле никто не
    > проводил качественного аудита OpenSSH, а все заявления по этому поводу -
    > брехня.

    Конечно брехня. Попробуйте _качественно_ проаудитить 100 тысяч строк кода.

     
     
  • 7.212, Аноним (-), 16:18, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Ух ты. Оказывается, кое-кто Знает Правду, что На Самом Деле никто не
    >> проводил качественного аудита OpenSSH, а все заявления по этому поводу -
    >> брехня.
    > Конечно брехня. Попробуйте _качественно_ проаудитить 100 тысяч строк кода.

    ... и тут же все разбежались удовлетворять запрос анонима на ещё один аудит OpenSSH.

     
     
  • 8.234, Аноним (-), 00:50, 16/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот именно по этой причине такой код и должен быть максимально компактным и прос... текст свёрнут, показать
     
  • 2.139, Золотой Молох (?), 21:42, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ну и просто комментарий: любой софт, выполняющий такие функции, должен пройти проверку
    > временем. А у них в планах только бета в 2016 году.
    > Реально использовать его в продакшне когда можно будет - в 2020?

    И это повод не писать TinySSH? Или это повод не писать новости про альтернативный софт? Или в чём посыл этого комментария? Don't drink too much Kool-Aid? Ну так вроде бы страдающих этим админов редко допускают к чему-то кроме локалхоста. Может быть не стоит тестировать новый софт вообще? Это же какой-то Catch-22 получается какой-то, дарлинг.

     
  • 2.150, Аноним (-), 23:20, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > 3) Хайп вокруг криптографии, основанной на эллиптических кривых, вполне могли поднять и АНБ.

    Они пытались NSA подсунуть свои кривые, криптографы довольно быстро разобрались что NISTовская кривая заметно менее стойкая чем 25519-я...

     

  • 1.19, Аноним (-), 13:07, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    > Разработчики также не планируют создание утилиты scp, вместо которой рекомендуют использовать "rsync -e ssh".

    сразу в гроб, вместе с разработчиками

     
     
  • 2.22, Аноним (-), 13:15, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Разработчики также не планируют создание утилиты scp, вместо которой рекомендуют использовать "rsync -e ssh".
    > сразу в гроб, вместе с разработчиками

    Вполне openbsd-way. Выкинули всю "неиспользуемую" и "ненужную" функциональность, прямо как разрабы openbsd в openssl.

     
  • 2.34, Куяврег (?), 14:25, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > сразу в гроб, вместе с разработчиками

    winscp не взлетит, бедолажечка?

     
     
  • 3.36, Andrey Mitrofanov (?), 14:28, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> сразу в гроб, вместе с разработчиками
    > winscp не взлетит, бедолажечка?

    Да, нет же! Разрабы же слабы. Они не реализовали "новый защищённый" rsync же. Фатально.

     
  • 3.60, Аноним (-), 18:21, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> сразу в гроб, вместе с разработчиками
    > winscp не взлетит, бедолажечка?

    *scp не взлетит бедолажечка! А значит этого нигде не будет, хотя ты можешь привести массу доводов почему это не правильно. Welcome IRL babe.

     
  • 2.47, Аноним (-), 17:56, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > сразу в гроб, вместе с разработчиками

    Э не.  За одно только "Неприменение динамических методов распределения памяти, вся память выделяется статически" памятник поставить надо. Ибо в отличие от остального - оно не подведет, независимо от ситуации на сервере. А что толку от впнов, проброса портов и прочих рсинков, если ты НЕ МОЖЕШЬ ДОСТУПИТЬСЯ К СЕРВЕРУ, потому что там кончилась память?

    Вот это эталонно-юниксвэйная штука: делает 1 дело. Но как! Без легаси, без кучи мишуры, максимальная надежность и защищенность - by design. Вот это я понимаю - мышление разработчиков. С пониманием того что надо от secure SHELL-а.

     
     
  • 3.62, Аноним (-), 18:23, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Вот это эталонно-юниксвэйная штука: делает 1 дело. Но как!

    И как? А я вам таки скажу - никак она его не делает. Восторгаться кастратом? Я не гейропеец, увольте ...


     
     
  • 4.86, Аноним (-), 19:21, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И как? А я вам таки скажу - никак она его не
    > делает. Восторгаться кастратом? Я не гейропеец, увольте ...

    Нормально делает, не гоните. Просто она реально юниксвейная, и не увешана кучей рюшек, вот вы и истерите.

     
     
  • 5.95, Аноним (-), 19:35, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> И как? А я вам таки скажу - никак она его не
    >> делает. Восторгаться кастратом? Я не гейропеец, увольте ...
    > Нормально делает, не гоните. Просто она реально юниксвейная, и не увешана кучей
    > рюшек, вот вы и истерите.

    Кто истерит-то? Тот, кто при слове "OpenSSH" теряет волю и несётся с возмездием во имя Лу^W

     
  • 5.163, Аноним (-), 01:46, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    бредишь, обеъьянка. К юниквейности дияние авторов вообще никакого отношения не имеет, это NiH и всё с этим связанное.
     
  • 4.134, Аноним (-), 21:06, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > И как? А я вам таки скажу - никак она его не делает.

    Вообще-то имея доступ по шеллу настоящий юниксоид в два счета слепит себе все остальное из соседних программ и пайпов. Если оно, конечно, надо. Но главное - это не будет код в чувствительной к багам программе.

     
     
  • 5.141, anonymous (??), 21:57, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> И как? А я вам таки скажу - никак она его не делает.
    > Вообще-то имея доступ по шеллу настоящий юниксоид в два счета слепит себе
    > все остальное из соседних программ и пайпов. Если оно, конечно, надо.
    > Но главное - это не будет код в чувствительной к багам
    > программе.

    Слепите "в два счета" на китайском кастрированном форке openwrt, где даже из busybox'а скомпилены ls и cat, угу. Не надо преувеличивать возможностей - выше головы не прыгнешь.

     
     
  • 6.151, Аноним (-), 23:23, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Слепите "в два счета" на китайском кастрированном форке openwrt, где даже из
    > busybox'а скомпилены ls и cat, угу.

    Так там и полновесного ssh обычно нет. А если вам так надо - идете на openwrt.org, читаете, качаете, переболваниваете образ как надо. Только если вы туда полновесный ssh запхаете - роутер словит OOM после первой же пачки ботов, если вы это не закостылируете самолично.

    > Не надо преувеличивать возможностей - выше головы не прыгнешь.

    А на таких девайсах никто и не берет мировые рекорды по прыжкам в высоту. И полновесный ssh туда никто не ставит сроду.

     
  • 3.162, Аноним (-), 01:45, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Э не.  За одно только "Неприменение динамических методов распределения памяти, вся память выделяется статически" памятник поставить надо. Ибо в отличие от остального - оно не подведет, независимо от ситуации на сервере.

    с точки зрения секьюрности статические (т.е. заранее известные) адреса памяти это охренеть какой минус. Тут, понимаешь, люди специально трудятся чтобы рэндомизировать расположение секций, рабочих кусков кучи и т.п.

     
     
  • 4.164, Led (ok), 02:30, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Э не.  За одно только "Неприменение динамических методов распределения памяти, вся память выделяется статически" памятник поставить надо. Ибо в отличие от остального - оно не подведет, независимо от ситуации на сервере.
    > с точки зрения секьюрности статические (т.е. заранее известные) адреса памяти это охренеть
    > какой минус. Тут, понимаешь, люди специально трудятся чтобы рэндомизировать расположение
    > секций, рабочих кусков кучи и т.п.

    man /proc/sys/kernel/randomize_va_space

     
  • 4.181, Аноним (-), 07:58, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > с точки зрения секьюрности статические (т.е. заранее известные) адреса памяти

    А кто сказал что при загрузке программы в память нельзя рандомизировать адреса? Более того, если по памяти процесса ворочающего ремотное управление может кто-то шариться - поздравляю, вас уже поимели, по полной программе, так что остальное при этом уже вообще не роялит.

     
  • 4.213, Аноним (-), 16:20, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Э не.  За одно только "Неприменение динамических методов распределения памяти, вся память выделяется статически" памятник поставить надо. Ибо в отличие от остального - оно не подведет, независимо от ситуации на сервере.
    > с точки зрения секьюрности статические (т.е. заранее известные) адреса памяти это охренеть
    > какой минус. Тут, понимаешь, люди специально трудятся чтобы рэндомизировать расположение
    > секций, рабочих кусков кучи и т.п.

    PIE и рандомизацию malloc никто не отменял. А что, кто-то подумал, что "статические" - это обязательно которые глобальные в Си?

     

  • 1.30, inkvizitor68sl (?), 13:53, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Без sftp, который сейчас на каждом заборе пропагандируется, как замена FTP(s), не полетит.

    Для проброса портов можно ещё что-то поиспользовать, проксей полно, scp действительно заменяется на cat/nc/rsync/whatever. А вот без sftp совсем грустно ему будет на своей тысяче серверов долбанутых энтузиастов, админящих локалхост.

     
     
  • 2.48, Аноним (-), 18:02, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это не для любителей мишуры и комфортных кресел. Это для тех кто предпочитает чтобы запасной парашют при нужде в оном прежде всего раскрывался. А то что в комплекте нет удобного кресла и мишуру не нашили - И ХРЕН С НИМ! Запасной парашют прежде всего раскрываться должен! Отсутствие удобной сидушки - неприятно, но не смертельно. А вот если он не раскрылся, как openssh, которому памяти не хватило для форка нового процесса - это уже "ааа!!! пи...ц!!!!"
     
     
  • 3.64, Аноним (-), 18:29, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это не для любителей мишуры и комфортных кресел. Это для тех кто
    > предпочитает чтобы запасной парашют при нужде в оном прежде всего раскрывался.

    То есть если тебе юникс-сервера настраивал зороший админ ты ssh пользуешь раз в 2 года - когда забудешь что это за ящик?

    Тогда твоя позиция понятна.

    А я вот сам сервера настраиваю, работа такой, я из 8 часов рабочего времени 7:45 в ssh и провожу. И я вам таки скажу - идите в дузло с таким кастратом! __Я__ почти всё что есть в OpenSSH - __пользую__ ибо оно мою работу делает выполнимой.


    Мужик всё сказал! :)

     
     
  • 4.90, Аноним (-), 19:29, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А я вот сам сервера настраиваю, работа такой, я из 8 часов
    > рабочего времени 7:45 в ssh и провожу. И я вам таки
    > скажу - идите в дузло с таким кастратом! __Я__ почти всё
    > что есть в OpenSSH - __пользую__ ибо оно мою работу делает
    > выполнимой.

    Видимо, вы просто не умеете работать с нормальными юниксовыми инструментами (например, rsync). Вот вам и приходится использовать костыли-заменители, встроенные в блоатварную реализацию шифрованного телнета.

     
  • 4.154, Led (ok), 00:33, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >> предпочитает чтобы запасной парашют при нужде в оном прежде всего раскрывался.
    > То есть если тебе юникс-сервера настраивал зороший админ ты ssh пользуешь раз
    > в 2 года - когда забудешь что это за ящик?
    > Тогда твоя позиция понятна.
    > А я вот сам сервера настраиваю, работа такой, я из 8 часов
    > рабочего времени 7:45 в ssh и провожу. И я вам таки
    > скажу - идите в дузло с таким кастратом! __Я__ почти всё
    > что есть в OpenSSH - __пользую__ ибо оно мою работу делает
    > выполнимой.
    > Мужик всё сказал! :)

    И что же он тебе сказал?

     
  • 4.182, Аноним (-), 08:05, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Как известно хороший админ должен быть ленив Так что если вы сильно чаще посеща... большой текст свёрнут, показать
     
  • 3.112, Аноним (-), 20:19, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не для любителей мишуры и комфортных кресел. Это для тех кто
    > предпочитает чтобы запасной парашют при нужде в оном прежде всего раскрывался.
    > А то что в комплекте нет удобного кресла и мишуру не
    > нашили - И ХРЕН С НИМ! Запасной парашют прежде всего раскрываться
    > должен! Отсутствие удобной сидушки - неприятно, но не смертельно. А вот
    > если он не раскрылся, как openssh, которому памяти не хватило для
    > форка нового процесса - это уже "ааа!!! пи...ц!!!!"

    Ты хотя бы раз с настоящим парашютом прыгал? В курсях, что он может прилипнуть к сдохшему основному и тоже погаснуть?

     
     
  • 4.133, Аноним (-), 21:03, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > может прилипнуть к сдохшему основному и тоже погаснуть?

    Может. Но тут загвоздка в том что вместо парашюта показывается табличка, популярно намекающая нам что все, пи...ц. Даже без попытки этот самый парашют вообщее выпустить - на это ресурсов не хватило, видите ли.

     
     
  • 5.195, Аноним (-), 19:51, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> может прилипнуть к сдохшему основному и тоже погаснуть?
    > Может. Но тут загвоздка в том что вместо парашюта показывается табличка, популярно
    > намекающая нам что все, пи...ц. Даже без попытки этот самый парашют
    > вообщее выпустить - на это ресурсов не хватило, видите ли.

    Я не врубился, а что, в sshd_config уже отменили ограничители?

     
     
  • 6.207, Аноним (-), 07:38, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я не врубился, а что, в sshd_config уже отменили ограничители?

    Зато я врубился что мне в таких вещах нравится когда кода мало, он простой и не создает проблем по дефолту, а не после того как админ побегал с миниоскателем и собрал все гостинцы которые ему подложили.

     
  • 2.160, Аноним (-), 01:42, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    sftp умер и очень давно уже никем не пропагандируется
     

  • 1.37, umbr (ok), 14:39, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    KISS, by design - круто!
     
     
  • 2.38, хмм (?), 15:44, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Здесь KIS^HS
     
     
  • 3.39, umbr (ok), 15:48, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    уже зависит от реализации
     

  • 1.56, Аноним (-), 18:17, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В рамках проекта TinySSH (http://tinyssh.org/) началось развитие компактного и защищённого
    > сервера для организации удалённого доступа по протоколу SSH-2. Для организации защищённого
    > сетевого взаимодействия, шифрования и работы с цифровыми подписями в TinySSH задействована
    > развиваемая Дэниэлом Бернштейном (Daniel J. Bernstein) библиотека NaCl (http://nacl.cr.yp.to/)
    > (Networking and Cryptography library), а также её урезанный вариант TweetNaCl (http://tweetnacl.cr.yp.to/).

    Хорошее начинание. Разумный минимум функций. По такому коду одно удовольствие будет студентов учить.

    Ни разу не конкурент OpenSSH, ибо разные ниши. С тем же успехом можно объявить, что "Смарты (никогда не) убьют Лендроверы".

     
     
  • 2.74, Andrey Mitrofanov (?), 18:51, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>.cr.yp.to/).
    > Хорошее начинание. Разумный минимум функций. По такому коду одно удовольствие будет студентов учить.

    А я-то всё думаю, чего он у меня с папой миникса путается.

     
     
  • 3.156, Аноним (-), 00:50, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > А я-то всё думаю, чего он у меня с папой миникса путается.

    Потому что оба - те еще академики :). Немного оторванные от жизни. Но в данном случае это не мешает. В том плане что алгоритмы уже сделаны и их можно использовать, совершенно иррелевантно тому насколько DJB оторвался от реалий.


     

  • 1.83, rob pike (?), 19:17, 12/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >первый выпуск, пригодный для промышленного использования, запланирован на 2016 год.

    А что они собрались делать-то два года? Roadmap-а на сайте не нашёл.
    Но все крипто-библиотеки у них уже есть, и не только.
    Работу с PTY два года писать вроде нечего.

     
     
  • 2.125, Аноним (-), 20:48, 12/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >>первый выпуск, пригодный для промышленного использования, запланирован на 2016 год.
    > А что они собрались делать-то два года? Roadmap-а на сайте не нашёл.
    > Но все крипто-библиотеки у них уже есть, и не только.
    > Работу с PTY два года писать вроде нечего.

    Дописывание, аудит и тестирование для данного проекта будут поважнее, чем для Call of Duty MCMII

     

  • 1.184, arisu (ok), 11:41, 13/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    очередные хипстеры решили попиариться. если уж так свербело в одном месте — можно было взять dropbear и повыкидывать то, что не по нраву, добавив потом то, что по нраву. но нет, мы будем героически пилить весь код заново, устраивая очередной обязательный забег по граблям.
     
     
  • 2.188, rob pike (?), 14:22, 13/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну хоть не на JavaScript
     
  • 2.208, Аноним (-), 07:39, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > можно было взять dropbear и повыкидывать то, что не по нраву,

    Можно. Но в конечном итоге идеи у хипстеров вполне здравые и логичные. И со знанием проблематики, что интересно. Видать, не все хипстеры одинаково бесполезны...

     
     
  • 3.209, rob pike (?), 12:06, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >И со знанием проблематики, что интересно

    Знание проблематики у них получается в процессе (редко) или не получается совсем (чаще).
    В первом случае в итоге получается то что и было, только хуже, во втором - велосипед с квадратными колесами.

     
     
  • 4.221, Аноним (-), 06:03, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Знание проблематики у них получается в процессе (редко) или не получается совсем (чаще).

    Ну вот в данном случае я вижу довольно здравое и разумное мышление на первый взгляд.

    > В первом случае в итоге получается то что и было, только хуже,
    > во втором - велосипед с квадратными колесами.

    А еще бывает так что иногда надо вытряхнуть все легаси, признать ошибки и сделать дизайн с нуля. Признав что аэродинамика "запорожца" не очень подходит при желании сделать современный самолет и поэтому лучше бы от нее избавится и переделать, хоть это и нагибает совместимость с древними производственными линиями автопрома.

     
  • 3.214, arisu (ok), 18:55, 14/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    у меня тоже масса отличных идей. толку-то. особенно если уже есть вполне нормальная кодовая база — какой смысл городить свою. тем более в такой нежной области, как security.
     
     
  • 4.222, Аноним (-), 06:04, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну вот лично мне некоторые аспекты openssh не нравятся и с пониманием "нормальности" я вполне готов поспорить.
     
     
  • 5.223, arisu (ok), 14:39, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот лично мне некоторые аспекты openssh не нравятся и с пониманием
    > "нормальности" я вполне готов поспорить.

    а я вообще про dropbear говорил.

     
     
  • 6.226, Аноним (-), 18:47, 15/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а я вообще про dropbear говорил.

    1. Использует динамическое выделение памяти. Это FAIL.
    2. Много лишней криптографии, которую придется обрывать по соображениям невозможности ремотно тормознуть демона старыми ресурсоемкими алгоритмами или просто сомнительной по стойкости (например, NISTовская эллиптика, про которую известно что она менее стойкая чем 25519).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру