The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Новый метод атаки на TLS, затрагивающий 27 из 100 крупнейших сайтов

13.12.2017 11:06

Раcкрыты детали новой атаки на TLS, которая получила кодовое имя ROBOT (Return Of Bleichenbacher's Oracle Threat). Проблема позволяет выполнить операции расшифровки трафика и формирования цифровых подписей без знания закрытого RSA-ключа уязвимого TLS-сервера. Атаке подвержены только режимы TLS-шифров, использующие RSA. В качестве демонстрации успешного проведения атаки было представлено произвольно составленное сообщение, подписанное закрытым ключом Facebook.

Проблема выявлена на 27 из 100 крупнейших сайтов по рейтингу Alexa, включая Facebook и PayPal. При этом при рассмотрении миллиона крупнейших сайтов уязвимость наблюдается всего на 2.8% ресурсах. Подобное расхождение объясняется тем, что атаке подвержены в основном коммерческие реализации TLS (Cisco ACE, F5 BIG-IP SSL, Citrix NetScaler, Radware), применяемые в крупных проектах. Из открытых проектов уязвимость затрагивает Erlang, Java/JSSE, WolfSSL, MatrixSSL и Bouncy Castle.

Причиной возникновения уязвимости называется неполная реализация мер защиты, описанных в секции 7.4.7.1 спецификации TLS. OpenSSL, LibreSSL и GnuTLS проблеме не подвержены, но не исключается возникновение уязвимости из-за применения неофициальных модификаций. Например, в Facebook используется OpenSSL, который оказался уязвим из-за применения собственных дополнительных патчей.

Примечательно, что метод является незначительной модификацией первой практической атаки на RSA, предложенной Даниэлем Блейхенбахером (Daniel Bleichenbacher) в 1998 году. Было выявлено, что спустя 19 лет многие HTTPS-хосты до сих пор подвержены вариациям данной атаки. Суть метода в том, что атакующий на основании разных ответов от сервера может отделить корректные и некорректные блоки добавочного заполнения (padding oracle) в режиме PKCS #1 v1.5. Отличие нового метода от оригинальной атаки Блейхенбахера заключается в использовании дополнительных сигналов для разделения типов ошибок, таких как таймауты, сбросы соединения и дубликаты TLS-оповещений. Манипулируя информацией о корректности блоков добавочного заполнения атакующий может путём перебора определить подходящий шифротекст.

Для сайтов, применяющих только шифрование на основе ключей RSA, атакующий может пассивно сохранить перехваченный трафик и позднее расшифровать его. Для HTTPS-хостов поддерживающих PFS (Perfect forward secrecy) успех атаки не так однозначен и зависит от того, как быстро будет проведена атака. Атака не восстанавливает непосредственно закрытый ключ, а только позволяет расшифровать шифротекст или сформировать поддельное подписанное сообщение. Проблеме подвержен не только TLS, но и другие протоколы в которых применяется RSA и PKCS #1 v1.5, включая XML Encryption, интерфейсы PKCS#11, JOSE (Javascript Object Signing and Encryption) и S/MIME.

Проверить свой сайт на наличие уязвимость можно через web-форму или при помощи специального подготовленного скрипта на языке Python. В качестве обходного пути защиты рекомендуется отключить поддержку шифров на базе RSA (TLS_RSA*), за исключением шифров в которых RSA используется для создания цифровой подписи (шифры на основе эллиптических кривых с DHE и ECDHE в имени также не подвержены рассматриваемой атаке).

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  3. OpenNews: Дэниел Бернштейн выступил с критикой позиции ФБР о шифровании смартфонов и сетей
  4. OpenNews: Новый вид атаки на HTTPS ставит под вопрос дальнейшее существование SSL 3.0
  5. OpenNews: Представлен новый вид атаки по перехвату данных, передаваемых через HTTPS-соединения
  6. OpenNews: Представлена техника перехвата данных для сжатых соединений TLS и SPDY
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47730-tls
Ключевые слова: tls, rsa
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (59) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:34, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    Насколько нужно быть тупыми, чтобы использовать для шифрования закрытые коммерческие библиотеки? Воистину, идиотизм работников корпораций никогда нельзя недооценивать.
     
     
  • 2.4, Michael Shigorin (ok), 11:46, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Его порой сложно переоценить...

    > Например, в Facebook используется OpenSSL, который оказался
    > уязвим из-за применения собственных дополнительных патчей.

     
  • 2.5, A.Stahl (ok), 11:46, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну очевидно, что на момент внедрения эти коммерческие библиотеки имели какое-то конкурентное преимущество. Потому их и внедряли.
     
     
  • 3.7, rshadow (ok), 11:53, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +46 +/
    Самое главное преимущество в энтерпрайзе: "Мы это купили, а значит они за это отвечают, а не мы". И так по цепочке вниз до какого нибудь студента, который вообще для диплома писал эту хрень и особо не парился.
     
     
  • 4.50, gaga (ok), 15:53, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Многие не верят, но это действительно так. Когда я в первый раз столкнулся с этими рассуждениями, я просто офигел. Теперь уже только привычно пожимаю плечами.
     
     
  • 5.72, Аноним (-), 21:29, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    От чего вы офигели?

    Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете, что любое решение рано или поздно может сломаться. И вы можете либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания, кто ж знал-то?".

    В каком случае вы выберете вариант с OpenSource.

    Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО верит, или когда вы сам начальние прошу не рассматривать.

     
     
  • 6.78, J.L. (?), 14:34, 14/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > От чего вы офигели?
    > Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете,
    > что любое решение рано или поздно может сломаться. И вы можете
    > либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить
    > что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания,
    > кто ж знал-то?".
    > В каком случае вы выберете вариант с OpenSource.
    > Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО
    > верит, или когда вы сам начальние прошу не рассматривать.

    например когда при приёмке поделки подрядчика вы уже 3 недели находите разные и новые ошибки после каждой доделки подрядчика
    зы: другого подрядчика нет, или они пишут нужные подмодули или своими силами
    выбор своих сил всё ближе

     
     
  • 7.79, Аноним (-), 17:18, 14/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если за результат отвечаете в любом случае вы, то делать самим, конечно, лучше (ну или аутсорсить зарекомендовавшим себя знакомым). Но часто выбор стоит между отвечать самому и сложить ответственность на другого, при этом нужно хорошо выглядеть в глазах начальства.
     
  • 4.59, pavlinux (ok), 18:44, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Самое главное преимущество в энтерпрайзе: "Мы это купили, а значит они за это отвечают, а не мы".
    > И так по цепочке вниз до какого нибудь студента, который вообще для диплома писал эту хрень и особо не парился.

    Вы когда-нибудь читали хоть одну EULA?

    В двух словах:
    1. Мы ни за что не отвечаем.
    2. Если у вас что-то не работает/сломалось, то см. п. 1
      

     
     
  • 5.67, Аноним (-), 19:57, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    а чем это отличается от GPL ?...
     
     
  • 6.69, Аноним (-), 20:06, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хотя бы тем, что в EULA требуют не смотреть в пирожок, который подсовывают. В GPL подписываются сами и требуют от других привселюдно вывернуть его наизнанку.
     
  • 5.74, Anonymoustus (ok), 03:26, 14/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Когда вы что-то покупаете за деньги в понятиях отношений ынтерпрайзов, то вы подписываете договор, в котором оговариваете права и обязанности сторон, форс-мажор и прочие вещи. EULA это совсем другое.
     
  • 3.11, dontletsmac (?), 12:04, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что круто купить брендовый программный продукт же. Печатными лицензими с голограммами рисоваться же.
     
  • 3.15, Аноним (-), 12:16, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какое может быть конкурентное преимущество у продукта, который используется в целях безопасности, но представляет собой закрытое непроверенное нечто? Верить на слово его авторам, что там всё норм?
     
     
  • 4.17, A.Stahl (ok), 12:17, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые. Но куда приятней думать, что что в руководстве больших компаний сидят идиоты не умеющие считать?
     
     
  • 5.18, Фуррь (ok), 12:20, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Куда приятней лежать на диване и считать себя умнее руководителей огромных корпораций, чем и занимается сей Аноним.
     
     
  • 6.66, Аноним (-), 19:28, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Куда приятней лежать на диване и считать себя умнее руководителей огромных корпораций,
    > чем и занимается сей Аноним.

    Куда приятней лежать на диване и считать, что руководителей огромных корпораций на самом деле беспокоит приватность твоих данных или твоя цифровая безопасность, особенно когда ответсвенность можно спихнуть на кого-то или вообще, "никто не узнает!".


     
  • 5.22, Аноним (-), 12:40, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну так может он и выплатит что-то. Только от этого пользователю продукта не легче.

    С другой стороны, я вполне поверю, что и обязательств никаких нет. В ToS винды вон прямо прописано, что любой ущерб больше $5 она не выплачивает, даже если ты умер из-за того что винда заглючила. Так что то что ты заплатил деньги абсолютно ничего тебе не гарантирует.

    >Но куда приятней думать, что что в руководстве больших компаний сидят идиоты не умеющие считать?

    Я работаю с одной из таких больших корпораций и прекрасно знаю, что там в руководстве сидят дядьки, которые вообще не в курсе что такое шифрование и какое оно бывает. Им какой-нибудь васян из отдела маркетинга выдал список вариантов, они выбрали самый дорогой или от самой известной компании, а в технические подробности не вдавались. А бывает что специалисты прямо говорят, что лучше с технической точки зрения, но на их мнение все ложили болт, потому что кто они, а кто большие дяди-директора. Потом несколько лет все плюются и заваливают дядь отчётами о том какую фекалию мы выбрали, и лет через 10 руководство великодушно принимает решение искать альтернативу. Находится такую же фекалию, только уже от другой компании, и круг повторяется по новой.

    //Опеннет совсем поехал, уже слово "фекалия" в более обиходном варианте считает матом.

     
     
  • 6.24, A.Stahl (ok), 12:50, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Вот только по факту большие компании ломают редко, а когда такое случается, то систему быстро восстанавливают. А почему? Да потому что в больших компаниях работают специалисты. И по безопасности и даже какой-то спец по статистике сидит, который может оценить вероятность и стоимость ущерба.
    Всё там у них хорошо.
    А Васяны это когда програмист админит, девочка-маркетолог отвечает на звонки и шеф надувает щёки. Но такие компании особо в коммерческие либы не лезут. Им бы чтобы хоть как-то работало.
     
     
  • 7.27, Sluggard (ok), 13:04, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вот только по факту большие компании ломают редко, а когда такое случается, то систему быстро восстанавливают.

    Кому какое дело, насколько быстро восстанавливают системы, если там успевают утечь миллионные базы учёток? А новостей таких было немало.

     
  • 7.28, Аноним (-), 13:04, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сам-то в это веришь Большие компании ломают так же как и маленькие, просто в ра... большой текст свёрнут, показать
     
  • 7.30, Аноним (-), 13:12, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот только по факту большие компании ломают редко, а когда такое случается,
    > то систему быстро восстанавливают. А почему?

    А потому что см. недавнюю новость про Uber. Не рассказывают об этом никому, если в большом начальстве не объявится внезапно очень правильный чувак.

     
  • 7.35, Аноним (-), 13:31, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот только по факту большие компании ломают редко, а когда такое случается,
    > то систему быстро восстанавливают. А почему? Да потому что в больших
    > компаниях работают специалисты.

    Тебя пох завербовал в Свидетели Святого Ынтырпрайза?

     
     
  • 8.41, Crazy Alex (ok), 14:11, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У ынтырпрайза есть свои плюсы и свои минусы Что ему легче получить шуструю и вм... текст свёрнут, показать
     
  • 7.52, mumu (ok), 16:36, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты или тролль или никогда не работал в компании больше 10 человек.
    Всё совершенно верно и точно описано.
     
     
  • 8.56, пох (?), 17:18, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    возможно тебе стоит поработать в компаниях, больше 12ти Тогда ты узнаешь много ... текст свёрнут, показать
     
     
  • 9.58, Аноним (-), 17:46, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Зависит от страны В очень больших компаниях как правило ворочаются большие капи... текст свёрнут, показать
     
     
  • 10.73, пох (?), 22:41, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    вряд ли и хрен вы меня найдете - идея интернациональная Но, к сожалению, инв... текст свёрнут, показать
     
  • 10.75, Anonymoustus (ok), 03:30, 14/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Волнует каждая копейка ... текст свёрнут, показать
     
  • 9.77, mumu (ok), 09:17, 14/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну согласен Техническая грамотность руководства действительно играет большую ро... текст свёрнут, показать
     
  • 6.60, pavlinux (ok), 19:04, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > //Опеннет совсем поехал, уже слово "фекалия" в более обиходном варианте считает матом.

    Тут разве медицинский форум?


     
  • 5.29, Аноним (-), 13:10, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые.

    А я почему-то уверен, что в EULA прописан отказ от ответственности.

     
     
  • 6.32, Аноним (-), 13:24, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Крупные компании между собой обычно работают не по EULA, а заключают кастомный договор с особыми условиями. Если клиент крупный и платит хорошо, автору софта выгодно ему во всём помогать.
     
     
  • 7.76, Anonymoustus (ok), 03:33, 14/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Все компании (юридические лица) всегда работают между собой по договору, EULA к этому отношения вообще не имеет. Просто большинство анонимов опеннета ещё учатся в школе и не знают об этом.
     
  • 6.34, Аноним (-), 13:26, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как в воду глядел ... большой текст свёрнут, показать
     
  • 5.48, scorry (ok), 15:19, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > И скорее всего разработчик брал на себя какие-то обязательства.
    > Возможно и финансовые.

    (слышен хоровой, заливистый, заразительный детский смех)

     
  • 5.55, arisu (ok), 17:12, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    считать они, конечно, умеют. деньги в своём кармане. а пользователь не мамонт, и не вымрет, так что его потери никого не интересуют.
     
  • 3.38, пох (?), 14:09, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –7 +/
    > Ну очевидно, что на момент внедрения эти коммерческие библиотеки имели какое-то конкурентное
    > преимущество. Потому их и внедряли.

    перечитай еще раз: netscaler, f5, ace.
    Это железки, способные принимать сотни тысяч и миллионы ssl-сессий (за счет реализации части библиотеки в asic, чаще всего), успехов лепить такое на коленке.

    И пострадали, скорее всего, как раз за неуместную любовь к опенотсосию - то есть за использование как раз openssl (которую там очень неудобно обновлять, поэтому она будет гарантированно древних версий) вместо собственной разработки с нуля (да, почти невозможной в наши дни - потому что кроме прочего надо обеспечивать совместимость со всеми багами и глюками openssl'я, включая вчера привнесенные)

     
     
  • 4.51, примус (?), 16:09, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >[оверквотинг удален]
    >> преимущество. Потому их и внедряли.
    > перечитай еще раз: netscaler, f5, ace.
    > Это железки, способные принимать сотни тысяч и миллионы ssl-сессий (за счет реализации
    > части библиотеки в asic, чаще всего), успехов лепить такое на коленке.
    > И пострадали, скорее всего, как раз за неуместную любовь к опенотсосию -
    > то есть за использование как раз openssl (которую там очень неудобно
    > обновлять, поэтому она будет гарантированно древних версий) вместо собственной разработки
    > с нуля (да, почти невозможной в наши дни - потому что
    > кроме прочего надо обеспечивать совместимость со всеми багами и глюками openssl'я,
    > включая вчера привнесенные)

    Один из немногих адекватных комментариев.

    Для остальных: и да, мы общаемся не на языке EULA. А на языке SLA. и там прописано все жестко.

     
     
  • 5.57, пох (?), 17:25, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Для остальных: и да, мы общаемся не на языке EULA. А на
    > языке SLA. и там прописано все жестко.

    ну, consequent damages там обычно не прописаны - то есть если тебе обещали время реакции два часа и время устранения инцидента двое суток - то вот через два дня после заявки "что-то у меня тут ssl дырявый" приползет новая прошивка, а не приползет - кто-то заплатит изрядных денег. Если поломали раньше/в процессе - никто вроде как не виноват. Собственно, как будто опенсорсные или самодельные поделки от этого защитят...

    /уползает пересобирать libc для неподдерживаемого сто лет дистрибутива. К сожалению, слишком современный, чтобы не быть затронутым известной проблемой.


     

  • 1.10, Аноним (-), 12:01, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Из открытых проектов уязвимость присутствует Erlang

    Не присутствует, а зыакрыта 23 ноября.

     
     
  • 2.61, Нанобот (ok), 19:08, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. присутствует во всех версиях, выпущенных до 23 ноября
     
     
  • 3.63, irinat (ok), 19:12, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Мы не упоминаем версии, выпущенные до 23 ноября.
     
  • 3.70, Аноним (-), 20:12, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Т.е. присутствует во всех версиях, выпущенных до 23 ноября

    Ооо, если бы Вы знали, как замечательно Эрланг умеет менять обувь прямо в полёте...

     

  • 1.33, zanswer CCNA RS and S (?), 13:26, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Стоит отметить, что уязвимость подтверждена только для EOS и EOL (ещё с 2013 года) продуктов Cisco ACE 4710 и Cisco ACE 30, для которых в числе прочего не будет выпускаться обновление, закрывающие данную уязвимость, кроме возможно, случаев наличия персонализированных контрактов на поддержку.

    Не берусь утверждать на 100%, что везде, но Cisco много где использует GPL программные продукты, включая OpenSSL.

     
     
  • 2.37, пох (?), 14:02, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > Стоит отметить, что уязвимость подтверждена только для EOS и EOL (ещё с 2013 года) продуктов
    > Cisco ACE 4710 и Cisco ACE 30

    и дайте угадаю - к каждой из этих древних хреновин прилагалась бумажко с gpl license - и именно из-за использования openssl.

    ибо нехрен.

     
     
  • 3.39, zanswer CCNA RS and S (?), 14:09, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Таковыми не обладал, но более чем уверен, что среди литературы, что прилагается к устройство есть указание на то, что оно содержит те или иные компоненты под GPL.

    Бегло посмотрел Security Advisories и да, я был прав, Cisco ACE использует OpenSSL и учитывая, что она давно EOS и EOL, то не о какой новой версии OpenSSL речь конечно не идёт. Хотя у Cisco вполне возможно и есть собственная реализация TLS конечно, в каких-то других продуктах.

     
     
  • 4.43, пох (?), 14:16, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > к устройство есть указание на то, что оно содержит те или
    > иные компоненты под GPL.

    хуже, именно openssl и есть эта (и единственная) компонента (и еще xml/xslt они очень раньше любили тащить куда надо и куда не надо).

    > о какой новой версии OpenSSL речь конечно не идёт. Хотя у
    > Cisco вполне возможно и есть собственная реализация TLS конечно, в каких-то
    > других продуктах.

    наоборот, если где и была, ее давно радостно выкинули на помойку.
    Индусы по другому не умеют. А кроме них, увы, никого.

    Я тут посмотрел (не спрашивайте меня, зачем и как угораздило - каждый может с бодуна упасть разинутым хлебальником прямо в яму с навозом) вот это:
    https://www.youtube.com/watch?v=eP5lQBZOTgE

    - дальше момента, когда (второй) чувак представляется, можете не смотреть. Это все, что вам надо знать о циске и ее разработчиках. (ну и об nginx+ тоже, но там кто бы сомневался)

     
     
  • 5.53, Аноним (-), 16:48, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И openssl не под gpl, и не единственный это опенсоурсный компонент, и вообще ты напыщенный дурак, нахватавшийся верхушек.
     
  • 2.42, Аноним (-), 14:15, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > GPL программные продукты, включая OpenSSL

    Сразу видно эксперта.

     
     
  • 3.44, zanswer CCNA RS and S (?), 14:25, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я не утверждал, что OpenSSL под GPL, хотя согласен, что выглядит предложение двояко.

    С другой стороны, даже если представить, что я ошибся в лицензии на OpenSSL, вряд ли это коренным образом меняет суть сказанного в контексте того, что Cisco активно использует OpenSource продукты для создания своих без сомнения проприетарных продуктов.

     
  • 2.62, Нанобот (ok), 19:11, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > GPL программные продукты, включая OpenSSL.

    Насколько я помню, у openssl не GPL. Сам внедрял его в проприетарный продукт

     
     
  • 3.64, irinat (ok), 19:17, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Насколько я помню, у openssl не GPL.

    А софту под GPL нужно ещё и дополнительное разрешение к лицензии добавлять, чтобы пользователи этого софта могли его линковать с OpenSSL. Есть (были?) там какие-то проблемы совместимости.

     
  • 3.65, zanswer CCNA RS and S (?), 19:22, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да, вы правы у них какая-то своя лицензия.
     
     
  • 4.80, пох (?), 17:33, 14/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в мусорке, куда я перекладывал их бумажные копии из каждой очередной коробки с циской - смотрятся совершенно одинаково.

     

  • 1.36, Аноним (-), 13:47, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    То самое чувство, когда Facebook не зря сделал onion зеркало своего сайта.
     
  • 1.45, Ващенаглухо (ok), 14:29, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Питоновский скрипт че то не работает.
    Cannot connect to server: [SSL: SSLV3_ALERT_HANDSHAKE_FAILURE] sslv3 alert handshake failure (_ssl.c:777)
     
     
  • 2.46, Ващенаглухо (ok), 14:46, 13/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    С сайта зеленая табличка:))

    This host does not support RSA encryption ciphers.
    This is ideal!

     

  • 1.68, ALex_hha (ok), 20:02, 13/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Это коммерческий продукт. И скорее всего разработчик брал на себя какие-то обязательства. Возможно и финансовые.

    просвети об этом парней из Рэдмонда, а то они по ходу не в курсе

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру