LINUX.ORG.RU
 
Begemoth

Уязвимости в стеке IPSEC OpenBSD


0

0

Тео де Раадт обнародовал письмо от одного из бывших разработчиков OpenBSD Gregory Perry, касающееся ранних этапов разработки OpenBSD. По его заявлению, ФБР разработала ряд бэкдоров и механизмов утечки ключей в подсистеме шифрования OpenBSD, предназначеных для мониторинга системы шифрования VPN.

Тео де Раадт отмечает, что текущее состояние узявимостей неясно, т.к. за прошедшее время код изменялся и дополнялся.

>>> Подробности

ПОСАДИ КОМПЬЮТЕР НА ЦЕПЬ И ЗАСТАВЬ ЛАЯТЬ!

домашняя автоматизация: сделай сам; лучший подарок для техногика

http://www.unicontrollers.com/products/unc01x

1 2 3 4 5
[#] Ответ на: комментарий от nnz 16.12.2010 9:10:36  
www_linux_org_ru

> Или вы маководов и виндузятников к пользователям BSD относите? А толку от них, если они в сорцы заглянуть не могут?

гы-гы

речь шла о *программирующих* пользователях

если gpl-код читается и модифицируется редко и бесплатно, то bsd-код читается и модифицируется большим количеством коммерчески нанятых разработчиков, в том числе и сравнительно небольших фирм разных стран

таких вот разработчиков всех сразу подкупить нереально

это, к сожалению, не относится к ядрам ОС и ближайшей обвязке; их код — это код *в себе*, так что тут, вероятно, приходится судить по параметру "количество строк кода, деленное на количество разрабочиков и грамотных тестеров"; сама же по себе лицензия роли не играет

**** ()
[#] Ответ на: комментарий от www_linux_org_ru 17.12.2010 7:30:16  
nnz

>картина маслом: АНБ вставило закладки в BSD-код, а разработчики из apple и microsoft их убрали и продают это с закрытыми исходниками :-)

А что тут странного?

>Речь шла о пользовательской базе не *BSD-систем, а BSD-кода в целом.
>bsd-код читается и модифицируется большим количеством коммерчески нанятых разработчиков, в том числе и сравнительно небольших фирм разных стран

А тут есть одна небольшая разница. Если у пользователей хоть какая-то заинтересованность в качестве bsd-кода есть (не заинтересованы они сидеть на системе с бэкдорами), то у коммерческих кодеров заинтересованность строго обратная — чем меньше багфиксов они вернут в апстрим, тем лучше окажется их продукт в сравнении с исходным.
Попытки слить улучшения в апстрим должны жестко пресекаться административными методами. По сути, они являются крайней мерой, применяемой только в тех случаях, когда дальнейшее развитие апстрима может сильно затруднить портирование наработок в проприетарный форк.

>если gpl-код читается и модифицируется редко и бесплатно

Какие чудные у вас грибочки! В каком лесу собирали?

>> Ну, если подтасовать факты и сделать пару грубых логических ошибок, то да.
>Молодец, самокритично.

То есть вы не замечаете грубых логических ошибок и подтасовок фактов в ваших рассуждениях? Получается, вы _верите_ в то, что говорите? Тогда, пожалуй, продолжать беседу с вами бессмысленно. С тем же успехом можно пытаться переубедить пациента из шестой палаты, что он не Наполеон, а простой русский гражданин Петр Петрович Иванько.

**** ()
[#] Ответ на: комментарий от anonymous 17.12.2010 1:27:46  
nnz

>Ему это сделать несложно.

Ага, сначала добавить бэкдоры, потом убрать бэкдоры, потом ядро с бэкдорами падает, а без них не падает (или наоборот), потом мерги от мейнтейнеров подсистем опять все бэкдоры поломали, потом оказалось, что бранчи совсем не те...

>А может вообще он лично ядрышко с закладками для Красношапки и пишет по договоренности, потому и на Федоре обкатывает.

Ага. Запускает у себя на десктопе прон и звонит в фбр: «Вы видите прон? Нет? Мля, опять Тед, скотина, своими коммитами все сломал».

Если серьезно, Линус давно уже не пишет ничего сам (кроме редких багфиксов) — он только проверяет и пропускает в апстрим код, до этого проверенный и пропущенный мейнтейнерами подсистем.

**** ()
[#] Ответ на: комментарий от nnz 17.12.2010 10:13:17  
www_linux_org_ru

>> картина маслом: АНБ вставило закладки в BSD-код, а разработчики из apple и microsoft их убрали и продают это с закрытыми исходниками :-)

> А что тут странного?

детский сад, штаны на лямках

ладно, объясняю

1. для того, чтобы просто найти вставленные закладки, требуется исследование; его стоимости легко может составить больше, чем стоимость собственно разработки

2. для того, чтобы это хотя бы могло принести хоть какую-то прибыль, надо, как минимум, объявить о проделанной работе — хоть раз такое было в рекламных компаниях упомянтых фирм?

3. и какова прибыль? если хомячку сказать "мы взяли бесплатно доспупный код, очистили его от закладок, и продаем вам", он сильно вдохновится покупать продукт? да нисколько.

4. АНБ будет против. А у него есть способы надавить на эти 2 фирмы.

5. У этих microsoft полно багов, к которым у не отношение вполне наплевательское; и тут она вдруг возьмется не искать и фиксить их, а вылавливать закладки АНБ?

> Тогда, пожалуй, продолжать беседу с вами бессмысленно. С тем же успехом можно пытаться переубедить пациента из шестой палаты, что он не Наполеон

Захотелось замаскировать слив? Читатели разберутся.

Пока что я вижу с Вашей стороны отстаивание совершенно фантастичекого варианта — бескорыстной и даже накладной заботы apple и microsoft о своих хомячках-пользователях.

З.Ы. привыкли, что изеня можно зафлеймить ненапрягаясь...

**** ()
[#] Ответ на: комментарий от nnz 17.12.2010 10:13:17  
www_linux_org_ru

> А тут есть одна небольшая разница. Если у пользователей хоть какая-то заинтересованность в качестве bsd-кода есть (не заинтересованы они сидеть на системе с бэкдорами), то у коммерческих кодеров заинтересованность строго обратная — чем меньше багфиксов они вернут в апстрим, тем лучше окажется их продукт в сравнении с исходным.

Эти рассуждения неявно предполагают, что под bsd выпускается некий *конечный* продукт.

Но это зачастую не так.

boost, stl и даже ядро ОС не являются конечным продуктом — они всего лишь используются для его создания

и пользователи boost, stl или ядра ОС не настолько тупы, чтобы неглядя заховать пропраетарный вариант, даже если пропраетарщик (вроде бы честно) скажет, что пофиксил какие-то баги исходного

**** ()
[#] Ответ на: комментарий от www_linux_org_ru 17.12.2010 7:55:11  

> если gpl-код читается и модифицируется редко и бесплатно, то bsd-код читается и модифицируется большим количеством коммерчески нанятых разработчиков

Пруф или GTFO.

***** ()
[#] Ответ на: комментарий от tailgunner 17.12.2010 12:19:14  

Juniper?

anonymous ()
[#] Ответ на: комментарий от tailgunner 17.12.2010 12:19:14  
www_linux_org_ru

> если gpl-код читается и модифицируется редко и бесплатно, то bsd-код читается и модифицируется большим количеством коммерчески нанятых разработчиков

> Пруф или GTFO.

вот этим и займемся

но до доказательства было бы мое высказывание уточнить — например, "редко" (и "бесплатно" кстати тоже) это относительные характеристики; заметь, что я не сказал, что bsd-код модифицируется часто и т.д.

план доказательства щас такой:

за gpl код берем... кстати что берем? код ядра линукс, который под ... эээ... каким-то странным gpl? ну ладно; заодно добавь сюда несколько наиболее коммерчески развиваемых gpl-проектов

за bsd-код возьмем хотя бы stl и eastl (вспоминается еще мозилла, емнип mpl это та же bsd, во всяком случае она допускает создание пропраетарных продуктов на своей основе)

далее сравним, где зарплата разрабочиков в сумме выше, и на сколько десятичных порядков

**** ()
[#] Ответ на: комментарий от Led 16.12.2010 0:38:16  
Ygor

>Ты ещё один дурачок на ЛОРе, который не знает, что на Linux (в смысле ядро) - не чисто GPL, а "GPL с оговорками"?

А пруф мона на оговорки? Нет?! Ядро под GPL безо всяких оговорок?! Дык я ж говорил лицемеры.

**** ()
1 2 3 4 5
BSD