Уязвимости в стеке IPSEC OpenBSD

0

0

Тео де Раадт обнародовал письмо от одного из бывших разработчиков OpenBSD Gregory Perry, касающееся ранних этапов разработки OpenBSD. По его заявлению, ФБР разработала ряд бэкдоров и механизмов утечки ключей в подсистеме шифрования OpenBSD, предназначеных для мониторинга системы шифрования VPN.

Тео де Раадт отмечает, что текущее состояние узявимостей неясно, т.к. за прошедшее время код изменялся и дополнялся.

>>> Подробности

Ссылка

←	Oracle и Apple анонсировали OpenJDK для MacOS X

Ричард Столлман заявил об опасности Chrome OS

→

← 1 2 3 4 5 →

Ответ на: комментарий от nnz 16.12.10 09:10:36 MSK

> Или вы маководов и виндузятников к пользователям BSD относите? А толку от них, если они в сорцы заглянуть не могут?

гы-гы

речь шла о *программирующих* пользователях

если gpl-код читается и модифицируется редко и бесплатно, то bsd-код читается и модифицируется большим количеством коммерчески нанятых разработчиков, в том числе и сравнительно небольших фирм разных стран

таких вот разработчиков всех сразу подкупить нереально

это, к сожалению, не относится к ядрам ОС и ближайшей обвязке; их код — это код *в себе*, так что тут, вероятно, приходится судить по параметру «количество строк кода, деленное на количество разрабочиков и грамотных тестеров»; сама же по себе лицензия роли не играет

www_linux_org_ru ★★★★★
(17.12.10 07:55:11 MSK)

Ответ на: комментарий от www_linux_org_ru 17.12.10 07:30:16 MSK

>картина маслом: АНБ вставило закладки в BSD-код, а разработчики из apple и microsoft их убрали и продают это с закрытыми исходниками :-)

А что тут странного?

Речь шла о пользовательской базе не *BSD-систем, а BSD-кода в целом.

bsd-код читается и модифицируется большим количеством коммерчески нанятых разработчиков, в том числе и сравнительно небольших фирм разных стран

А тут есть одна небольшая разница. Если у пользователей хоть какая-то заинтересованность в качестве bsd-кода есть (не заинтересованы они сидеть на системе с бэкдорами), то у коммерческих кодеров заинтересованность строго обратная — чем меньше багфиксов они вернут в апстрим, тем лучше окажется их продукт в сравнении с исходным.
Попытки слить улучшения в апстрим должны жестко пресекаться административными методами. По сути, они являются крайней мерой, применяемой только в тех случаях, когда дальнейшее развитие апстрима может сильно затруднить портирование наработок в проприетарный форк.

если gpl-код читается и модифицируется редко и бесплатно

Какие чудные у вас грибочки! В каком лесу собирали?

Ну, если подтасовать факты и сделать пару грубых логических ошибок, то да.

Молодец, самокритично.

То есть вы не замечаете грубых логических ошибок и подтасовок фактов в ваших рассуждениях? Получается, вы _верите_ в то, что говорите? Тогда, пожалуй, продолжать беседу с вами бессмысленно. С тем же успехом можно пытаться переубедить пациента из шестой палаты, что он не Наполеон, а простой русский гражданин Петр Петрович Иванько.

nnz ★★★★
(17.12.10 10:13:17 MSK)

Ответ на: комментарий от anonymous 17.12.10 01:27:46 MSK

>Ему это сделать несложно.

Ага, сначала добавить бэкдоры, потом убрать бэкдоры, потом ядро с бэкдорами падает, а без них не падает (или наоборот), потом мерги от мейнтейнеров подсистем опять все бэкдоры поломали, потом оказалось, что бранчи совсем не те...

А может вообще он лично ядрышко с закладками для Красношапки и пишет по договоренности, потому и на Федоре обкатывает.

Ага. Запускает у себя на десктопе прон и звонит в фбр: «Вы видите прон? Нет? Мля, опять Тед, скотина, своими коммитами все сломал».

Если серьезно, Линус давно уже не пишет ничего сам (кроме редких багфиксов) — он только проверяет и пропускает в апстрим код, до этого проверенный и пропущенный мейнтейнерами подсистем.

nnz ★★★★
(17.12.10 10:21:07 MSK)

Ссылка

Ответ на: комментарий от nnz 17.12.10 10:13:17 MSK

>> картина маслом: АНБ вставило закладки в BSD-код, а разработчики из apple и microsoft их убрали и продают это с закрытыми исходниками :-)

А что тут странного?

детский сад, штаны на лямках

ладно, объясняю

1. для того, чтобы просто найти вставленные закладки, требуется исследование; его стоимости легко может составить больше, чем стоимость собственно разработки

2. для того, чтобы это хотя бы могло принести хоть какую-то прибыль, надо, как минимум, объявить о проделанной работе — хоть раз такое было в рекламных компаниях упомянтых фирм?

3. и какова прибыль? если хомячку сказать «мы взяли бесплатно доспупный код, очистили его от закладок, и продаем вам», он сильно вдохновится покупать продукт? да нисколько.

4. АНБ будет против. А у него есть способы надавить на эти 2 фирмы.

5. У этих microsoft полно багов, к которым у не отношение вполне наплевательское; и тут она вдруг возьмется не искать и фиксить их, а вылавливать закладки АНБ?

Тогда, пожалуй, продолжать беседу с вами бессмысленно. С тем же успехом можно пытаться переубедить пациента из шестой палаты, что он не Наполеон

Захотелось замаскировать слив? Читатели разберутся.

Пока что я вижу с Вашей стороны отстаивание совершенно фантастичекого варианта — бескорыстной и даже накладной заботы apple и microsoft о своих хомячках-пользователях.

З.Ы. привыкли, что изеня можно зафлеймить ненапрягаясь...

www_linux_org_ru ★★★★★
(17.12.10 11:51:15 MSK)

Ссылка

Ответ на: комментарий от nnz 17.12.10 10:13:17 MSK

> А тут есть одна небольшая разница. Если у пользователей хоть какая-то заинтересованность в качестве bsd-кода есть (не заинтересованы они сидеть на системе с бэкдорами), то у коммерческих кодеров заинтересованность строго обратная — чем меньше багфиксов они вернут в апстрим, тем лучше окажется их продукт в сравнении с исходным.

Эти рассуждения неявно предполагают, что под bsd выпускается некий *конечный* продукт.

Но это зачастую не так.

boost, stl и даже ядро ОС не являются конечным продуктом — они всего лишь используются для его создания

и пользователи boost, stl или ядра ОС не настолько тупы, чтобы неглядя заховать пропраетарный вариант, даже если пропраетарщик (вроде бы честно) скажет, что пофиксил какие-то баги исходного

www_linux_org_ru ★★★★★
(17.12.10 12:11:02 MSK)

Ссылка

Ответ на: комментарий от www_linux_org_ru 17.12.10 07:55:11 MSK

> если gpl-код читается и модифицируется редко и бесплатно, то bsd-код читается и модифицируется большим количеством коммерчески нанятых разработчиков

Пруф или GTFO.

tailgunner ★★★★★
(17.12.10 12:19:14 MSK)

Ответ на: комментарий от tailgunner 17.12.10 12:19:14 MSK

Juniper?

anonymous
(17.12.10 12:54:30 MSK)

Ссылка

Ответ на: комментарий от tailgunner 17.12.10 12:19:14 MSK

Пруф или GTFO.

вот этим и займемся

но до доказательства было бы мое высказывание уточнить — например, «редко» (и «бесплатно» кстати тоже) это относительные характеристики; заметь, что я не сказал, что bsd-код модифицируется часто и т.д.

план доказательства щас такой:

за gpl код берем... кстати что берем? код ядра линукс, который под ... эээ... каким-то странным gpl? ну ладно; заодно добавь сюда несколько наиболее коммерчески развиваемых gpl-проектов

за bsd-код возьмем хотя бы stl и eastl (вспоминается еще мозилла, емнип mpl это та же bsd, во всяком случае она допускает создание пропраетарных продуктов на своей основе)

далее сравним, где зарплата разрабочиков в сумме выше, и на сколько десятичных порядков

www_linux_org_ru ★★★★★
(17.12.10 13:31:11 MSK)