LINUX.ORG.RU

Еврокомиссия проведет аудит безопасности проектов Apache HTTP Server и Keepass

 , , ,


0

4

Еврокомиссия собирается провести аудит безопасности исходного кода двух OSS проектов: веб-сервера Apache HTTP server и менеджера паролей Keepass. Исходный код будет проанализирован на предмет наличия опасных уязвимостей. Результаты будут опубликованы и будут доступны всем желающим. Аудит начнется в ближайшие пару недель.

Этот аудит — вторая фаза пилотного проекта Еврокомиссии EU-FOSSA, которым занимаются ИТ-подразделения Еврокомиссии и Европарламента.

EU-FOSSA — пилотный проект Еврокомиссии направленный на выявление опасных уязвимостей в свободном ПО, используемом в ИТ-инфраструктуре Евросоюза.

Apache HTTP server и Keepass были выбраны для аудита по результатам публичного опроса. Было опрошено 3282 респондента.

Впрочем, вице-президент европейского отделения FSF Matthias Kirschner критикует подход Еврокомиссии к аудиту. По его словам, команда проекта EU-FOSSA опросила слишком узкий круг специалистов и не прислушивалась к мнениям экспертов FSF. Он опасается, что результатом аудита станет набор отчетов, которые никто не будет читать, и призывает к более тесному сотрудничеству с сообществом.

>>> Подробности

аудит .. Apache HTTP

/me запасся попкорном и подписался на CVE RSS. ;)

PS: индеец то де-факто уже умер. Лучше бы они энжину потрепали.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)

Какого релиза? 2.4.23?

Аудит начнется в ближайшие пару недель.

Побежали заделывать дыры и готовить новый. Думаю успеют.

znenyegvkby ()

Т.е. скоро можно будет спокойно юзать Keepass? Пока я ему малость не доверяю.

bitfroster ★★ ()
Ответ на: комментарий от beastie

Индеец мёртв

PS: индеец то де-факто уже умер. Лучше бы они энжину потрепали.

Поддерживаю.

Camel ★★★★★ ()
Ответ на: комментарий от beastie

Возможно он не используется, раз не стали проверять. Или используется коммерческая поддержка, подразумевающая возможно подобные процессы самим собою.

slon ()
Ответ на: комментарий от bitfroster

как вообще можно доверять пароли чему-либо?

slon ()
Ответ на: комментарий от slon

как вообще можно доверять пароли чему-либо?

Сразу видно – с кучей машинами и сервисов не работающий :)

znenyegvkby ()
Последнее исправление: znenyegvkby (всего исправлений: 1)

лучше бы офтопик проверили

kto_tama ★★★★★ ()
Ответ на: комментарий от znenyegvkby

с кучей машинами и сервисов не работающий

Да, это так, у меня только две рабочих станции + 3 ноута + 2 роутера + 1 смартфон.

slon ()
Ответ на: комментарий от slon

как вообще можно доверять пароли чему-либо?

Это верно - на твоём месте я бы не доверял свои пароли даже сервисам, в которые они должны вводиться, а то мало ли.

В идеале - придумать пароль и сразу же его забыть, во избежание.

jcd ★★★★★ ()
Ответ на: комментарий от slon

Да, это так, у меня только две рабочих станции + 3 ноута + 2 роутера + 1 смартфон.

Ну вот видишь. Когда у тебя будет куча чужих серверов, сервисов и прочего дерьма, и тебе не захочется запоминать 100500 разных паролей от каждого из них, но ты хоть немного захочешь позаботиться о информационной безопасности и не станешь хранить пароли в блокноте, ты сразу вспомнишь о таких программах как к KeepassX.

znenyegvkby ()
Ответ на: комментарий от znenyegvkby

и не станешь хранить пароли в блокноте

почему?

slon ()
Ответ на: комментарий от slon

как вообще можно доверять пароли чему-либо?

А как их все тогда запомнить или у тебя и на почту, и на ЛОР, и на интернет-банк один пароль? Да и у всех сервисов разные требования к паролю: у одного цифры обязательны и нельзя спецсимволы, у другого наоборот — хрен одним паролем обойдешься.

java_util_Random ()
Ответ на: комментарий от slon

почему?

Потому что когда _чужие_ пароли угонят в открытом виде, у тебя не будет времени чтобы их сменить, а вот у злоумышленника будет достаточно времени, чтобы навредить компании.

znenyegvkby ()
Ответ на: комментарий от java_util_Random

А как их все тогда запомнить

Развивать память, регулярно подвергать мозг различным челенджам и соревнованиям, это не только полезно в плане хранения информации, но также чем активнее работает мозг сейчас, тем меньше риск огрести деменцию в пожилом возрасте.

slon ()
Ответ на: комментарий от slon

Развивать память, регулярно подвергать мозг различным челенджам и соревнованиям, это не только полезно в плане хранения информации, но также чем активнее работает мозг сейчас, тем меньше риск огрести деменцию в пожилом возрасте.

Мозг сложная штука. Я прекрасно помню свой пароль от диалапа 15-летней давности, но иногда после отпуска не могу вспомнить пароль от рабочей машины.

java_util_Random ()

FSF прокудахтало

Да уж. Уж они то знают как не писать отчеты которые никто не читает.

dk- ()
Ответ на: комментарий от java_util_Random

значит у тебя не пароль, а какая-то бессмыслица, пароль должен быть таковым (независимо от длинны), который невозможно забыть даже под веществами, здесь могли бы помочь господа из армии, они знают как и что запоминать.

slon ()

рано я перелез с lastpass на keepass...

eR ★★★★★ ()
Ответ на: комментарий от slon

пароль должен быть таковым (независимо от длинны), который невозможно забыть даже под веществами

Ну-ка придумай с десяток паролей так чтобы и запомнить, и везде по требованиям проходил, и не подобрать было, и набирать быстро. Слегка спасают генераторы «произносимых» паролей, но когда их больше 10 начинаешь путаться.

java_util_Random ()
Ответ на: комментарий от slon

здесь могли бы помочь господа из армии, они знают как и что запоминать

Цитаты из устава в качестве паролей не предлагать!

java_util_Random ()

/me тихо прифигел с товарищей, которые не понимают, зачем нужен keepass.

melkor217 ★★★★★ ()

Тоже выборы скоро?

anonymous ()
Ответ на: комментарий от eR

рано я перелез с lastpass на keepass...

пол года честно мучался с keepass(х) в разном его проявлении. так и не смог сделать удобно(либо синхронизация не работает, либо автозаполнение в браузере, либо еще что-то), откатился обратно на lastpass. причем под венду более-менее всё работает в keepass, а вот для линукса, то одно то другое. а у keepassx вообще разраб упоротый, не буду делать синхронизацию и патчи тоже не предлагайте, я против этого в программе.

Loki13 ★★★★★ ()
Последнее исправление: Loki13 (всего исправлений: 1)

Как выглядят результаты аудита?

Комментарий к каждой строчке исходного кода с пояснением, почему в ней нет уязвимости?

utf8nowhere ()
Ответ на: комментарий от jcd

В идеале - придумать пароль и сразу же его забыть, во избежание.

делаю так регулярно, потом регистрироваться приходится заново

subwoofer ★★★★★ ()
Ответ на: комментарий от King_Carlo

На моём локалхосте он уже давно умер. Единственная его ценность — это пускалка для php. Но и там уже nginx/fpm его заруливает.

Нет, он всё ещё использутеся (по инерции), но закат всё ближе и ближе.

В частности: http://news.netcraft.com/archives/2016/06/22/june-2016-web-server-survey.html

beastie ★★★★★ ()
Ответ на: комментарий от beastie

индеец то де-факто уже умер

А вот в Еврокомиссии видимо живет и процветает. Их интересуют только те проекты, которые у них используются.

java_util_Random ()
Ответ на: комментарий от beastie

индеец то де-факто уже умер

Где умер? В вашем облачном стартапе?

anonymous ()
Ответ на: комментарий от znenyegvkby

Я работаю. Сотни физических серверов по всему миру, роутеры, свичи, виртуальные машины и контейнеры без счёта. Пароли храню в текстовом файле, файл зашифрован AESом. Брат жив. У тебя есть 15 минут, чтобы рассказать мне, почему ты пользуешься всяким убожеством.

anonymous ()
Ответ на: комментарий от anonymous

Пароли храню в текстовом файле, файл зашифрован AESом

Расскажи как ты его расшифровываешь? Утилитой небось какой? И чем твой костыль от keepass'а отличается?

java_util_Random ()
Ответ на: комментарий от Loki13

KeePassX 2.0.2 у меня щас, сам по себе работает норм как отдельное приложение, без взаимодействия с браузерами и всяким.

eR ★★★★★ ()
Ответ на: комментарий от anonymous

У тебя есть 15 минут, чтобы рассказать мне, почему ты пользуешься всяким убожеством.
Пароли храню в текстовом файле, файл зашифрован AESом. Брат жив.

У тебя есть 15 минут чтобы отправить свой метод на помойку.

znenyegvkby ()

Мозг отказывается понимать, что PVS studio тут никаким боком.

Keepass

А вот это прям аж интересно.

не прислушивалась к мнениям экспертов FSF

Кого волнует мнение упоротых? trollface.png

Radjah ★★★★ ()
Ответ на: комментарий от java_util_Random

Размерами костыля, очевидно же. Кроме (собственной, пока не проверенной) имплементации AES в KeepassX есть ещё и целый гуй, потенциально подверженный всевозможным утечкам. У меня же просто текстовый файл в удобном мне формате.

anonymous ()
Ответ на: комментарий от eR

сам по себе работает норм как отдельное приложение, без взаимодействия с браузерами и всяким.

И ты при заходе на каждый ресурс, где нужно вводить пароль, заходишь в приложение и копируешь его чтобы вставить в браузере?(тогда ты очень не ленивый человек, делать это несколько раз за час)

А как синхронизировать пароли на 2-3 компа? особенно если они используются одновременно(это важно, т.к. дропбокс естественно может только клонировать файл целиком, а не синхронизировать содержимое).

Loki13 ★★★★★ ()
Последнее исправление: Loki13 (всего исправлений: 1)

не прислушивалась к мнениям экспертов LOR

annulen ★★★★★ ()
Ответ на: комментарий от znenyegvkby

Вот вы смеётесь, а просто шифрованые текстовый файл и в самом деле удобней всяких keepass и компании.

beastie ★★★★★ ()
Ответ на: комментарий от znenyegvkby

Да? А почему? Расскажи мне, что плохо?

anonymous ()
Ответ на: комментарий от beastie

Вот вы смеётесь, а просто шифрованые текстовый файл и в самом деле удобней всяких keepass и компании.

Особенно, когда тебе нужно и на компе пароли вводить, и на телефоне.

java_util_Random ()
Ответ на: комментарий от beastie

а просто шифрованые текстовый файл и в самом деле удобней всяких keepass и компании.

В чем конкретно он _удобнее_? Опишите пару плюсов.

znenyegvkby ()
Ответ на: комментарий от beastie

Не тогда, когда логинов с паролями дохрена, к тому же нужно ещё секретные ключи для TOTP хранить и/или файлы.

Anakros ★★★★ ()
Последнее исправление: Anakros (всего исправлений: 1)
Ответ на: комментарий от anonymous

Как ты шифруешь/дешифруешь файл? Если пароль левый (кто-то выслал тебе с сервиса) как ты определяешь качество пароля? Как выглядят записи в файле, если к ним нужно добавлять различные комментарии?

znenyegvkby ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.