LINUX.ORG.RU

Еврокомиссия проведет аудит безопасности проектов Apache HTTP Server и Keepass

 , , ,


0

4

Еврокомиссия собирается провести аудит безопасности исходного кода двух OSS проектов: веб-сервера Apache HTTP server и менеджера паролей Keepass. Исходный код будет проанализирован на предмет наличия опасных уязвимостей. Результаты будут опубликованы и будут доступны всем желающим. Аудит начнется в ближайшие пару недель.

Этот аудит — вторая фаза пилотного проекта Еврокомиссии EU-FOSSA, которым занимаются ИТ-подразделения Еврокомиссии и Европарламента.

EU-FOSSA — пилотный проект Еврокомиссии направленный на выявление опасных уязвимостей в свободном ПО, используемом в ИТ-инфраструктуре Евросоюза.

Apache HTTP server и Keepass были выбраны для аудита по результатам публичного опроса. Было опрошено 3282 респондента.

Впрочем, вице-президент европейского отделения FSF Matthias Kirschner критикует подход Еврокомиссии к аудиту. По его словам, команда проекта EU-FOSSA опросила слишком узкий круг специалистов и не прислушивалась к мнениям экспертов FSF. Он опасается, что результатом аудита станет набор отчетов, которые никто не будет читать, и призывает к более тесному сотрудничеству с сообществом.

>>> Подробности

Ответ на: комментарий от znenyegvkby
  1. легко искать (grep, sed, awk)
  2. легко автоматизировать
  3. легко интегрировать с любым WM, DE, OS
  4. свободный формат файла, можно писать как удобнее тебе, любые произвольные данные в любой произвольной форме
  5. доступен множеством разнообразных способов, практически на любой платформе, в том числе нативными средствами этой платформы
anonymous ()
Ответ на: комментарий от znenyegvkby

Удобней уже тем, что можно «грепить» в редакторе как захочешь. Свободный формат записей. Не надо кликать кучу кнопок и выискивать подходящее поле, куда бы вставить или где найти запись. Записи могут быть не только паролями (хотя в kp помоему возможны и free notes?). Ну и т.д.

Я знаю, что я ССЗБ, но я использую vim с cm=blowfish2 (со старой версией (cm=blowfish) были проблемы, но в этой вроде исправили).

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от Deleted

и на компе пароли вводить, и на телефоне

Управляешь серверами с телефона? Уважаю!

beastie ★★★★★ ()
Ответ на: комментарий от beastie

http://news.netcraft.com/archives/2016/06/22/june-2016-web-server-survey.html

Привел ссылку по которой apache самый используемый веб-сервер как доказательство того, что он умер :)

Нет, он всё ещё использутеся (по инерции)

Он еще столько будет использоваться, что его конкуренты тоже могут помереть. Ничего против nginx не имею, сам им пользуюсь :), но индейца рано хоронить.

goingUp ★★★★★ ()
Ответ на: комментарий от anonymous

легко искать (grep, sed, awk)

Можно подумать там нет поиска. Гибкость там и не нужна, одно слово из комментария пароля и он найден.

легко автоматизировать

ЩИТО? Автоматизировать что? Вот у пасса есть функция устаревшего пароля, как ты этот процесс _автоматизируешь_ через ручной файл?

легко интегрировать с любым WM, DE, OS

Если бы у меня были проблемы с интеграцией, я бы не им не пользовался. Единственное я никогда не юзал его на шинде и моб. осях.

свободный формат файла, можно писать как удобнее тебе

А там нельзя писать как удобнее тебе? :)

доступен множеством разнообразных способов, практически на любой платформе, в том числе нативными средствами этой платформы

Красиво повторил третий аргумент.

znenyegvkby ()
Ответ на: комментарий от beastie

Еврокомиссия проведет аудит безопасности проектов Apache HTTP Server и Keepass (комментарий)

Вот там есть элементарная функциональность. Срок годности пароля. Как вы это организуете в файле? Пишите это в комментарий, или помните когда истекает пара месяцев на каждом пароле (с учетом что они добавляются и прибавляются постоянно, а в файле это никаким образом не отразить, кроме непосредственного указания в комментарии).

znenyegvkby ()
Ответ на: комментарий от Loki13

И ты при заходе на каждый ресурс, где нужно вводить пароль, заходишь в приложение и копируешь его чтобы вставить в браузере?(тогда ты очень не ленивый человек, делать это несколько раз за час)

так ресурс в куки сохраняет же мою авторизацию, а если какой нить там aliexpress то да, ввожу логин/пароль каждый раз, но и посещаю такие ресурсы редко очень.

А как синхронизировать пароли на 2-3 компа? особенно если они используются одновременно(это важно, т.к. дропбокс естественно может только клонировать файл целиком, а не синхронизировать содержимое).

а чёрт его знает, кроме дропбокса ничё в голову больше не приходит.

eR ★★★★★ ()
Ответ на: комментарий от goingUp

самый используемый веб-сервер как доказательство

Абсолютные цифры роли не играют. Это сервера доживающие свой век. Что важно — это тренд. И он с 10..11-го года идёт почти строго вниз.

beastie ★★★★★ ()
Ответ на: комментарий от znenyegvkby

Комментарии. В любом случае не хочу умалять прелисти kp, но мне удобней так.

beastie ★★★★★ ()
Ответ на: комментарий от znenyegvkby

Как ты шифруешь/дешифруешь файл?

например так: /usr/bin/openssl enc [-d] -aes256 -in /path/to/file

Если пароль левый (кто-то выслал тебе с сервиса) как ты определяешь качество пароля?

Никак. У меня нет особенных требований к временным паролям, за исключением очевидно плохих вроде «love», «secret», «sex» и «god».

Как выглядят записи в файле, если к ним нужно добавлять различные комментарии?

Как мне нравится, так и выглядят. Внутри этого файла всё организовано так, чтобы я мог в нём быстро и удобно искать и ориентироваться.

anonymous ()
Ответ на: комментарий от beastie

растет количество other - то есть перестали репортить сервер... ну и что скрывается за nginx балансером сюда точно не попадет

WindowsXP ★★ ()
Ответ на: комментарий от anonymous

beastie, еще один вопрос если не затруднит. Вы начали использовать ручной метод хранения еще до выхода PS-программ? Или вы ими пользовались, вам не понравилось, и перешли на ручное шифрование?

znenyegvkby ()
Последнее исправление: znenyegvkby (всего исправлений: 1)
Ответ на: комментарий от anonymous

например так: /usr/bin/openssl enc [-d] -aes256 -in /path/to/file

А перед каждым sed и grep ты файл расшифровываешь?

tailgunner ★★★★★ ()
Ответ на: комментарий от znenyegvkby

Можно подумать там нет поиска. Гибкость там и не нужна

Классика красноглазия: у меня нет, поэтому всем не нужно.

ЩИТО? Автоматизировать что?

Логины туда, где только по паролю. Ты же не думаешь, что я всё руками админю?

Вот у пасса есть функция устаревшего пароля, как ты этот процесс _автоматизируешь_ через ручной файл?

А зачем это автоматизировать на моей стороне, если такая функциональность доступна в OS? O_o

А там нельзя писать как удобнее тебе? :)

Нет, конечно. В KeepassX есть определённый формат. Набор полей в GUI. И меня этот набор не устраивает.

Красиво повторил третий аргумент.

Ты не понял, а мне лень объяснять. Забей.

anonymous ()

Кстати, а есть легкая замена Keepass в стиле KISS и поддержкой vim-like?

anonymous ()
Ответ на: комментарий от tailgunner

А ты знаешь как это сделать не расшифровывая?

anonymous ()
Ответ на: комментарий от znenyegvkby

Я перепробовал многие из них (и консольные и графические), но ниодин из них не прижился.

beastie ★★★★★ ()
Ответ на: комментарий от anonymous

Кстати, а есть легкая замена Keepass в стиле KISS и поддержкой vim-like?

vim -x
beastie ★★★★★ ()
Ответ на: комментарий от znenyegvkby

Пользовался разными, включая обсуждаемый KeepassX. Думаю, за 15 лет я попробовал почти весь более или менее доступный софт для хранения паролей. Пару лет тому перешёл на шифрованные текстовые файлы.

anonymous ()
Ответ на: комментарий от anonymous

А как оно будет работать? Самостоятельно берешь файл, тыкаешь туда пароли, а потом шифруешь openssl и открываешь vim?

anonymous ()
Ответ на: комментарий от beastie

Этого недостаточно. Vim без дополнительных мер «течёт» данными.

anonymous ()
Ответ на: комментарий от anonymous

А перед каждым sed и grep ты файл расшифровываешь?

А ты знаешь как это сделать не расшифровывая?

Я так понимаю, это ответ «да». Что ж, удачи в построении троллейбуса из хлебаKeepass из шелла.

tailgunner ★★★★★ ()
Ответ на: комментарий от anonymous

Разберись. Скрипт очень простой и даже если ты не знаешь VimL, ты поймёшь. А если не поймёшь, то и мои объяснения тебе никак не помогут.

anonymous ()
Ответ на: комментарий от tailgunner

Спасибо, но мне не нужна удача. Я уже всё сделал и у меня всё работает.

anonymous ()
Ответ на: комментарий от anonymous

шифрованные текстовые файлы

Вот в одном большом международном банке, за такое хранение паролей увольняют в тот же день, если спалят. Будь он хоть трижды шифрованный. Хранить пароли можно только в Keepass из собственного репозитория или в голове.

Deleted ()
Ответ на: комментарий от Deleted

Сочувствую работникам «одного большого международного банка». Кстати, какого? Может они наш клиент?

anonymous ()
Ответ на: комментарий от anonymous

То уже детали реализации. Swap можно отключить (но в случае -x и swap шифрован).

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Нет, это не просто детали реализации, это важно. Кроме swap есть ещё, например, ~/.viminfo.

anonymous ()
Ответ на: комментарий от beastie

PS: индеец то де-факто уже умер. Лучше бы они энжину потрепали.

Мы сейчас говорим о том сервере, что не имеет .htaccess или его аналога и который требует пересборки для установки модуля?

atrus ★★★★★ ()
Ответ на: комментарий от atrus

.htacces — это верёвка достаточной длины, чтобы застрелиться. И... в современном мире докеризации всего и вся ни модули (а по умолчанию там есть всё, что надо), ни настройка от прав пользователя роли уже не играют.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

в современном мире докеризации всего и вся

Докеизация - это да, не верёвка, это мина, которая однажды капитально рванёт. В виде, например, нескольких миллионов единовременно взломанных сайтов. Потому что я видел, как народ этим пользуется. Тык, тык, тык по мануалу, ни хрена не понимая что и зачем делают.

А что касается сокращения числа apache, так это просто не проверялось сколько nginx самостоятельно работают, а сколько лишь прокси перед апачем.

atrus ★★★★★ ()
Ответ на: комментарий от beastie

в современном мире докеризации всего и вся ни модули (а по умолчанию там есть всё, что надо), ни настройка от прав пользователя роли уже не играют.

Нельзя ли развернуть, а то непонятно как-то?

anonymous ()
Ответ на: комментарий от anonymous

Нельзя ли развернуть, а то непонятно как-то?

Кококо, время установить больше контейнеров, гипервизоров. Каждому сервису по изолированному окружению и т.д.

Короче, каждое приложение варится в собственной виртуалке, имеет там рута и настраивает всё через свой /etc.

atrus ★★★★★ ()
Ответ на: комментарий от beastie

в современном мире докеризации всего и вся

Но ведь современный мир не состоит из одних только хипстерских стартапов.

anonymous ()
Ответ на: комментарий от atrus

Короче, каждое приложение варится в собственной виртуалке, имеет там рута и настраивает всё через свой /etc.

Как решается вопрос взаимодействия приложений?

Выноса общей функциональности или базы?

anonymous ()
Ответ на: комментарий от slon

Развивать память, регулярно подвергать мозг различным челенджам и соревнованиям, это не только полезно в плане хранения информации, но также чем активнее работает мозг сейчас, тем меньше риск огрести деменцию в пожилом возрасте.

Простите, а сколько у Вас паролей?

Harliff ★★★★★ ()
Ответ на: комментарий от anonymous

Как решается вопрос взаимодействия приложений?

Вопрос немного не по адресу, я как раз охреневаю от современных хипсетрских решений, которые выглядят красиво лишь пока их не тыкаешь палочкой.

Взаимодействие в основном по сети. Виртуальной. Т.е. контейнер с вебсервером и приложением, чьи порты торчат наружу, контейнер с mysql (хотя он может быть и в контейнере с сервером), контейнер с каким-нибудь redis (вот тут точно по внутренней виртуальной сети общение идёт), контейнер с ещё чем нибудь...

В более тяжёлых случаях само веб приложение (видите, уже я на этот жаргон перешёл :) разбивается на отдельные части, которые так же находятся в отдельных контейнерах и общаются с собой по виртуальной сети.

Нет, в этом всём есть смысл. Когда у вас что-то реально большое и вам надо балансировать нагрузку на реальное железо.

atrus ★★★★★ ()
Ответ на: комментарий от eR

а чёрт его знает, кроме дропбокса ничё в голову больше не приходит.

по уму бы в клиент встроить возможность синхронизации с тем же дропбоксом, но разраб упорот и не хочет об этом даже слышать. даже о патчах.

Loki13 ★★★★★ ()
Ответ на: комментарий от Loki13

в клиент встроить возможность синхронизации с тем же дропбоксом

Это ты упорот, а разработчик адекватен.

anonymous ()
Ответ на: комментарий от anonymous

atrus вон всё правильно описал. По поводу «было ровно на бумаге, да забыли про овраги» тоже не спорю — всё именно так.

И тем не менее — это объективная реальность данная нам в ощущениях, с этим приходится жить и работать. Old style администрация почти изжила себя. Куда ни плюнь — везде контейнеры.

В реальном мире всё меньше pets и всё больше cattle: http://www.it20.info/2012/12/vcloud-openstack-pets-and-cattle/

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 2)
Ответ на: комментарий от anonymous

Это ты упорот, а разработчик адекватен.

предлагай свой способ как синхронизировать пароли на 2-3 компах.

пусть не синхронизация с дропбоксом, а хотя бы синхронизация(merge) 2-х файлов с паролями. тогда можно через костыли синхронизировать актуальную базу с базой в каталоге дропбокса.

Loki13 ★★★★★ ()
Ответ на: комментарий от znenyegvkby

Сразу видно – с кучей машинами и сервисов не работающий :)

Сразу видно лентяя, который не пользуется блокнотом и ручкой. Пароли храни на бумаге, а не в программе (компьютере). Уютненький блокнотик с цветными закладками продаётся в любом отделе канцтоваров.

anonymous ()
Ответ на: комментарий от Loki13

А с MS OneDrive не надо? А с Google Drive? А с Yandex.Disk? А с Vasya Blya Budu Secure Storage?

Разработчик как раз всё правильно делает. Вот вам файл, синхронизируйте как бог на душу положит.

anonymous ()
Ответ на: комментарий от Loki13

Откуда взялась такая задача? Ты одновременно редактируешь пароли на нескольких устройствах сразу?

anonymous ()
Ответ на: комментарий от anonymous

Ты одновременно редактируешь пароли на нескольких устройствах сразу?

Да. Я могу с работы завести новый пароль, при этом дома будет включен комп, куда я приду вечером и заведу опять новый пароль. При синхронизации будет коллизия. И что ее руками потом разруливать? Это еще не упоминаю что может быть смартфон, планшет и ноут.

Loki13 ★★★★★ ()
Ответ на: комментарий от beastie

В реальном мире всё меньше pets и всё больше cattle: http://www.it20.info/2012/12/vcloud-openstack-pets-and-cattle/

«Access denied. Your IP address [172.68.11.222] is blacklisted. If you feel this is in error please contact your hosting providers abuse department.»

Символично. Особенно, если учесть, что 172.68.11.222 даже на 50% с моим ip не совпадает. Вот даже рядом не лежали.

atrus ★★★★★ ()
Ответ на: комментарий от anonymous

Вот вам файл, синхронизируйте как бог на душу положит.

Так файл же шифрованый и с БД внутри. Был бы текстовый я бы его сам гитом синхронизировал. Поэтому и нужна синхронизация(тупо merge) хотя бы просто 2-х файлов клиентом.

Loki13 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.