LINUX.ORG.RU

Еврокомиссия проведет аудит безопасности проектов Apache HTTP Server и Keepass

 , , ,


0

4

Еврокомиссия собирается провести аудит безопасности исходного кода двух OSS проектов: веб-сервера Apache HTTP server и менеджера паролей Keepass. Исходный код будет проанализирован на предмет наличия опасных уязвимостей. Результаты будут опубликованы и будут доступны всем желающим. Аудит начнется в ближайшие пару недель.

Этот аудит — вторая фаза пилотного проекта Еврокомиссии EU-FOSSA, которым занимаются ИТ-подразделения Еврокомиссии и Европарламента.

EU-FOSSA — пилотный проект Еврокомиссии направленный на выявление опасных уязвимостей в свободном ПО, используемом в ИТ-инфраструктуре Евросоюза.

Apache HTTP server и Keepass были выбраны для аудита по результатам публичного опроса. Было опрошено 3282 респондента.

Впрочем, вице-президент европейского отделения FSF Matthias Kirschner критикует подход Еврокомиссии к аудиту. По его словам, команда проекта EU-FOSSA опросила слишком узкий круг специалистов и не прислушивалась к мнениям экспертов FSF. Он опасается, что результатом аудита станет набор отчетов, которые никто не будет читать, и призывает к более тесному сотрудничеству с сообществом.

>>> Подробности

Ответ на: комментарий от anonymous

Сразу видно лентяя, который не пользуется блокнотом и ручкой. Пароли храни на бумаге, а не в программе (компьютере). Уютненький блокнотик с цветными закладками продаётся в любом отделе канцтоваров.

А розовый карандаш к нему в подарок не дают?

znenyegvkby ()
Ответ на: комментарий от Loki13

Ясно. Но неясно вот что:

  1. Почему приложение для хранения паролей не закрывается после какого-то периода неактивности? Ключ доступа к шифрованной базе хранится в памяти, и нет никаких причин ему там быть дольше, чем это действительно необходимо.
  2. Почему приложение не замечает изменения файла базы на диске и не предпринимает никаких действий в связи с этим?

Мой совет: переходи на текстовые файлы. С ними проще обращаться, особенно при таких юзкейсах.

anonymous ()
Ответ на: комментарий от atrus

Глянь в моих исправлениях — там изначально была ссылка на другой блог, но с тем же содержанием.

beastie ★★★★★ ()
Ответ на: комментарий от Loki13

Да. Я могу с работы завести новый пароль, при этом дома будет включен комп, куда я приду вечером и заведу опять новый пароль. При синхронизации будет коллизия...

Не забываем еще что некоторые пароли на рабочем компе даже временно расшифровывать не хочется.

segfault ★★★★★ ()
Ответ на: комментарий от beastie

Самый популярный, по твоей же ссылке, web-сервер умер? Как интересно люди живут...

King_Carlo ★★★★★ ()
Ответ на: комментарий от beastie

в современном мире докеризации всего и вся

Сейчас время массового отказа от этой ереси, даже самые горячие головы уже поняли, что это тупик.

King_Carlo ★★★★★ ()
Ответ на: комментарий от anonymous

Почему приложение для хранения паролей не закрывается после какого-то периода неактивности? Ключ доступа к шифрованной базе хранится в памяти, и нет никаких причин ему там быть дольше, чем это действительно необходимо.

А откуда ему знать как долго оно необходимо пользователю?

Почему приложение не замечает изменения файла базы на диске и не предпринимает никаких действий в связи с этим?

Хороший вопрос. Действительно, никакого контроля целостности! Вот потому-то я написал свое приложение для хранения паролей - для избежания вот таких вот ляпов. (Что характерно, я тогда keepasx в глаза не видел, но сделал нечто очень похожее в плане интерфейса, разве что без групп).

segfault ★★★★★ ()
Ответ на: комментарий от beastie

Лучше бы они энжину потрепали.

Только после того как Nginx научится нормальной реализации FastCGI :-) ..

Ато какой толк от него, если он не может socket-обьект (файловый дескриптор) передать FastCGI-приложению — через нулевой файловый дескриптор (UNIX /Linux позволяют это делать) — созданный через socketpair(..) , без создания объекта внутри файловой системы...

То есть нормальный FastCGI — Nginx не умеет (в отличии от mod_fcgid апача). А другие функции у Nginx — тоже кастрировали..

Ну и нафига он нужен? Быстрый и бесполезный :-)

user_id_68054 ★★★★★ ()

Евро-бюрократы сейчас всех замочат, трепещите! 🙅 🙅 🙅

anonymous ()
Ответ на: комментарий от atrus

А что касается сокращения числа apache

А я слышал, что его количество, наоборот, растет, просто не такими темпами

annulen ★★★★★ ()
Ответ на: комментарий от Deleted

генераторы «произносимых» паролей, но когда их больше 10 начинаешь путаться.

И трут начинаешь их по очереди забивать в поисках подходящего :)

torvn77 ★★★★★ ()
Ответ на: комментарий от Loki13

Уже кучу лет синкаю keepassx на нескольких компах и андроидах через дропбокс, не вижу никаких проблем синхронизации, заповодить пароль можно на любом устройстве. Что-то ты путаешь.

Deleted ()

Это хорошо. Надеюсь, результаты тоже опубликуете. Надеюсь, аудит по самому формату Keepass (kdbx) будет? Я пользуюсь KeepassX и мне аудит самой программы Keepass неинтересен. А вот аудит по самому формату этой базы данных - весьма и весьма интересно.

Rinaldus ★★★★★ ()
Ответ на: комментарий от Loki13

Да. Я могу с работы завести новый пароль, при этом дома будет включен комп, куда я приду вечером и заведу опять новый пароль.

Коллизии будут только при одновременном редактировании. Проблемы, которую ты описываешь, не существует.

anonymous ()
Ответ на: комментарий от beastie

На моём локалхосте он уже давно умер.

проздравляю ёпта.

anonymous ()

Синхронизирую через rclone, брат жив.

anonymous ()
Ответ на: комментарий от beastie

Откуда такой вывод? Есть ссылки на собранную статистику по использованию? Я вообще исключительно только на этом форуме слышу про модные технологии типа node, python, rails, grails, java а по факту зайти на любую фриланс биржу и большинство работы Apache+PHP+SQL а также большинство веб приложений типа форум, cms ориентированы именно на эту связку.

iluha16 ()
Ответ на: комментарий от iluha16

Откуда такой вывод?

Просто наш beasty небыдло, белые люди с индейцами не дружат.

anonymous ()
Ответ на: комментарий от segfault

А откуда ему знать как долго оно необходимо пользователю?

Я для себя решил это просто: если в течение 5 минут в приложение не поступал никакой ввод, то надо завершить работу.

anonymous ()
Ответ на: комментарий от Deleted

Уже кучу лет синкаю keepassx на нескольких компах и андроидах через дропбокс

Ты видимо одновременно с 2-х компов базу не использовал на запись, а то привет коллизии и ручной перенос одного из паролей в другую базу.

Loki13 ★★★★★ ()
Ответ на: комментарий от iluha16

Это и неудивительно, ведь если рыться в помойках, то всё время будут попадаться помои. Попробуй поискать работу в IT-секторе в какой-нибудь стране с заметным IT-рынком, да хоть в той же Бразилии.

anonymous ()
Ответ на: комментарий от Loki13

одновременно с 2-х компов базу не использовал на запись

Как это у тебя получается? По клавиатуре под каждую руку?

anonymous ()
Ответ на: комментарий от anonymous

Коллизии будут только при одновременном редактировании. Проблемы, которую ты описываешь, не существует.

Не совсем одновременном, дропбокс с лагом синхронизирует, а не сразу. А я например дома с 2мя компами(рабочий ноут и стационарный десктоп) между которыми аль-табаюсь :) И у меня раза 3 были коллизии.

Loki13 ★★★★★ ()
Ответ на: комментарий от anonymous

Как это у тебя получается? По клавиатуре под каждую руку?

Дропбокс не мгновенно синхронизирует, не говоря уж о том что может не быть инета временно на одном компе и тогда опять же привет коллизия.

Loki13 ★★★★★ ()
Ответ на: комментарий от Loki13

А, теперь понял! Выхода минимум два: можно патчи слать, можно дисциплину прокачивать.

anonymous ()
Ответ на: комментарий от anonymous

можно патчи слать

могу найти ссылку где разраб keepassx пишет что не примет патчи на работу с сетью. патч на автозаполнение в браузере он тоже не принял, люди форк держат. я же говорю что упоротый.

Loki13 ★★★★★ ()
Ответ на: комментарий от iluha16

Эмпирические наблюдения, ибо я в этом как бы тоже чуть-чуть варюсь. Apache — это в лучшем случае мало-нагруженый LAMP под WordPress. Typo3 уже можно считать мёртвым. Вот и весь PHP рынок. Львиную же долю серьёзных приложений отожрал Django+nginx.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Эмпирические наблюдения, ибо я в этом как бы тоже чуть-чуть варюсь

Ты путаешь свой персональный опыт со статистикой. LAMP, а тем более PHP, никуда в ближайшее время не денется, скажи спасибо Facebook.

anonymous ()
Ответ на: комментарий от anonymous

Может быть, просто наблюдения.

Хотел ещё добавить, но не успел, что географию тоже учитывать надо. В Польше AFAIK всё ещё любят Perl. В Россие PHP ещё в почёте. Дальше на запад или восток начинаются уже другие приколы.

beastie ★★★★★ ()
Ответ на: комментарий от Loki13

могу найти ссылку где разраб keepassx пишет что не примет патчи на работу с сетью. патч на автозаполнение в браузере он тоже не принял, люди форк держат. я же говорю что упоротый.

Значит не шли патчи. Форкай или прокачивай дисциплину. У меня как раз к разработчику никаких претензий нет. Любые усложнения не пойдут KeepassX на пользу. Разработчик может быть в принципе не очень хорошо умеет работать с сетью и/или с браузерами, потому и не берёт лишний код, за который ему же и придётся отвечать. Плюс совместимость с форматом файла Keepass. Видишь, как ни крути, текстовый файл был, есть и остаётся самым надёжным и универсальным решением.

anonymous ()
Ответ на: комментарий от Loki13

Использовал. Там .lock файл создается, и предупреждение. А событие это маловероятное, ибо открытой база находится 60 секунд, а после шифруется сохраняется и закрывается. Это все делает keepassx

Deleted ()
Ответ на: комментарий от beastie

Вот я тебе с того самого «дальше на запад» и пишу: PHP всё ещё популярен, разработчиков всё ещё много и они всё так же готовы работать задёшево.

anonymous ()
Ответ на: комментарий от Loki13

я же говорю что упоротый.

Ниразу не упоротый. keepassx работает очень четко и детерминировано, понятно, что автор за это стоит горой. Всякое усложнение и лишняя интеграция выльется в очередной говнософт, а в данном случае это значит или потерю или утечку конфиденциально информации

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)

А почему здесь говорят о KeepassX? По ссылке же четко сказано Keepass.

tailgunner ★★★★★ ()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от Loki13

предлагай свой способ как синхронизировать пароли на 2-3 компах.

А rsync/ssh уже не модно?

monk ★★★★★ ()
Ответ на: комментарий от tailgunner

А перед каждым sed и grep ты файл расшифровываешь?

можно factotum прикрутить

anonymous ()

Еврокомиссия?

Полная бессмыслица. Эти евробюрократы за что ни возьмутся, все пропало. Один попил и болото.

Голландцы их вертят, англикане от них уже целый пролив выкопали! Счас готовы уже и евротоннель затопить, лишь бы сбагрить этих лузеров со двора....

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

Меня всегда забавлял батхёрт на этом форуме при упоминании слова «PHP».

iluha16 ()
Ответ на: комментарий от beastie

Львиную же долю серьёзных приложений отожрал Django+nginx.

Это каких например?

iluha16 ()
Ответ на: комментарий от Loki13

могу найти ссылку где разраб keepassx пишет что не примет патчи на работу с сетью. патч на автозаполнение в браузере он тоже не принял, люди форк держат. я же говорю что упоротый.

Все правильно пишет - в сеть должен ходить отдельный процесс и синкать зашифрованный файл. А keepassx уже должен его вмерджить и выдать результат.
Автозаполнение в браузере - тоже непаханное поле для эксплойтов. Кому это нужно - пользуйтесь средствами самого браузера, благо, сейчас это реализовано практически в каждом.

segfault ★★★★★ ()
Ответ на: комментарий от King_Carlo

Сейчас время массового отказа от этой ереси, даже самые горячие головы уже поняли, что это тупик.

пруфы?

Novel ★★★★ ()
Ответ на: комментарий от tailgunner

Потому, что дотнет гавно никому не интересно.

anonymous ()

Аудит безопасности это как сертификация гос. органами?

Venediktov ()

Да вы тут совсем поехали - у одних апач умер, у других шифрованные файлы в вим, другие пароли каждую минуту меняют.

Апач - хороший инструмент, Кипасс - относительно хороший инструмент, правда только на Win, Лишний аудит за бабло еврокомиссии лишним не будет.

Даже докер и стада контейнеров - хороший инструмент, хоть и специализированный. Предложите роскомнадзору провести его аудит, лол.

anonymous ()
Ответ на: комментарий от pod

Keepass2 умеет синхронизацию http://keepass.info/help/v2/sync.html, там ещё и плагинов к нему полно.

Вот только работает оно нормально на венде, а на линуксе то одно не так, то другое не работает, ибо моно не тянет многие возможности(4.5 дотнет например).

Loki13 ★★★★★ ()
Ответ на: комментарий от Loki13

Нормально на линухе все работает: база создается, записи добавляются, шифруются, читаются, пароли генерируются, копипаст работает. Что вам еще надо?

anonymous ()
Ответ на: комментарий от anonymous

база создается, записи добавляются, шифруются, читаются, пароли генерируются, копипаст работает

Это и в Keepassx работает.

Что вам еще надо?

Синхронизацию. А все плагины для этого либо криво под линукс работают, либо не работают вообще(хочу дотнет 4.5 в венде и иди нафиг).

Loki13 ★★★★★ ()
Ответ на: комментарий от Loki13

Ну так используйте специализированные инструменты для синхронизации файлов, или подкиньте разработчику маленько денег, и он вам спецверсию сделает.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.