LINUX.ORG.RU

Еврокомиссия проведет аудит безопасности проектов Apache HTTP Server и Keepass

 , , , security audit


0

4

Еврокомиссия собирается провести аудит безопасности исходного кода двух OSS проектов: веб-сервера Apache HTTP server и менеджера паролей Keepass. Исходный код будет проанализирован на предмет наличия опасных уязвимостей. Результаты будут опубликованы и будут доступны всем желающим. Аудит начнется в ближайшие пару недель.

Этот аудит — вторая фаза пилотного проекта Еврокомиссии EU-FOSSA, которым занимаются ИТ-подразделения Еврокомиссии и Европарламента.

EU-FOSSA — пилотный проект Еврокомиссии направленный на выявление опасных уязвимостей в свободном ПО, используемом в ИТ-инфраструктуре Евросоюза.

Apache HTTP server и Keepass были выбраны для аудита по результатам публичного опроса. Было опрошено 3282 респондента.

Впрочем, вице-президент европейского отделения FSF Matthias Kirschner критикует подход Еврокомиссии к аудиту. По его словам, команда проекта EU-FOSSA опросила слишком узкий круг специалистов и не прислушивалась к мнениям экспертов FSF. Он опасается, что результатом аудита станет набор отчетов, которые никто не будет читать, и призывает к более тесному сотрудничеству с сообществом.

>>> Подробности

Deleted

Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 1)

Ответ на: комментарий от anonymous

или подкиньте разработчику маленько денег, и он вам спецверсию сделает.

я сам разработчик(причем именно на дотнете), но тот плагин что я хотел поправить слишком много использует для асинхронности фишек дотнета 4.5. пока моно не допилят, не выйдет. ну либо полностью переписывать, а у меня на такое ни времени, ни желания.

Loki13 ★★★★★
()
Последнее исправление: Loki13 (всего исправлений: 1)
Ответ на: комментарий от beastie

Докеризация - очередная хипстерская идея для написания неподдерживаемого костыльного кода.

anonymous
()
Ответ на: комментарий от Novel

Как принято говорить в этой ветке - эмпирические наблюдения.

King_Carlo ★★★★★
()
Ответ на: комментарий от Loki13

Так ты ж разработчик, напиши нужный плагин в рамках моно. Или в моно в принципе нужен огромный объем времени написать синхронизацию файла с внешним хранилищем?

anonymous
()
Ответ на: комментарий от anonymous

Ты олень

Как раз keepass дотнет

anonymous
()
Ответ на: комментарий от anonymous

Или в моно в принципе нужен огромный объем времени написать синхронизацию файла с внешним хранилищем?

Да дело не в моно, разбираться как работает тот же дропбокс, ловить баги. Это же не на коленке баш скрипт за пол дня наваять, это придется втягиваться в разработку, а как-то особо нет желания. У меня уже есть 2 домашних проекта для себя.

Loki13 ★★★★★
()
Ответ на: комментарий от beastie

Вот вы смеётесь, а просто шифрованые текстовый файл и в самом деле удобней всяких keepass и компании.

И как же этим «удобным шифрованным текстовым файлом» пользоваться и на десктопе, и на мобильных устройствах?

andreyu ★★★★★
()
Ответ на: комментарий от anonymous

Разработчик как раз всё правильно делает. Вот вам файл, синхронизируйте как бог на душу положит.

Два десктопа. На каждом лежит синхронизированная копия базы паролей. На обоих десктопах открывают и редактируют различные записи базы. Сохраняются. Что сделает тот же dropbox при синхронизации? Как корректно смержить базы?

Если мне не изменяет память, то elkeeper умел (а может он еще жив и до сих пор умеет) корректно синхронизировать базы.

andreyu ★★★★★
()
Ответ на: комментарий от anonymous

Почему приложение для хранения паролей не закрывается после какого-то периода неактивности? Ключ доступа к шифрованной базе хранится в памяти, и нет никаких причин ему там быть дольше, чем это действительно необходимо.

KeepassX умеет закрывать базу через некоторое время.

Почему приложение не замечает изменения файла базы на диске и не предпринимает никаких действий в связи с этим?

К примеру потому, что разорвалось соединение.

andreyu ★★★★★
()
Ответ на: комментарий от beastie

Для руления серверами надо ключи использовать. А вот для своих паролей keepassx вполне хватает.

anonymous
()
Ответ на: комментарий от anonymous

Ключи — это хорошо и правильно, но к сожалению не всегда есть такая возможность.

beastie ★★★★★
()
Ответ на: комментарий от beastie

Ещё один, рулящий серверами с телефона? Уважаю. ;)

При чем тут сервера вообще? Хранилка паролей умеет хранить не только пароли от серверов, которыми нужно рулить.

andreyu ★★★★★
()
Ответ на: комментарий от beastie

Те, что я часто пользую, я и так знаю. А те что не часто — они мне и на телефоне не нужны.

Вопрос стоял иначе - «чем шифрованный текстовый файл удобнее специализированного приложения».

andreyu ★★★★★
()
Ответ на: комментарий от andreyu

А что на мобилках нет софта, который может дешифровать? Вангую сщас «ну на моей 3310...». А там это зачем тогда, например?

GITS
()
Ответ на: комментарий от Loki13

Нафига keepass уметь синхронизироваться, ведь это не его задача? У меня синхронизация реализована через owncloud.

ptah_alexs ★★★★★
()
Ответ на: комментарий от andreyu

И как же этим «удобным шифрованным текстовым файлом» пользоваться и на десктопе, и на мобильных устройствах?

Те пароли, которые я по какой-то причине собираюсь вводить на «мобильных устройствах», я помню наизусть (все два!). Но я слышал, что какие-то люди любят с мобилы какие-то там серверы админить из леса, но лично ни одного такого не знаю, хоть и могу представить, что вот именно им текстовый файл может и не подойти. А может и подойти, всё одно SSH на джамп-сервер делать надо, вот там можно и в файл с паролями посмотреть.

anonymous
()
Ответ на: комментарий от andreyu

На обоих десктопах открывают и редактируют различные записи базы.

Ты решил нарушить законы физики и быть в двух местах одновременно? Экий затейник!

anonymous
()
Ответ на: комментарий от soko1

А напомните чем keepass лучше/хуже keepassx

Кучей плагинов на все(ну почти) случаи жизни. А keepassx умеет только то что сделает единственный разраб с довольно специфическими понятиями о том что должно быть в программе, а чего не должно быть.

Loki13 ★★★★★
()
Ответ на: комментарий от GITS

А что на мобилках нет софта, который может дешифровать? Вангую сщас «ну на моей 3310...». А там это зачем тогда, например?

Есть конечно, называется keepass2android.

andreyu ★★★★★
()
Ответ на: комментарий от anonymous

Ты решил нарушить законы физики и быть в двух местах одновременно? Экий затейник!

Вам уже несколько раз расписали возможные кейсы, но вы продолжаете прикидываться шлангом.

andreyu ★★★★★
()
Ответ на: комментарий от Loki13

Кучей плагинов на все(ну почти) случаи жизни. А keepassx умеет только то что сделает единственный разраб с довольно специфическими понятиями о том что должно быть в программе, а чего не должно быть.

Зато keepassx написан на правильном языке с использованием более-менее адекватного фреймворка. При этом keepassx открыт - любой может форкнуть и внести нужные ему изменения.

andreyu ★★★★★
()
Ответ на: комментарий от ashot

А если ловить урановую рыбу в ртутном озере?

beastie ★★★★★
()

Keepass - единственный действительно кроссплатформенный хранитель паролей. Кроме него больше нет такого.

anonymous
()

На Android есть терминал с busybox. Кросс-компиляцией собираете openssl и можно расшифровывать текстовый файл на мобильнике/планшете.

anonymous
()
Ответ на: комментарий от andreyu

Вам уже несколько раз расписали возможные кейсы, но вы продолжаете прикидываться шлангом.

Кейсы уровня «я изо всех сил пытаюсь что-то сломать, и оно ломается».

anonymous
()
Ответ на: комментарий от andreyu

А на моторной лодке по асфальту ездить неудобно.

На вертолёте тоже.

anonymous
()

Полностью согласен с Плейшнером, тьху ты Киршнером, и разделяю его негодование - меня тоже спросить забыли.

zabbal ★★★★★
()
Ответ на: комментарий от beastie

PS: индеец то де-факто уже умер. Лучше бы они энжину потрепали.

Походу nginx, как и postgres - в аудите не нуждаются.

EuGeneus ★★
()

Апач не сдох еще? C10K уже научился?

FilosofeM ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.