В OpenSSL обнаружена критическая уязвимость

Опять? Вроде бы MICROSOFT начала спонсировать OpenBSD для улучшения качества этой библиотеки. Откуда же ошибки?

больше денег => больше бухают => больше ошибок

что непонятно?

Главное чтоб эксперты были не из АНБ (и не из других спецслужб)

Ай да АНБ, ай да молодцы. Это просто 10+.

Интересно, это случаем вылезло не из 400Гб «слива» https://xakep.ru/2015/07/08/hacking-team-0day/

Если проект достаточно большой, то уязвимостей наподобие сабжевой в нём не может не быть чисто статистически.

к Розенталю, быдло!

??

Я о том же толкую.

- Парни, этот самолёт старый, он выработал свой ресурс! Сдайте на металлолом!
- Что? Где твои инструменты?! А ну чини эту рухлядь давай!
- Парни, его списать надо. Это единственный вариант.
- Балабошка!!! А ну давай заплатки накладывай!
- Ну готово, удачного полёта.

Проблема в том, что OpenSSL пишут не профессиональные программисты, а математики, немного умеющие прогать. В исходниках - дичайший трудночитаемый говнокод. Пока это не изменится, он так и будет состоять из ошибок, но вместо этого ноют «ну мы же опенсорс, мы ниииищие»

Из того, что эти найдены, ничуть не следует, что нет скрытых. Пофиксены только те, что на поверхности. Учитывая, кто его пишет, и как, удивительно только то, что он вообще работает.

Си не способствует.

Чем ниже порог вхождения в язык, тем больше шлака производится с его помощью. Историю не обманешь.

В федоре за 12 часов до подтверждения новости

http://driverdev.linuxdriverproject.org/pipermail/driverdev-devel/2014-June/0...

Ты посмотри какой код у негрософта. Не удивительно, что если они начали контрибьютить в openssl там дыры появились.

Ну как библиотека криптоалгоритмов (libcrypto), OpenSSL очень даже неплох. А вот SSL как протокол я уже давно не воспринимаю всерьез.

Ну, я имел в виду что ошибка находится на уровне яп :-)

Ошибка архитектурная.

мелкие уязвимости в унитазе я замазываю герметиком. помогает. критическую уязвимость толчка боюсь даже представить. наверное, это дыра к соседям снизу и они могут перехватить весь трафик.
ну а по теме: что-то стало петросянить OpenSSL постоянно. с одной стороны, конечно, хорошо, что его тестируют. но с другой, нахрена эти новые фичи вводить, без которых все сто лет жили превосходно и не страдали?

В нормальных дистрах уязвимости и не было, так что хз, кто ещё тут сосёт.

То есть «нормальные» дистры настолько слоу, что до них баг не дошел? А что бы ты сказал, если бы баг был древний и таки попал в некродистры, которые ты считаешь нормальными?

Не удивительно, что если они начали контрибьютить в openssl там дыры появились.

Сколько ещё неадекватов в треде увидят мистическую связь между спонсированием OpenBSD и уязвимостями в OpenSSL, к которой OpenBSD не имеет отношения?

Лорчую. Скандал вокруг OpenSSL стал для него горнилом лютого испытания, как написано

И обращу на тебя руку Мою и, как в щелочи, очищу с тебя примесь, и отделю от тебя все свинцовое

Глубокомысленно. Если M$ туда засунул свой хобот, а в нем бабло, то я даже не знаю, чего теперь ждать.

Антивирусные компании рекомендуют всем пользователям временно отключить Flash в браузерах.

Правильно. Хоронить флеш. Временно, это до Страшного Суда.

Срать на флеш, там где действительно нужно у меня даже Хов нет, а домашние фотки с женой - пусть смотрят, завидуют чужому счастью
Меня интересует другое - сколько ещё «вкусняшек» в этих 400Гб.
Наверняка множество, но к кому они попадут - АНБ эта атака явно будет не по душе - отобрали любимые инструменты, они постараются их вернуть самыми обычными «человечными» средствами...
Охота наверняка уже началась...

они постараются их вернуть самыми обычными «человечными» средствами...

Если это очевидно для нас, значит не менее очевидно для тех, кто эти данные добыл. Господь их не оставит, я верю, если сами не подставятся.

если сами не подставятся

Плохо быть ими, если им вздумается продать данные, тогда вилы вологодские, практически гарантированно. Наверняка им уже пытались делалать предложения по покупке сведений об уязвимостях «заинтересованные разработчики».

Их только «инкогнито» спасёт, иначе если станет известно кто это(за исключением китайцев - у них своя политика к буржуям) то им и так хана будет - «человечные методы» заработают.

Решето

остальные не успели сунуть дырявую версию в репозиторий :)

Мне кажется даже инкогнито не спасет, если будут торговать. Оплата уже требует обратной связи. А у таких контор пропаливание по торговым связям наработано наркоторговлей и оружием очень давно.

Мне кажется даже инкогнито не спасет, если будут торговать. Оплата уже требует обратной связи. А у таких контор пропаливание по торговым связям наработано наркоторговлей и оружием очень давно.

Плюсую. Вспомнилась история еще советских времен. У меня дед работал в связи-гостелерадио и т.д. Так вот наши в те времена производили достаточно хорошие для мирового уровня проф.магнитофоны (это те которые стоили много десятков тыс, и производились что называется штучно), но была «забугорная» фирма (название и страну не помню) у которой на аналогичной технике характеристики были еще лучше. Так вот наши решили такой девайс купить и разобрать, но времена были совейские, напрямую палиться было никак нельзя. Покупали перепродавали через кучу стран, в результате где-то через год «посылочка» доехала. Когда ее вскрыли там оказалось благодарственное письмо от владельца той компании на имя чуть ли не нашего министра связи что-то типа «мы очень рады, что Вы решили воспользоваться продукцией нашей компании».

Профессиональные программисты, за денюжку, пишут виндовс.

за денюжку, пишут виндовс.

Подразуемевается, если за деньги то качественно? Неа. В прагматичном мире коммерции качество может диктоваться только конкуренцией. Если конкуренции нет, то критично соотношение затрат/выгоды, а это минус в качество. В винде конкуренции нет. Там коммунизм. Ее пишет одна контора. И контора эта чувствует себя монополистом на десктопе. Пока их выгоде ничего не угрожает, им выгоднее минимизировать затраты. Тоесть меньше заморачиваться. Со всеми вытекающими, которые мы наблюдаем уже десятилетия: например «десктопная» ось не может в полноценный десктоп.