LINUX.ORG.RU

Обнаружена уязвимость SSL


0

0

Группа экспертов Лаборатории средств безопасности и криптографии (LASEC) политехнического университета Лозанны, Швейцария, (http://lasecwww.epfl.ch/) обнаружила ошибки в стандартном протоколе SSL (протокол защищенных сокетов). Ученые утверждают, что имели вожможность декодировать информацию, обмен которой между клиентом и сервером шел в течение часа. Таким образом получено практическое подтверждение уязвимости протокола, безопасность которого уже ставилась под сомнение. Данные исследования переданы руководству проекта OpenSSL и разработчики уже предложили заплатки OpenSSL версий 0.9.7 и 0.9.6i, в которых проблема устранена.

>>> http://www.openssl.org/

anonymous

Проверено: green

Это еще одно подтверждение того факта, что интеллект и интеллигентность не одно и то же. Столь запущенный случай это, вероятно, не последствия контузии во время холодной войны, а однобокость образования. У нас, кстати, такая же проблема, только масштаб не тот, пока...

anonymous
()

У нас, слава аллаху, до такого еще очень далеко, да и образование односторонним никак не назовешь.

anonymous
()

Ннннда это у вас горе-анонимоусов с интелегентностью тяжело.
Во-первых если кто не понял очерк написан в юмористическом ключе, аля Ивлин Во.
/me очень смеялся когда читал.

А во вторых djb человек явно не человек искуства, и даже хуже он математик. Вы его сайт видели? Там ни одной картинки. Вообще ничего кроме текста. Вы что ожидали что такой человек начнет пускать слюни от каких-то разваливающихся зданий, сомнительной архитектурной ценности?

А сервис в России на уровне банановых республик, неудивительно что это бросилось djb в глаза, это всегда первое что замечается.

anonymous
()

> и вообще неподдерживаемое в больших инсталляциях

Все поддерживается. Просто руки надо иметь не под х.. заточенные и мозги не расплавленные.

Бля ну и найди его в дистрибутивах.

anonymous
()

"У нас, слава аллаху, до такого еще очень далеко, да и образование односторонним никак не назовешь.
anonymous (*) (2003-02-25 18:36:40.755)"

К сожалению Российской образование "образованием" вообще врядли назовешь. Поэтому и не котируются российские дипломы нигде.
На западе таких явлений как списывание на экзаменах или взятки преподам нет вообще, а для России норма, я уже на говорю что в России диплом можно вообще купить и не учиться ни дня. Поэтому западный диплом это ганартия того что студент ВЫУЧИЛ ВСЕ предметы прежде чем получил диплом, а Российский просто бумажка.
Простите но Российское образование это просто фикция.

anonymous
()
Ответ на: комментарий от anonymous


> Ннннда это у вас горе-анонимоусов с интелегентностью тяжело.

Опа. В таком случае бегом за орфографическим словарем,
господин интеЛЕгент. Уж если выступаешь с такими выпадами,
то хоть не делай по две ошибки в одном слове ;))

Ну а во-вторых прочти объявление о конференции на странице
http://cr.yp.to/conferences.html, с которой идет ссылка на
обсцуждаемую статью:

2000.06.23-2000.06.28*+: Session on Algebraic Algorithms and Complexity, 6th IMACS Conference on Applications of Computer Algebra (ACA). Shuvalov Palace, St. Petersburg, Russia. Travel funded by NSF DMS-9970409. I have a journal describing this trip.

DJB человечек очень прямолинейный, и поверь мне на слово, шуток и иносказаний он не понимает в принципе. Если он
написал "I have a journal describing this trip", то он имел
в виду именно journal, а не байку, не шутку и не розыгрыш.

> Вы что ожидали что такой человек начнет пускать слюни от каких-то разваливающихся зданий

Нет, мы посчитали, что назвавшийся интеллигентом не должен
делать по две ошибки в слове, а назвавшийся "цивилизованным"
человеком в чужой стране мог бы немного поинтересоваться
ее культурой и достопримечательностями, а не только жратвой
и кокой.

anonymous
()
Ответ на: комментарий от anonymous


> Бля ну и найди его в дистрибутивах.

Очнулись, батенька. Про Gentoo слышал когда-нить?
И практически во всех *bsd он есть в портах.

anonymous
()
Ответ на: комментарий от anonymous


> Поэтому западный диплом это ганартия

Никто не спорит. Образование у нас хреновое. Преподы - отбросы
общества с ниценской зарплатой. Но у нас просто много умных
людей, которые сами до всего доходят своей головой. А там упор
делается на качественное вдалюливание готовых знаний. Но как
быть с духовным человесеским браком? Ходят этакие папуасы с
профессорским званием, жалуются на теплую коку в Питере и описывают Невский как широкую улицу с выбоинами ;)

anonymous
()

2anonymous (*) (2003-02-25 19:00:02.836)
>Ну а во-вторых прочти объявление о конференции на странице
>http://cr.yp.to/conferences.html, с которой идет ссылка на
>обсцуждаемую статью:
>
>DJB человечек очень прямолинейный, и поверь мне на слово, шуток и >иносказаний он не понимает в принципе. Если он
>написал "I have a journal describing this trip", то он имел
>в виду именно journal, а не байку, не шутку и не розыгрыш.

Вот я совсем не согласен. Это именно юмористический очерк, в классическом стиле английского юмора. Это видно сразу, тут не надо быть литератором. Тем более что journal у него нашелся только про Россию, а по конференциям как видите он наездился.

>Нет, мы посчитали, что назвавшийся интеллигентом не должен
>делать по две ошибки в слове, а назвавшийся "цивилизованным"
>человеком в чужой стране мог бы немного поинтересоваться
>ее культурой и достопримечательностями, а не только жратвой
>и кокой.

Он поинтересовался тем, что ему показали, а показали ему третьесортную гостиницу, обвалившиеся здания и полный бардак с пьянками и банкетами вместо научной конференции.

anonymous
()

2anonymous (*) (2003-02-25 19:13:47.664)
>А там упор
>делается на качественное вдалюливание готовых знаний. Но как
>быть с духовным человесеским браком? Ходят этакие папуасы с
>профессорским званием, жалуются на теплую коку в Питере и описывают >Невский как широкую улицу с выбоинами ;)

Знаете, умных людей везде много. А доходить своим умом до давно открытых истин никчему, их просто нужно учить, а доходить до того что еще не открыто.

А про культуру и человеческий фактор рассказывать не нужно. А кто больше папуас это вопрос спорный. Вообще я лучше расскажу сюжет одной сценки из городка:
Приезжает иностранец в Россию, заходит в туалет в гостинице, а там книга и табличка рядом "Помни". Он говорит своему гиду, тряся книгой: "Какая культурная страна. Помни!" Гид берет книгу: "Вот же дубина иностранная, не помни, а помнИ!"

Помойму эта сценка очень ярко описывают "культуру".

anonymous
()
Ответ на: комментарий от anonymous


> Это именно юмористический очерк, в классическом стиле

Ага, осталось только найти его имя на афишах.

> английского юмора.

Он америкос еврейского происхождения. Очень сомневаюсь, что
он поклонник ангийского юмора и юмора вообще. Боюсь, что даже
английский юмор - слишком для него сложно.

> Тем более что journal у него нашелся только про Россию

Так это и есть противоречие. Найди хотя бы еще один рассказ
такого же плана с таким же юмором.

> Он поинтересовался тем, что ему показали, а показали ему третьесортную гостиницу

Нет, перечитай еще раз. Их централизованно возили на
экскурсию, о чем он сильно сокрушался, как о потерянном
времени.

anonymous
()


> о чем он сильно сокрушался, как о потерянном времени.

зато точно, до мельчайших деталей рассмотрел тип и качество
туалетной бумаги в двух номерах гостинницы, да и рассказывал он
о них даже чуть больше и гораздо охотнее, чем о всей экскурсии
по дворцу ;)

anonymous
()
Ответ на: комментарий от anonymous

> Знаете, умных людей везде много.

Позволю себе заметить, что у нас их больше несмотря на менее
качественное образование. Не помню источник, но где-то
приводились данные о среднем показателе IQ студентов и
школьников в разных странах. Да и про образование нельзя
сказать однозначно. Например, наша математическая школа
считается одной из лучших в мире. Конструкторы там разные тоже
впереди планеты всей. А программистов готовят из рук вон плохо.
И много всяких других тоже.

anonymous
()
Ответ на: комментарий от anonymous

"Особенно если не пытаться ее увидеть. Человек шел по Невскому иединственное, что он заметил - ширину улицы и плохо заасфальтированную пешеходную часть. Это ж каким децелом надо быть! Нет слов. Эти люди однозначно зазобмированы. Бернштейн судя по его возрасту застал еще кусочек холодной войны и пропаганда промыла ему мозги основательно."

Вот кому кому промыло -- так это тебе. Представь себе: есть люди, которые не в восторге от таких памятников архитектуры. Да и вообще, в Европе есть места куда постарше и покрасивее, чем Питер, и там не воняет из подворотен и парадных. Очевидно, что есть еще люди, которым нравится ходить по грязному и покореженному/разрытому тротуару, вдоль улицы с бешенным автомобильным движением... Вот это меня искренне удивляет!

"Он еще только собирался ехать, но уже имел данные, что в Питере все такси контроллируются преступными бандами."

Прилетал когда-нибудь в Пулково{1,2}? За сколько удалось уехать на такси? А если в первый раз в городе? А если иностранец? Моего друга пытались кинуть на деньги прямо в машине. Думаю не ошибусь, если предположу что-нибудь аналогичное в Москве. И совершенно не удивлюсь, если перед поездкой иностранцев предостерегают об этом знакомые.

"Спору нет, как личность этот дегенерат и духовный урод кроме брезгливости ничего не вызывает, но надо признать, что как программер и специалист по безопасности он представляет довольно большой интерес."

Ты больше Задорнова по телевизору слушай! Патриотизм -- это не плохо и даже полезно, но в твоем случае -- это пшик в лужу.

anonymous
()

Блин, что он должен был написать?
В Питере давно были ?
Рекомендую например соверешить пешую пробежку от Сенной до Исакиевской.
Если кто добежит (или хотя бы дойдет) не навернувшиь можно попытаться вернуться. невский практически заклен рекламой. Дворцы может и ремонтируют, но до них еще надо дойти, что бы тебя не облили, не толкнули не пришибли сосулькой (три случа за неделю) что бы ты не подскользнулся не налетел на "ищущих закрить" .... продолжать можно долго.
Короче если отойти буквально на два шага от парадных объектов Питер разваливаеться.
:( :(
И я с ужасом думаю что тут будет на 300-летие если сейчас пару раз в месяц перекрывают движение из-за очередной шишки с мигалкой.
Что до гостиниц то качество их весьма низкое - за такие то деньги.
И вообще челевек приехал не красоты обозревать а на конференцию - те проблем с жильем, обслуживанием и прочим быть недолжно....

anonymous
()

Пардон, дыра НЕ ТОЛЬКО В OPENSSL!
В виндах та же самая дыра, просто команда OpenSSL встрепенулась
первая и тут же выпустила патч, а остальные пока что тормозят.
Так что прежде чем что-то хаять, сначала нужно прочитать несколько
источников.

jackill ★★★★★
()

>К сожалению Российской образование "образованием" вообще >врядли назовешь. Поэтому и не котируются российские дипломы нигде.
>На западе таких явлений как списывание на экзаменах или взятки
>преподам нет вообще, а для России норма, я уже на говорю что в
>России диплом можно вообще купить и не учиться ни дня. Поэтому
>западный диплом это ганартия того что студент ВЫУЧИЛ ВСЕ
>предметы прежде чем получил диплом, а Российский просто бумажка.
>Простите но Российское образование это просто фикция.

Есть страны, где не котируются никакие дипломы, кроме местных ;)
Своеобразная система защиты рынка труда. Есть, конечно, система
признания дипломов других стран - но очень и очень муторная.

Сомневаюсь, что западная система высшего образования намного выше.
Поскольку в последние годы работаю вместе с выпусниками этих самых университетов,
некоторые из них с докторскими степенями.
А если бы вам довелось посмотреть исходники среднего программиста,
обучавшегося когда-то в Америке, с функциями длинной в тысячу строк
и состоящих только из if-else ...
До сих пор тошнит ...

anonymous
()


> Представь себе: есть люди, которые не в восторге от таких памятников архитектуры.

От каких таких? Он даже не пытался на них смотреть. Неужели
не очевидно из его опуса, что для образованного папуаса
главная забота была 1) вкусно пожрать (тема жратвы
упоминается несколько раз!) 2) Выдуть бутылку холодной колы
(напичканной сахаром и разной химией) 3) комфортно опочивать
в мягкой постели. Кто-то может опровергнуть первичность этих
трех сил, движущих папуасом по кличке "проф. Бернштейн"?

> Прилетал когда-нибудь в Пулково{1,2}? За сколько удалось уехать на такси?

А теперь спустимся на грешную Землю. На такси ему ехать не
пришлось. Туда и обратно его встречали/провожали на машине,
заказанной организаторами. Ну и отсюда возникает вполне
естественный вопрос: зачем упоминать этот момент, если в
реальности ничего такого не было? Каков смысл вставки этой
фразы про банды мошенников на такси? Какую цель преследовал
проф. Бернштейн пересказывая чужую сплетню?


anonymous
()
Ответ на: комментарий от anonymous


> И я с ужасом думаю что тут будет на 300-летие

А нехрен выбирать мэров, которые все разворовали и продали.
И сами должны тоже что-то делать.Если живешь в городе, увидел
ямку - лопату в руки и засыпал.И нефиг плакаться.
Кто виноват, что город в таком состоянии? Столица бывшая, мля.

anonymous
()

"Позволю себе заметить, что у нас их больше несмотря на менее
качественное образование. Не помню источник, но где-то
приводились данные о среднем показателе IQ студентов и
школьников в разных странах."

Ерунда это а не данные. Надо самому смотреть. К тому же IQ, позволю себе заметить, меряет _способности_ а не уровень знаний, это специальный такой тест, который старается как раз ни принимать во внимание уровень знаний. Я тоже читал что например у чукотских детей например очень высокий уровень IQ.

"Да и про образование нельзя
сказать однозначно. Например, наша математическая школа
считается одной из лучших в мире. Конструкторы там разные тоже
впереди планеты всей."

"Нашей математической школы" уже давно нет. И конструкторов тоже.
Уже лет 15 как все это развалилось. И развалилось не потому что мало наслаждались облупленными развалюшками, а потому что не было бумаги туалетной в продаже и колбасы.

"А программистов готовят из рук вон плохо. И много всяких других тоже."
А компьютерные науки всегда были позади америки. Даже в советские времена когда все научное было модно иметь свое, рограммирование все шло с запада.

anonymous
()
Ответ на: комментарий от anonymous


> Уже лет 15 как все это развалилось. И развалилось не потому что мало наслаждались облупленными развалюшками, а потому что не было бумаги туалетной в продаже и колбасы.

Хм. Ну сейчас-то этого всего в достатке, да и люди, те что
были 15 лет назад еще не совсем состарились... Да вот и
конференции математические в Питере проводят, и папуасы
чикагские на них приезжают опыту учиться ;) Значит не все так
плохо...

anonymous
()
Ответ на: комментарий от anonymous

"А нехрен выбирать мэров, которые все разворовали и продали. И сами должны тоже что-то делать.Если живешь в городе, увидел ямку - лопату в руки и засыпал.И нефиг плакаться. Кто виноват, что город в таком состоянии? Столица бывшая, мля."

Да вы, батенька, анархист! Лопату в руки и марш закапывать все ямки :)

anonymous
()
Ответ на: комментарий от anonymous


> Да вы, батенька, анархист! Лопату в руки и марш закапывать все ямки :)

Честное слово, в своем городе я их закапываю. В Питере бываю
только в коммандировках.

anonymous
()

"Неужели не очевидно из его опуса, что для образованного папуаса главная забота была 1) вкусно пожрать (тема жратвы упоминается несколько раз!) 2) Выдуть бутылку холодной колы (напичканной сахаром и разной химией) 3) комфортно опочивать в мягкой постели. Кто-то может опровергнуть первичность этих трех сил, движущих папуасом по кличке "проф. Бернштейн"?"

Главной заботой, пожалуй, была конференция :) А по поводу всего остального... Вам нравится невкусно есть? Пить теплую колу? Некомфортно примостится на кровати? Обнаружить отсутствие горячей воды? Опаздывать не по своей вине?

"А теперь спустимся на грешную Землю. На такси ему ехать не пришлось. Туда и обратно его встречали/провожали на машине, заказанной организаторами. Ну и отсюда возникает вполне естественный вопрос: зачем упоминать этот момент, если в реальности ничего такого не было? Каков смысл вставки этой фразы про банды мошенников на такси? Какую цель преследовал проф. Бернштейн пересказывая чужую сплетню?"

Это придирки. У человека складывается цельная эмоциональная картина, которую он и описывает. А вы предлагаете разложить все по полочкам. Человек практического склада ума, честно признался что ему что-то вобщем-то побоку, а что-то его настораживало, огорчало, раздражало и (неприятно) удивляло во время поездки. При этом он никого не старался оскорбить, и уж тем более лично, как это делаете вы.

Что вы в самом деле пристали к Бернштейну? Вы посмотрите на жителей Петербурга (в метро спуститесь, чтоли, а еще лучше -- поживите в коммуналке). Много в них духовного, культурного? Как они относятся к городу, в котором живут? "Культурная столица" -- это миф, стереотип обывателей.

anonymous
()

Добавлю, и я свои три копейки о qmail

Увы данная программа не обладает достаточной безопасностью, т.к. большая часть функциональности добавлена 3-d party, а на них ни какая гарантия не расспостраняется. Ну а если вспомнить, что pop3 сервер без SSL, и придется использовать тот же openssl, то становиться совсем весело.

Ежи

anonymous
()

"Хм. Ну сейчас-то этого всего в достатке, да и люди, те что были 15 лет назад еще не совсем состарились... Да вот и конференции математические в Питере проводят, и папуасы чикагские на них приезжают опыту учиться ;) Значит не все так плохо..."

Коференции не переставали проводиться. Только молодых на них почти нет. Скоро Российские ученые и преподаватели вымрут как поколение (остается надеятся, что не успеют, но тенденции...). Молодые хотят денег. Молодые ученые нынче тоже хотят приличной жизни, поэтому уезжают туда, где готовы платить за науку. Все это еще в большей степени относится к развитию высокотехнологичных производств. ВПК предприятия почти мертвы, там одни старики и старухи. Денег нет (воруют), гос. программ нет (нет чиновников профессионалов с достойной зарплатой). Остается только заимствовать, либо удавится тем, что раньше сумели произвести на свет (с гордым кукишем). Россия пока в стадии принятия этонго решения. Особенно порожает рвение в сторону второго варианта.

anonymous
()

Братья анонимы, защищающие и наоборот, обсирающие Питер!

Что вы прие..лись к djb?

Кто из нас (братьев анонимов) сделал в-одиночку полноценный MTA, а заоодно DNS сервер и ещё несколько "мелочей"? И если таковой найдётся,
я скажу ему: "Брат аноним, обсирай, или наоборот, защищай Питер. Ты имеешь на это право!".

Но мне всё-равно нас.ать на мнение "брата".

Это МОЙ город.

anonymous
()
Ответ на: комментарий от anonymous


> Вам нравится невкусно есть?

Нет, но вопрос не в тему. Кормили чикагского профессора как раз таки отменно, в чем он сам признался. Давайте подумаем:

Человек приехал на конференцию.
Пишет заметки якобы о конференции. Ведь это его основная цель, n'est ce pas?

Но вот казус. Вы нашли в тексте хотя бы короткий отзыв о
конкретном докладе или докладчике? Ноль. Что? Конференция
была совсем неинтересна для профессора Бернштейна? Да вроде
нет, ничего такого он не пишет. Но где же собственно дневник
самой конференции? Ведь прочесть его было бы интересно и
другим, тем кто не был на конференции... А вместо этого мы имеем...

сранительные характеристики туалетной бумаги из номера за $30
и из номера за $40. Точный распорядок походов в рестораны и
и три-четыре рецензии относительно качества фуда. Признание
в том, что "у них секса тоже нет" и т.п. ;)

Все в порядке? Ничего странного?

> У человека складывается цельная эмоциональная картина, которую он и описывает.

... еще до того, как он эту картину увидел (вернее не увидел)

> Вы посмотрите на жителей Петербурга

А что, в в его родном Чикаго нет таких жителей? Он никогда не
видел бомжей, спящих в картонных коробках и ковыряющихся
в баках с отходами?

anonymous
()
Ответ на: комментарий от anonymous


> Это МОЙ город.

Дело не в твоем городе и даже не в МТА. И обсуждают тут не
программера, а просто гуманоида в чистом виде - без должности,
звания, без одежды и американского паспорта. Судят по поступкам.

anonymous
()

Дело не в конкретном гуманоиде, просто _они_ слишком отличаются от нас, разная история, возьми хотя бы отношение к войне.
Но мы уже меняемся, скоро у нас будет больше точек соприкосновения...

anonymous
()

Вот пример более относящийся к нашей отрасли - рекламная компания микросовт "настучи на своего босса", напомню, что предлагалось сообщить микросовт о нелицензионном использовании их программ, за вознаграждение.

Получается, что у них стукачество это нормальная практика, в школе, в фирме и т.д. похоже что и российское подразделение микросовт окультурилось.

А вы говорите отличия, блин.

anonymous
()
Ответ на: комментарий от anonymous

>>Увы данная программа не обладает достаточной безопасностью, т.к. >>большая часть функциональности добавлена 3-d party, а на них ни >>какая гарантия не расспостраняется. Ну а если вспомнить, что pop3 >>сервер без SSL, и придется использовать тот же openssl, то >>становиться совсем весело. 

>>Ежи 

Я именно про это и говорил вышею Секьюрность исходников - хорошо,
но что от нее толку, если баг в ОС или _не гарантируется_
правильность компиляции (основа основ). Поэтому я и называю qmail
etc концепт-программами. может я и ошибаюсь, но DJB на этом аспекте 
проблемы внимание не акцентирует. Но зато называет человека критикуюшего qmail - идиотом, а авторов BIND - пьяными студентами.

anonymous
()
Ответ на: комментарий от anonymous

>"А программистов готовят из рук вон плохо. И много всяких других >тоже." >>А компьютерные науки всегда были позади америки. Даже в советские >>времена когда все научное было модно иметь свое, рограммирование >>все шло с запада.

А вот про это не надо. Узнай на досуге кто сделал STL,GOOGLE,PRO-ENGINEER.

>> "Нашей математической школы" уже давно нет. >> И конструкторов тоже. Существование бывшей "Нашей математической школы" и бывших "наших конструкторов" признаешь ? А в космос америкосы первые полетели ?

anonymous
()
Ответ на: комментарий от anonymous


> что от нее толку, если баг в ОС или _не гарантируется_
правильность компиляции (основа основ)

С другой стороны, что толку от надежной ОС и правильного
компилятора, если сама программа полна секьюрити багов.
Поставь ее хоть на самую супер-пупер ОС, она все равно
облажается. Может лучше иметь хоть один надежный элемент
системы, чем вообще ни одного?

anonymous
()
Ответ на: комментарий от anonymous

>> что от нее толку, если баг в ОС или _не гарантируется_
>> правильность компиляции (основа основ)

>С другой стороны, что толку от надежной ОС и правильного 
>компилятора, если сама программа полна секьюрити багов. 
>Поставь ее хоть на самую супер-пупер ОС, она все равно 
>облажается. Может лучше иметь хоть один надежный элемент 
>системы, чем вообще ни одного?

Лучше. Но начинать надо с компилятора, застем с ОС.
Только потом приложение. 

anonymous
()

Примеры проблем в glibc stdio? Где конкретно? printf/scanf? Так про них так и говорится - unsecure. И даже не смотря на это, они прекрасно и безопасно используются - только ПАРАМЕТРЫ НАДО ПРОВЕРЯТЬ! И всего-то...

no-dashi ★★★★★
()
Ответ на: комментарий от anonymous


2Ежи

1> Увы данная программа не обладает достаточной безопасностью,

2>т.к. большая часть функциональности добавлена 3-d party, а на них ни какая гарантия не расспостраняется.

п.2 не является доказательством п.1. У вас хромает логика.

> Ну а если вспомнить, что pop3 сервер без SSL, и придется использовать тот же openssl, то становиться совсем весело.

Во-первых необзяательно openssl, во-вторых в самом худшем
случае пострадала бы privacy, а не security. Админ, следующий
идеологии, на которой построены DJB-программы организовал бы
киптотуннель, работающий под отдельным юзером в jail(chroot).

anonymous
()
Ответ на: комментарий от anonymous


> Лучше. Но начинать надо с компилятора, застем с ОС.
Только потом приложение.

И каковы обоснования такого выбора? Мои таковы: в ОС баги,
связанные с безопасностью находят раз в 1-3 года. А в
программах типа bind и sendmail случалось, что каждый месяц.
А теперь посмотрим на qmail. Ни одного секьюрити бага с 1997-го года...

anonymous
()
Ответ на: комментарий от no-dashi


> Примеры проблем в glibc stdio? Где конкретно? printf/scanf?

Ты что, сам с собой разговариваешь? ;)

anonymous
()
Ответ на: комментарий от no-dashi

>Примеры проблем в glibc stdio? Где конкретно? printf/scanf? Так про
>них так и говорится - unsecure. И даже не смотря на это, они
>прекрасно и безопасно используются - только ПАРАМЕТРЫ НАДО
>ПРОВЕРЯТЬ! И всего-то...

А я больше скажу. Одним из плюсов использования библиотечных ф-й
считалось то ,что этот кода использовался ранее (т.е. с
большой долей вероятности был проверен). 
Зачем изобретать велосипед ?
Если уж стандартная библиотека так плоха пусть DJB
сделал бы патч(и) - было больше пользы. Но это не его путь т.к.
ему важнее выпячивание собственного я, что и видно (по крайней мере
мне)по его уже известному отчету.

anonymous
()
Ответ на: комментарий от anonymous

>>2Ежи
>> 1> Увы данная программа не обладает достаточной безопасностью,
>> 2>т.к. большая часть функциональности добавлена 3-d party, а на них
>> ни какая гарантия не расспостраняется.

> п.2 не является доказательством п.1. У вас хромает логика.

Нет. Тут все верно. Подумай сам:

1) Есть секьюрная программа
2) Кто-то ее дорабатывает одним из  способов
   (включая модификацию самой программы)

Таким образом, после модификации мы имеем дело с _другой_
программой. Можем ли мы считать ее после этого секьюрной априорно, т.е. без анализа действий по ее модификации.

>Во-первых необзяательно openssl, во-вторых в самом худшем
>случае пострадала бы privacy, а не security.

Не факт.

> Админ, следующий
> идеологии, на которой построены DJB-программы организовал бы 
> киптотуннель, работающий под отдельным юзером в jail(chroot).

А эквивалентно ли это авторизации по SSL ?

anonymous
()
Ответ на: комментарий от anonymous

>> Лучше. Но начинать надо с компилятора, застем с ОС.
>> Только потом приложение.
 

>И каковы обоснования такого выбора? Мои таковы: в ОС баги, 
>связанные с безопасностью находят раз в 1-3 года.

Основания следующие:

1) С точки зрения реализации компилятор (при его использовании)
   первичен. Т.к. именно он осуществляет переход к конечной
   форме реализации (исполняемому файлу), чем в немалой
   определяет ее/его свойства (в т.ч. секьюрность)

2) Грамотная модель безопасности ОС может снизить
   требования к безопасности софта во многих случаях.

> А в
>программах типа bind и sendmail случалось, что каждый месяц.
>А теперь посмотрим на qmail. Ни одного секьюрити бага с 1997-го 
>года...

Однако в случае qmail'а речь идет о базовой системе. Правильно ?
Много ли людей используют qmail в виде "то , что доктор прописал"
т.е. без патчей ? Ведется ли статистика багов qmail'a с этими
патчами ? Скорее нет, чем да. Да и сами авторы патчей 
_ничего_ не гарантируют.

С другой стороны:
Так уж ли важно чем будет вызван взлом ситемы ?
Багом в идее или же Багом в реализации ?
IMHO  безопасность комплексное понятие.

anonymous
()
Ответ на: комментарий от anonymous

>К сожалению Российской образование "образованием" вообще врядли
>назовешь. Поэтому и не котируются российские дипломы нигде.

Ага. МГУ, МФТИ там разные...

> На западе таких явлений как списывание на экзаменах или взятки 
> преподам нет вообще, а для России норма, я уже на говорю что в
> России диплом можно вообще купить и не учиться ни дня.

А если быть негром в Америке и уметь сдорово играть в байскетбол etc
то при попадании в ВУЗ надо буде очень сильно парится ?
В Америке диплом купить нельзя ? Золотых оболтусов там нет ?

> Поэтому 
> западный диплом это ганартия того что студент ВЫУЧИЛ ВСЕ предметы
> прежде чем получил диплом, а Российский просто бумажка.

Любой диплом - бумажка. В самом лучшем случае он может гарантировать
демонстрацию предъявителем неких знаний какое-то время назад. 
 


>

anonymous
()
Ответ на: комментарий от anonymous


> этот кода использовался ранее (т.е. с большой долей вероятности был проверен).

1) кто проверял 2) с _какой_ долей вероятности
Ну вот, скажем, годами используется кривое stdio практически
во всех реализациях libc. Миллион глаз его проверяли... а
точнее, верили, что проверил кто-то другой, и что миллион мух
никак не могут ошибаться ;) Пришел парниша со свежим
незамыленным взглядом, и увидел, что дело - труба.
Косметическими правками не отделаешься. Взял и написал свою
замену stdio и стал использовать в своих программах.
Что он сделал неправильно?

> Если уж стандартная библиотека так плоха пусть DJB
сделал бы патч

1) Смотри выше. Патч не мог заделать фундаментальную ошибку
дизайна. 2) Ситем, использующих разные варианты libc очень много. Сколько патчей он должен был написать? Не все они
открытые - solaris и т.п. 2) Сено к лошади не ходит.
Он отдал свою библиотечку в public domain. То есть используй
кто хочет под любой лицензией.

anonymous
()
Ответ на: комментарий от anonymous


> 1) Есть секьюрная программа
> 2) Кто-то ее дорабатывает одним из способов
(включая модификацию самой программы)
> Таким образом, после модификации мы имеем дело с _другой_

_другая_ == _несекьюрная_
Это и есть ошибка в данном рассуждении. Данный постулат не
доказан и выдается за аксиому. Неубедительно. В теории это
возможно с вероятностью гораздо меньше, чем 50%, т.к. люди,
делающие добавления к его программам довольно строго следуют
его идеологии построения безопасных программ. В большинстве
случаев используются готовые куски кода из его собственных
программ, а новые функции пишутся очень близко к его стилю и
духу.

> А эквивалентно ли это авторизации по SSL ?

А что такое "авторизация по SSL"? ;) Я знаю просто
авторизацию и транспорт SSL. А ты?


anonymous
()
Ответ на: комментарий от anonymous

> 1) Есть секьюрная программа 
> 2) Кто-то ее дорабатывает одним из способов 
> (включая модификацию самой программы) 
> Таким образом, после модификации мы имеем дело с _другой_ 

>> _другая_ == _несекьюрная_ 
>> Это и есть ошибка в данном рассуждении. Данный постулат не 
>> доказан и выдается за аксиому. Неубедительно.

Строго говоря:
(_другая_ == _несекьюрная_ )||
(_другая_ != _несекьюрная_ )

Третьего нет.
Для одного из двух надо проанализировать проведенные изменения,
о чем я и говорил ранее:
"Можем ли мы считать ее после этого секьюрной априорно, т.е. без анализа действий по ее модификации."

Я не говорил об обязательной  несекьюрности любых изменений вообще.
Я лишь допустил эту возможность.

anonymous
()
Ответ на: комментарий от anonymous

> Если уж стандартная библиотека так плоха пусть DJB
> сделал бы патч 

>> 1) Смотри выше. Патч не мог заделать фундаментальную ошибку
>>    дизайна.
       Это не хорошо, но с этим приходится считаться

>>   2) Ситем, использующих разные варианты libc очень много.
>>      Сколько патчей он должен был написать?
        Не все они открытые - solaris и т.п.
[skip]
>>     Он отдал свою библиотечку в public domain. То есть используй 
>>     кто хочет под любой лицензией. 

В этом случае - имеет смысл так поступать


anonymous
()
Ответ на: комментарий от anonymous

> А эквивалентно ли это авторизации по SSL ? 

>> А что такое "авторизация по SSL"? ;) Я знаю просто 
>> авторизацию и транспорт SSL. А ты? 

Мммм.. Это когда имя пользователя берется из сертификата.
Или так невозможно ?


anonymous
()
Ответ на: комментарий от anonymous


> Я лишь допустил эту возможность.

Возможность есть, но на порядок менее вероятная, чем у любых
других программ, не основанных на коде DJB. Так что в любом
случае их использование более предпочтительно.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.