Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1213-2225.
Autorům OpenSSL tuto chybu přeji. Konečně se jim vymstilo prasácké psaní kódu a chybně navržený model alokace paměti. Ten kdo používá goto, neumí správně závorkovat podmínky, používá nesmyslná makra a chybně odsazuje si nic jiného nezaslouží.
A prejes to taky vsem ostatnim? Fakt, ze pres ten prasacky kod je OpenSSL nejpouzivanejsi SSL knihovna o necem vypovida: delat kryptograficke knihovny neni sranda.
Celkem ano. Pokud nasadíš nějaký Open Source kód a pořádně si jej neprověříš tak to je na tvoje triko. Ne nadarmo se říká důvěřuj ale prověřuj.
A pokud nasadím nějaký uzavřený kód, nemám ani možnost si ho prověřit :-)
Ale ta knihovna je otevřená. Můžete pánům doktorům helfnout s pěkným, čistým a bezpečným kódem a kryptografickými algoritmy. Jistě to je pro vás hračka podle toho co píšete. Napište to čisté, rychlé a budete king.
Vymyslet dobrý algoritmus a pak jej čistě a srozumitelně do kódu jsou dvě rozdílené věci. V OpenSSL knihovně jsou některé algoritmy velice dobře vymyslené. Bohužel autoři nemají příliš zkušeností s psaním bezpečného kódu. Přitom by stačilo celkem málo, alespoň dodržovat základní MISRA pravidla. Jinak nepřehledně napsaný kód snad pozná i laik.
"prasacky"a neprehledne napsany kod muze byt umysl...
vzpominam, jak jsem kdysi napsal "prasacky" proceduru do SQL serveru..., druhy den jsem mel sakra problem zjistit, co tim chtel basnik rici / hejno vnorenych selectu, case podminek atd., atd./..., ale chodila na 100%...
nakonec jsem ji napsal pro "blbe", jak je casto vyzadovano pro pripad nove prichoziho "udrzovatele" behu aplikace...
BTW: mistama jsem se v psani nakych "machine" kodu primo vyzival / assembler na IBM360-370, primy tridak dat v pameti "on place", puleni intervalu /, melo to opravdu sve kouzlo....
dnes vetsina neprogramuje, ale nak to sklada diky ruznym RAD vyvojovym platformach, cimz je "nucen" vyuzivat built-in nastroje daneho OS
Chyba v Open Source software? Jak se to mohlo stat? :-)
Vzdyt je prece k dispozici zdrojovy kod, a kazdy si tak muze overit co software dela, ne? Nebo to prohlizeni kodu ve skutecnosti provadi pouze NSA? Zda se ze nejvetsi vyhoda svobodneho software, kterou se linuxaci ohani pri kazde hadce se zastanci woken nejak nepomohla....
problém není v Open Source ale v tom OpenSSL psali zřejmě opice místo lidí, protože ani sebelepší programátor se v tom kódu nevyzná
Ze by tohle byl duvod proc Dr Stephen N Henson nema na http://www.drh-consultancy.demon.co.uk/ fotku? :-)
Chci vopici co se vyzná v kryptografii! :-D
starší, ale pořád pravdivé: https://www.peereboom.us/assl/assl/html/openssl.html
"Zda se ze nejvetsi vyhoda svobodneho software ... nejak nepomohla"
Není pravda. Chyb, které mají cosi do činění s bezpečností a šifrováním je poslední dobou (shodou náhod nebo úmyslně), vícero (na můj vkus až moc). Nevyhnuly se ani Apple ani MS. Nevyhýbají se nikomu.
Ale jen u opensource projektu máte, stejně jako kdokoliv jiný, možnost si chybu prohlédnout, poznat všechny její konsekvence a učinit opatření do budoucna. Z tohoto mají prospěch jak správci sítí a serverů (vědí proti čemu se mají také bránit) i programátoři (třeba někdo má podobný kód a díky zveřejnění této chyby si svůj kód může opravit nebo se zamyslet, jak to dělat lépe).
Když se mi nedávno updatovala šifrovací knihovna v iPadu, tak jsem se jaksi nedozvědel skoro nic. Z takové chyby se nikdo nepoučí. Totéž i 9 let neopravená chyba ve Windows.
Takže ona "největší výhoda svobodného software" zafungovala na jedničku s hvězdičkou.
Hmm, vzhledem k tomu, ze je to uz par dni stara zalezitost, tak fakt teda novinka jak stehno :-((
Je to kompilace starších, novějších i nejnovějších informací. O tom security update je už od začátku - informuje s odstupem času a shrnuje více témat do jednoho článku.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.