Portál AbcLinuxu, 30. května 2025 07:32
Vývojáři OpenBSD nedávno forkli OpenSSL za účelem pročištění, odlehčení a opravy chyb. Nyní má tento projekt jméno a oficiální stránku. Po dokončení "čistky" je plánována i podpora jiných operačních systémů (kromě OpenBSD).
Tiskni
Sdílej:
22.4.2014 16:24
Prcek | skóre: 43
| Jindřichův Hradec / Brno
.
22.4.2014 16:21
Hans1024 | skóre: 5
| blog: hansovo
22.4.2014 16:48
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Jak myslíš, ale podívej se do nich, aby tam byl wrapper na wrapper pro wrapper na alokaci paměti přeš několik #define a navíc se pravděpodobně ani nevyužívají (dedukuji podle některých komentářů), tak to zrovna přehlednosti nepřidá. Nemluvě o tom co jsem hledal dál a sekl jsem s tím…
Úmysly byly možná správné a odůvodněné, ale fčil by to chtělo vyčistit - čím méně kódu, tím lépe.
22.4.2014 19:00
Hans1024 | skóre: 5
| blog: hansovo
Osobne davam prednost tomu, ze definice jsou na jednom miste, takze clovek pak hned vi, kam se jit podivat a nemusi jak trotl prolezat hromadu kodu.Pokud jsou definice na jednom místě, tak to časem vede na to, že jsou na jiném místě než kde se budou používat, což vede právě na to, že je člověk musí věčně hledat. A ukrutně to komplikuje podmínečnou kompilaci.
23.4.2014 16:36
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Pokud jsou definice na jednom místě, tak to časem vede na to, že jsou na jiném místě než kde se budou používat, což vede právě na to, že je člověk musí věčně hledat.Ještě štěstí, že existují textové editory, které definici umí zobrazit inplace.
A ukrutně to komplikuje podmínečnou kompilaci.To je pravda.
Tak mi prosim nekdo ukazte slusne velky projekt, ktery ma nadherne ciste a krasne prehledne zdrojaky, ve kterych se kazdy vyzna. Aby lidi vedeli, jak se to teda ma delatJe jich mnoho, z těch, do kterých jsem koukal já např.:
Linux kernel (C, Assembler)
No… jak která část.
Nejen v Linuxu, když na to přišlo, klidně ignoroval i RFC nebo cokoli jiného, co nezapadalo do jeho představy, jak by svět měl fungovatNějaké příklady?
tinydns doesn't use BIND-ese zone formatTo je porušení RFC? A i kdyby jo, tak +1 pro DJB, protože BIND formát je hnus. Veselá je ta poznámka v původním článku, že jde snadno převést tinydns data do BIND formátu - schválně si to zkuste obráceně (tím mám na mysli jakékoliv strojové zpracování BIND formátu, je už jedno, za jakým účelem)
Please apply IPv6 patches to djbdnsTohle je taky porušení RFC? A i kdyby bylo, djbdns IPv6 záznamy vracet umí. Ostatní možná OK, i když mi ty články přijdou jako "nemám rád djbdns, tak si najdu pár porušení RFC a k tomu napíšu hromadu věcí, aby celkový stav vyzněl ještě hůř, než jaký ve skutečnosti je"
Ale pokud opravdu chcete tvrdit, že podpora IPv6 v djbdns je dostatečnáNechci, konfigurovalo by se to blbě. Nicméně pokud by někdo chtěl tvrdit "djbdns porušuje RFC, protože neumí AAAA záznamy", kecá.
- Ale pokud opravdu chcete tvrdit, že ... pak asi další diskuse na toto téma nemá smysl, protože náš pohled na problematiku je příliš rozdílný.Ehm, fajn, asi fakt ne
- Nechci to tvrdit
- OK, nemá smysl pokračovat
Napsal jsem tohle:
klidně ignoroval i RFC nebo cokoli jiného, co nezapadalo do jeho představy, jak by svět měl fungovat
IPv6 do jeho představy světa nezapadá, tak ho ignoruje. A ne, to, že lze za cenu drbání se levou nohou za pravým uchem z djbdns AAAA záznamy vymáčknout mechanismem, který byl navržen pro nestandardní rozšíření, nic jiného než ignorování není. Možná chcete slovíčkařit a tvrdit, že to není porušení RFC, ale jeho neimplementování, ale na tom opravdu nesejde.
I příkladů přímého porušení RFC bylo v těch odkazech dost - jen vy jste si z nějakého důvodu vybral těch pár, které jimi nejsou.
A ne, to, že lze za cenu drbání se levou nohou za pravým uchem z djbdns AAAA záznamy vymáčknout mechanismem, který byl navržen pro nestandardní rozšíření, nic jiného než ignorování není.Taky neříkám, že djb AAAA záznamy neignoroval. Pouze tvrdím, že tinydns je umí vracet.
Možná chcete slovíčkařit a tvrdit, že to není porušení RFC, ale jeho neimplementování, ale na tom opravdu nesejde.Teď slovíčkaříte vy.
djb vždy ignoroval, jak se věci v unixu dělaly nebo měly dělatNe, on to neignoroval a uz vubec ne vzdy. Napada me z hlavy treba ten jeho pokus o zavedeni adresare
23.4.2014 16:47
/package, ale podivejte se po ruznych unixech a najdete tam (pro nekoho) podivne adresare na (pro nekoho) nezvyklych mistech. To ale podle me s tim zakladnim a spolecnym dedictvim unixu moc nesouvisi.
Co se tyka tech RFC, tak jeho "zmeny" pokud vim nenarusovali interoperabilitu s jinyma implementacema a byly vzdycky zduvodnene a napravovaly podstatne chyby. Ono kdyz se pisou RFC podle stavajicich implementaci, tak to tak proste nekdy dopadne, ze ty RFC stoji zcela nebo misty za prd.
Kromě toho si open source svět nepomůže ani licenčně, protože ta licenční hrůza, kvůli které se musí do GPL programů přidávat výjimka, v LibreSSL zůstane.tak naokraj, nevím, co je tady konkrétně za licenční hrůzu (nic závadného tam nevidím), nicméně v poslední době nabývám dojmu, že největší hrůza je právě GPL, tuhle jsem zjistil, že kvůli ní například v Linuxu není podpora dwg ... bezva, jen tak dál, fanatici
22.4.2014 19:40
xkucf03 | skóre: 49
| blog: xkucf03
* 3. All advertising materials mentioning features or use of this * software must display the following acknowledgment: * "This product includes software developed by the OpenSSL Project * for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
22.4.2014 21:06
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
23.4.2014 12:19
xkucf03 | skóre: 49
| blog: xkucf03
Tak znovu:
* 3. All advertising materials mentioning features or use of this * software must display the following acknowledgment: * "This product includes software developed by the OpenSSL Project * for use in the OpenSSL Toolkit. (http://www.openssl.org/)"
Např. když si někde necháš otisknout inzerát o svém skvělém softwaru, tak do něj musíš přidat tuhle větu, pokud jsi v něm OpenSSL použil. Což je velice nepraktické.
Má snad takové ustanovení licence OpenStreetMap? AFAIK ne a stačí uvést autora když šířím ta data, ale ne když mluvím to svém produktu používajícím ta data.
23.4.2014 14:44
xkucf03 | skóre: 49
| blog: xkucf03
Např. když budu propagovat svoji bezpečnou službu a říkat, že klienti se o data nemusí bát, protože šifrujeme, tak už tím naplňuji to „mentioning features“ protože bezpečnost a šifrování jsou „feature“ OpenSSL.
Druhá věc je, jestli to někdo někdy zkoušel vymáhat nebo se dovolával dodržování. Dost možná ne. Ale o to smutnější je, že takové ustanovení v té licenci smrdí.
23.4.2014 17:53
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Např. když budu propagovat svoji bezpečnou službu a říkat, že klienti se o data nemusí bát, protože šifrujeme, tak už tím naplňuji to „mentioning features“ protože bezpečnost a šifrování jsou „feature“ OpenSSL.Tam bych fláknul logo OpenSSL už jen tím abych měl čím zaplnit propagační prostor. Furt nevidím problém.
23.4.2014 18:03
xkucf03 | skóre: 49
| blog: xkucf03
Tím bys licenci nesplnil, musel bys tam dát doslovně větu:
This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/)
23.4.2014 18:39
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
23.4.2014 14:48
xkucf03 | skóre: 49
| blog: xkucf03
P.S. Ale hlavně to snad nejde srovnávat s OpenStreetMap, protože tam autora uvádím při šíření dat, ne v reklamních materiálech (ať už jakkoli definovaných), ne?
22.4.2014 19:44
xkucf03 | skóre: 49
| blog: xkucf03
v Linuxu není podpora dwg
V Linuxu? Už jsem se lekl, že chtěl někdo cpát DWG do jádra
Z těchto důvodů se právě doporučuje vydávat software pod GPLv2+ (verze 2 nebo vyšší, případně verze 3 nebo vyšší).
Z těchto důvodů se právě doporučuje vydávat software pod GPLv2+ (verze 2 nebo vyšší, případně verze 3 nebo vyšší).jo a můžeš to trošku rozvést?
23.4.2014 16:40
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Z těchto důvodů se právě doporučuje vydávat software pod GPLv2+ (verze 2 nebo vyšší, případně verze 3 nebo vyšší).To znamená dát FSF bianco šek na veškerou distribuci mého SW a pak se divit, až jim jebne v kouli a GPLv5 bude nějaká magořina.
23.4.2014 17:06
xkucf03 | skóre: 49
| blog: xkucf03
Ten „bianco šek“ ale nemůže odebrat staré licence – stále ten kód půjde šířit pod GPLv2, GPLv3 atd. Takže ta „magořina“ by mohla spočívat leda v přílišném uvolnění podmínek – např. zrušení copyleftu – a toho bych se od FSF moc nebál jinak se tě to nedotkne.
největší hrůza je právě GPL, tuhle jsem zjistil, že kvůli ní například v Linuxu není podpora dwg ... bezva, jen tak dál, fanaticiTak hrozne mi to neprijde, protoze to brani pouze distribuci binarniho balicku. Muzou vytvorit balicek v non-free, ktery po instalaci nainstaluje source balicek freecadu. Podobne je resen treba flash, pripadne nektere fonty.
22.4.2014 21:19
pushkin | skóre: 43
| blog: FluxBlog
23.4.2014 08:49
Rezza | skóre: 25
| blog: rezza
| Brno
.
23.4.2014 15:08
xkucf03 | skóre: 49
| blog: xkucf03
Podle toho, co píšou u Mozilly: FIPS Mode - an explanation by to mělo bezpečnosti trochu pomáhat (byť asi pochybným a neznatelným způsobem) a trochu omezovat staré/slabé šifry/protokoly/algoritmy (a současně s tím zakazovat i některé moderní a dobré, ale pro Američany neznámé). A hlavně jsem z toho pochopil, že je to zaměřené na americké státní zaměstnance, ne na zahraniční uživatele.
Teoreticky by to mělo chránit jejich lidi např. zákazem MD5. Nebo je výběr udělaný tak, aby to nemohli prolomit „ti oškliví Rusáci a Číňani“ a zároveň to mohla dobře lámat NSA a odposlouchávat svoje lidi?
BTW: používáte někdo Camellii nebo jedete všichni na AESu?
Podle toho, co píšou u Mozilly: FIPS Mode - an explanation by to mělo bezpečnosti trochu pomáhatTak to nepochybně, FIPS povinně vyžaduje implementaci minimálně jednoho podezřelého (že je v něm backdoor) algoritmu. Navíc implementace v OpenSSL úspěšně prošla FIPS certifikačním procesem a pak teprve se ukázalo, že je v ní chyba, která způsobí zásek/pád programu. https://lwn.net/Articles/578375/
23.4.2014 16:00
xkucf03 | skóre: 49
| blog: xkucf03
FIPS povinně vyžaduje implementaci minimálně jednoho podezřelého (že je v něm backdoor) algoritmu.
A myslíš, že je to záměr? Resp. že si věří natolik, že dokáží přesně vybalancovat to, co dokáží lámat oni sami, ale co nedokážou lámat jejich nepřátelé (ať už vnitřní nebo vnější)?
23.4.2014 16:03
Hans1024 | skóre: 5
| blog: hansovo
A myslíš, že je to záměr?Myslím, že to vyvrací tvrzení, že by to mělo pomoci bezpečnosti.
No tak… Podle stejné logiky byste mohl tvrdit, že proces review patchů do linuxového jádra (nebo jakéhokoli jiného projektu) nepomáhá snížit jeho chybovost, protože tu a tam přes něj projde pořádná bota (a doložit to jedním příkladem).
Certifikace slouží jako metoda outsourcování takového review. Pokud problematice rozumíte a máte odlišné představy, je pro vás FIPS zbytečnost. Pro (americkou) státní správu a některé velké firmy to je razítko, že určitá autorita, které oni důvěřují, prohlásila, že tato konfigurace je v pořádku. A pro toho, kdo sám problematice dostatečně nerozumí, to smysl má, protože i když nemůže mít absolutní jistotu, že ta autorita je neomylná a nemá postranní úmysly, pořád to bude lepší, než kdyby se snažil seznam povolených algoritmů a jejich kombinací určovat sám.
23.4.2014 15:51
Rezza | skóre: 25
| blog: rezza
| Brno
23.4.2014 14:50
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Mimochodem například Apache může bez problémů používat i GnuTLS, i když to není výchozí konfigurace.
23.4.2014 15:11
xkucf03 | skóre: 49
| blog: xkucf03
Třeba proto, že to někdo v minulosti udělal pro OpenSSL a už se mu to nechce měnit
Zlatá Java, kde na takové věci bývají abstraktní rozhraní a továrny… (chápu, že někoho to rozčílí, jakmile uslyší Java a Factory, ale smysl to má)
23.4.2014 15:51
Rezza | skóre: 25
| blog: rezza
| Brno
23.4.2014 16:02
xkucf03 | skóre: 49
| blog: xkucf03
Souhlasím, nešlo mi o jazyk, ale spíš o styl vývoje. Lidi si často dělají legraci z Javy, že je tam na všechno Factory, ale ono to není úplně samoúčelné.
23.4.2014 16:06
xkucf03 | skóre: 49
| blog: xkucf03
Je otázka, co považuješ za práci. Např. Apache má modul pro OpenSSL a pro GnuTLS, nějakou abstrakci si tam museli udělat nebo to psát dvakrát. Stejně tak kdokoli jiný, kdo chce mít nějaké modulární šifrování a umožnit uživatelům používat šifrovací knihovny dle jejich volby. Stejně tak jsme si mohli „ušetřit práci“ a každý program mohl volat specifické funkce pro nějaký jeden konkrétní souborový systém – místo aby pracoval s obecným rozhraním.
Např. Apache má modul pro OpenSSL a pro GnuTLS, nějakou abstrakci si tam museli udělat nebo to psát dvakrát.Ta abstrakce je tam právě pro případy, kdy je potřeba napsat více implementací nebo více connectorů na implementace s rozdílným API. Není tedy na výběr zda něco psát dvakrát nebo udělat abstrakci, ale napíše se to dvakrát se stejným API, které lze nadále používat společně. Abstrakce v tomto případě zajišťuje znovupoužitelnost, přehlednost, testovatelnost a další výhody, které prostým větvením kódu nejdou zajistit. Tudíž přes všechnu skvělost abstraktních rozhraní, nemusí to mít nutně vliv na to, zda se někomu chce psát podporu pro další krypto API.
23.4.2014 17:07
stativ | skóre: 54
| blog: SlaNé roury
HAS BUGS! DON'T USE
23.4.2014 17:54
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Ten napad EU o financni a klidne I trestni odpovednosti vyvojaru mi zacina pripadat I jako dobry napad.Pokud by to EU fakt zavedla, tak tím efektivně zahubí prakticky veškerý vývoj SW na svém území (a ten zbytek půjde cenově velmi podstatně nahoru).
Jenze to by slo sedet tak 90% lidi v komercnim IT neli vice a v RedHatu by zustal asi jen CEORed Hat by se především zcela stáhl z EU, provozovat tu vývoj by se mu nevyplatilo. Podobně se už povedlo přispět k likvidaci celých odvětví, resp. jejich přesunu do jiných zemí (byla za tím snaha snížit náklady obecně, ale do značné míry i vyhnout se nákladům na všelijaké vymoženosti EU, například zvýšení cen energií kvůli obnovitelným zdrojům či zákaz použití některých chemických látek) - ta se následně dotují a stejně to není moc platné.
Je mne jasne, ze drtiva vetsina priposranych firem by se stahla uplne jinam nez aby zacali delat veci poradne.
Ten napad EU o financni a klidne I trestni odpovednosti vyvojaru mi zacina pripadat I jako dobry napad.Pokud by to EU fakt zavedla, tak tím efektivně zahubí prakticky veškerý vývoj SW na svém území (a ten zbytek půjde cenově velmi podstatně nahoru).
A supporťáci nebudou mít co žrát… :-)
Ne, vážně, ten nápad je opravdu absurdní. Pan "x" je buď provokatér nebo si neuvědomuje, jak neuvěřitelně by to prodražilo vývoj software, na který by se to vztahovalo - a v důsledu tedy samozřejmě i ten software.
24.4.2014 16:24
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Jinak odpovědnost za SW (i trestní) je samozřejmě už teď. Pokud někdo dodává SW na objednávku, může mít ve smlouvě stanovené sankce, pokud je SW vadný. A i pokud tam nejsou, platí obecná odpovědnost za vady díla. Trestní odpovědnost by se uplatňovala v obdobných případech jako u hmotných věcí - tedy při prokázaném úmyslu nebo nedbalosti (celá řada TČ - např. § 180, § 182, § 183, § 230, § 232, § 272, § 273...). To je celkem přirozená věc.
S čím ale nemohu souhlasit, je rozšíření odpovědnosti za vady (někteří právníci tvrdí, že už platí nyní - judikatura ale chybí) i na případy, že někdo vytvoří SW a zdarma (netýká se jen FOSS, ale zde to platí nejvíc) ho poskytne k obecnému použití na vlastní riziko. Je to něco podobného, jako kdyby hudebník zdarma zahrál publiku a některý z posluchačů by si chtěl nárokovat náhradu škody za to, že hudebník hrál falešně.
Nicméně to asi nikdo soudný nezavede, a to ani u proprietárního placeného SW (nevytvářeného na zakázku), kde by to mělo větší logiku. Tam by celá slavná EU narazila už u Microsoftu, který by na to nikdy nepřistoupil a raději by se stáhl z trhu EU. A protože EK a EP jedou velmi zásadně na microsoftím SW (stejně tam mnohé státní správy, včetně té naší), byly by dopady hodně drastické.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.