Projekt The Core Infrastructure Initiative

Průšvih Heartbleed spustil v The Linux Foundation projekt nazvaný The Core Infrastructure Initiative, který by měl identifikovat a finančně podpořit klíčové projekty. Mezi zakládajícími členy projektu kromě TLF jsou např. Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel. Prvním financovaným projektem je právě OpenSSL.

Na napraveny recidivisty neverim a proto je pro me tenhle projekt neduveryhodny. Nastesti tu je alternativa, projekt LibreSSL a lidi kolem OpenBSD. Hystericke reakce nekterych lidi z komercni sfery jsou pro me signalem, ze jsou na spravne ceste. Spis by se mela poresit portace na GNU/Linux nez plytvat energii na CII.

8.5.2014 20:57 chrono
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

Čo také sa im zatiaľ podarilo? (okrem odstránenia nejakých funkcií a architektúr)

8.5.2014 22:30 x
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

Podarilo se jim uz toho velmi hodne

So far we have deleted around 90,000 lines of code from OpenSSL, and we are at a approximately a 450,000 line diff of changes from the original (out of 388,000 lines of sources to start with). We are starting to improve the internal API's used in the code base to slowly bring them up to modern standards and make the code auditable. We have found a number of bugs we have already fixed.

Bohuzel porad se najdou lide, kteri tomu nerozumi a maji dojem, ze kafrat o "nepotrebnosti' LibreSSL nejak jejich milovany Linux (nebo jiny radoby "secure" OS) uchrani pruseru. Pro takove mam spatnou spravu. Dokud budete pouste k vyvoji totalni neschopy, tak budete dostavat jen tohle a naopak si vyrobite hromadu dalsich problemu do budoucna.

Nekde uz to aspon castecne pochopili, nicmene moc k jasani to neni vzhledem k tomu jaka je to modla pro vetsinu uzivatelu nebo podobni vtipalci s cervenymi klobouky. Ale v tomhle saskovskem svete Linuxu je mozne vsechno.

Ale ti, co nejsou schopni se z historie poucit (odstavec The Lawsuit) jsou nuceni si ji zopakovat.

8.5.2014 22:52 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

Bohuzel porad se najdou lide, kteri tomu nerozumi a maji dojem, ze kafrat o "nepotrebnosti' LibreSSL nejak jejich milovany Linux (nebo jiny radoby "secure" OS) uchrani pruseru.

Pokud to správně chápu, tak LibreSSL na Linux nijak zvlášť necílí, už jen podle toho, že úmyslně vyřazují funkcionalitu, která je vyžadována komerční sférou, což, ať už si o tom myslíme cokoliv, je pro Linux v dnešní době relativně významné. Jestli chtějí mít fork jen pro sebe a aktivně se brání sdílení s většinou linuxového světa, je dost možné, že toho skutečně docílí.

P.S.: Vycházím z komentáře někoho zde na abclinuxu, myslím že to byl little.owl.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

8.5.2014 23:44 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

No jestli je pro komercni sferu ta "vyzadovana funkcionalita" (tim myslite FIPS, nebo jak se ta blbost jmenuje?) dulezitejsi nez bezpecnost, tak at si velevazena komercni sfera trhne :-)

Veni, vidi, copi

9.5.2014 09:26 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

Tak jim to běž říct, ať si trhnou, podle mě se ti maximálně tak vysmějou.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.5.2014 12:41 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

Nepudu jim nic rict, protoze jsou mi totalne u zadnice. Smat se klidne muzou a vesele si pouzivat deravou knihovnu. Nebude to muj problem, az jim vykradou citliva data.

Veni, vidi, copi

9.5.2014 13:24 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

Zatímco OpenBSD bude mít jedinou superbezpečnou knihovnu jen pro sebe. Ale jo, já jim celkem fandím, jen si připadám na tyhle pohádky trochu starý.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.5.2014 13:57 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

1. Nikdo nepsal nic o superbezpecne knihovne. Jenom si myslim, ze na tom bude LibreSSL o dost lepe nez OpenSSL.

2. OpenBSD ji nebude mit jen pro sebe, bude Linuxovy port. Zadnou pohadku nevidim.

Veni, vidi, copi

9.5.2014 01:01 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

P.S.: Vycházím z komentáře někoho zde na abclinuxu, myslím že to byl little.owl.

Ja toho nakecam, ze uz si to ani nevybavuji ;-)

A former Red Hat freeloader.

9.5.2014 06:19 x
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

V prve rade je treba uklidit bordel. To se dela nejlepe na omezenem rozsahu. Proto bude prvni OpenBSD a az pote se bude resit portable verze. Uplne stejne vznikal kazdy projekt v OpenBSD co ted pouzivaji prakticky vsichni.

Ano, mnoha "funkcionalita" muze byt pro Linux vyznamna a Linux se velmi siroce pouziva, ale tak jako kdysi neznamenalo, ze kdyz si mysli vetsina, ze Zeme je placata, tak ze to je nutne pravda a neco dobreho, tak to same plati i dnes a ne jen nutne o IT jako takovem.

Kdyz dame uplne bokem BSD vs Linux, komercni vs privatni sfera a hromadu dalsich veci a pujdeme tzv. na kost, tak proc OpenBSD je porad uz tolik let prakticky jediny OS, ktery vydava sve verze vcas, s naprostym minimem chyb, umi bezpecnostni technologie pouzivat by default s minimem dopadu na vykon nebo pouzitelnost systemu jako takoveho? Kde je ta chyba? Urcite to neni licenci BSD vs GPL nebo necim takovym. Nikdo nebrani Linuxu, Microsoftu, Apple, HP, IBM atd. dodavat SW v stejne kvalite nebo podobne. Ale nedeje se tak. To je to kde by se mela hledat odpoved na tuto chybu, ktera je systemova. Protoze kdo zna OpenBSD vyvojare a mohl s nimi pracovat, tak vi, ze to je uplne jiny level. Takovy, ktery byl bezny treba 15 a vice let zpatky nebo v dobach vzniku puvodniho Unixu. Ti lide "VEDI" jak co funguje a co je treba delat. Neni to multikulturni slatanina lidi, ktere vyvoj bud nebavi a maji to jen jako praci, ktera je nebavi, ale korporace jim za to da bohuzel slusnou vyplatu nebo kde kazdy pracuje jen na kousku kodu o vysledku vi houby a navic ho nemuze ani ovlivnit a maximalne muze doufat, ze aspon komentare pokud uz tam vubec budou nebudou v Hindi a take to nejsou lide, kteri jsou sice nadsenci protoze "free,RMS, ja nevim co", ale realne nemaji potrebne zaklady ziskane od low level veci vyse a to jak maji veci fungovat se nenaucili pomoci K.I.S.S./Unix, ale uz skocili do vlaku, ktery je tak komplexni, ze ho zadny jedinec neobsahne a lataji pak jeho jednotlive dily bez porozumeni celku coz vede k tomu co vidime nebo tady probirame.

9.5.2014 01:01 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

Soude podle kodu OpenSSH, tak bych zas tolik nejasal.

Problem je jinde - jsou to standardy jako SSL, TLS ci IPSEC a zejmena ti kdo je tvori - bohuzel velky vliv maji organizace jako NSA. Obcas to spise vypada, ze oni maji zajem to udelat extremne slozite, aby se tam vyskytla chyba - viz. treba mail od John Gilmore.

A former Red Hat freeloader.

9.5.2014 05:55 x
Rozbalit Rozbalit vše Re: Projekt The Core Infrastructure Initiative

Viz. uplne posledni link z meho prispevku (to video). Zadni vratka se implementuji tak aby to vypadalo jako obycejna chyba. A co se tyce obecne firem (ktere tyhle prasecinky stejne delaji pro stat a ne naopak), tak tohle je dostatecne trefne.

Projekt The Core Infrastructure Initiative

Komentáře