Napadu pravijo "heartbleed", po SSL razširitvi "heartbeat", ki ga tudi omogoča.
Slo-Tech - Fundacija Linux je napovedala, da bo financirala temeljit pregled kode OpenSSL in zaposlitev dveh razvijalcev s polnim delovnim časom, v kar jih je prepričal odkrit hrošč Heartbleed. Čeprav trenutno že teče projekt LibreSSL, v sklopu katerega pripravljajo vitkejše in preverjene knjižnice, je tudi razvoj OpenSSL prav tako pomemben, zlasti ker LibreSSL ne bo podpiral vseh funkcionalnosti.
Doslej je bil OpenSSL kadrovsko in predvsem finančno zelo podhranjen, kar se je odrazilo tudi na kakovosti kode. Zato je Fundacija Linux ustanovila Core Infrastructure Initiative (CII), ki bo upravljala in nadzorovala OpenSSL in podobne odprtokodne projekte, na katerih teče velik del infrastrukture. Adobe, Bloomberg, HP, Huawei in SalesForce so novi člani CII, v kateri že sodelujejo Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace in VMware. Podjetja bodo letno prispevala najmanj 100.000 dolarjev za CII v obdobju vsaj treh let. S tem denarjem bodo financirali več projektov - ne le OpenSSL, temveč tudi OpenSSH, Network Time Protocol in v prihodnosti še kakšnega podobnega.
Konkretno bo OpenSSL dobil dva človeka (Stephen Henson in Andy Polyakov), ki bosta plačana za bdenje nad projektom. Poleg tega so zbrali tudi sredstva za varnostni pregled (audit) obstoječe kode. Na ta način želijo preprečiti, da bi se fiasko Heartbleed še kdaj ponovil. CII upa, da je to le začetek in da bo sčasoma na projektih delalo še več ljudi.
To je norčevanje... 500 000 strani uporablja openSSL za zagotavljanje varnosti oni bodo pa 2 strokovnjaka zaposlil da pregledata kodo.. to bi mogl met 20 ljudi ki vsako vrstico kode 10 pregleda in matematično dokaže da je varna.
Na spodnjem linku imaš stran tega projekta kjer lahko doniraš. Tako bodo lažje alocirali 10 razvijalcev in 10 auditorjev. Lahko pa pomagaš tudi z delom na projektu. Vsak prispevek je dobrodošel.
To je norčevanje... 500 000 strani uporablja openSSL za zagotavljanje varnosti oni bodo pa 2 strokovnjaka zaposlil da pregledata kodo.. to bi mogl met 20 ljudi ki vsako vrstico kode 10 pregleda in matematično dokaže da je varna.
Predvidevam, da nisi programer. Matematicno se ne dokazuje niti kode za shuttle/letala.
Nummy vsak paglavec ne ve kako mora zgledat bug-free koda.
Pa prosim vse, ki se pritožujete čez varnost odprtokodnih projektov, da pogledate kolk posodobitev ste naredil na vaših Windows mašinah (vsi te bug-i niso prišli v novice).
Nummy vsak paglavec ne ve kako mora zgledat bug-free koda.
Pa prosim vse, ki se pritožujete čez varnost odprtokodnih projektov, da pogledate kolk posodobitev ste naredil na vaših Windows mašinah (vsi te bug-i niso prišli v novice).
Ja glede na tale slo-tech forum se močno motiš. Tu so vsi že prebrali celotno kodo svojega sistema in software-ja, ki ga uporabljajo! /sarcasm
Čak mal a ni OpenSSL open source in bi lohka vsak paglavc "delal" na kodi?
Saj že med prevajanjem vidiš, da ni kvalitetna koda. Da bi jo popravili je preveč dela. Bolje začeti znova (kar sem tudi naredil).
A res, in potem si tako "sebičen" da nisi objavil popravkov? I call that BS.
Ni popravkov, ker sem začel od začetka. Mojo knjižnico sem objavil (github), ampak ni zamenjava za OpenSSL, ker ima drug API in naredil sem samo simetrično kriptografijo (brez asimetrične in brez SSL/TLS), potem mi je zmanjkalo časa.
Nummy vsak paglavec ne ve kako mora zgledat bug-free koda.
Pa prosim vse, ki se pritožujete čez varnost odprtokodnih projektov, da pogledate kolk posodobitev ste naredil na vaših Windows mašinah (vsi te bug-i niso prišli v novice).
Ne glejte mene, glejte tadrugega?
5 točk za tistega, ki pove ime tega fallacy-ja.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
To je norčevanje... 500 000 strani uporablja openSSL za zagotavljanje varnosti oni bodo pa 2 strokovnjaka zaposlil da pregledata kodo.. to bi mogl met 20 ljudi ki vsako vrstico kode 10 pregleda in matematično dokaže da je varna.
Predvidevam, da nisi programer. Matematicno se ne dokazuje niti kode za shuttle/letala.
Seveda se ne ker je je prevec. Da to obidejo dajo ločenim ekipam enak problem in potem računalniki drug drugega nadzorujejo.
Enkripcija.. to so pa osnove in to pač more biti bug free... 99.99% zanesljivost ni dovolj
Enkripcija je zgolj en od pripomočkov. Nič ti ne koristi, če je 100%, če je vse okoli lukjnasto.
Prav tako ti ne pomaga če je vse okoli 100% varno, enkripcija je varna pa le 99.99%
Seveda ti. Enkripcija je zgolj ena od ovir, ki jih postaviš. In vse kar jaz pravim je, da ni smiselno investirati v brutalno draga nova vrata, če imaš na hiši lesena, polomljena okna.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
MrStein nisem rekel da ne gledat. Rekel sem da se ne pritoževat tolk čez odprto kodo, ker je zaprta še bolj luknjasta, samo v novice ne pride.
Ni važno, da je ptujski fricl posiljeval, saj je "original" posiljeval trikrat bolj!
Ptujski fricl je pač dubu nižjo kazen, medtem ko odprtokodni program je končal v novicah in vsi so govorili:"Odprtokodni razvoj ne deluje, a vidte da ma program luknje" Windows-ov in njihovih tedenskih popravkov ni pa noben niti omenil. Nisem hotu da se pozabi na ranljivost TrueCrypt-a, hotu sm izpostavt več ranljivosti, da bi vse skupaj postavil v perpektivo.
Nekaj let nazaj sem v prejšnje podjetje pripeljal Codenomicon DEFENSICS. Rezultati black-box in negativnega testiranja naše PO so bili zelo pozitivni.
Ja, ti so pravi mojstri. Je pa tudi naša PO dobro preživela teste. Z razliko od odprte kode, ki se prav tako uporablja - ta je pogorela po celi črti. Ni pa šlo za testiranje varnosti ampak protokolov.
Enkripcija je zgolj en od pripomočkov. Nič ti ne koristi, če je 100%, če je vse okoli lukjnasto.
Prav tako ti ne pomaga če je vse okoli 100% varno, enkripcija je varna pa le 99.99%
Seveda ti. Enkripcija je zgolj ena od ovir, ki jih postaviš. In vse kar jaz pravim je, da ni smiselno investirati v brutalno draga nova vrata, če imaš na hiši lesena, polomljena okna.
Point je v tem da je to če maš ti polomljena okna so tvoj problem, luknja ki jo je povzročil tvoj razvoj. Če proti vlomna vrata niso tako proti vlomna kot si mislil je pa za to kriv proizvajalec proti vlomnih vrat, razvijalci openSSL.
Še ena bistvena razlika. Če imaš ti neko ranljivost na strani in jo kdo odkrije je ogrožena le tvoja stran. Z odkritjem te ranljivosti je na 1 mah ranljivih 500.000 strani. Big difference.
MrStein nisem rekel da ne gledat. Rekel sem da se ne pritoževat tolk čez odprto kodo, ker je zaprta še bolj luknjasta, samo v novice ne pride.
Ni važno, da je ptujski fricl posiljeval, saj je "original" posiljeval trikrat bolj!
Ptujski fricl je pač dubu nižjo kazen, medtem ko odprtokodni program je končal v novicah in vsi so govorili:"Odprtokodni razvoj ne deluje, a vidte da ma program luknje" Windows-ov in njihovih tedenskih popravkov ni pa noben niti omenil.
Patch tuesday ima svojo novico skoraj vsak mesec. Če ni nič zanimivega, potem tudi kdaj spregledajo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
