https://opennet.dev/openforum/vsluhforumID3/97064.html Проект OpenBSD выпустил (https://marc.info/?l=openbsd-tech&m=140599450206255&w=2) корректирующий релиз LibreSSL 2.0.3 (http://www.libressl.org/), в котором представлено несколько изменений, направленных на улучшение переносимости кода. Кроме того, интегрирован улучшенный код для определения ответвления новых процессов, обеспечивающий переинициализацию генератора псевдослучайных чисел после создания нового процесса вызовом fork. Представленный в версии 2.0.2 метод обхода уязвимости (http://www.opennet.ru/opennews/art.shtml?num=40227) оказался (http://port70.net/~nsz/47_arc4random.html) не так надёжен, как хотелось бы.<br><br> <br><br><br>URL: https://marc.info/?l=openbsd-tech&m=140599450206255&w=2<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=40245<br> https://opennet.dev/openforum/vsluhforumID3/97064.html#39 Thu, 24 Jul 2014 14:35:21 GMT &gt; дебиановская история с предсказуемыми ключами посетит вас еще раз<br><br>в той истории -- разработчики Дебиана были правы.<br><br>а разработчики говнокода -- были идиоты.<br><br>вся ирония лишь в том что новостные корреспонденты -- всю историю перевернули так будто бы [b]якобы[/b] разработчики Дебиана являются говнокодерами.<br> https://opennet.dev/openforum/vsluhforumID3/97064.html#38 Thu, 24 Jul 2014 05:46:56 GMT анонимные эксперты, вечно непримиримые к чужим ошибкам и знающие лучше что нужно было делать и как.<br> https://opennet.dev/openforum/vsluhforumID3/97064.html#37 Wed, 23 Jul 2014 20:58:13 GMT &gt; Хотя, смотря на основе чего инициализировать будут?<br><br>А вот для этого как раз в OpenBSD есть getentropy(), а в Linux пропихивают getrandom()... Бо процесс может оказаться в chroot'е, где /dev/* отсутствуют.<br> https://opennet.dev/openforum/vsluhforumID3/97064.html#36 Wed, 23 Jul 2014 20:55:33 GMT &gt;&gt; Потому что по ссылке надо сходить и прочитать, прежде чем задавать <br>&gt;&gt; глупые вопросы, правда?<br>&gt; И много чего ещё можно пожелать автору глупого вопроса.<br><br>Вот и пожелайте себе, угу?<br><br>А на досуге можете спросить себя, как будут отличаться генерируемые PRNG последовательности в родительском и дочернем (после fork()) процессах.<br> https://opennet.dev/openforum/vsluhforumID3/97064.html#35 Wed, 23 Jul 2014 20:52:31 GMT &gt;&gt; Мож, автору такого гневного послания прежде чем вставлять в текст знакомые слова <br>&gt;&gt; и стереотипы, следовало бы разобраться с моделью и стилем разработки openbsd?<br>&gt; Мне похрен на вашу модель разработки и ваши стереотипы. Засчитывается результат. И <br>&gt; он судя по таким новостям печален.<br><br>Судя по новостям, LibreSSL 2.0.3 не только собирается на 90% современных компов, но при этом ещё и выполняет свою работу более качественно за счёт ответственного подхода к вопросам зачистки важных данных и использования качественного рандома.<br><br>То, что по дороге что-то сломали и оперативно починили - увы. Но хотелось бы отметить, что починили оперативно, а так же не ломая API или ABI - как это не раз бывало в OpenSSL.<br><br>Ищете идеала? Не найдёте.<br> https://opennet.dev/openforum/vsluhforumID3/97064.html#34 Wed, 23 Jul 2014 20:46:44 GMT &gt; А знать такие вещи наверное должны были те умники которые "сначала выпилим <br>&gt; код, а потом разберемся зачем он был нужен".<br><br>О, да, особенно нужны была поддержка VMS и собственные реализации malloc() и free() (успешно скрывавшие баги в OpenSSL).<br><br>&gt; Не любит криптография шибко ретивых, но не шибко грамотных кодерасов.<br><br>Вы бы хоть на процессы, идущие в LibreSSL посмотрели, прежде чем огульно комментировать... Но нет, как же, вот "код не читал, но осуждаю" - это наш метод!<br><br>&gt; Вообще, КГ/АМ какой-то. Используется куча системозависимых трюков, не самых очевидных <br>&gt; и имеющих проблемы с портабельностью, а "улучшатели" их выпиливают не удосужившись <br>&gt; разобраться нафиг это сделано и что отваливается. Пользуйся вот такими либами <br>&gt; потом - и дебиановская история с предсказуемыми ключами посетит вас еще <br>&gt; раз...<br><br>Системозависимые трюки используются ровно для тех вещей, которые являются системозависимыми. Потому что, например, не стандартизированы.<br><br>Идёт НОРМАЛЬНЫЙ процесс адаптации под обширную экосист https://opennet.dev/openforum/vsluhforumID3/97064.html#33 Wed, 23 Jul 2014 20:01:01 GMT &gt;&gt; у улучшателей всё работало. на bsd. за тем, чтобы всё работало на <br>&gt;&gt; других платформах следят соответствующие мейнтейнеры. вот так бывает, когда линукс не <br>&gt;&gt; в позиции пупа земли, да.<br>&gt; Вот ведь как бывает когда ж@порукие обезьяны дорываются до "починки" кода. <br><br>http://ftp.openbsd.org/pub/OpenBSD/patches/5.4/common/008_openssl.patch<br><br>чинят. <br><br>&gt; Если выпиливтаь код наобум и не париться про портабельность<br><br>Ещё раз: задача корректного выполнения коде на платформе, отличной от платформы разработки лежит на мейнтейнерах. Будут они городить некий код и отправят свои опусы в апстрим или поправят у себя в ядре - тоже решать им.<br><br><br>&gt; тогда НЕХРЕН ВРАТЬ что этот кусок гомнокода "портабельный" и вообще чем-то лучше оригинала.<br><br>лычно ты можешь насмерть обидеться и написать свой ssl, портабельный от амиги и ос2 до windows9 и убунты. ну или, что вероятнее, нервно взвизгивать и выпиливать libressl и втыкать openssl. хотя ещё вероятнее, что визгами на форумах всё и ограничится, а кушать будешь то, что подаду https://opennet.dev/openforum/vsluhforumID3/97064.html#32 Wed, 23 Jul 2014 16:59:08 GMT (они там ещё и явную переинициализацию этого PRNG подпортили... В общем Libre не очень пригодна... К использованию.)<br> https://opennet.dev/openforum/vsluhforumID3/97064.html#31 Wed, 23 Jul 2014 16:56:34 GMT ssl для хрома<br>