Безопасность всех Unix систем держится на одном человеке

А вы избавились от OpenSSL в своем дистрибутиве и переключились на gnutls?

Разве это не разработчик gnutls ушел из проекта GNU с криками про тоталитарную власть бородача?

Что-то верится с трудом. Думаю, что корпорации вкидывают денег/кода поцану.

Чтобы тот изменил там всего пару строк определённым образом, да.

Да.

Разве это не разработчик gnutls ушел из проекта GNU с криками про тоталитарную власть бородача?

Он не ушел. Просто отказался играть по правилам FSF.

как будто gnutls не один Никлас пилит?

А так можно? Либо ты подчиняешься FSF, либо не в GNU.

проект имеет всего одного разработчика на фуллтайме и поэтому

дай угадаю, это Dr. Steven Henson? (вроде так) :)

А вы избавились от OpenSSL в своем дистрибутиве и переключились на gnutls самописный вариант?

назови альтернативу получше

у опенссля и с документацией всё плохо, в манах про новые добавленные функции ни слова, узнавать о них приходится грепаньем исходников

cyaSSL, как вариант

Агенты АНБ опять погнали свой тухлый ветерок на СПО?

Безопасность .. держится на одном человеке

Это OpenSource, детка. Кака-така «безопасность на одном человеке»? Код открыт, ссышь - сиди проверяй. Этот мейнтейнер просто справедливо заслужил доверие.

Когда будут факты (а не вбросы тухлой пропаганды от АНБ), говорящие, что дядьке не нужно больше доверять, тогда мейнтенера сменят. Но не раньше.

Это все понятно. Главная проблема заключается в том, что круг людей лично знакомых IRL с разработчиком имеет ограниченное кол-во. Хорошо, если автор живет в Америке, а не на Филлипинских островах. Зачем это нужно? Достоверным фактом будет фотоснимок, запись прослушки, но не код. Код всегда можно обернуть на человеческий фактор: усталось, высокую нагрузку и т.п. И этим активно пользуются.

Также т.к. круг знакомых сужен, то этих людей также надо ставить на учет.

Хотите спокойствия?
Пользуйтесь одобренными NSA продуктами.

Хотите спокойствия? Пользуйтесь одобренными NSA продуктами.

А где можно скачать список одобренных тем для разговоров и занятий?

Виндавс 8 и офис 2013 + скайп, штоле?

Код всегда можно обернуть на человеческий фактор

До тех пор как этот код попадет в debian stable/RHEL/Centos пройдет не один год тестирования и ковыряния. И не два.

Достоверным фактом будет фотоснимок, запись прослушки, но не код.

А вот и не угадал:
достоверным фактом являются конструктивные действия, которые предпринимает человек для развития проекта, а не домыслы глядящих на физиономию и слушающие тембр голоса.

Ты можешь 10 лет слушать сказки человека и верить ему, но когда на 11й дойдет до дела и он тебя предаст, только тогда поймешь кто он такой.

Кстати, именно поэтому считается, что дружба, выросшая из деловых отношений самая крепкая. Только дело по-настоящему даёт репутацию человеку.

Причём, деструктивные действия также реально снижают репутацию.

Например, Линус Торвальдс бывает матерится и факи кажет, но это к делу не относится. А своё дело делает отлично - поэтому у него репутация и высокая.

А вот и не угадал

Снимок или запись подтверждают определенные действия. У тебя же действия это нечто вымышленное. Друг тебя предаст, скинет на другого, а ты и не будешь знать. И тут прихожу я и показываю тебе снимок как друг подставляет другого человека. Разница есть?

Я даже добавлю. Сам был сведетелем подобной ситуации. Мой друг доверял другому человеку, почти как брату. Потом начались кражи у друга денег. Я и еще один товарищ поняли, что виновник был друг моего друга. Друг очень-очень упорно не верил в то, что его подставил такой близкий человек. И лишь факт личной проверки наших домыслов образумил его (все было снято на камеры банкоматов).

Я вас умоляю, система с недостатком памяти в принципе не работоспособна. Просто позапускайте свои любимые проги с ulimit и убедитесь в этом сами.

Если бы тут был false positive то это дыра, а false negative не о чем говорит. И да, все кому надо знают что openssl написан через задницу, это не новость.

И да, все кому надо знают что openssl написан через задницу, это не новость.

И еще более странно, что альтернатив практически нет. gnutls шевелится и никак не дошевелится (т.к. не покрывает весь функционал openssl) с 2008? года. cyaSSL не смотря на двойную лицензию (одна из которых gplv2) до сих пор ни один дистрибутив не запилил в качестве пакета, хотя бы для тестирования.

Как у тебя ещё аватарку не удалили, а?

Я вообще считаю весь API openssl большой ошибкой. Те альтернативы что есть тщательно его копируют «для совместимости». В результате ничего для нормальных людей так и не сделали :(

https://en.wikipedia.org/wiki/Comparison_of_TLS_Implementations#Cryptographic...

Подумай, почему у них есть поддержка TPM :)

Я вообще считаю весь API openssl большой ошибкой.

и какой, по твоему, должен быть правильный API?

Тоже мне, новость...

В России это — сплошь и рядом, когда функционирование чего-нибудь здоровенного зависит от одного человека.

Хотите спокойствия?
Пользуйтесь одобренными NSA зонтами.

починил

и какой, по твоему, должен быть правильный API?

Такой чтобы не приходилось писать программы через задницу с постоянным лазаньем в сырцы openssl для того чтобы понять почему оно не работает.

ну это скорей от плохой документированности и отсутствия подробных внятных туториалов, а API предметной области соответствует :)

Главная проблема заключается в том, что круг людей лично знакомых IRL

ну вот кто биткоины сделал до сих пор никто толком не знает. И ничего, держаться...

Пользуйтесь одобренными NSA продуктами.

Как жить - на собрании подскажут,
Что пить - почитай в указе,
Что есть - в "Полезных советах".
Указ прочитай три раза,
И два о крылатых ракетах,
Где жить - разузнай в Исполкоме,
На что - разве это важно?
Что петь тебе скажут в Горкоме,
Борцом будь за мир отважным!
С кем спать - спроси у ячейки,
Дадут там ответ достойный.
Позором клейми недоделки!
"НЕТ!" крикни звёздным войнам!
Что не так - обратись в газету
и в радиопередачу. -
Помогут отцовским советом
И недруги все заплачут.
Зарплату отдай в Фонд Мира,
Пусть в мире смеются дети.
С начальством будь скромным и смирным,
Оно за тебя в ответе.
Вступай в ДОСААФ скорее!
Крепи страны оборону!
В месяц тридцать копеек -
И за оборону спокоен.
Партии нашей слава!
Пройдя, поклонись Обкому.
Да здравствует наша держава,
Великие наши законы!
В жизнь Ильича заветы!
Вперёд с нами, алые стяги!
Все мы за мир в ответе,
Поднимем повыше флаги!

Янка 1986 (?)

И еще более странно, что альтернатив практически нет.

было-бы странно, если-бы было иначе. Я же уже неоднократно рассказывал здесь про сети доверия, которые «почему-то» никто не реализовал, а все цепляются за технологию из 80х годов, да ещё и в дырявой реализации.

Я предлагаю судить об этом на примере простого асинхронного telnet-сервера.

Дело не в туториалах. Проблема в том что разрабы вообще, похоже, не думали над тем что это кто-то будет использовать в реальных приложениях. В результате имеем тонны старого ненужного кода, глобальные переменные, сохранение внутреннего состояния в неожиданных местах, трудноуловимые ошибки в приложениях, отсутствие нормальной документации и описания того как оно внутри работает.

Я писал ПО для ресселера сертификатов comodo. Openssl даже не мог экспортировать данные по сертификату. У него тупо не было нужных функций. Вернее, всё было настолько кривое что, по-моему, я в итоге через shell запускал openssl и парсил вывод регекспами. Ну или патчить openssl, но я решил не оставлять такое западло тем кто поддерживал сайт после меня.

+500

Единственный «нормальный» способ импортировать/экспортировать ключи, это сохранить их в формате PEM и преобразовать. Другие способы — это ковыряние в кишках структур, что не рекомендуется манами openssl.

я в итоге через shell запускал openssl и парсил вывод регекспами.

юниксвей же :)

Openssl даже не мог экспортировать данные по сертификату. У него тупо не было нужных функций.

почему это нет, когда есть? Любое поле сертификата можно извлечь. Просто ты не нашёл нужные функции

почему это нет, когда есть?

Просто ты не нашёл нужные функции

Можно название функции которая вернёт или пары (ключ=>значение) или структуру с описанием сертификата? Я имею в виду параметры аля «срок действия», common name итп.

В своё время я перерыл все библиотеки добрую треть этого самого openssl. Я очень удивлюсь если сейчас назовёшь что-то кроме X509_print_ex() или подобного барахла.

Снимок или запись подтверждают определенные действия. У тебя же действия это нечто вымышленное.

Опять не угадал. Давай еще раз.
При оценке программиста нужно смотреть какой код он пишет и как часто. Если он еще и мейнтейнер (сопровождающий проекта), то нужно оценивать какие куски кода (патчи) он принимает, и насколько оперативно, а также наскольно эти патчи полезны для проекта. Это и определит репутацию программиста/мейнтейнера.

Ты же предлагаешь смотреть на его фотографию и мочу в свете ультрафиолета. Каким бы ни были фотоснимки и результаты анализов, какой бы личностью не оказался этот человек (может он пьет кровь девственниц), но если этот человек конструктивен в профессиональной сфере, то его репутация как специалиста будет высокой.

Готов ответить на дополнительные вопросы.

Готов ответить на дополнительные вопросы.

Нету никаких вопросов. Мы походу живем в разных мирах.

Подумай, почему у них есть поддержка TPM :)

Наверное потому же, почему эта поддержка есть у GnuTLS, а именно:
чтобы предоставить желающим (несмотря на все недостатки TPM) использовать этот модуль.

Никто же не заставляет - эта фича опциональная.

Мы походу живем в разных мирах.

Похоже что да. Чур я живу в реальном мире.

Если реальные люди позволяют агентам АНБ дрючить их во все места и при этом ничего не предпринимают, а могут только ныть в рассылках, высасывая из пальцев свои подозрения, и поливая говнецом людей, которые работают, и при этом против которых нет дискредитирующих фактов, то что я могу сказать... Кнопочка «форк» и вперед. Впрочем, я это уже говорил в 1м сообщении.

p.s. Я даже больше скажу: вся эта деятельность по поливанию говнецом ключевых фигур в СПО как раз и выглядит подозрительно. Как будто троли АНБ специально и раскачивают лодку.
Точно так же действует ЦРУ на Ближнем востоке, дестабилизруя ситуцию в Старом свете, чтобы спасти свою экономику во главе вонючей ФРС из рук которой оно кормится.

ну например, CommonName можно извлекать так :)

копипаста с интернетов

X509_NAME_ENTRY *common_name_entry = NULL;
ASN1_STRING *common_name_asn1 = NULL;
char *common_name_str = NULL;
// Find the position of the CN field in the Subject field of the certificate
common_name_loc = X509_NAME_get_index_by_NID(X509_get_subject_name((X509 *) server_cert), NID_commonName , -1);
if (common_name_loc < 0) {
return Error;
}
// Extract the CN field
common_name_entry = X509_NAME_get_entry(X509_get_subject_name((X509 *) server_cert), common_name_loc);
if (common_name_entry == NULL) {
return Error;
}
// Convert the CN field to a C string
common_name_asn1 = X509_NAME_ENTRY_get_data(common_name_entry);
if (common_name_asn1 == NULL) {
return Error;
}
common_name_str = (char *) ASN1_STRING_data(common_name_asn1);

для сроков действия нашёл в x509.h вот такое:

#define		X509_get_notBefore(x) ((x)->cert_info->validity->notBefore)
#define		X509_get_notAfter(x) ((x)->cert_info->validity->notAfter)

И ты считаешь это нормальным? Для остальных полей тоже такие простыни городить? А уж как весело когда у тебя сайт написан не на сях, а на руби и для таких костылей нужно дописывать соответствующие модули.

Это помимо того что у тебя обработка ошибок в трёх местах просто чтобы достать из памяти то что наверняка уже там есть. Это так весело, на одну строчку кода две-три строчки проверки на ошибки.

cyaSSL не смотря на двойную лицензию (одна из которых gplv2) до сих пор ни один дистрибутив не запилил в качестве пакета, хотя бы для тестирования.

Orly?

pinkbyte@oas1 ~ $ eix cyassl
* net-libs/cyassl
     Available versions:  2.4.6 2.5.0 ~2.7.0 {+aes aes-ccm aes-gcm aes-ni +arc4 +asn big blake2 camellia +coding crl crl-monitor cyassl-hardening debug +des3 +dh dsa -dtls ecc +errorstrings examples extra fortress +hc128 +httpd +huge ipv6 leanpsk mcapi md2 md4 +md5 +memory nullcipher ocsp +psk pwdbased rabbit +ripemd +rsa savecert savesession +sessioncerts +sha sha512 small sni (+)sniffer static-libs test +testcert threads +zlib}
     Homepage:            http://www.yassl.com/yaSSL/Home.html
     Description:         Lightweight SSL/TLS library targeted at embedded and RTOS environments

Даже в stable есть

Хвала Зевсу, у меня семёра корпоратива.

Параноики в ужасе =]

назови альтернативу получше

PolarSSL. Правда GPL.

А где можно скачать список одобренных тем для разговоров и занятий?

Можно спросить у своего куратора.

Я же уже неоднократно рассказывал здесь про сети доверия

ссылку можно?

ищи в постах зелёной пони.

А меня уже ликбез задолбал.