LINUX.ORG.RU

Еврокомиссия проведет аудит безопасности проектов Apache HTTP Server и Keepass

 , , , security audit


0

4

Еврокомиссия собирается провести аудит безопасности исходного кода двух OSS проектов: веб-сервера Apache HTTP server и менеджера паролей Keepass. Исходный код будет проанализирован на предмет наличия опасных уязвимостей. Результаты будут опубликованы и будут доступны всем желающим. Аудит начнется в ближайшие пару недель.

Этот аудит — вторая фаза пилотного проекта Еврокомиссии EU-FOSSA, которым занимаются ИТ-подразделения Еврокомиссии и Европарламента.

EU-FOSSA — пилотный проект Еврокомиссии направленный на выявление опасных уязвимостей в свободном ПО, используемом в ИТ-инфраструктуре Евросоюза.

Apache HTTP server и Keepass были выбраны для аудита по результатам публичного опроса. Было опрошено 3282 респондента.

Впрочем, вице-президент европейского отделения FSF Matthias Kirschner критикует подход Еврокомиссии к аудиту. По его словам, команда проекта EU-FOSSA опросила слишком узкий круг специалистов и не прислушивалась к мнениям экспертов FSF. Он опасается, что результатом аудита станет набор отчетов, которые никто не будет читать, и призывает к более тесному сотрудничеству с сообществом.

>>> Подробности

Deleted

Проверено: anonymous_incognito ()
Последнее исправление: anonymous_incognito (всего исправлений: 1)

аудит .. Apache HTTP

/me запасся попкорном и подписался на CVE RSS. ;)

PS: индеец то де-факто уже умер. Лучше бы они энжину потрепали.

beastie ★★★★★
()
Последнее исправление: beastie (всего исправлений: 1)

Какого релиза? 2.4.23?

Аудит начнется в ближайшие пару недель.

Побежали заделывать дыры и готовить новый. Думаю успеют.

znenyegvkby
()
Ответ на: комментарий от beastie

Индеец мёртв

PS: индеец то де-факто уже умер. Лучше бы они энжину потрепали.

Поддерживаю.

Camel ★★★★★
()
Ответ на: комментарий от beastie

Возможно он не используется, раз не стали проверять. Или используется коммерческая поддержка, подразумевающая возможно подобные процессы самим собою.

slon
()

лучше бы офтопик проверили

kto_tama ★★★★★
()
Ответ на: комментарий от znenyegvkby

с кучей машинами и сервисов не работающий

Да, это так, у меня только две рабочих станции + 3 ноута + 2 роутера + 1 смартфон.

slon
()
Ответ на: комментарий от slon

как вообще можно доверять пароли чему-либо?

Это верно - на твоём месте я бы не доверял свои пароли даже сервисам, в которые они должны вводиться, а то мало ли.

В идеале - придумать пароль и сразу же его забыть, во избежание.

jcd ★★★★★
()
Ответ на: комментарий от slon

Да, это так, у меня только две рабочих станции + 3 ноута + 2 роутера + 1 смартфон.

Ну вот видишь. Когда у тебя будет куча чужих серверов, сервисов и прочего дерьма, и тебе не захочется запоминать 100500 разных паролей от каждого из них, но ты хоть немного захочешь позаботиться о информационной безопасности и не станешь хранить пароли в блокноте, ты сразу вспомнишь о таких программах как к KeepassX.

znenyegvkby
()
Ответ на: комментарий от slon

как вообще можно доверять пароли чему-либо?

А как их все тогда запомнить или у тебя и на почту, и на ЛОР, и на интернет-банк один пароль? Да и у всех сервисов разные требования к паролю: у одного цифры обязательны и нельзя спецсимволы, у другого наоборот — хрен одним паролем обойдешься.

Deleted
()
Ответ на: комментарий от slon

почему?

Потому что когда _чужие_ пароли угонят в открытом виде, у тебя не будет времени чтобы их сменить, а вот у злоумышленника будет достаточно времени, чтобы навредить компании.

znenyegvkby
()
Ответ на: комментарий от Deleted

А как их все тогда запомнить

Развивать память, регулярно подвергать мозг различным челенджам и соревнованиям, это не только полезно в плане хранения информации, но также чем активнее работает мозг сейчас, тем меньше риск огрести деменцию в пожилом возрасте.

slon
()
Ответ на: комментарий от slon

Развивать память, регулярно подвергать мозг различным челенджам и соревнованиям, это не только полезно в плане хранения информации, но также чем активнее работает мозг сейчас, тем меньше риск огрести деменцию в пожилом возрасте.

Мозг сложная штука. Я прекрасно помню свой пароль от диалапа 15-летней давности, но иногда после отпуска не могу вспомнить пароль от рабочей машины.

Deleted
()

FSF прокудахтало

Да уж. Уж они то знают как не писать отчеты которые никто не читает.

dk-
()
Ответ на: комментарий от Deleted

значит у тебя не пароль, а какая-то бессмыслица, пароль должен быть таковым (независимо от длинны), который невозможно забыть даже под веществами, здесь могли бы помочь господа из армии, они знают как и что запоминать.

slon
()
Ответ на: комментарий от slon

пароль должен быть таковым (независимо от длинны), который невозможно забыть даже под веществами

Ну-ка придумай с десяток паролей так чтобы и запомнить, и везде по требованиям проходил, и не подобрать было, и набирать быстро. Слегка спасают генераторы «произносимых» паролей, но когда их больше 10 начинаешь путаться.

Deleted
()
Ответ на: комментарий от slon

здесь могли бы помочь господа из армии, они знают как и что запоминать

Цитаты из устава в качестве паролей не предлагать!

Deleted
()

/me тихо прифигел с товарищей, которые не понимают, зачем нужен keepass.

melkor217 ★★★★★
()

Тоже выборы скоро?

anonymous
()
Ответ на: комментарий от eR

рано я перелез с lastpass на keepass...

пол года честно мучался с keepass(х) в разном его проявлении. так и не смог сделать удобно(либо синхронизация не работает, либо автозаполнение в браузере, либо еще что-то), откатился обратно на lastpass. причем под венду более-менее всё работает в keepass, а вот для линукса, то одно то другое. а у keepassx вообще разраб упоротый, не буду делать синхронизацию и патчи тоже не предлагайте, я против этого в программе.

Loki13 ★★★★★
()
Последнее исправление: Loki13 (всего исправлений: 1)

Как выглядят результаты аудита?

Комментарий к каждой строчке исходного кода с пояснением, почему в ней нет уязвимости?

utf8nowhere ★★★
()
Ответ на: комментарий от jcd

В идеале - придумать пароль и сразу же его забыть, во избежание.

делаю так регулярно, потом регистрироваться приходится заново

Deleted
()
Ответ на: комментарий от King_Carlo

На моём локалхосте он уже давно умер. Единственная его ценность — это пускалка для php. Но и там уже nginx/fpm его заруливает.

Нет, он всё ещё использутеся (по инерции), но закат всё ближе и ближе.

В частности: http://news.netcraft.com/archives/2016/06/22/june-2016-web-server-survey.html

beastie ★★★★★
()
Ответ на: комментарий от beastie

индеец то де-факто уже умер

А вот в Еврокомиссии видимо живет и процветает. Их интересуют только те проекты, которые у них используются.

Deleted
()
Ответ на: комментарий от beastie

индеец то де-факто уже умер

Где умер? В вашем облачном стартапе?

anonymous
()
Ответ на: комментарий от znenyegvkby

Я работаю. Сотни физических серверов по всему миру, роутеры, свичи, виртуальные машины и контейнеры без счёта. Пароли храню в текстовом файле, файл зашифрован AESом. Брат жив. У тебя есть 15 минут, чтобы рассказать мне, почему ты пользуешься всяким убожеством.

anonymous
()
Ответ на: комментарий от anonymous

Пароли храню в текстовом файле, файл зашифрован AESом

Расскажи как ты его расшифровываешь? Утилитой небось какой? И чем твой костыль от keepass'а отличается?

Deleted
()
Ответ на: комментарий от Loki13

KeePassX 2.0.2 у меня щас, сам по себе работает норм как отдельное приложение, без взаимодействия с браузерами и всяким.

eR ★★★★★
()
Ответ на: комментарий от anonymous

У тебя есть 15 минут, чтобы рассказать мне, почему ты пользуешься всяким убожеством.
Пароли храню в текстовом файле, файл зашифрован AESом. Брат жив.

У тебя есть 15 минут чтобы отправить свой метод на помойку.

znenyegvkby
()

Мозг отказывается понимать, что PVS studio тут никаким боком.

Keepass

А вот это прям аж интересно.

не прислушивалась к мнениям экспертов FSF

Кого волнует мнение упоротых? trollface.png

Radjah ★★★★★
()
Ответ на: комментарий от Deleted

Размерами костыля, очевидно же. Кроме (собственной, пока не проверенной) имплементации AES в KeepassX есть ещё и целый гуй, потенциально подверженный всевозможным утечкам. У меня же просто текстовый файл в удобном мне формате.

anonymous
()
Ответ на: комментарий от eR

сам по себе работает норм как отдельное приложение, без взаимодействия с браузерами и всяким.

И ты при заходе на каждый ресурс, где нужно вводить пароль, заходишь в приложение и копируешь его чтобы вставить в браузере?(тогда ты очень не ленивый человек, делать это несколько раз за час)

А как синхронизировать пароли на 2-3 компа? особенно если они используются одновременно(это важно, т.к. дропбокс естественно может только клонировать файл целиком, а не синхронизировать содержимое).

Loki13 ★★★★★
()
Последнее исправление: Loki13 (всего исправлений: 1)

не прислушивалась к мнениям экспертов LOR

annulen ★★★★★
()
Ответ на: комментарий от beastie

Вот вы смеётесь, а просто шифрованые текстовый файл и в самом деле удобней всяких keepass и компании.

Особенно, когда тебе нужно и на компе пароли вводить, и на телефоне.

Deleted
()
Ответ на: комментарий от bitfroster

Да, я тоже. Поэтому использую 1Password.

Deleted
()
Ответ на: комментарий от beastie

а просто шифрованые текстовый файл и в самом деле удобней всяких keepass и компании.

В чем конкретно он _удобнее_? Опишите пару плюсов.

znenyegvkby
()
Ответ на: комментарий от beastie

Не тогда, когда логинов с паролями дохрена, к тому же нужно ещё секретные ключи для TOTP хранить и/или файлы.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от anonymous

Как ты шифруешь/дешифруешь файл? Если пароль левый (кто-то выслал тебе с сервиса) как ты определяешь качество пароля? Как выглядят записи в файле, если к ним нужно добавлять различные комментарии?

znenyegvkby
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.