LINUX.ORG.RU

Обнаружена уязвимость SSL


0

0

Группа экспертов Лаборатории средств безопасности и криптографии (LASEC) политехнического университета Лозанны, Швейцария, (http://lasecwww.epfl.ch/) обнаружила ошибки в стандартном протоколе SSL (протокол защищенных сокетов). Ученые утверждают, что имели вожможность декодировать информацию, обмен которой между клиентом и сервером шел в течение часа. Таким образом получено практическое подтверждение уязвимости протокола, безопасность которого уже ставилась под сомнение. Данные исследования переданы руководству проекта OpenSSL и разработчики уже предложили заплатки OpenSSL версий 0.9.7 и 0.9.6i, в которых проблема устранена.

>>> http://www.openssl.org/

anonymous

Проверено: green
Ответ на: комментарий от anonymous


> Это когда имя пользователя берется из сертификата.

Ты уверен, что такая схема используется для pop3?
Я не слышал. Обычный криптоканал и передача логин/пароль
в открытом виде.

anonymous
()
Ответ на: комментарий от anonymous

> Это когда имя пользователя берется из сертификата. 

>>Ты уверен, что такая схема используется для pop3? 
>>Я не слышал. Обычный криптоканал и передача логин/пароль 
>>в открытом виде.

Нет, не уверен. В моем представлении это как в авторизации
по ключу в SSH. Думаю, такая схема имеет преимущества и
при использовании с POP3.



anonymous
()
Ответ на: комментарий от anonymous

> А сколько годов этому DJB? 
>> Известно только, что в 1990-ом окончил университет

Окончил в смысле как ?

1) Завязал с преподавательской деятельностью.
2) Получил научную степень. 
3) Как студент ? тогда чего он лезет всех поучать?


anonymous
()
Ответ на: комментарий от anonymous


> 1) С точки зрения реализации компилятор (при его использовании) первичен.

Тут статистика еще суровей, чем для ОС: один баг раз в десять лет. Белый шум, короче.

> 2) Грамотная модель безопасности ОС может снизить
требования к безопасности софта во многих случаях.

И чего, будем сидеть ждать пока все ОС дотянутся до нужных
требований? Нужно быть немного реалистом. Если гора не идет
к Магомету...

> Много ли людей используют qmail в виде "то , что доктор прописал" т.е. без патчей ?

Много. Большинство. Я не исключение. Большой набор патчей
часто используются в составе различных rpm, типа "на все
случаи жизни", и их слепо используют в основном мало
подготовленные юзеры.

> Ведется ли статистика багов qmail'a с этими патчами ?

Я регулярно читаю почти все списки рассылки, связанные с
DJB-софтом уже несколько лет. Ни разу не слышал ни об одном
таком случае.

anonymous
()
Ответ на: комментарий от anonymous


> 3) Как студент ? тогда чего он лезет всех поучать?

Кажется это называлось post-graduate student.
Он остался в науке аспирантом, затем стал преподавать.

anonymous
()
Ответ на: комментарий от anonymous

> 2) Грамотная модель безопасности ОС может снизить 
>  требования к безопасности софта во многих случаях. 

>> И чего, будем сидеть ждать пока все ОС дотянутся до нужных 
>> требований? Нужно быть немного реалистом. Если гора не идет 
>> к Магомету... 

Конечно, ОС сложно быстро довести до ума. Проблемы дизайна
там всякие... о меня волнует то, что он не предоставил
средств выбора: Хочу ли я пользоваться его workaround`ами 
или использовать стандартные.


> Много ли людей используют qmail в виде "то , что доктор прописал" 
> т.е. без патчей ? 

>> Много. Большинство. Я не исключение. Большой набор патчей
>> часто используются в составе различных rpm, типа "на все
>> случаи жизни", и их слепо используют в основном мало
>> подготовленные юзеры. 

Хм.. Много ли работает без smtp-auth ?
Патчи для 2-го MX, Квоты ...

Плохо еще и то, что DJB не выпускает новых версий своего ПО.
Ведь он мог бы или брать эти патчи и реализовывать эту же 
функциональность сам. Все от этого только бы выиграли.


anonymous
()
Ответ на: комментарий от anonymous


> он не предоставил средств выбора

А должен? ;)

> или использовать стандартные

Что такое "стандартные", если он поддерживает десятки ОС?

> Много ли работает без smtp-auth

Многие. Данная фича не является абсолютно необходимой.
Провайдерам она не нужна, а остальные могут использовать
smtp своих провайдеров ;)

anonymous
()
Ответ на: комментарий от anonymous

> Кстати, а есть ли qmail в RedHat ? Вроде бы их не устраивает его лицензия...

anonymous
()
Ответ на: комментарий от anonymous


RedHat? А их волнует безопасность? Скорее они включат очередной
gui-конфигуратор. Их клиенты - не та публика. Не поймут.

anonymous
()
Ответ на: комментарий от anonymous

> он не предоставил средств выбора 

>>А должен? ;) 

Ну это было бы уважительно по отношению к пользователю.
Или как вариант - использовать autotools, etc

> или использовать стандартные 

>>Что такое "стандартные", если он поддерживает десятки ОС? 

Но ведь gcc (необходимый для компиляции) стандартен !
Под "стандартные" я имел  ввиду стандартные средства,
т.е. glibc

> Много ли работает без smtp-auth 


>> Многие. Данная фича не является абсолютно необходимой. 
>> Провайдерам она не нужна, а остальные могут использовать 
>> smtp своих провайдеров ;) 

Т.е. qmail все же выбор для дома, для семьи (возможно и лучший)
RELAYCLIENT="" или как там и полный вперед ?
Но вот без квоты - туго. Ради ее поддержки можно было бы
и 1.04 выпустить

anonymous
()
Ответ на: комментарий от anonymous

>RedHat? А их волнует безопасность? Скорее они включат очередной 
>gui-конфигуратор. Их клиенты - не та публика. Не поймут.

Хорошо. Тогда в каких дистрибутивах есть qmail.
И где он mta по умолчанию ?

anonymous
()
Ответ на: комментарий от anonymous


> Ну это было бы уважительно по отношению к пользователю.

Интересно. Годами поставлять кривые libc - это уважительно к
пользователю, а заменить кривизну на прямой код - это не
уважительно...

> Но ведь gcc (необходимый для компиляции) стандартен !
Под "стандартные" я имел ввиду стандартные средства,
т.е. glibc

Ай, не путай. glibc в линуксе. А кроме линукса есть еще пару
десятков разнообразных вариантов libc в различных юниксах.
Сделать маленькую, аккуратную библиотечку, которая работала
бы везде гораздо легче, чем разбираться с багами в десятках
реализаций libc.

> Т.е. qmail все же выбор для дома, для семьи (возможно и лучший) RELAYCLIENT="" или как там и полный вперед ?

RELAYCLIENT="контроллируемая_мной сетка". Это и для дома, и
для семьи, и для фирмы, и для большого провайдера.

> Но вот без квоты - туго.

А квоты реализуются другим способом - через отдельную прогу,
которая вызывается из .qmail-bla и проверяет что душе угодно,
хоть фазу луны. Если полнолуние - то принимаем, если нет,
то посылаенм всех нафиг ;) В том-то весь и кайф: qmail -
невероятно гибкая программа.


anonymous
()
Ответ на: комментарий от anonymous


> в каких дистрибутивах есть qmail

Здесь уже говорилось - Gentoo.
Далее, On&Play Server (http://ops.iip.net/),
Multilinux (http://multilinux.sakh.com/),
ваш любимый АльтЛинукс (Castle).

> И где он mta по умолчанию ?

Да везде. где админ знает толк в безопасности ;)

anonymous
()
Ответ на: комментарий от anonymous

> Но вот без квоты - туго. 

>> А квоты реализуются другим способом - через отдельную прогу, 
>> которая вызывается из .qmail-bla и проверяет что душе угодно,
>> хоть фазу луны. Если полнолуние - то принимаем, если нет, 
>> то посылаенм всех нафиг ;) В том-то весь и кайф: qmail -
>> невероятно гибкая программа. 

А разьве .qmail файлы обрабатываются не qmail-local ?
Если да, то это происходит после извлечения письма
из очереди (т.е. письмо уже принято).
Как же тогда реализовать квоту на размер принимаемого
письма ?


anonymous
()
Ответ на: комментарий от anonymous

> в каких дистрибутивах есть qmail

>> Здесь уже говорилось - Gentoo. >> Далее, On&Play Server (http://ops.iip.net/), >> Multilinux (http://multilinux.sakh.com/), >> ваш любимый АльтЛинукс (Castle).

Спасибо. Но вот АльтЛинукс я не люблю (может зря ?)

anonymous
()
Ответ на: комментарий от anonymous

>> 1) С точки зрения реализации компилятор (при его использовании) первичен.

> Тут статистика еще суровей, чем для ОС: один баг раз в десять лет. Белый шум, короче.

А вы тьюринговскую лекцию Кена Томпсона читали? Почитайте ради интереса. Он серьезность проблемы хорошо осознавал.

И надо понимать, что преднамеренная закладка - это не баг.

lukin
()
Ответ на: комментарий от anonymous

anonymous (*) (2003-02-26 13:47:37.821)
> Как же тогда реализовать квоту на размер принимаемого
> письма ?

/var/qmail/control/databytes

И все. ;-)

silverwing
()

> Как же тогда реализовать квоту на размер принимаемого
> письма 
Если ты о максимальном размере письма, то это в control/databytes
Он используется qmail-smtpd

anonymous
()
Ответ на: комментарий от anonymous

Не для флейму: И вообще связка "QMAIL + FETCHMAIL" рулит! ;-)
У нас все дружественные конторы на ней завязаны. Проблем нет.

silverwing
()

Добрый день

Проглядывал я эту дискуссию и однако не выдержал.

Просто дети малые, студенты красноглазые - диплом у них у бедных не котируются - сказать вам почему:

А не признаётся диплом только по одной причине - чтобы платить МЕНЬШЕ - другой причины нет. Так что все эти наскоки на российское образование является ни чем иным как обычным гнилым базаром.

Без всякого уважения к красноглазикам (наконец-то я понял кто это такие).

С уважением Евгений

Evgueni ★★★★★
()
Ответ на: комментарий от silverwing

> Как же тогда реализовать квоту на размер принимаемого 
> письма ? 

>> /var/qmail/control/databytes 

>> И все. ;-) 

Все то все, но без ранжирования по сетевому адресу отправителя

anonymous
()
Ответ на: комментарий от silverwing

> Не для флейму: И вообще связка "QMAIL + FETCHMAIL" рулит! ;-)
> У нас все дружественные конторы на ней завязаны. Проблем нет. 

Ты не из "Доминион " ?

anonymous
()

интересно а чем постфикса вам не угодил?

anonymous
()

классно у вас получается. обсуждение баги в openssl плавно перетекло к обсуждение достоинств и недостатков конкретного mta.

anonymous
()

про Gentoo зря, нету там никакого qmail-а, он есть в портреджах, а это уже немного другое... те кто имел дело с генту знают что там (в портреджах) есть практически все программы для линуха начиная от поделки какого нить васи пупкина кончая всевозможными офисными пакетами.

P.S. я использую postfix, qmail гадость такую никогда не поставлю, про админов которые о безопастности заботятся ставя кумайл, им лучше провод сетевой выдрать... так секурней будет.

dicks
()

2 Evgueni

Диплом об образовании -- это гарантия качества подготовки специалиста. Т.е. того, что он обладает теоритическими знаниями и практическими навыками для выполнения работы по специальности. Насколько я знаю, ни один из нынешних российских государственных ВУЗов непосредственно не может этого гарантировать. Выпускаться даже из ведущих вузов могут полные олухи, неспособные работать по специальности. В цивилизованных странах уровень заведения гарантирует качество подготовки. Так что... наши дипломы -- это полный фуфел исходя из формальных требований. Да и вобще, российское высшее образование за последнее время уже практически полностью обесценено. Конечно, существуют косвенные признаки, которые позволяют выделить выпускников ЛГУ, МГУ, МФТИ, и других "ведущих". Но всё таки...

anonymous
()

А чего вы накинулись на djb с его записками?
Себя на его место поставьте и представьте что вы в какую-нибудь Колумбию приехали
Что вы о ней знаете - что там наркомафия и все поголовно кокаин делают?
А между прочим вполне себе была страна, пока из нее те же янки банановую республику не сделали.
Маркеса например почитайте (тоже между прочим колумбиец), в 100 лет одиночества очень хорошо описано как это делалось.
Параллели с сегодняшней Россией очень даже просматриваются - только у нас не банановая а нефте-газовая республика
Рецепт то простой - развести компрадорскую буржуазию которая живет на экспорте какого-нибудь сырья
(бананы или нефть как у нас). Все остальное загибается само тк не может конкурировать по прибыльности с этим бизнесом.
Из культуры остается только то что соответствует уровню этой самой буржуазии
(музыку они же заказывают). Так что ничего удивительного что у нас столько приблатненных шансонье развелось,
сериал Бригада в прйм тайм по телеку крутят и лужковские прянишные домики по всей Москве строят
Ну а Петергофские фонтаны - это уже все равно что пирамиды для Египта-
так - туристская достопримечательность не больше, тк к сегодняшней культуре уже никакого отношения не имеет

geekkoo

anonymous
()
Ответ на: комментарий от anonymous

Сравнил Россию с Колумбией. Вот смех. У нас есть ИСТОРИЯ.

anonymous
()
Ответ на: комментарий от anonymous

>классно у вас получается. обсуждение баги в openssl плавно перетекло к обсуждение достоинств и недостатков конкретного mta.

Ерунда. Главное - попали в top 10.

anonymous
()

"Сравнил Россию с Колумбией. Вот смех. У нас есть ИСТОРИЯ."

История есть у любого государства. Отдельные вехи нашей Российской истории, а так же сегодняшняя ситуация (грубо говоря, последние 100 лет) -- это не то, чем можно гордиться.

anonymous
()

А это смотря что ИСТОРИЕЙ считать. Если историю Колумбии от каких-нибудь майя отсчитывать
то у них ее даже побольше будет.
А наша история она как история Египта - если их историю от фараонов отсчитывать
то получится что истории Египта (страны) 4000 лет. Другое дело что к стране Египту эта истрия никакого отношения не имеет, а начинается она где-то в 10 веке нэ когда арабы кочевники в тех местах осели.

geekkoo

anonymous
()
Ответ на: комментарий от anonymous


> А разьве .qmail файлы обрабатываются не qmail-local ?
Если да, то это происходит после извлечения письма
из очереди (т.е. письмо уже принято).

Какая проблема?

$ cat .qmail-default
bouncesaying User_Quota_Exceeded checkquota.sh

Приняли, проверили квоту, сделали баунс. Юзер ничего не получил.

anonymous
()
Ответ на: комментарий от anonymous


> сегодняшняя ситуация (грубо говоря, последние 100 лет) -- это не то, чем можно гордиться.

Чем тебе не нравится 100 лет назад? А 90? 1913-ый один из
лучших годов по всем показателям. Вот 1917-ый - это да. Предки
того же Бернштейна поставили страну на колени. А сейчас их
праправнук - цивилизованное быдло - воротит нос.

anonymous
()

é ÐÒ×ÉÌØÎÏ ÄÅÌÁÅÔ.

anonymous
()
Ответ на: комментарий от anonymous

> А разьве .qmail файлы обрабатываются не qmail-local ? 
>Если да, то это происходит после извлечения письма 
>из очереди (т.е. письмо уже принято). 

>>Какая проблема? 

>>$ cat .qmail-default 
>>bouncesaying User_Quota_Exceeded checkquota.sh 

>>Приняли, проверили квоту, сделали баунс. Юзер ничего не получил

Ключевое слово - ПРИНЯЛИ.
Все верно: юзер не получил. Зато сервер  получил .
А теперь представь что кто-то пошлет файл очень больного размера.
Диск - засорился. Никчемный траффик - оплатился.

anonymous
()

Зато Сталин потом всех поднял с колен:))

anonymous
()
Ответ на: комментарий от anonymous


> Ключевое слово - ПРИНЯЛИ.
Все верно: юзер не получил. Зато сервер получил .

Пример 1
Квота на максимальный размер письма - 2мб. Квота юзера - 10мб.
Занято 9мб. осталось 1мб. Шлют письмо 3мб.
В любом случае любой сервер принимает 1-ый мегабайт.
qmail принимает второй и обрубает связь с сообщением о превышении максимального размера письма.

Пример 2
Все то же самое, но шлют письмо размером 1,5мб. qmail принимает их полностью, пытается передать в ящик пользователя, но срабатывает проверка на превышение квоты. Письмо заворачивается отправителю.

> А теперь представь что кто-то пошлет файл очень больного размера.

В моем привере в любом случае qmail больше 2мб не пропустит.

> Диск - засорился. Никчемный траффик - оплатился

Неверно. В обоих случаях ничего на диске не сохраняется.

anonymous
()

Встряну:

>Неверно. В обоих случаях ничего на диске не сохраняется.

Ага. Трафик на диске не сохранился, это точно. Зато посчитался.

Бывают случаи, когда опрделенному юзеру нужно установить лимит в 10 и более Мб, остальным примерно по 1 Мб.
И как то будет в qmail? Общий лимит выставить в 10Мб и отрубать после принятия? Нах-нах.

anonymous
()

Диплом - это просто бумажка, которой можно подтереться, а гарантии может дать только страховая компания (да и то, если ей судом пригрозить, да и то, если на суд денег хватит). Причина по которой люди не подтираются дипломами заключается только в том, что при поступлении на работу с этой бумажкой им платят больше денег.

А если какой-то убогий будет и так работать, то положить на его диплом. С точки зрения России это даже хорошо, что ситуация именно такая - лапухи разъедутся.

Evgueni ★★★★★
()
Ответ на: комментарий от anonymous

>>В моем привере в любом случае qmail больше 2мб не пропустит. 

> Диск - засорился. Никчемный траффик - оплатился 

>>Неверно. В обоих случаях ничего на диске не сохраняется. 

То есть при приеме сообщения оно сидит в памяти а потом 
(если квота не нарушена) переправляется в mailbox/maildir ?
Хм. А что же тогда делает qmail-queue ? Зачем очередь сообщений ?
Если при приеме писем qmail пользует память вместо
диска - тем хуже для qmail'а.

P.S. Про существование swap'а я знаю.


anonymous
()
Ответ на: комментарий от anonymous


> Бывают случаи, когда опрделенному юзеру нужно установить лимит в 10 и более Мб, остальным примерно по 1 Мб.

А как ведет себя твой MTA? Кстати, чем ты пользуешься?
Лично мне вообще чихать на квоты. У меня юзеры платят за
перерасход диска ;) Ну и потом, никто из-за бугра большие
письма не шлет, а российский трафик у меня бесплатен.

anonymous
()
Ответ на: комментарий от anonymous


> То есть при приеме сообщения оно сидит в памяти а потом

C чего это вдруг? Он четко ложится на диск, причем с
синхронизацией и лежит там короткое время, пока баунс не
пройдет. Затем сразу удаляется.

> P.S. Про существование swap'а я знаю.

Н-да. Это уже прогресс.

anonymous
()
Ответ на: комментарий от anonymous

> То есть при приеме сообщения оно сидит в памяти а потом 

>>C чего это вдруг? Он четко ложится на диск, причем с 
>>синхронизацией и лежит там короткое время, пока баунс не 
>>пройдет. Затем сразу удаляется. 

С того, что: "Неверно. В обоих случаях ничего
              на диске не сохраняется. "

Таким образом, диск все же засоряется (хоть и коротковременно),
никчемный траффик - оплачивается (надеюсь что хоть bounce не
содержит оригинального письма полностью, иначе - в 2-м размере)
Т.е. проблема без патча не рещается Ч.Т.Д.

> P.S. Про существование swap'а я знаю. 
>>Н-да. Это уже прогресс.

А ты думал !!!

anonymous
()
Ответ на: комментарий от anonymous


> засоряется (хоть и коротковременно),

Слово дурацкое - засоряется.
touch /tmp/bla; sleep 1; rm /tmp/bla
Наделал - подтерся - убрал. Остается первозданная чистота.

anonymous
()


2anonymous (*) (2003-02-27 10:55:56.252)

Ты кажется опять все перепутал. Патч для квот есть, только он
делает совсем не то, о чем ты говоришь. Он работает в паре с
системной дисковой квотой. Короче, rtfm'ится тебе надо по полной программе.

anonymous
()
Ответ на: комментарий от anonymous

>Ты кажется опять все перепутал. Патч для квот есть, только он
>делает совсем не то, о чем ты говоришь.

Ага. Все-таки нужен патч. Как я ранее и говорил

> Он работает в паре с 
>системной дисковой квотой.

А я и не говорю, что его нет. Я говорю что он НУЖЕН.
Просто тут некие братья-анонимусы утверждали, что в
qmail все гибко (т.е. патчи не нужны).
Нужны ли патчи qmail'у на самом деле ?
Влияют ли они на секьюрность ?
Думаю, с этим все ясно.

>Короче, rtfm'ится тебе надо по полной 
>программе

Не мне, а DJB.

ИТОГ:
Ждать замены OpenSSL от DJB
не надо, ибо его подход к секьюрности устроит не всех.
А программа "Hello world" - самая безопасная.
Жаль только, что ничего полезного она не делает.

anonymous
()
Ответ на: комментарий от anonymous

>>>Выпускаться даже из ведущих вузов могут полные олухи, неспособные работать по специальности. В цивилизованных странах уровень заведения гарантирует качество подготовки.

Хе... Вы на Буша посмотрите. И потом, вы уверены что выпускник университета "цивилизованной страны" свой диплом получил за знания, а не потому, что он за сборную университета по футболу играл?

geekkoo

anonymous
()
Ответ на: комментарий от anonymous

>Хе... Вы на Буша посмотрите. И потом, вы уверены что выпускник
>университета "цивилизованной страны" свой диплом получил за знания, а
>не потому, что он за сборную университета по футболу играл? 

Ура. Мои мысли пошли в народ. Спустя n-e кол-во мессаг.


Усе. КОНСЕНСУС.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.