forum.opennet.ru

"Критическая уязвимость в OpenSSL 1.1.0a"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Критическая уязвимость в OpenSSL 1.1.0a"	+3 +/–
Сообщение от KonstantinB (ok), 27-Сен-16, 02:34
Разве что теоретически - если вообще всё на нем вообще переписать, не используя unsafe-функции и raw pointers. На практике малореализуемо. Вот что на практике реализуемо - так это использовать инструменты статического и динамического анализа и придерживаться единого стиля. Большинство проблем с openssl - следствие исторически сложившейся запутанности его кода и отсутствия этих самых best practices: когда ответственность за выделение/освобождение памяти разнесена как попало, подобные ошибки просто неизбежны. Форки типа libressl как раз это и пытаются решить.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в OpenSSL 1.1.0a, opennews, 26-Сен-16, 17:46 [смотреть все]

Почему в критически важных программах до сих пор используют указатели, а не пров, iZEN, 26-Сен-16, 17:46 (1) //
- Потому что в критически важных программах особенно в криптографии критически в, Аноним, 26-Сен-16, 17:54 (4) //
  - Как использование ссылок вместо указателей влияет на производительность , Аноним, 26-Сен-16, 18:25 (5) //
    - Ты дурак OpenSSL написан на С, откуда там ссылки , Аноним, 26-Сен-16, 18:57 (12)
  - Но в Go как-то решили обе эти проблемы Или нет http golang-book ru chapter-08, iZEN, 27-Сен-16, 00:46 (40) //
    - http benchmarksgame alioth debian org u64q compare php lang go lang2 gcc, angra, 27-Сен-16, 02:37 (49)
      - Результат предсказуем прежде всего из-за слабенького по сравнению с GCC оптими, Led, 27-Сен-16, 03:00 (51)
        
        Если ты оптимизируешь проверки границ массивов - тормозить, конечно, перестанет,, Аноним, 27-Сен-16, 11:58 (68)
        
        Вы еще расскажите, что проверки границ достаточно крупных массивов обязятельно д, Аноним84701, 27-Сен-16, 14:31 (76)
        
        Нет, не гладиолус, а по причине того, что проверка выполняется при каждой операц, angra, 27-Сен-16, 23:38 (97)
        
        При последовательном обходе, копировании в из и т д mprotect , PROT_NONE на , Аноним84701, 28-Сен-16, 00:47 (99)
        
        Массивы чаще всего используются так a i или так a i , то есть читается , angra, 28-Сен-16, 02:15 (100)
        
        Нет Нужна проверка адреса на валидность перед циклом и ширины шага в самом цикл, Аноним84701, 28-Сен-16, 14:33 (105)
        
        for i 0 i n i if smth i m a i a i-1 a i-2 b i f a i Вот тебе, angra, 29-Сен-16, 01:34 (107)
        Ну-ну 1 То, что вариант с smth true a -1 a -2 failможно, совершен, Аноним84701, 29-Сен-16, 03:35 (108)
      - Хороший результат у Go Даже в таком виде , Аноним, 27-Сен-16, 10:23 (61)
        
        Хороший, не спорю, но Изя то говорил про полное решение проблем с производительн, angra, 27-Сен-16, 10:49 (65)
- Потому что C - это религия , Аноним, 26-Сен-16, 18:25 (6) //
  - Никогда не считал себя религиозным фанатиком, но ты мне не нравишься ушёл соби, Какаянахренразница, 27-Сен-16, 03:06 (53)
- OpenSSL написан на сишечке, там ссылок нет, Аноним, 26-Сен-16, 18:26 (7)
- Проверяемые кем Висячие ссылки не менее реальны, чем висячие указатели И потом, Аноним, 26-Сен-16, 18:28 (8) //
  - Он даже в джаве теоретик, что перед ним бисер метать , Аноним, 26-Сен-16, 19:42 (15)
- Потому, что ссылка, указатель и адрес в памяти есть тождественные синонимы одног, КО, 26-Сен-16, 22:51 (27)
- Потому что ссылки это C , а тупoрылые ретрограды которые пишут OpenSSL, и, кста, Аноним, 27-Сен-16, 00:01 (32) //
  - Как же всё-таки безнадёжно выглядят вот такие организмы, почему-то не берущие во, Michael Shigorin, 27-Сен-16, 00:11 (37) //
    - да куеватуча бест практис по секурному кодингу на сях, видать никто не читает, п, Sw00p aka Jerom, 27-Сен-16, 01:34 (43)
      - есть еще копипейст и очепятки, причём во всех языках , труляляй, 27-Сен-16, 10:46 (63)
      - А можно ссылочку , аноним2, 27-Сен-16, 15:28 (82)
        
        Гугл помощь, или примеру на cert org посмотри, там есть книжка по secure codin, Sw00p aka Jerom, 27-Сен-16, 21:21 (94)
    - Так я на C пишу И что-то дырок в моих проектах каждый день по десятку не нахо, Аноним, 28-Сен-16, 11:02 (102)
      - Джо, но где же Ваша реализация SSL-библиотеки Может быть Только что-то уже пов, Michael Shigorin, 28-Сен-16, 11:41 (103)
  - А уж генетический код то какой устаревший Все эти ДНК,РНК и т д УЖАСТЬ КАКО, невидимка, 27-Сен-16, 11:45 (67)
Фак Ну сколько можно так косячить , Онаним, 26-Сен-16, 17:47 (2) //
- Если не будет постоянных багов - программисты останутся без работы Это как с по, Аноним, 26-Сен-16, 21:14 (18) //
  - Вы так говорите, будто это что-то плохое , scor, 26-Сен-16, 23:21 (28)
  - ага и касперский пишет вирусы , Sw00p aka Jerom, 27-Сен-16, 01:36 (44) //
    - fix, Аноним, 29-Сен-16, 04:31 (109)
  - Создавать новые программы для тебя не вариант Предпочитаешь паразитировать на и, angra, 27-Сен-16, 02:32 (46) //
    - Для меня - вполне себе вариант Я говорил о сишниках и об их деятельности по мно, Сторонник прогресса, 27-Сен-16, 02:50 (50)
      - Как для маковода - вполне предсказуемые действия , Led, 27-Сен-16, 03:01 (52)
      - То ли дело Java программисты Только вперёд Если класс, то только с новой функци, curious, 27-Сен-16, 10:23 (60)
        
        К чему это или о чем , мда, 27-Сен-16, 14:31 (77)
        Не удержался , Аноним, 29-Сен-16, 08:45 (110)
      - То есть с точки зрения эльфа баги есть только в Сишных программах На php, где н, angra, 27-Сен-16, 10:47 (64)
        
        На пыхе баги в основном касаются бизнес-логики А на сишечке -- бизнес-логика , Аноним, 27-Сен-16, 12:00 (69)
        
        И много sql injections или csrf бывает в I бузинес-логике I всяких joomla с p, Michael Shigorin, 27-Сен-16, 12:23 (70)
        
        Причина ошибок что с sql-инъекциями, что со stack overflow, одна и та же невним, Аноним, 27-Сен-16, 13:18 (71)
        
        Ура Ну вот, опять сказки пошли Да-да, неломающиеся и неглючащие роботы, которы, Michael Shigorin, 27-Сен-16, 13:33 (72)
        
        Повсеместное использование query-build-еров и подстановок - сказка Отнюдь Пыхе, Аноним, 27-Сен-16, 13:48 (73)
        
        Разница между распространением и гарантией понятна Так-то и сишные функции раб, Michael Shigorin, 27-Сен-16, 13:58 (75)
        
        Слишком жЫрно Те же prepared statements появились в рен-знает-каком году В пых, Аноним84701, 27-Сен-16, 13:55 (74)
        Они уже умные и заранее работают с ДОСТАТОЧНОЙ эффективностью Работа как видите, Аноним, 27-Сен-16, 15:21 (79)
        
        Работа полицейских в плане противодействия преступности могла бы закончиться, ес, Michael Shigorin, 27-Сен-16, 15:27 (81)
        
        В моём районе есть кирпич и водители постоянно под него едут, и полицейские прие, Аноним, 27-Сен-16, 15:49 (84)
        
        Выясните, кто занимается выставлением дорожных знаков кажется, в моём аналогичн, Michael Shigorin, 27-Сен-16, 17:53 (89)
        
        Станислав Лем Звездные дневники Ийона Тихого Путешествие двадцать четвертое, Аноним, 27-Сен-16, 16:28 (85)
        
        Там не люди что до, что после гармонизации PS но всяко спасибо , Michael Shigorin, 27-Сен-16, 20:06 (93)
        
        Спасибо, посмеялся Обучаемость основной массы пыхеров это просто пять с плюсом,, angra, 27-Сен-16, 23:58 (98)
        Может случиться в любой программе на любом языке, от незнания криворукости устал, Аноним, 29-Сен-16, 08:47 (111)
- В следующих сериях нашего сериальчика Вы также увидите рассказы клоунов нашего с, Andrey Mitrofanov, 28-Сен-16, 14:53 (106)
Всем разрабам срочно нобелевскую премию за успешные попытки сделать IT мир не оч, rt, 26-Сен-16, 17:49 (3)
Кто там в соседней теме про ха-ха писал , KM, 26-Сен-16, 18:47 (9) //
- Да тут и http www opennet ru openforum vsluhforumID3 109194 html 3 спрашивали , Michael Shigorin, 26-Сен-16, 19:24 (14) //
  - Ну а куда без неё , KM, 26-Сен-16, 22:28 (26)
Еще один факт, доказывающий что в OpenSSL некомпетентные люди пилят Вообще Open, eRIC, 26-Сен-16, 18:50 (10) //
- с ситемой то будет поставляться либра, а вот половина софта из портов пакетов , Sw00p aka Jerom, 27-Сен-16, 01:38 (45) //
  - согласен, но со временем и софт с портов начнет внедрять поддержку LibreSSL , eRIC, 27-Сен-16, 07:01 (56)
  - половина в OpenBSD я недавно насчитал 6 штук или 5 причём половина из них - и, бедный буратино, 27-Сен-16, 07:05 (57)
- Void Linux как раз на либре , kachsheev, 27-Сен-16, 03:25 (54)
Шикарная формулировка This security update addresses issues that were caused b, YetAnotherOnanym, 26-Сен-16, 18:52 (11)
ну классика - В релизе X было исправленно Y ошибок Просто о том, сколько при , ALex_hha, 26-Сен-16, 19:06 (13)
Нужен еще один аудит, а потом заставить всех опеннетчиков читать код или делать, Аноним, 26-Сен-16, 21:26 (20) //
- Аноним - не читатель, аноним - писатель - , KonstantinB, 26-Сен-16, 21:48 (25) //
  - Пусть эти, как их зарегистрированные читют , Andrey Mitrofanov, 27-Сен-16, 10:39 (62)
Буратино тоже использует OpenSSL , Аноним, 26-Сен-16, 23:31 (29) //
- Интересно, с чего вдруг такое предположение, если ББ сидит на OpenBSD, где Libre, Аноним, 26-Сен-16, 23:43 (30) //
  - уже выпустили, за примерное поведениесва-бо-ду бу-ра-ти-нам , бедный буратино, 27-Сен-16, 01:22 (42)
Снова, опять , Аноним, 27-Сен-16, 08:19 (58)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру