| 1.1, anonymous (??), 00:22, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +4 +/– |
Что плохого в ASN.1, если это тот ASN.1? Как раз-таки новые API будут явно хуже... А переносимость - взять либу из net-snmp и норм. Ну, виндyзятникoв не считаем, они должны cтрадaть.
| | |
| |
| 2.2, Аноним (-), 00:29, 13/04/2014 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –4 +/– |
Оно и видно - у openssl замечательное API. Правда, секурно им пользоваться никто толком не может, и в каждой первой программе можно найти дюжину различных продолбов, за редким исключением.
| | |
| |
| |
| 4.10, Аноним (-), 02:38, 13/04/2014 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +7 +/– | |
> OpenSSL — грязная лапша, подлежащая рефакторингу.
Для начала отреFUCKторить надо TLS. В том виде каком оно сейчас - это хрен с два кто сможет секурно использовать.
> Под шланг с нуля.
Вроде для грибочков еще рано. А у вас вроде уже сезон.
| | |
|
|
|
| |
| 2.17, Аноним (-), 08:09, 13/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
ну как-бы, ЦРУ-шная(а точнее - у них есть совместное агенство, вместе с DoS, DoC в плане "информационного доминирования", которое пилит все эти инвестпрограммы :).
| | |
| 2.24, YetAnotherOnanym (ok), 12:35, 13/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +4 +/– |
 > Ну будем надеяться, что компания из США - Akamai, не очередная АНБшная
> компания-прослойка.
> В противном случае, будет уже совсем весело :)
Поставьте себя на место сотрудника АНБ и подумайте - можете Вы позволить такой организации как Akamai (и любой другой CDN) не быть под Вашим колпаком?
| | |
| |
| 3.43, Elhana (ok), 05:58, 14/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
 Причем тут Theo и спасиб? OpenSSL в отличие от OpenSSH это не проект OpenBSD, хотя по названию и кажется что их. Если бы OpenSSL был их кодом, то там не было бы никаких костылей вида OPENSSL_malloc.
Он спасибо за OpenSSH хочет и вопрос про баг риторический: Если бы мы объявили о баге в OpenSSH, как хреново бы стало интернетам, учитывая что он установлен почти везде?
Это намек на донат, т.к. похоже они бабло на год собрали и все успокоились и денежку подкидывать перестали.
| | |
|
| 2.62, _yurkis_ (ok), 10:00, 15/04/2014 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
 >Ну будем надеяться, что компания из США - Akamai, не очередная АНБшная компания-прослойка.
В противном случае, будет уже совсем весело :)
Блин, там же патч лежит. Небольшой, кстати. А глазами посмотреть? Нет, я понимаю что если Вы не параноик это не значит что за Вами не следят. Но там не заумная криптоматематика а обычный алокатор памяти!
| | |
|
| 1.5, Аноним (-), 00:50, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
ха, один из крупнейших инвестпроектов ODNI, наряду с Фэйсбуком - выдвигает инициативы в области ИТ-безопасности ? ха !
впрочем от АНБ-то патчи и "рекомендации" - принимали. пока не оценили ущерб от.
| | |
| 1.12, Аноним (-), 03:18, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +4 +/– |
какой-то бред. Единственный способ более-менее защититься это хранить ключи в отдельном процессе, а в рабочем держать только некие производные данные (например, временные симметричные ключи) через которые нельзя восстановить сами сертификаты.
| | |
| |
| |
| 3.29, Аноним (-), 13:49, 13/04/2014 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
К сожалению, для https он требуется постоянно. Все, что можно - и так затирается (если где-то не затирается - срочно присылай патч).
С выносом в отдельный процесс - вполне рабочее решение, хотя на хайлоаде оверхед на IPC может оказаться существенным. Решение Akamai этого оверхеда не имеет. Выглядит грязным хаком, каким и является - но это можно допилить, сделав человеческое api для специальной аллокации.
| | |
| |
| 4.34, Аноним (-), 18:13, 13/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
решение от Akamai это обряд (~ нужно срочно что-то сделать.. сделали, отлично, мы хорошо поработали, всё теперь должно быть хорошо и можно успокоиться), который ничего принципально не решает.
| | |
| |
| 5.63, _yurkis_ (ok), 10:01, 15/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
> решение от Akamai это обряд (~ нужно срочно что-то сделать.. сделали, отлично,
> мы хорошо поработали, всё теперь должно быть хорошо и можно успокоиться),
> который ничего принципально не решает.
Полная безопасность это вариант сферического коня в вакууме.
| | |
|
|
|
|
| 1.15, maxis11 (ok), 04:39, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 > "Yes, rats. My message implied that we do that. And I then posted the wrong version of the code. :("
Ну что за ... Они там (разрабы в Akamai) кажись не умеют пользоваться системой контроля версий.
| | |
| 1.19, Александр Патраков (?), 10:46, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Ну и зачем это сделано?
От утечки чужих Cookies это бы не защитило, так как особая схема распределения памяти применяется только к закрытому ключу. И, как любая другая нестандартная схема распределения памяти, это сводит эффективность valgrind'а и встроенных в ОС средств защиты к нулю.
| | |
| 1.36, Xasd (ok), 18:16, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– |
 > При этом, если бы подобная технология была добавлена в OpenSSL раньше, она бы позволила избежать утечки закрытых ключей из памяти
идиоты...
взлом потенциально позволил извлечь ДЕЙСТВИТЕЛЬНО важные данные, а не только ключи OpenSSL.
кому эти ключи OpenSSL, нужны если взломщик смог добраться до всей памяти обрабатывающего процесса.
| | |
| |
| |
| 3.40, Аноним (-), 00:22, 14/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
> Не всей памяти, а только окна в 64К
Но даже там порой находится что-то интересное. При том на вопрос "а какого хрена у вас тут вообще пользовательские пароли в памяти висят?" большинство каналий тихо ныкаются в кусты. Потому что они тут "соединение шифровали".
| | |
| |
| |
| |
| 6.53, Xaionaro (ok), 13:28, 14/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 > Никакой. Какая нахрен разница, уведут у тебя пароль или хэш его?
9452-проходный SHA512-хеш с солью, смещениями и другими защитами неплохо повышает технические средства необходимые для получения исходного пароля.
Да и к тому же даёт некоторое время на смену паролей, если произошла утечка, даже если злоумышленник имеет доступ к серьёзным кластерам.
Да и вообще, чего я капитаню? Для вас действительно нет разницы увели у вас пароль или лишь хеш от него?
| | |
| |
| 7.55, Аноним (-), 15:44, 14/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| –1 +/– |
Мы все еще говорим про web? Нафик ему твой пароль, если он может перехватить и отослать его хэш? А ты потом будешь долбиться в саппорт, сльозно умоляя вернуть угнанный аккаунт и рассказывать им про соли и смещения. К сожалению, они вряд ли посоветуют тебе засунуть их вместе с твоим супер-пупер-паролем туда, куда не светит солнце. А жаль.
| | |
|
|
|
|
|
|
| 1.38, Аноним (-), 20:36, 13/04/2014 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
Казалось бы, там, в аллокаторе нужно было сделать обнуление выделенной памяти. Нет, городят какую то чушь.
Не, я понимаю, обнулять память по каждому чиху - производительность просядет, ХайЛоад негодуэ?
| | |
| |
| |
| |
| 4.66, Аноним (-), 01:09, 16/04/2014 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
начало начала начал, если быть точным.
linux - начинался с написания "драйвера к minix".
так у Амазон - еще все впереди.
и про ИБ книжки почитают и про софтверный инжиринг, все будет, но судя по всему - нескоро.
| | |
|
|
|
|
