- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Akkor most mit célszerű használni? Ezt, vagy valamelyik forkját?
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Mivel ez most per pillanat abandonware,
az audit soran feltart hianyossagokat mar csak valamelyik forkban javithatjak (Veracrypt?).
Amit talaltak szerintem nem is igazan bug, hanem csak rizikofaktor.
2 dolgot emlit a cikk:
1. kulcsgeneralasnal ha a windows crypto api lehal, es hibauzenetet ad vissza, Truecrypt csinalja tovabb a kulcsot, mintha mise tortent volna. Tekintve, hogy nem csak az az egy az entropiaforras (hanem pl. az egerpointer is), igy a kulcs elegge megbizhato igy is, de nem annyira, mintha a crypto API altal entropiat is figyelembe vettek volna.
A problema mindosszesen annyi volt, hogy errol a user nem kap semmifele visszajelzest.
2. Minimalis race condition van ha timing attack alatt van a program, de igazabol ennek csak
akkor van jelentosege, hogyha a tamado is be van jelentkezve a gepedre, vagy pedig egy gepet tobben hasznaltok egyidoben.
De ami a legfontosabb: nem talaltak semmi durva hibat, es egy igazi gyongyszem volt a program.
Megjegyzes 2: a forkok ugye licenszt sertenek, de mivel a Truecrypt fejlesztoi eltuntek,
igy nincs aki ervenyesitse a licenszsertessel kapcsolatos jogokat.
Megjegyes 3: Szerintem pont az tortent, ami a Darkmail fo fejlesztojet is erintette:
bekopogtak hozza csunya emberek, es generaltak neki(k) egy eleg komoly ugyvedi koltseget.
Igy ahelyett, hogy backdoort tettek volna a programba, inkabb azt mondtak, hogy vigye aki akarja, es feltettek a kezuket (pont, mint ami Ladar Levison eseteben is tortent).
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
> az audit soran feltart hianyossagokat mar csak valamelyik forkban javithatjak (Veracrypt?).
Eegen, csak ugye megint itt jön a kérdés, hogy egy újabb audit kört igényelne, hogy kiderüljön, változtattak-e valamit a forkokban. Sajnos az infosecben nagy divat a szopóálarc. :(
- A hozzászóláshoz be kell jelentkezni
Igen, pont ez a lényeg. Oké, a Truecrypt-et átnézték, _elvileg_ rendben van. Viszont nem fejlesztik. A forkokat fejlesztik (már ahogy), viszont arra nincs audit. Vagy vegyünk nekik Audit? :)
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Eegen, csak ugye megint itt jön a kérdés, hogy egy újabb audit kört igényelne, hogy kiderüljön, változtattak-e valamit a forkokban.
Atfogalmazva: Vajon egy szoftver valaha is elkeszulhet? Lehet a vegen egyet auditalni, atkotni masnival, es betenni egy fiokba?
Egyebkent ebbol a szempontbol tok mindegy, hogy fork vagy nem, vagy az eredetit fejlesztik tovabb.
Konkretan, ha egy git commit-ra lenne az audit, ugyanigy jarnank, hogy az utana levo fejlesztesre nincs audit.
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
- A hozzászóláshoz be kell jelentkezni
+1
Az audit általában egy pillanatnyi állapotot néz. Tfh egy tökéletes világban élünk, és az audit megbízható (amúgy nem feltétlenül), még akkor is a következő release automatikusan "elrontja" a megbízhatóságot.
Így aztán marad az a megoldás, hogy éves/stb. audit, aztán két audit között meg reméljük a legjobbakat.
- A hozzászóláshoz be kell jelentkezni
NSA ftw
- A hozzászóláshoz be kell jelentkezni
ahova te keyloggert telepitettel az elozo munkahelyeden, ott sem segitett volna sokat...
--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)
- A hozzászóláshoz be kell jelentkezni
Lemaradtunk valamiről?
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
ne ram nezz, o mondta ...
--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)
- A hozzászóláshoz be kell jelentkezni
Van erre valami linked is?
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
exchange adatok mentese: http://hup.hu/node/119701#comment-1586657
--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)
- A hozzászóláshoz be kell jelentkezni
Gabu, te vagy az? :)
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
ja. A linken szereplo suttyosag annyira beegett a retinamba, hogy nehez elfeledni...
--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)
- A hozzászóláshoz be kell jelentkezni
A te gépedre is sikerült már egyet felrakni azóta muhhehehe
- A hozzászóláshoz be kell jelentkezni
sssst
- A hozzászóláshoz be kell jelentkezni
omf...
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni