Hamarosan jön OS X-re is a javítása az Apple goto fail; fiaskójára

 ( trey | 2014. február 23., vasárnap - 10:30 )

Az Apple nemrég javított egy szép lassan már mémmé váló hibát az iOS-ben. A problémát már többen is elemezték, köztük a Google crypto szakértője, Adam Langley itt. Miközben sorra születnek az írások arról, hogy mit tanulhat a programozó az Apple hibájából, a cupertinoi vállalat szóvivőjén keresztül tegnap ígéretet tett arra, hogy hamarosan javítják a hibát OS X-en is.

Hogy érintett vagy-e a problémában, azt leellenőrizheted a sebtében beregisztrált gotofail.com oldalon. További infók a Twitter-en a #gotofail hashtag alatt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Gondolom ez ugyanaz a fejlesztő aki az ébresztőért is felel... :)

"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o

Nálunk pont ezért kötelező mindig kapcsos zárójeleket használni. Simán be tudja nézni az ember, utána meg debuggolhat órákon keresztül mire rájön, hogy bakker... egy statikus kódanalizátor sem hátrány egyébként...

vagy egy IDE ami auto indentál

Xcodetol várhatod... majd talán 2014-ben, ja nem, 2017-ben sikerül az applenak írni egy code formatter-t az Xcode-hoz..

Hogyhogy nyilvános a kód?

http://www.apple.com/opensource/

--
NetBSD - Simplicity is prerequisite for reliability

Gyakorlatilag csak a Cocoa API, a Cocoa Touch API, és az azokra épülő kódok (azaz minden ami GUI és GUI-s szoftverek backendje vagy annak része) zártak.

Elhiszi barki is hogy ez a hiba hiba es nem feature, ami az NSA keresere kerult be?

szerintem ha kell, akkor megszerzik a root certet es kesz

--
NetBSD - Simplicity is prerequisite for reliability

aha.

https://support.apple.com/library/APPLE/APPLECARE_ALLGEOS/HT5780/Crypto_Officer_Role_Guide_for_FIPS%20140-2_Compliance_iOS_6.pdf

Kezdjük tehát a vizsgálatot ott, annál a kérdésnél, ahová feltett szándékuk, hogy soha ne jussunk el. A kérdés, hogy bármilyen demokratikus önkormányzat, bárhol, összhangban van-e az ilyesfajta hatalmas, mindent átható felügyelettel, amelybe az Amerikai Egyesült Államok kormánya vezette nem csak az amerikaiakat, hanem az egész világot.

Ez valójában nem egy bonyolult vizsgálat.

http://snowdenandthefuture.info/events.html

Örömmel tudatom, hogy a KFKI Telephely területén, a 18-as épület helyén az MTA WIGNER [...] tenderünket a Persecutor Kft. nyerte meg.

A Persecutor Vagyonvédelmi Kft. nettó 6 milliárd forintos ajánlattal nyerte el az MTA Wigner Fizikai Kutatóközpontjának megbízását a Wigner Adatközpont kiépítésére. Ez valójában a genfi központú CERN (Európai Részecskefizikai Kutatóintézet) számítógéptermének, az ott található központi adatfeldolgozó rendszernek a befogadására szolgál. Az erre kiírt pályázaton győzött márciusban a Wigner-központ, majd meghívásos tenderen választotta ki a Persecutort.

A termekben fotózni nem lehetett, aminek az lehet a magyarázata, hogy a központ az elképzelések szerint majdan kormányzati igényeket is kielégíthet – módja lenne rá, hiszen a CERN a kapacitás harmadát köti le.

A Cisco Systems ASM/2-32EM router volt a két CERN-be 1987-ben telepítetteknek. Úgy gondolják, hogy talán az első Cisco routerek Svájcban és talán az első Európában.

A nagybiztonságú adatközpontunk továbbá két irányból, teljesen független vonalon van összekötve a CERN-nel, az egyik a GÉANT (Európai kutatási és oktatási hálózat), amelyen egyébként az általános adatátviteli sebesség 40 Gigabit/sec, de Genf és Budapest között 100 Gigabit megy át másodpercenként. Jelenleg Európában ez a legnagyobb sebességű tudományos célú kapcsolat, Frankfurton és Prágán keresztül ér el hozzánk. A másik 100 Gigabites kapcsolat egy teljesen független vonal, aminek kiépítését a T-Systems Switzerland AG pályázaton nyerte, ez az Alpokon keresztül érkezik hozzánk.

Surveillance is not an end toward totalitarianism, it is totalitarianism itself.

http://www.bbc.co.uk/democracylive/europe-24385999

Mi lenne, ha kibasznád ezt az egészet a pastebin-re és csak a linket küldenéd be, ha rád jön? Milliószor láttam már ezt tőled. Tényleg semmi új nincs?

--
trey @ gépház

és még mindig nincs értelme :D

a rá adott válaszokat is kirakhatnátok a pastebinre...
ez az egész már-már kezd rituálé jellegű lenni
etetitek a trollt, addig úgy érzi foglalkoznak vele, és elérte a célját
imho

unalmas már.

++

Igazabol sosem volt erdekes.

Én is szoktam offolni, de ez már fájdalmasan nem illik ide.

The code attempts to validate the certificate, but after validating the certificate and before it validates the certificate's signature, the code will always hit that second "goto fail" statement, which effectively skips over that last bit; the part where the signature is validated.

The code will always jump to the end from that second goto, err will contain a successful value because the SHA1 update operation was successful and so the signature verification will never fail.

------------------------------------------------------------------------------
Gitify your life.

Az senkinek se tűnt fel felhasználói oldalról, hogy mindig minden cert "rendben van", egyikre se panaszkodik?

Ugyan, honnan venné észre? Utoljára kb. egy éve láttam cert hibát, amit a saját dev szerverem dobott. R1 usernek pedig még dev szervere sincs, az átlag https oldalon elég ritkán van ahhoz cert hiba, hogy ne tűnjön fel, hogy ritkán=soha.

Safarirol nem feltűnő, mert nem kezeli inteligensen a kérdést. (ipad).
Azóta inkább chrome.
--
zsebHUP-ot használok!

Mondjuk az meg a paci masik fele. Nagyon sok cuccnak van autogeneralt certje, ami jo is ugy (ertsd: nem eri meg levaltani a certet rajta), viszont nem lehet kiveteleket hozzaadni. Ebbol a szempontbol en jobban szerettem a Firefoxot.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.

...es tudjak fokozni. :)

---
pontscho / fresh!mindworkz