Megszólalt a Heartbleed bugot ejtő fejlesztő

 ( trey | 2014. április 11., péntek - 10:15 )

A Heartbleed bug fenekesül felfordította az internetet. A súlyos biztonsági hibát ejtő fejlesztő, a német Robin Seggelmann beszélt a bug bemutatkozásának körülményeiről. A fejlesztő sajnálatosnak nevezte, hogy mind az ő, mind a kód átnézőjének figyelmét elkerülte a hiba, amelyet 2011 szilveszter éjjelén commitoltak.

Részletek itt és itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Vérzik a szívem érte.
--
zsebHUP-ot használok!

From Germany, with love :)

--
„Spiró ótvar, Konrád átok, Nádastól meg mindjárt hányok!”

"2011 szilveszter éjjelén commitoltak"
Mostmár mindent értek :)
---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

+1

+1

A neve se rossz az ipsének :-)

"Szegény" biztos nem érti, miért szakad rajta egy komplett ország :D

--
Fontos! Ha berágok, nem feltétlen személyed ellen szól...
openSUSE 13.1 x86_64

igazi partyarcok :)

Maga az OpenSSL Foundation nyilatkozott már valamit ezen kívül? :
http://www.openssl.org/news/secadv_20140407.txt

nem fosadek c-ben kellene kripto kodot irni

--
NetBSD - Simplicity is prerequisite for reliability

??? mi köze van a c-nek a gány kódoláshoz?
ennyi erővel azt is írhatjuk, hogy nem kellene fosadék számítógépen cryptokódot írni .... nonsense ..
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)

Valaki azt írta egy másik cikk alatt, hogy C-ben könnyebb hibás kódot írni.

Feltételezem arról szólt ez, hogy a C túl nagy szabadságot ad kevés ellenőrzéssel.
Ez sok esetben jó, de ezeknek az embereknek a véleménye szerint cryptora nem.

Bizonyára van véleményük, hogy mit kéne használni helyette, de azt eddig még nem láttam leírva.

Sosem értettem, hogy miért egy nyelv baja az, ha lehet rajta csúnyán is beszélni.

Egy normálisan megtervezett algoritmus esetében az implementációra is legalább olyan alaposságot kell fordítani.

Ez a szennyvíz meg a bor esete.
Ha egy hordó szennyvízhez adsz egy kanál bort, szennyvizet kapsz.
Ha egy hordó borhoz adsz egy kanál szennyvizet, szennyvizet kapsz.

Ha egy hibás algoritmust helyesen implementálsz, hibás működést kapsz.
Ha egy helyes algoritmust hibásan implementálsz, hibás működést kapsz.

Egyébként meg végső soron minden gépi kódban fut. A JAVA-t is pl. C/C++ meg Assembly-ben írták. Ha a runtime biztonságos is, attól még a JAVA-ban írt implementáció is ugyanúgy lehet egy halom kaki. Nem ezen múlik.

De a legkönnyebb az eszközökre fogni, hogy biztos amiatt van a probléma.
Szerintem meg a balf@x fejlesztő miatt van probléma.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)

szerintem inkabb arra akart utalni hogy a plain c nem a legolvashatobb nyelvek egyike

Arról van szó, hogy a tipikus C security vulnerability-k pontosan olyan viselkedést használnak ki, amire egy biztonságos nyelvben run-time errort kapnál. Persze könnyen lehet, hogy a run-time errortól leáll a szerveralkalmazás, de legalább a jelszavaidat meg a privát kulcsaidat nem lopják ki, nem futtatnak tetszőleges kódot a te gépeden, és a hibát (leállás) könnyen észreveszed.

"hogy a tipikus C security vulnerability-k pontosan olyan viselkedést használnak ki"

Mit csinálnak a micsodák? :O

--
trey @ gépház

Egy C-ben írt alkalmazás, amely biztonsági szempontból sebezhető, tipikusan olyan hibák miatt sebezhető, ami egy biztonságos programnyelvben garantáltan runtime errort okoz (nem pedig undefined behavior).

Mondasz par biztonsagos nyelvet?
--
zsebHUP-ot használok!

mau.

Security by obscurity alapon biztonságosnak tekinthető ;-)

"Örömmel értesítem a mau programnyelv minden rajongóját, hogy letölthető e programnyelv legújabb, 3-as verziószámú kiadása!"

http://parancssor.info/forum/index.php?PHPSESSID=0dd5706ca8ba601e8abb20bc8e294d82&topic=81.msg200#new

?PHPSESSID...

Security by obscurity nem létezik.

Java, Python.

Szerintem most páran felnevettek, pláne a Java szó hallatán.

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

Szerintem most nézz utána, hogy mit kell egy programNYELV biztonságossága alatt érteni.

Jó, de azért az XML inputtal vigyázz!
--
zsebHUP-ot használok!

Szerencse, hogy nem javában írják a kripto libeket. Hova jutna a világ...

OCaml


"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

??

Esetleg a linuxot ne írják újra Javában?
Vagy megcsúsztál Április elsejéről és túl nagyot tekertetek? (értsd: javaslat is van, vagy csak túl közel volt a hegy a géphez?)

A PHP szerintem is jobb lett volna hozzá! ;)

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

Maga a C nem feltétlenül fosadék, de ahogy ezt megírták, az igen. Struktúrák használata helyett ilyet írni szerintem bűn: buffer = OPENSSL_malloc(1 + 2 + payload + padding) meg *p++ = TLS1_HB_REQUEST meg stb.

--

PARTY HARD

- Fogadjunk, hogy nem mered commintelni, na fogadjunk?

- HOGY A FASZBA NE MERNÉM BAAAAAASZDMEEEG!

Azaz! Hihető is, hogy így volt némi elfogyasztott pezsgő után. :D

--
Fontos! Ha berágok, nem feltétlen személyed ellen szól...
openSUSE 13.1 x86_64

Azért kemény lehet, hogy évekkel később kell rádöbbenned arra mennyire is be voltatok baszva pár évvel ezelőtt szilveszterkor

Háhh. nekem 10 évvel ezelőttről 2 teljes nap esett ki. Igaz nem szilveszter volt, csak egy "igyunk, mer csak" :D

--
Fontos! Ha berágok, nem feltétlen személyed ellen szól...
openSUSE 13.1 x86_64

Egyszer régen készítettem éjjel, baromi fáradtan egy kódot (már nem tudom, mi volt).

Másnap, amikor néztem, láttam, hogy faszául működik minden, de amikor folytatni akartam, nem értettem, hogy lehet, mert észrevettem, hogy hagytam benne egy csúnya bugot.

Órák teltek el, mire észrevettem, hogy valahol máshol volt egy teljesen másik bug, és a kettő hatása kioltotta egymást.

:D

:D

--
Vége a dalnak, háború lesz...

Mondjuk mi mást mondana? Hogy az X titkosszolgálat kérte, ennyit meg annyit fizettek (és közben eladta Y-éknak is), és hogy a thai emberek a legkedvesebbek a világon? :)
___
Arany János: Grammatika versben

"a német Robin Seggelmann beszélt"
A német precizitás?

A csóka megírta, commitolta, majd két évig élt mint hal a vízben, pénzben biztos nem volt hiánya. :)
Hát persze, hogy sajnálja, hogy két év után kiderült. Én sem lennék boldog :))

Ez tetszik! :D
---
Why use Windows, if you have open doors… to Linux