Az utóbbi hetek-hónapok biztonsági fiaskói (Heartbleed, gotofail) fájdalmasan figyelmeztettek arra, hogy a TLS library-kban mennyire fontos a helyes kódok használata, ezért a Mozilla biztos akar lenni abban, hogy a kódja atombiztos, mielőtt felhasználók milliói számára elkezdi terjeszteni. Éppen ezért egy Security Bug Bounty programot hirdet a mozilla::pkix számára: 10 ezer dollár üti annak a markát, aki kritikus biztonsági hibát talál és jelent be az új kóddal kapcsolatban június végéig.
A részletek itt olvashatók.
- A hozzászóláshoz be kell jelentkezni
- 4961 megtekintés
Hozzászólások
Hogyhogy nem rust-ban írták? :)
- A hozzászóláshoz be kell jelentkezni
Lehet, hogy nyertek volna valamit a több statikus ellenőrzési lehetőségen meg az egyéb safety feature-ökön, csak sajnos a Rust jelenleg még mozgó célpont.
- A hozzászóláshoz be kell jelentkezni
super, meg hany team fogja bejelenteni, hogy sajat ssl/crypto/stb libraryt fejleszt? :/
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
slightly related: https://xkcd.com/927/
- A hozzászóláshoz be kell jelentkezni
Azt is látni kell a Heartbleed kapcsán, hogy az iparág rákapcsolt, és mindenki az Ultimate titkosításon dolgozik. Akinek tényleg bejön, az jó nagyot kaszálhat hosszútávon ezzel.
Már így is rohadt sokba kerül nagyvállalati környezetben az efféle bug-ok likvidálása, mert hát ugye a biznisz az biznisz.
--
robyboy
"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor
- A hozzászóláshoz be kell jelentkezni
Most ez fog menni 3 hónapig, hogy ez meg az kiadta ezt az ssl lib-et aztán amilyen lendülettel megcsinálták olyan lendülettel félbe is szakítják a projektet vagy azért mert nincs rá igény vagy azért mert nincs rá szabad kapacitás.
- A hozzászóláshoz be kell jelentkezni
FYI, ez nem egy ssl/crypto lib. Ez egy tanusitvanyellenorozo lib, ami nem pont ugyanaz. (Lenyegesen szukebb, es az NSS ssl/crypto libre epul, amit eddig is hasznalt a firefox.)
--
|8]
- A hozzászóláshoz be kell jelentkezni
Hússzoros eltérés a kézzel írt és az automatikusan konvertált kód között?!
Tényleg ennyire rosszul lehet Java-t C-re konvertálni?
- A hozzászóláshoz be kell jelentkezni
Valóban az lenne az érdekes, hogy a java kód hány sor volt.
(Már amennyiben érdekes egyáltalán a sorok száma...)
"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o
- A hozzászóláshoz be kell jelentkezni
Az mindegy, de már vágom, hogy hová tűnik 1-2Gb ram az ff alá :D
- A hozzászóláshoz be kell jelentkezni
Én is. Túl sok pornó oldalt nyicc meg egyszerre.
--
GPLv3-as hozzászólás.
- A hozzászóláshoz be kell jelentkezni
:))))
- A hozzászóláshoz be kell jelentkezni
Nem tudom, ki volt az az elmegyenge, aki kitalálta, hogy java kódot konvertáljanak c-be. Ez még igy leirva is epic failnek tűnik...
- A hozzászóláshoz be kell jelentkezni
Én arra lennék kíváncsi, mi volt a célja ezzel, és vajon elérte-e a célt.
- A hozzászóláshoz be kell jelentkezni
A célja az lehetett, hogy használjon egy már meglévő lib-et, ahelyett, hogy újraírná.
És tekintve, hogy ez a cucc működött a firefoxban ki tudja mióta, úgy vélem elérte a célját.
Az is érdekes kérdés, hogy mi volt több meló, most újraírni, vagy anno konvertálni. Én legalábbis nem tudok off the shelf java-C konverterről, de lehet csak én vagyok tudatlan.
"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o
- A hozzászóláshoz be kell jelentkezni
Az a vicc, hogy a java kód sem lehetett valami nagy, hogy ha 4000 soros c++ kódban le lehetett fejleszteni ugyanazt. Amikor 80k-s kódot
fordítottak belőle, akkor nem tűnt fel senkinek, hogy hát, izé, ez azért nem kicsi?
- A hozzászóláshoz be kell jelentkezni
> Amikor 80k-s kódot fordítottak belőle, akkor nem tűnt fel senkinek, hogy hát, izé, ez azért nem kicsi?
Figyu, szerinted akinek egyáltalán eszébe jut, hogy egy security-related szoftver kódját szkripttel kellene átrakni egy teljesen más programnyelvre, mert úgy biztos jó lesz, azt fogja érdekelni, hogy hány sorból áll a cucc, amit az automata kiköp a végén? :D
- A hozzászóláshoz be kell jelentkezni
nem tudom, de innen csókoltatom :)
- A hozzászóláshoz be kell jelentkezni
Azt mondjuk nem tudjuk, hogy a régi és az új lib feature set-je kb azonos-e (elvégre a LibreSSL is kivágta az OpenSSL nagy részét)...
"...handing C++ to the average programmer seems roughly comparable to handing a loaded .45 to a chimpanzee." -- Ted Ts'o
- A hozzászóláshoz be kell jelentkezni
Bocs, nem értek a témához, de ha használni akar egy már meglevő libet, akkor miért kell C-re lefordítania?
Nem lehet a meglevő libet simán csak használni, esetleg valami interfészen át, vagy valami nyelvek közötti átjárással direktben?
- A hozzászóláshoz be kell jelentkezni
Nem. Ha java-ban van írva, akkor a böngésző dependálna a jvm-re valamilyen módon, azt meg gondolom nem akarták. Mondjuk annyi erővel
akár megírhatták volna maguknak, de gondolom egészen mostanáig senkinek nem tűnt fel az a laza 80k sor :)
- A hozzászóláshoz be kell jelentkezni
Gyanítom, hogy ez még a netscape-es időkből maradt meg, és mintha a netscape-nek lett volna egy olyan elképzelése, hogy javaban legyen a böngésző. Nem tartom kizártnak, hogy ezt a konvertált változatot csak ideiglenes megoldásnak gondolták, amíg nem készül el a valódi javas böngésző.
- A hozzászóláshoz be kell jelentkezni
Keszult is bongeszo javaban, talan anno a SUN kovette el.
- A hozzászóláshoz be kell jelentkezni