Nagyszabású biztonsági auditon esik át az OpenSSL

 ( trey | 2015. március 15., vasárnap - 10:52 )

Az iSEC Partners, a Matasano Security, az Intrepidus Group és az NGS Secure szakértőit is magában foglaló Cryptography Services a napokban bejelentette, hogy nagyszabású biztonsági auditot terveznek lefolytatni az OpenSSL-en.

Az audit a The Linux Foundation által indított Core Infrastructure Initiative kezdeményezés keretében, az Open Crypto Audit Project szervezésében fog folyni. A Cryptography Services szerint az audit feltehetően a legnagyobb, amit eddig az OpenSSL-en végeztek, de mindenképpen a(z egyik) legnyilvánosabb.

Az audit fókuszában a TLS stack áll.

Részletek a bejelentésben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Miért nem a LibreSSL-t tolják inkább? Miért kell két külön vonalon elindulni, illetve ha már valaki elindult, akkor miért nem állnak be mögé?

"Miért kell két külön vonalon elindulni,"

Jó kérdés lehet ez az OpenBSD-sek felé.

--
trey @ gépház

Jó kérdés lehet ez az OpenBSD-sek felé. :D
OpenBSD, NetBSD, FreeBSD

--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Csak tippelek, de lehet az is bejátszik a döntésbe, hogy a LibreSSL-ből egy csomó back-compatibility cuccot kiszórtak, amikre szerintük már senkinek nincs szüksége (OpenSSL szerint meg még kellhet, köztük 1-2 elég régi rendszer támogatása). További probléma forrás lehet még a PRNG átszabása is amit a LibreSSL-nél megléptek (biztonságosabb, de nem könnyen (vagy egyáltalán nem) hordozható)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

sub

a "biztonsági auditor" urak lelkendezve üdvözölték a GNU indent lefuttatását az openssl forráson mint a Munka megkezdésének szükséges előfeltételét, szóval az amolyan "mit is csinál ezt pontosan?"-féle szakértés lesz

purify complains

Hát hogy mondjam, ilyen heartbleed szerű szösszeneteket hozzáértés nélkül el lehet csípni. Még a srác se írta volna bele ha nem lett volna részeg. (saját bevallása szerint.)

--
GPLv3-as hozzászólás.