ELMŰ protokoll tiltás

ELMŰ halad a korral, evvel fogad az oldaluk:

Tisztelt Ügyfelünk!

Tájékoztatjuk, 2019. november 29-től protokoll tiltás miatt a régi operációs rendszert és böngészőt használó Ügyfeleink nem fogják tudni elérni a szolgáltatásokat. Érintett operációs rendszer és böngésző verziók: 
Android összes 4.4.2 előtti verziók
Vista/IE 7
Win7/IE 8-10 verziók
Win Phone 8.0/IE 10
OS X 10.6.8/Safari 5.1.9 és korábbi
OS X 10.8.4/Safari 6.0.4 és korábbi

Üdvözlettel,
ELMŰ-ÉMÁSZ

Hozzászólások

Szerkesztve: 2019. 11. 20., sze - 14:12

Szerintetek az update időablakok rohamos gyorsítása mellett nem kellene a piacnak bugmentesebb kiadásokra is törekedni? Főleg fontos crpyto protokollok esetén? Annyi mindenre olyan sok pénz van, nem tudnának megfizetni pár szakembert pár hétre auditra vagy már eleve a következő verzió tervezésénél? Főleg hogy az egész ipart érintik ezek. Megértem hogy nem lehet hibamentes szoftvert kiadni, de ne legyen már a végén napi frissítés mindenből.

Mi számít bugnak? Valami ráérő hacker feltör valamit, erre közzétesznek egy CVE-t. A gyártók rámozdulnak, jönnek a frissítések. Bizonyos régebbi OS-ben és/vagy böngészőben a gyártók úgy döntenek, hogy nem érdemes vagy nem lehet kijavítani a vulnerability-t. Az emberek 95%-a már úgysem használja.

Megoldás: sérülésmentes kódot írni (nem lehet), vagy a hackerkedést világszerte olyan súlyosan büntetni, hogy elmenjen a kedvük tőle (szintén problémás).

Dehogynem lehetne bug mentes kódot írni, legalábbis magas mértékben bugmentest. Ehhez kód audit kellene, magasabb szakértelem és több munkaóra. Én azt mondom hogy a kritikus libekhez tegyék össze a giga cégek a pénzt és tökéletesítsék. Meg tudják csinálni. Amennyit rászán a hacker, azt szánják rá etikus hacker-el, vagy 4x annyit időben és munkában. Közös érdeknek tűnik (bár lehet nem az minden szereplőnek).

Csakhogy itt nem a kód (azaz a megvalósítás) hibájáról van szó a TLS régi verzió esetén, hanem a protokoll elméleti hibájáról. Azt meg aztán auditálhatod.

Amúgy az audit nem arról szól, hogy amit csinálsz, az jó-e, hanem arról, hogy amikor csinálod, betartasz-e bizonyos szabályokat. Ha betartod a szabályokat, még lehet bugos fos, amit csinálsz.

Az elmélet helyességének ellenőrzésébe is toljanak erőforrást természetesen. Nyilván kódot tervezés után írsz és annak is helyesnek kell lenni. Ha jól gondolom, akkor gyakorlatilag mindegyik félnek rossz ha rossz a protokoll (terv vagy implementálása). Ha ez igaz, és az is igaz hogy pénz van sok (tudjuk), akkor már csak egy pici lépcsőt kellene megugrani, ahol a lépcső nem más mint a piaci versenyre kondícionálódott gondolkodás módjából eredő merevség, mely kizárja a nagy közös jóban való érveket. Szerintem.

Az elmélet helyes, a tervezés is helyes, az implementáció is jó. Csak az az algoritmus, az a "matek", ami alapján működk, a mai erőforrásokat figyelembe véve nem elég erős. Csinálhatsz te hiper-szuper anyagszerkezettel megáldott lovagi páncélt, az egy mai kézifegyvernek nem akadály.

Biztos hogy a matek a rossz, nem a protokoll? Tényleg kérdezem kíváncsiságból, időm most nincs elemezni a storyt.

"Significant differences in this version include: Added protection against cipher-block chaining (CBC) attacks. The implicit initialization vector (IV) was replaced with an explicit IV."

Miért ne tudnák szét szedni és elég erőforrással elemezni a protokollt, ha független hackereknek kitellik rá? Nem nagyon látok híreket arról, hogy XY giga cég megfinanszírozott ilyen olyan fontos, ipari alap technológiát képező eljárás teljes ellenőrzését N db szakértővel. Sajnos ez az a munka ami nem is látszik nagyon, és nem hoz direktben pénzt.

Annyi mindenre olyan sok pénz van, nem tudnának megfizetni pár szakembert pár hétre auditra vagy már eleve a következő verzió tervezésénél?

Erre jó példa a 2 évvel ezelőtti Parity hack: https://hup.hu/node/156237

 - Kb 300 soros programban volt a hiba

 - Amit maga a programozási nyelv kifejlesztője írt

 - Elmondásuk szerint 150 ember review-olta

 - Aztán jött egy devops199 user aki állítása szerint kísérletezgetés közben véletlenül eltörte a library-t, ezzel a hozzá tartozó walleteket elérhetetlenné téve

 - Legalább 14 másik aktív project használta a library és összesen 600 walletet érintett 150M USD értékben (tudomásom szerint továbbra sincs ezek visszaszerzésére megoldás)

 - Mindezt úgy, hogy pár hónappal korábban volt már egy hasonló bug a kódban és 1 évvel korábban egy 500M USD értékű ETH-t érintő hack

A többi böngésző még egy ideig ELMÜködget… :)

„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…