А для крутых парней барабаны - часть 10
Предыдущие части: 1 2 3 4 5 6 7 8 9
Часть 10.
В комментариях к предыдущей части народ просит слайды жаждет обсудить HeartBleed, но мы все таки начнем с Apple, благо это даже хронологически верная последовательность событий, не говоря уж о том, что «критическая и позорная уязвимость» в яблочном коде оказалась цветочками по сравнению с основной ( Read more... )
Часть 10.
В комментариях к предыдущей части народ просит слайды жаждет обсудить HeartBleed, но мы все таки начнем с Apple, благо это даже хронологически верная последовательность событий, не говоря уж о том, что «критическая и позорная уязвимость» в яблочном коде оказалась цветочками по сравнению с основной ( Read more... )
А если даже и потрудилась? Легко пропустить и gotofail, и heartbleed. Тесты, которые покрывают каждую строчку кода, вряд ли кто-то себе может позволить кроме оригинального производителя библиотеки. Другое дело, что их можно требовать как стандарт при использовании 3rd party code. Но тогда, как и в любом конфликте между security и productivity, секюрити отдохнет.
Reply
вот про heartbleed, этот Ben Laurie - один из контрибьюторов OpenSSL:
http://www.huffingtonpost.com/2014/04/10/heartbleed-bug_n_5120457.html
Хрен его разберет, правда это или чисто политика. Вот сейчас OpenBSD (Theo de Raadt) сказали "this code is beyond repair", типа горбатого могила исправит и основали свой LibreSSL
http://arstechnica.com/information-technology/2014/04/openssl-code-beyond-repair-claims-creator-of-libressl-fork/
Мне лично это выглядит дешевым поиском популярности, но возможно я не понимаю какие-то существенные аспекты.
Reply
А вот то, что привело к epic fail (в плане методологии, не в плане бага, баги все создают):
http://www.tedunangst.com/flak/post/analysis-of-openssl-freelist-reuse
Reply
Reply
Reply
Leave a comment