Искал на днях кое-какую информацию и абсолютно случайно вышел на баг-репорт один. Он меня, что называется, "поразил до глубины души".
Посмотрите вот на этот код в генераторе RSA-ключей. Между прочим - opensource (привет Debian-сообществу!).
CK_MECHANISM mechanism = {CKM_RSA_PKCS_KEY_PAIR_GEN, NULL_PTR, 0
(
Read more... )
Comments 105
Хехе, а ведь линупсоиды в это верят ;)
Ых, человек как был, так и остаётся самым слабым звеном.
Reply
Reply
- возможность специального сокрытия очень серьезных уязвимостей под видом "нелепых" ошибок (может быть использовано третьими силами - государством, компаниями, "частными злоумышленниками"), причем не в закрытом коде, а в OpenSource, который формально "изучают сотни и тысячи", а по факту - единицы, и часто находят просто случайно, через громадный период времени; [Лично меня в большей степени интересовала именно эта часть вышеописанного -- способы маскировки ошибок]
- мнимый "профессионализм" OpenSource сообщества (вот это ближе к вбросу, конечно) -- как тех, кто пишет, так и тех, кто, якобы, сидит и изучает изменения/исходники.
То, что Вы привели про OpenSSL - это еще лучше по второму пункту! (Но не имеет отношения к первому пункту). Это вообще "радость" невероятная.Reply
Reply
Reply
Reply
Reply
Кстати, про студентов Вы зря. Я Вам щас в ответ выдам стандартное "дикие индусы-аутсорсеры" и мы будем спорить кто более багогенерирующий.
Reply
Я думаю, статистика такого рода уязвимостей (их "тяжелости", т.е. серьезности; а так же срока существования) была бы много честнее, чем какие-либо пустые споры.
Я вот вижу пока на этих двух маленьких примерах, что у debian с криптографией все как-то очень плохо.
Reply
ну и вообще BYTE и 65537 в одной строчке должны бы насторожить.
Reply
А вот то, что опенсорсники на варнинг забили, за это руки надо отрывать. От жопы. И к плечам пришивать. Как-то так.
Reply
Reply
Reply
Reply
И все скрывают, скрывают, скрывают.
Как страшно жить.
Reply
И эта методология не называется "Code'n'Commit" (пиши-да-заливай).
Подчеркну особо такую странную вещь, и вовсе ненужную, конечно, как тестирование.
Reply
Reply
Leave a comment