Искал на днях кое-какую информацию и абсолютно случайно вышел на баг-репорт один. Он меня, что называется, "поразил до глубины души".
Посмотрите вот на этот код в генераторе RSA-ключей. Между прочим - opensource (привет Debian-сообществу!).
CK_MECHANISM mechanism = {CKM_RSA_PKCS_KEY_PAIR_GEN, NULL_PTR, 0
(
Read more... )
Reply
- возможность специального сокрытия очень серьезных уязвимостей под видом "нелепых" ошибок (может быть использовано третьими силами - государством, компаниями, "частными злоумышленниками"), причем не в закрытом коде, а в OpenSource, который формально "изучают сотни и тысячи", а по факту - единицы, и часто находят просто случайно, через громадный период времени; [Лично меня в большей степени интересовала именно эта часть вышеописанного -- способы маскировки ошибок]
- мнимый "профессионализм" OpenSource сообщества (вот это ближе к вбросу, конечно) -- как тех, кто пишет, так и тех, кто, якобы, сидит и изучает изменения/исходники.
То, что Вы привели про OpenSSL - это еще лучше по второму пункту! (Но не имеет отношения к первому пункту). Это вообще "радость" невероятная.Reply
Reply
Reply
То есть шанс получить такую-же волну негодования и независимого аудита в closed source меньше.
В частности в прошлом или позапрошлом (не помню точно) году в венде были remote code execution завязанные на код времён NT (обработка шрифтов в драйверах). Сколько спрашивается лет этот код в венде ждал своего исследователя любителя поковырять бинарники?
Приводить линки не буду ибо слушал об этом доклад в рамках выступлений spb defcon team в мск.
Reply
венда как и линух жестко пролетают в качестве базы секурной системы тупо из-за количества этих самых бинарников.
вот есть у меня сорцы одного и другого, и что с того? все равно хер я их учитаю или проанализирую
Reply
я читаю исходники (хотя и менее одного процента) open source программ которые использую. В вашем closed source узнать какой кретин разраб я не могу в принципе (случай с спёртыми сорцами венды это исключение).
Reply
> спёртыми
> исключение
Смешно.
http://en.wikipedia.org/wiki/Shared_source#Most_Valuable_Professionals_Source_Licensing_Program и прочие.
Reply
Reply
CVE дает ссылки как минимум на федору, генту и др.
Reply
Reply
Reply
Не, это даже не смешно.
Reply
в дебиане с самого начала так, есть какая-то заразка, кто им денег на разработку дает, или отчетности нет.
Reply
Leave a comment