Comments | sporaw: "Качество" opensource, а так же "как сделать 'уязвимость', которую сложно обнаружить при review"

sporaw

"Качество" opensource, а так же "как сделать 'уязвимость', которую сложно обнаружить при review"

Aug 08, 2010 16:38

Искал на днях кое-какую информацию и абсолютно случайно вышел на баг-репорт один. Он меня, что называется, "поразил до глубины души".

Посмотрите вот на этот код в генераторе RSA-ключей. Между прочим - opensource (привет Debian-сообществу!).

CK_MECHANISM mechanism = {CKM_RSA_PKCS_KEY_PAIR_GEN, NULL_PTR, 0 ( Read more... )

weak cryptography, vulnerability, crap code, *nix, cryptography, security, opensource

Leave a comment

Back to all threads

ipatov_net August 10 2010, 16:19:47 UTC

Да если по-серьёзному (простите за мат)...
Ну открытый код у опенсорсников, и что?
Да там хуй целых, хуй десятых его пользователей вообще хотя бы раз прочитали исходники, потому что забесплатно ковыряться в чужом коде (а это вообще занятие безблагодатное, по себе знаю, было дело - занимался поддержкой чужого кода, даного нам в OpenSource). А в результате код читают и правят всё тот же ограниченный контингент лиц (как правило, "на зарплате"), и кроме того код открыт для хакеров, которым натурально открытый код - прямой интерес.

silly_sad August 11 2010, 05:07:26 UTC

важен сам факт угрозы разоблачения.
нет никаких препятсвий к тому чтобы грабить людей на улице днём, но почему-то гопники предпочитают тёмное время суток.

ipatov_net August 11 2010, 07:57:48 UTC

Если обман вскроется, то таких пиздов через суд навешают, что ой-вэй. А в СПО - ответственности ж никакой реально, только перед сообществом будет некомильфо.

silly_sad August 11 2010, 08:27:52 UTC

Ключевое слово "ЕСЛИ".

НО. огромное НО.
как подать в суд за качество кода если его запрещено читать?
а?
чо-то я в реале не слышал ни про один разстрел за говняканье кода.

ipatov_net August 11 2010, 09:49:40 UTC

В суд подают на конкретные дефекты и "закладки" в ПО. Для обнаружения дефектов и "закладок" читать исходный код вовсе не обязательно. Яркий пример, корпорация Sony с её DRM музыкальных дисков, действовавшей как руткит. Засудили же.

ipatov_net August 11 2010, 11:03:55 UTC

Кстати, сюрприз.
http://www.microsoft.com/opensource/faq-all.aspx

Microsoft is a sponsor of the Apache Software Foundation, is a contributor to the Linux kernel, and contributes to the PHP Community. Microsoft has participated in Apache projects, including Hadoop, Qpid, and Stonehenge. Microsoft also participates in various open source community events, such as the O'Reilly Open Source Convention (OSCON), Open Source Business Conference (OSBC), EclipseCon, OpenWorld Forum, and the Moodle Conference.

silly_sad August 11 2010, 11:25:10 UTC

а теперь осюрпризьте меня своим толкованием этого события

ext_45181 October 8 2010, 10:59:34 UTC

>contributor to the Linux kernel
ога, такой контрибьютор, что аж всем страшно.

Back to all threads