Comments | sporaw: "Качество" opensource, а так же "как сделать 'уязвимость', которую сложно обнаружить при review"

sporaw

"Качество" opensource, а так же "как сделать 'уязвимость', которую сложно обнаружить при review"

Aug 08, 2010 16:38

Искал на днях кое-какую информацию и абсолютно случайно вышел на баг-репорт один. Он меня, что называется, "поразил до глубины души".

Посмотрите вот на этот код в генераторе RSA-ключей. Между прочим - opensource (привет Debian-сообществу!).

CK_MECHANISM mechanism = {CKM_RSA_PKCS_KEY_PAIR_GEN, NULL_PTR, 0 ( Read more... )

weak cryptography, vulnerability, crap code, *nix, cryptography, security, opensource

Comments 105

clms August 10 2010, 05:12:48 UTC

Если уж быть совсем честным, следует указать, что данный баг имел место в пакете OpenSC, который мало кто использует для генерации ключей. Также следует отметить, что пакет этот не был в stable репозитории :)

sporaw August 10 2010, 21:20:39 UTC

Выше (в первых комментариях) есть пример не менее забавный и не "в левом пакете".

ipatov_net August 10 2010, 16:08:08 UTC

Они там отладчиком не отлаживались что ли нихуя?
O_O

ipatov_net August 10 2010, 16:19:47 UTC

Да если по-серьёзному (простите за мат)...
Ну открытый код у опенсорсников, и что?
Да там хуй целых, хуй десятых его пользователей вообще хотя бы раз прочитали исходники, потому что забесплатно ковыряться в чужом коде (а это вообще занятие безблагодатное, по себе знаю, было дело - занимался поддержкой чужого кода, даного нам в OpenSource). А в результате код читают и правят всё тот же ограниченный контингент лиц (как правило, "на зарплате"), и кроме того код открыт для хакеров, которым натурально открытый код - прямой интерес.

silly_sad August 11 2010, 05:07:26 UTC

важен сам факт угрозы разоблачения.
нет никаких препятсвий к тому чтобы грабить людей на улице днём, но почему-то гопники предпочитают тёмное время суток.

ipatov_net August 11 2010, 07:57:48 UTC

Если обман вскроется, то таких пиздов через суд навешают, что ой-вэй. А в СПО - ответственности ж никакой реально, только перед сообществом будет некомильфо.

silly_sad August 11 2010, 08:27:52 UTC

Ключевое слово "ЕСЛИ".

НО. огромное НО.
как подать в суд за качество кода если его запрещено читать?
а?
чо-то я в реале не слышал ни про один разстрел за говняканье кода.

Thread 8

ipatov_net August 10 2010, 21:34:11 UTC

По программингу есть желание общаться? Ищу соратников.

Фуфло! fk0 September 28 2010, 22:22:31 UTC

Такие ошибки ловятся на раз. Просто некоторые из опенсоурса -Wall и другие -Wxxx применять леняться. А большинство из клозетсоурса просто болт забивает на варнинги -- ничем не лучше. А ещё тесты бы писать неплохо, но это уже высший пилотаж.