You are viewing arkanoid

Журнал Восставшей Машины - Heartbleed [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Heartbleed [Apr. 9th, 2014|01:44 pm]
Previous Entry Share Next Entry
[Tags|, ]

Что я имею сказать про опенсорц, который такой опенсорц:

Наколхозили новый экстеншн -- модне, клеве, молодежне -- хуяк-хуяк и в продакшн, всем включить по дефолту.
Нужен, не нужен, безопасен, небезопасен -- насрать. Да, renegotiation тоже туда.

ФСБшники, конечно, люди странные, а местами даже ебанутые, и модель угроз у них тоже своеобразная, а местами даже ебанутая (типа утечек из памяти через ПЭМИН). Но практический вывод, который делается при сертификации криптоговнища, тем не менее, верен: за оставление ключей в памяти после использования ебсти люто и беспощадно.

Не таковы товарищи опенсорсники. Срали мы на безопасность, гони перформанс, давайте все кэшировать и реюзать.

UPD:

I looked at some of the data dumps from vulnerable sites, and it was ... bad. I saw emails, passwords, password hints. SSL keys and session cookies. Important servers brimming with visitor IPs. Attack ships on fire off the shoulder of Orion, c-beams glittering in the dark near the Tannhäuser Gate. I should probably patch OpenSSL.
http://xkcd.com/1353/
linkReply

Comments:
[User Picture]From: vovney
2014-04-09 09:48 am (UTC)

(Link)

теперь опенсорсники в течение 3 месяцев минимум официально не имеют права пиздеть что-либо про небезопасность винды, да
[User Picture]From: arkanoid
2014-04-09 09:55 am (UTC)

(Link)

нет, массовое использование системы которая официально EOL, мало того, продление на нее сертификатов ФСТЭК далеко за этот EOL (и ФСБ поди тоже, не интересовался), это заявка на премию Дарвина ничем не хуже.
[User Picture]From: sporaw
2014-04-09 10:12 am (UTC)

(Link)

Миллионы глаз профессионалов (при отсутствующем процессе разработки, тестирования и т.д.) не могут ошибаться!
[User Picture]From: sorhed
2014-04-09 09:48 am (UTC)

(Link)

А это не только в опенсорсе, это на каждом шагу. Я в предыдущем проекте устал с этим бороться. Через систему проходят десятки миллионов долларов в минуту, так нет, мы будем писать свой собственный локинг вместо того, чтобы пользоваться стандартными примитивами, потому что так «быстрее». Иммутабельные структуры? Какой ужас, мы же потеряем пару миллисекунд! Аргументы, что это вне основного цикла матчинга и пара миллисекунд в _этом_ месте никого не спасёт, не принимаются.

В результате код получается сложнее вдесятеро, чем мог бы быть, отлаживается месяц, баги лезут ещё дольше, а моя простая версия отвергается, потому что «это всё от лени». Ну, ок.
[User Picture]From: sorhed
2014-04-09 09:52 am (UTC)

(Link)

The best code is no code, я хотел сказать. Любые отклонения от этого идеала должны рассматриваться с подозрением.
[User Picture]From: denisioru
2014-04-09 11:20 am (UTC)

(Link)

Это специфика некоторых программеров. Неспособность или низкая способность обучаться. Если копнуть глубже - недоверие и боязнь не понять до конца как работает штатный инструмент. Показаться глупым, допустив ошибку использования. Ну и поднять собственную значимость, написав собственную реализацию алгоритма N.
[User Picture]From: egorfine
2014-04-09 12:00 pm (UTC)

(Link)

Это написал человек, который пишет на scala! :))
[User Picture]From: sporaw
2014-04-09 10:10 am (UTC)

(Link)

Странно, что ты на опенсорц гонишь.
Это должен был делать я!
А ты - наоборот! :)
[User Picture]From: arkanoid
2014-04-09 10:54 am (UTC)

(Link)

Должен -- это когда взял и не отдал ;-)

Edited at 2014-04-09 10:54 am (UTC)
[User Picture]From: dil
2014-04-09 10:20 am (UTC)

(Link)

И в closed source то же самое, только от него исходников нет, поэтому баги находить труднее.
[User Picture]From: poligraph
2014-04-09 11:16 am (UTC)

(Link)

и фиксить их могут оооочень долго
[User Picture]From: dkfl
2014-04-09 10:25 am (UTC)

(Link)

не занудствуй :) обычный пользователь теряет больше при проебе своего айфона, чем от heartbleed.
[User Picture]From: hvd
2014-04-09 12:45 pm (UTC)

(Link)

Ну, обычный пользователь и про секьюрность вспоминает, когда видит на ютубе ролик с корпоративной вечеринки и в нем себя, исполняющего стриптиз. :)
[User Picture]From: b00ter
2014-04-09 11:12 am (UTC)

(Link)

Дартаньян :)
[User Picture]From: lobzik84
2014-04-09 03:11 pm (UTC)

(Link)

По-моему, это нарочно.

buffer = OPENSSL_malloc(1 + 2 + payload + padding);

без никаких проверок приезжающей от юзера payload. Это не переполнение буфера и даже не sql-инъекция, человек, "добросовестно" написавший такое, просто не способен копаться в недрах openssl.

А раз нарочно, то тем же объясняется политика партии "включить всем по умолчанию".
[User Picture]From: arkanoid
2014-04-09 05:19 pm (UTC)

(Link)

есть и такое мнение.
[User Picture]From: cdplayer
2014-04-10 08:42 am (UTC)

(Link)

Вроде как этот код был в проекте с самого начала, т.е. его написал зе аффтар.
[User Picture]From: lobzik84
2014-04-09 05:06 pm (UTC)

(Link)

Минутку, а причём тут оставление ключей в памяти? Heartbleed возник не из-за этого и позволяет тырить из ОЗУ что угодно, что ж теперь - вообще туда ключи не класть? :)
[User Picture]From: arkanoid
2014-04-09 05:18 pm (UTC)

(Link)

При том, что отзыв сертификата геморойнее, чем перелогиниться чтобы сбросить сессию, когда у тебя поперли куки. И при общей нелюбви к PFS..
(Deleted comment)
[User Picture]From: arkanoid
2014-04-09 07:25 pm (UTC)

(Link)

Ну такое говно по идее любой статический анализатор отловить должен был.
[User Picture]From: lumag
2014-04-09 10:02 pm (UTC)

(Link)

+1. Каждый раз, когда надо что-то посмотреть в коде OpenSSL, тошнит.
[User Picture]From: amavlyanov
2014-04-09 07:41 pm (UTC)

(Link)

Фу, Арканоид. :-(

Ну зачем ты так расстраиваешь.
[User Picture]From: arkanoid
2014-04-10 08:43 am (UTC)

(Link)

а?
[User Picture]From: qwe1234
2014-04-21 10:23 am (UTC)

(Link)

Перых двух абзацев было бы вполне достаточно.)