| Comments: |
в каком смысле потенциал?
в смысле того, что они хотят из него сделать в итоге. да и вообще, я WebKit котирую.
![[User Picture]](http://lj.rossia.org/userpic/42280/9559) | | From: | ![[info]](http://lj.rossia.org/img/userinfo.gif) ppkk |
|---|
| Date: | May 20th, 2008 - 07:10 pm |
|---|
| | | (Link) |
|
Было два исправления. Сначала про то, которое под условием неопределённости PURIFY.Про Дебиан: да херня какая-то. Во-первых, со "старшими" этот исправитель обсуждал (и получил ответ: "если помогает в отладке, то я за"), во-вторых, он даже исправил простенько: внёс в комментарий, с объяснением, что и зачем. А херня, которую он "отключил" была без комментария внятного (хотя и под условием неопределённости PURIFY), и как она действует и когда я тоже не понял: наиболее туп из просмотренных мной текстов тот, на который ссылаешься ты, ибо считать мусор ОС "truly random" — перебор. Если ссылаться на ЧаВо "боссов" OpenSSL, то: 14. Why does Valgrind complain about the use of uninitialized data? When OpenSSL's PRNG routines are called to generate random numbers the supplied buffer contents are mixed into the entropy pool: so it technically does not matter whether the buffer is initialized at this point or not. Valgrind (and other test tools) will complain about this. When using Valgrind, make sure the OpenSSL library has been compiled with the PURIFY macro defined (-DPURIFY) to get rid of these warnings. То есть чувак из Дебиана сделал то, что значения особого не имеет (так как он по сути предопределил содержимое буфера). Случайными числами занимается другое, в ЧаВо OpenSSL на эту тему есть в вопросе http://www.openssl.org/support/faq.html#USER1 . Я неоднократно встречал идиотские параноидальные выверты в криптографическом смысле, по-моему, это был один из них: польза от того, что было, несущественна, вред от того, как стало, — тоже несущественен, вред от того, что было, — некий самообман, польза от того, как стало, — стало более конкретно и научно. Ну а второе исправление, которое спустя два с лишним года было отменено, народ считает более серьёзным.Ну, собственно, и правильно считает. Но его бы не было без первого.
| | From: | ppkk |
|---|
| Date: | May 20th, 2008 - 07:29 pm |
|---|
| | | (Link) |
|
| | From: | ppkk |
|---|
| Date: | May 20th, 2008 - 07:34 pm |
|---|
| | | (Link) |
|
Особенно мне понравилось о 4-м и 5-м:
In fact, the first line he quotes is the first one I described above, i.e. the only route to adding anything to the pool. Two OpenSSL developers responded, the first saying “use -DPURIFY” and the second saying “if it helps with debugging, I’m in favor of removing them”.
и
Fifthly, I said that openssl-dev was not the way to ensure you had the attention of the OpenSSL team. Many have pointed out that the website says it is the place to discuss the development of OpenSSL, and this is true, it is what it says. But it is wrong. The reality is that the list is used to discuss application development questions and is not reliably read by the development team.
В общем, все стрелки на недотёпу из Дебиана перевести не удалось.
По-моему, дело не в Дебиане (которым я не пользуюсь и не собираюсь пользоваться).
Ты ведь не видишь ничего плохого в "форканьи", а тут чел даже с "боссами" посоветовался, и они не ткнули ему, что он идиот…
а я и не говорил, что OpenSSL — идеально написан. однако же по ссылкам ясно видно: «для отладки». хуле, я так понимаю, что стабильных дебианов не бывает, все они выпускаются как «отладочная версия». ну, так бы и писали у себя. и добавляли, что нехуй отладочные версии на серверах использовать — вперёд ставить RHEL, CentOS, Slackware.
и всё равно слака самая кошерная, потому что берёт софт в таком виде, в каком его благословили девелоперы. если майнтайнер такой умный — хуле он не отослал патч в апстрим? не берут? значит, патч нахуй не нужен.
алсо, это не форк, для форка надо как минимум дать пакету другое имя. изменение кода без изменения имени софтины (ежели изменения не благословлены девелоперами) — мудизм (если это не делается только для себя, натурально).
девелоперы же благословили это для отладки. не для релиза.
к тому же при форке я буду склонен доверять старой команде (если новая не выдвинет убойных аргументов, доказывающих, что оригинальная ветка — страшное неюзабельное уёбище).
алсо, не думаю, что при установке дебиан выводили варнинг «наша версия OpenSLL отличается от оригинальной». а должны бы, ящитаю. как и для любого пакета, который был собран с «доморощеными» патчами.
и дело не в дебиане, ты прав. дело, как обычно, в отсутствии мозга у некоторых представителей хомо сапиенс. и в том, что такие представители умудряются пробраться туда, где им не место.
| | From: | ppkk |
|---|
| Date: | May 21st, 2008 - 12:08 pm |
|---|
| | | (Link) |
|
девелоперы же благословили это для отладки. не для релиза.
Нет, они
а) благословили убрать это если от этого отладка лучше (ну, это один разработчик написал)
б) не врубились, что он процитировал не только дебильный кусок, но и самый важный (а он процитировал именно его, и писал про два места)
в) не врубились, что миниглючок, аналогичный тому, что появлялся под #ifndef PURIFY, появляется и в самом важном куске
г) использовали кустарный подход к случайным числам (кроме специально и проверенно создаваемых случайных чисел понакручивали чего только не лень), благодаря которому система не попадала в легко выявляемую ситуацию одного и того же ключа, а создавала на первый взгляд разные ключи
д) создали впечатление, что конференция подходит для общения с разработчиками, а потом открещивались (ну, цитируемый мной открестился)
и дело не в дебиане, ты прав. дело, как обычно, в отсутствии мозга у некоторых представителей хомо сапиенс. и в том, что такие представители умудряются пробраться туда, где им не место.
И разработчики тоже показали себя не очень надёжными людьми. И скандальными бабами.
В общем, некоторые узкие места истинно открытого ПО показаны:
1) хотя якобы стремятся к свободе, многие хотят быть диктаторами, когда дело касается их кода
2) базарные бабы, как и во многих некоммерческих проектах (в педагогике с таким сталкивался сам; хороший пример ещё из интернета — ситуация с Роном Коливасом в Линуксе, чьи обновления принимать не стали, но сами ["деды"] напряглись и написали "не хуже" анестезиолога, ай да молодцы!)
3) как и в предыдущем пункте: заплатки, которые не принимают, не разъясняют внятно, оправдывась (справедливо, наверное) наличием других дел, недостатком денег и т.п.
В общем, эти или аналогичные проблемы есть и в других областях программирования в той или иной степени, но я лучше за какие-то деньги буду писать не очень хорошие программы под те же Окна, чем пусть даже хорошие заплатки, которые принимать не будут, но ушатом помоев поделятся. А в коммерческих проектах начальству делать больше нечего, только вот меня ругать неконструктиво (то есть: в глаза коллеги не ругают, за глаза — возможно, а реально базарная ругань может быть с представителями смежных профессий: маркетологами, тех. поддержкой и т.п.).
| | From: | ppkk |
|---|
| Date: | May 20th, 2008 - 07:23 pm |
|---|
| | | (Link) |
|
Но с заголовком я полностью согласен.
Интересный момент: с учётом того, что, как я понял, за два года этого всерьёз не отэксплуатировали, можно сделать ещё раз отвергнуть популярный довод в пользу закрытых исходных текстов в криптографии.
ты про security by obscurity?
| | From: | ppkk |
|---|
| Date: | May 21st, 2008 - 11:26 am |
|---|
| | | (Link) |
|
Скорее про то, что "security by obscurity"
а) с помощью закрытых исходников, как известно, достигается не всегда
б) возможна в открытых проектах даже без обфускации, ненамеренно
подскажи, есть ли способ линковать
произвольные куски текста с веба?
те, которые не выделены "id",
т.е. для которых нет URI...
есть, только я забыл, как зовут. xpointer, что ли. есть extension к Ff и userJS для оперы. но что-то с ходу не нагуглил. но точно есть. %-)
Действительно, XPointer: на W3C лежит рекомендация, вроде реализован поверх XPath. | |
