>> В отличие от openssh, который был исключительно политиканской затеей вида "они там
>> плохие п..сы, а мы вот хорошие [п..сы] и сделаем то же
>> самое только ху... простите, бесплатно"
> Не буду комментировать насчёт «хуже», но вообще-то OpenSSH появился во многом
> из-за отнюдь не свободной лицензии (хотя бы и с открытым исходным я и говорю - лишь бы денег не платить. При том что и денег-то хотели только за совсем уж откровенное бизнес-использование, и код оставили открытым, и стандарт не запатентовали.
При этом в реализации Йлонена (которая v1 и сделана одним человеком) была за все годы _единственная_ обнаруженная серьезная проблема, причем в таком месте, которое раньше просто никому не приходило в голову считать опасным (syslog format, ага).
"Бесплатная" поделка через пару лет порадовала remote root на пустом месте в попытках "улучшить" кодирование - чем не отличился на моей памяти даже коммерческий ssh2.
> кодом) на изначальную реализацию SSH. И именно OpenSSH продвигает во многом
> развитие данного протокола и плавный уход от legacy (вроде запрета SSHv1
> по умолчанию).
А зачем его запрещать "по умолчанию"? Проблемы со слабой криптографией? Их и в v2 тоже полно, в нем даже скомпроментированные ecdsa host keys по сей день отключаются только через жопу. При этом никто не мешает просто не использовать - пока не окажешься в жопе мира с ssh-v1 only клиентом, и не решишь что лучше такой доступ, чем никакого. (если решишь наоборот - ну и продолжай себе не использовать)
В большинстве применений этой "слабой" вполне достаточно. Отключать имеет смысл только по одной причине - код давно никто не смотрит, и в нем вполне может всплыть какая-нибудь не связанная с крипто дыра, этак пятилетней выдержки.
P.S. если что - ssh2 вообще был с v1 несовместим, тупо вызывал бинарник ssh1, при его наличии. Но это не плюс ssh2 и не достижение "cвободной" ветки (они просто форкнули именно v1, который только и было можно. Что, опять таки, подало очень плохой пример.)
А развивать протокол больше и некому - бизнес ssh.com успешно угробили, на продаже описаний ietf'ом много не заработаешь, молодцы, че.
Возвращаясь к libressl - тут перспективы все же лучше, именно потому что сама по себе openssl внутри отвратительна до изумления. Но вот надежды что libress'евым собственным, не openssl-совместимым интерфейсом будут массово пользоваться - весьма слабы. А большинство проблем openssl'я связаны именно с меганавороченностью интерфейсов (за которыми стоят уродливые навороты самого ssl/tls) и попытками разработчиков угнаться за авторами чудо-стандартов. Такой код просто не мог быть компактным и удобоверифицируемым.
собственно, то изменение которое является значимым в анонсе - это именно еще один наворот на навороте, никому в реальности нафиг не нужный, но затыкающий алармы кривых оповещалок. К счастью, довольно копеечный в реализации.
