форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск LibreSSL 2.3.0"	+/–
Сообщение от opennews (??) on 24-Сен-15, 10:44
Разработчики проекта OpenBSD представили (https://marc.info/?l=openbsd-announce&m=144304330731220&w=2) выпуск переносимой редакции пакета LibreSSL 2.3.0 (http://www.libressl.org/), в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Новая ветка ознаменовала начало разработки версии, которая будет развиваться параллельно с OpenBSD 5.9 и войдёт в состав данного релиза. Ветка 2.3.x позиционируется как экспериментальная и дополняет стабильные ветки 2.2.x и 2.1.x (стабилизация ABI/API LibreSSL 2.3.x ожидается в марте 2016 года). Ключевые изменения: -  Удалён код, обеспечивающий поддержку SSLv3 и SHA-0; -  Внесены изменения в API libtls: добавлена поддержка верификации на стороне клиента (клиент инициирует передачу сертификата серверу), улучшена работа вызовов tls_read/write при использовании внешних библиотек с реализацией моделей асинхронной обработки событий; -  Добавлены дополнительные проверки параметров "p" и "q" сериализированных ключей DSA; -  Прекращена поддержка DTLS_BAD_VER (реализации до выпуска DTLSv1); -  В утилите openssl прекращена поддержка команды engine; -  Добавлен интерфейс OPENSSL_cpu_caps, запрещающий изменение флагов CPU из связанного с библиотекой приложения. Удалены вызовы    OPENSSL_ia32cap и OPENSSL_ia32cap_loc; -  Утилита 'nc', которую можно использовать в качестве простой замены команд 'openssl s_client' и 'openssl s_server', переведена на использование библиотеки  libtls для клиентских и серверных операций, и включена в состав архива libressl-portable в качестве примера использования libtls. URL: https://marc.info/?l=openbsd-announce&m=144304330731220&w=2 Новость: https://www.opennet.ru/opennews/art.shtml?num=43025
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Выпуск LibreSSL 2.3.0"	+2 +/–
Сообщение от Аноним (??) on 24-Сен-15, 10:44
Вот уже 3 релиза слышу про SSLv3. Так и не могут выпилить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Выпуск LibreSSL 2.3.0"	+/–
	Сообщение от . on 24-Сен-15, 12:19
	мне вот вообще неясно, зачем его героически выпиливать. Существует куча исторического дерьма, где никаких других протоколов нет и не будет - потому что это железные appliance, древние софтины все-в-одном с вымершими разработчиками и т д. Запретить случайное использование - да, сделать сборку требующей специальных телодвижений - ну-у-у-у, хрен знает, стоит ли этот геморрой свеч, а выпиливать вовсе - значит тем, кому оно на самом деле нужно, придется держать зоопарк. Популярности libressl это не прибавит ничуть. При этом есть как минимум уже одна серьезная проблема, связанная с этим выпиливанием. Известна она - разработчикам nginx, в libressl не сдана, потому что тем пофиг. А это, вполне возможно - дыра для эксплойтов.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Выпуск LibreSSL 2.3.0"	+/–
	Сообщение от Snaut (ok) on 24-Сен-15, 12:25
	Абсолютно согласен. Необходимо оставить поддержку. Отключить по умолчанию в сборе - да. Но не совсем выпилить. Популярности точно не прибавит.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Выпуск LibreSSL 2.3.0"	+/–
	Сообщение от . on 24-Сен-15, 12:34
	ну, в stable-ветке она кое-как оставлена, но, скажем, собрать любой распространенный браузер с ней не получится. Угадайте, куда я пошлю идею на этом основании, к примеру, выбросить на помойку пару стоек серверов, у которых встроенный kvm поддерживает только и исключительно ssl3? При том что в public он, разумеется, не торчит, и ssl3 там вполне достаточен - защищает от случайного раскрытия данных, а от целенаправленной атаки есть другие меры. Поэтому на помойку полетит именно libressl. Жаль, но выбора нет.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	13. "Выпуск LibreSSL 2.3.0"	+1 +/–
	Сообщение от Elhana (ok) on 25-Сен-15, 15:01
	Firefox 39: Removed support for insecure SSLv3 for network. Chrome вроде аналогично, хотя я не искал специально. Слишком много на помойку выкидывать придется - может так получится, что дешевле выкинуть пару стоек серверов. Выбор всегда есть - поставьте себе отдельный доисторический браузер с доисторической версией openssl или прокси и ходите на свое говножелезо.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	6. "Выпуск LibreSSL 2.3.0"	+5 +/–
	Сообщение от andy (??) on 24-Сен-15, 12:25
	> мне вот вообще неясно, зачем его героически выпиливать. ему сказали adieu! https://tools.ietf.org/html/rfc7568
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	9. "Выпуск LibreSSL 2.3.0"	+/–
	Сообщение от Аноним (??) on 24-Сен-15, 13:32
	Если бы мсье был хоть немного осведомлен о проекте OpenBSD, в рамках которого развивается LibreSSL, то знал бы, что это сообщество разработчиков, которое пытается сделать ПО лучше, жертвуя обратной совместимостью (и прочим подобным) в угоду пользе, во всяком случае так его позиционирует Тео. Если кому-то требуется работа с кучей исторического ПО - проследуйте в OpenSSL, благо он еще есть, а лучше перестаньте есть кактус.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	10. "Выпуск LibreSSL 2.3.0"	+1 +/–
	Сообщение от . on 24-Сен-15, 15:00
	мсье в достаточной степени знаком с openbsd, чтобы понять что вы несете полный бред. И ни Тео, ни кто другой ее никогда так не позиционировал. Как и libressl. Вот про "десять лет без эксплойтов выключенной из розетки системы" - это было, да. А тому, чего ради эту затею на самом деле затевали - героическое "избавление от ssl3" скорее вредит, segfault'ы в nginx (в libressl из него некошерно вызываемой, на самом деле) тому подтверждение. Возможно - exploitable, никому "недосуг" разобраться. Нет, работа с "кучей исторического ПО" не требуется (историческое ПО прекрасно соберется с историческими версиями библиотек и вряд ли - с современными), вы, видимо в силу весьма ограниченных знаний о мире, не осилили понять, о чем речь.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Выпуск LibreSSL 2.3.0"	+/–
	Сообщение от cvsup1 on 24-Сен-15, 18:19
	Подробнее про segfault'ы ?
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Выпуск LibreSSL 2.3.0"	+/–
	Сообщение от . on 25-Сен-15, 14:29
	http://forum.nginx.org/read.php?2,256381,256381 там мало подробностей, но вполне достаточно информации чтобы человек, обладающий должной квалификацией, разобрался. А у кого ее нет - не сможет зарепортить openbsd'шникам так чтоб его не послали, так что может не тратить время.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Выпуск LibreSSL 2.3.0"	+/–
	Сообщение от cvsup1 on 25-Сен-15, 20:20
	Тамошний топикстартер проигнорировал просьбы предоставить отладочную информацию, ну и ссзб, что тут сказать.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "Выпуск LibreSSL 2.3.0"	+/–
	Сообщение от . on 28-Сен-15, 12:06
	тамошний топикстартер решил _свою_ проблему - таки уговорил воткнуть (мое) исправление в код nginx, которое просто заметает мусор под ковер - nginx перестает падать в этом месте. А решать проблему в самой libressl ни у него, ни у меня времени и вдохновения не возникло. Еще раз - там достаточно информации чтобы любой желающий и имеющий достаточные знания мог воспроизвести проблему и убедиться. Если вы не хотите этого делать или у вас нет квалификации - я не настроен вас просвещать.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

2. "Выпуск LibreSSL 2.3.0"	–1 +/–
Сообщение от Аноним (??) on 24-Сен-15, 11:23
Есть идея на два миллиарда баксов. Надо следующую версию назвать 231
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Выпуск LibreSSL 2.3.0"	+3 +/–
	Сообщение от Аноним (??) on 24-Сен-15, 12:09
	Леннарт, ты что ли?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Выпуск LibreSSL 2.3.0"	+2 +/–
	Сообщение от Аноним (??) on 24-Сен-15, 13:01
	Нет, его начальник. Леннарт на процедурах.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Выпуск LibreSSL 2.3.0"	+/–
Сообщение от Аноним (??) on 26-Сен-15, 21:00
Пусть выпиливают все что считают ненужным, так можно держать код в чистоте, а вот те кому нужен старых код должны его сами поддерживать. Чистота кода значит меньше ошибок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема