17:21
16/7/2014
16/7/2014
Klon OpenSSL-a, nad którym rozpoczęto prace po luce Heartbleed, zbiera sprzeczne opinie. Jedni go zachwalają, inni zwracają uwagę na niebezpieczeństwo z racji problemów z generatorem liczb pseudolosowych — choć problem już rozwiązano.
Devowie OpenBSD przeciez oglosili ze to nie jest wersja produkcyjna, i ze prosza o komentarze. Otrzymali komentarz, i wszystkie techniczne serwisy z tego robia sensacje.
Nie wiem czy moj poprzedni komentarz przeszedl, zapostuje jeszcze raz.
Devowie OpenBSD oglaszali ze to nie jest wersja produkcyjna, i ze prosza o komentarze. Dostali komentarz i wszyscy z tego robia sensacje.
Jeżeli twórcom problem sprawia stworzenie mechanizmu, który będzie poprawnie generował liczby pseudolosowe w różnych wątkach to ja nie chcę myśleć co tam jeszcze spieprzyli :P.
I /dev/urandom w zastępstwie… no super :P.
Weź pod uwagę, że oni to piszą w oparciu o OpenBSD, gdzie wszystkie /dev/*random są zasilane przez arc4random.
Jak to podsumował deweloper OpenBSD:
“Having Linux fix the PRNG situation would be the best solution. As I said in the post, this mess is evidence of a design flaw in Linux. However, LibreSSL has to do the best with what it’s given.”