Grundlagen der sicheren Programmierung ignoriert oder vergessen?

blubberer schrieb:
--------------------------------------------------------------------------------
> Als vorsichtiger Coder wirst Du Dich aber nicht nur auf einen Entropiepool
> verlassen. Normalerweise. Gerade Entropie sollte immer mind. 1-2 Fallbacks
> haben, da es eben kritisch ist bzw sein kann.

Jain, an der Stelle und für die Nutzung ist randr eigentlich hinreichend. Das ist kein Crypto, die wollen nur halbwegs zufällige Dateinamen....

nixidee schrieb:
--------------------------------------------------------------------------------
> AMD hat es verkackt, in diesem Fall kann man immerhin die Software ggf.
> anpassen um den Fehler auszugleichen.

Man MUSS es sogar zwangsläufig in systemd fixen, da es bereits Hardware auf dem Markt gibt welche einen eventuellen neuen Microcode nicht bekommen wird. Sich auf den Standpunkt "Das muss AMD fixen" zu stellen hilft niemandem. Der Kernel ist auch voller Quirks, systemd hat sich selbst zu einem nicht-optionalen Stück Infrastruktur aufgeschwungen und muss sich nun halt entsprechend verhalten.

Die Generierung der IDs muss aber sowieso gefixt werden, da deren Eindeutigkeit derzeit auf keinem System vollständig garantiert ist. Der Fix dafür behebt zufällig gleichzeitig diesen AMD-Bug. Insofern ist nicht mal ein AMD-spezifischer Quirk nötig.

Das ist doch kompletter Unsinn. Die Wahrscheinlichkeit einer Kollision ist hier so gering dass kein klar denkender Programmierer soetwas überprüfen würde, wenn er davon ausgeht, dass der Zufallsgenerator ordnungsgemäß funktioniert. Er geht ja auch davon aus, dass die ALUs oder der Program Counter funktionieren.

Trotzdem braucht es natürlich einen Workaround, aber im vornherein sowas mit einzuplanen ist nicht machbar.

gorsch schrieb:
--------------------------------------------------------------------------------
> Das ist doch kompletter Unsinn. Die Wahrscheinlichkeit einer Kollision ist
> hier so gering dass kein klar denkender Programmierer soetwas überprüfen
> würde, wenn er davon ausgeht, dass der Zufallsgenerator ordnungsgemäß
> funktioniert. Er geht ja auch davon aus, dass die ALUs oder der Program
> Counter funktionieren.
>
> Trotzdem braucht es natürlich einen Workaround, aber im vornherein sowas
> mit einzuplanen ist nicht machbar.

Machbar wäre das schon, aber es wäre völliger Irrsinn.

Gallantus schrieb:
--------------------------------------------------------------------------------
> Das die selbe Zahl zweimal hintereinander ausgewählt wird liegt bei 2^64.

Bei 3x oder 4x auch noch höher, aber es kann genauso vorkommen wie 6x hintereinander eine Sechs zu würfeln. Wenn Du das nicht berücksichtigen willst, solltest Du den Beruf wechseln.

fb