1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Heartbleed-Bug: OpenSSL bekommt…

Und LibreSSL wollten sie nicht?

  1. Thema

Neues Thema Ansicht wechseln


  1. Und LibreSSL wollten sie nicht?

    Autor: thomas001le 30.05.14 - 13:05

    Wieso genau muss jetzt noch jemand von vorne anfangen OpenSSL aufzuhübschen und auf Sicherheit zu überprüfen? Die LibreSSL Leute würden sich sicherlich über Unterstützung freuen...

  2. Re: Und LibreSSL wollten sie nicht?

    Autor: YoungManKlaus 30.05.14 - 14:27

    jop, hab ich mir auch gedacht ... allerdings vlt mergen sie es ja wieder, was weiß man ...

  3. Alles der Reihe nach

    Autor: bstea 30.05.14 - 14:29

    LibreSSL bekommt erst Geld wenn Portabl. gegeben ist. Zuvor muss der Code aufgeräumt werden, 5 Monate soll das wohl noch dauern. Danach ein Team für die Wartung gefunden werden und eben Sponsoren.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  4. Re: Alles der Reihe nach

    Autor: Seitan-Sushi-Fan 30.05.14 - 14:57

    bstea schrieb:
    --------------------------------------------------------------------------------
    > LibreSSL bekommt erst Geld wenn Portabl. gegeben ist. Zuvor muss der Code
    > aufgeräumt werden, 5 Monate soll das wohl noch dauern. Danach ein Team für
    > die Wartung gefunden werden und eben Sponsoren.


    Das Team von OpenBSD achtet auf Konformität zu Posix. LibreSSL unter Linux zum Laufen zu bringen ist garantiert auch nicht schwerer als bei OpenSSL.
    Schau doch mal zum Vergleich bei Fedora, openSUSE usw. nach wie viele Patches OpenSSL dort braucht, um zu laufen und nicht Upstream sind.
    Bei Fedora sind es bei meinem letzten Check genau 100 Patches gewesen. Bei openSUSE waren es ca 30.

    Wenn also das Argument gegen LibreSSL wirklich sein sollte, dass es Out of the Box nicht lupenrein unter Linux kompiliert, wäre das extrem unsachlicher Blödsinn und die 30-100 Patches der Distributoren für OpenSSL sollten erst mal verschwinden....

  5. Re: Alles der Reihe nach

    Autor: bloody.albatross 30.05.14 - 15:48

    Naja, sie verwenden eine Handvoll (Open)BSD-only Funktionen, die man aber einfach mitausliefern kann (ist BSD Code und glaub auch alles self contained). IMHO sollten diese Funktionen aber in den POSIX Standard und jedenfalls in Linux integriert werden. Damit meine ich strlcpy, strlcat und arrayrealloc. Alle anderen str*cpy und str*cat Funktionen sind IMHO gefährlich und sollten keinesfalls verwendet werden und beim manuellen Integer-Overflow-Checken für realloc kann man auch zu viel falsch machen. Das ist gut wenn es dafür eine gut getestete library Funktion gibt. Warum gibt es diese Funktionen nicht unter POSIX/Linux? NIH-Syndrom?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Interhyp Gruppe, München
  2. NOVENTI Health SE, München
  3. Bundeskriminalamt, Wiesbaden
  4. Bezirkskliniken Schwaben, Kaufbeuren, Augsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 21,99€
  2. 7,99€
  3. (u. a. Elite Dangerous für 5,99€, Struggling für 7,25€, Planet Zoo für 21,99€, Planet...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
Hitman 3 im Test
Agent 47 verabschiedet sich mörderisch

Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
Von Peter Steinlechner

  1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

Elektromobilität: Diese E-Autos kommen 2021 auf den Markt
Elektromobilität
Diese E-Autos kommen 2021 auf den Markt

2020 war ein erfolgreiches Jahr für die Elektromobilität. Dieser Trend wird sich fortsetzen: ein Überblick über die Neuerscheinungen 2021.
Ein Bericht von Dirk Kunde

  1. Prototyp vorgestellt VW-Laderoboter im R2D2-Style kommt zum Auto
  2. E-Auto VDA-Chefin fordert schnelleren Ausbau von Ladesäulen
  3. Dorfauto im Hunsrück Verkehrswende geht auch auf dem Land

Antivirus: Das Jahr der unsicheren Sicherheitssoftware
Antivirus
Das Jahr der unsicheren Sicherheitssoftware

Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
Von Moritz Tremmel

  1. NortonLifeLock Norton kauft deutschen Antivirenhersteller Avira