1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücken: OpenSSL-Update…

Das hätte man beim Testing doch merken müssen?!

  1. Thema

Neues Thema Ansicht wechseln


  1. Das hätte man beim Testing doch merken müssen?!

    Autor: Lala Satalin Deviluke 12.06.15 - 17:34

    Seltsam...

    Grüße vom Planeten Deviluke!

  2. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: SJ 12.06.15 - 18:03

    ja, hätte man müssen... aber wenn selbst Unternehmen mit Milliarden von Gewinn das nicht immer schaffen, dann kann man das einer Handvoll Leuten auch nicht vorwerfen.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  3. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: root666 12.06.15 - 18:44

    SJ schrieb:
    --------------------------------------------------------------------------------
    > ja, hätte man müssen... aber wenn selbst Unternehmen mit Milliarden von
    > Gewinn das nicht immer schaffen, dann kann man das einer Handvoll Leuten
    > auch nicht vorwerfen.

    Aber das ist doch Open Source. Da wird doch der Code immer von hunderten Leute auf Fehler geprüft.

  4. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: DASPRiD 12.06.15 - 18:52

    root666 schrieb:
    --------------------------------------------------------------------------------
    > SJ schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ja, hätte man müssen... aber wenn selbst Unternehmen mit Milliarden von
    > > Gewinn das nicht immer schaffen, dann kann man das einer Handvoll Leuten
    > > auch nicht vorwerfen.
    >
    > Aber das ist doch Open Source. Da wird doch der Code immer von hunderten
    > Leute auf Fehler geprüft.

    Tun sie ja auch, deshalb wurde der Fehler ja so schnell bemerkt ;)

  5. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: 476f6c656d 12.06.15 - 23:04

    Sie werden wahrscheinlich automatisierte Tests haben. Und diese Tests werden beim Bauen der Lib mit gebaut. Daher hat beim Test die ABI auch funktioniert und ist daher wohl nicht aufgefallen. Und der Fehler tritt ja auch nicht bei jedem Programm auf. Eben nur bei jenen, die diese Funktion benutzen.

  6. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: bstea 12.06.15 - 23:51

    Mehrfaches Hä?
    Erstens wenn die einen Test gehabt hätten, wäre das aufgefallen, ergo gibts keinen.
    Zweitens werden solche Dinge nicht erst beim Release geprüft sondern nach dem einchecken also weit vor der Bekanntgabe.
    Und drittens ja, der Fehler tritt bei jeden Programm auf was alt mit aktuell mischt.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  7. [gelöscht]

    Autor: [gelöscht] 13.06.15 - 01:24

    [gelöscht]

  8. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: Dumpfbacke 13.06.15 - 09:39

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Mehrfaches Hä?
    > Erstens wenn die einen Test gehabt hätten, wäre das aufgefallen, ergo gibts
    > keinen.
    > Zweitens werden solche Dinge nicht erst beim Release geprüft sondern nach
    > dem einchecken also weit vor der Bekanntgabe.
    > Und drittens ja, der Fehler tritt bei jeden Programm auf was alt mit
    > aktuell mischt.
    Zu Erstens: Die Frage ist, wie der Test aussieht. Wenn alles zum Test neu kompiliert wurde, funktioniert der Test erfolgreich. Die Software wurde mit der neuen Bibliothek aufgebaut und deshalb funktioniert der Aufruf fehlerfrei.
    Zu Zweitens: Das Problem trifft nur bei binärer Software auf, weil diese nicht gegen die neue Version kompiliert wurde.
    Zu Drittens: Was durch die letzten Anpassungen kein Problem mehr darstellt. Die Änderung der ABI wurde rückgängig gemacht, weshalb das Mischen von alt und neu wieder funktioniert.

    Verständlich?

    mfg

  9. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: 476f6c656d 13.06.15 - 10:03

    Ich stimme dir zu, das man das beim Einchecken hätte sehen sollen. Wenn man nur einen diff auf den Code gemacht hätte.
    Aber die Tests werden typischerweise mit der Applikation kompiliert. Und die benutzen dann natürlich die richten Datenstrukturen. Also würde es auch nicht auffallen.

  10. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: dudida 13.06.15 - 11:41

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Und drittens ja, der Fehler tritt bei jeden Programm auf was alt mit
    > aktuell mischt.

    Nein, tritt es nicht. Es tritt nur auf, wenn man eine spezifische struct in einer spezifischen Weise verwendet. Es wird also keineswegs jedes Programm betroffen sein.



    1 mal bearbeitet, zuletzt am 13.06.15 11:42 durch dudida.

  11. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: GodsBoss 13.06.15 - 11:42

    > Aber die Tests werden typischerweise mit der Applikation kompiliert. Und
    > die benutzen dann natürlich die richten Datenstrukturen. Also würde es auch
    > nicht auffallen.

    Das kommt doch drauf an, was getestet werden soll? Es gibt Unit-Tests, Integrationstests, Ende-zu-Ende-Tests, warum nicht auch Tests, die die ABI-Kompatibilität zur vorigen Version sicherstellen? Eigentlich müsste man doch dazu "nur" Tests (aber wohl nicht Unit-Tests) mit der vorigen Version kompilieren, aber gegen die aktuelle laufen lassen.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  12. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: bstea 13.06.15 - 11:56

    Äh, nein.
    Der Fehler tritt im Wechselspiel von alten mit neuem aus. Gäbe es einen Test, würde dies auch 100% entdeckt werden. Zumal auch durch bloßes Hinsehen erkennbar ist wenn die Signaturen sich ändern oder das Speicherformat das die ABI damitgebrochen wird.
    Zu zweitens deshalb existieren ja drei Versionen, weil API und ABI Umbrüche darin sind. Also sind sich die Leute diesen Problem bewusst und ignorieren oder hoffen das nix passiert. Klingt beides nicht sonderlich vertrauenswürdig.
    Zu drittens, spricht nicht unbedingt von einen guten Entwicklungsprozess wenn Lösungen schnell rausgepustet werden ohne Tests und wo es Alternativen zu Implementierung gab. Dachte jetzt mit den bezahlten Kräften gibts auch Kompetenz und weniger Druck. Scheinbar ist das immer noch nicht der Fall.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  13. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: bstea 13.06.15 - 12:01

    OpenSSL ist auch eine Bibliothek sogesehen führt jeder Fehler in der Implementierung zu weitreichenden Problemen. Gut, immerhin hatten die kaputten Versionen eine geringe Lebenszeit. Wäre ja den Entwicklern schnell aufgefallen, dass deren alter Kram mit dem neuen nicht funktioniert hätte und man häts nicht so ausgeliefert.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  14. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: Niantic 13.06.15 - 15:46

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Mehrfaches Hä?
    > Erstens wenn die einen Test gehabt hätten, wäre das aufgefallen, ergo gibts
    > keinen.
    > Zweitens werden solche Dinge nicht erst beim Release geprüft sondern nach
    > dem einchecken also weit vor der Bekanntgabe.
    > Und drittens ja, der Fehler tritt bei jeden Programm auf was alt mit
    > aktuell mischt.

    hauptsach keine ahnung haben, wie?
    die tests werden im übrigen mit openssl im source tarball geliefert, und beim bauen des pakets (make test ist afair immernoch dependency von make install) mitgebaut. daher sind die testcases selbstverständlich beim bauen des pakets ABI-kompatibel - darüber hinaus möchte ich die golemautoren mal dazu anregen, ABI nachzuschlagen. Was man unter ABI-kompatitibilität versteht scheint nämlich weder der autor des artikels noch der grossteil der kommentatoren hier verstanden zu haben...

  15. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: YoungManKlaus 14.06.15 - 09:13

    OpenSSL und testing? Der war gut!

  16. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: YoungManKlaus 14.06.15 - 09:15

    Tja, brauchens halt auch einen ABI compatibility test wenn sie Kompatibilität garantieren. Sollte nicht so wahnsinnig schwer zu realisieren sein.

  17. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: 476f6c656d 14.06.15 - 18:09

    Unendlich schwer ist das gewiss nicht. Der Test darf dann nur die Headerversionen benutzen, ab denen es ein API Freeze gibt um dann später die ABI in den darauffolgenden Versionen prüfen zu können.
    Ich bin jetzt kein Experte was das Testing angeht. Ich selbst schreib meine Tests auch nur mit Hilfe von Frameworks, wie QTest. Aber ich finde, wenn ich mal so drüber nachdenke, dem Test eigene Header zu spendieren, gar nicht schlecht. Es würden zwar dann gewisse Header zwei mal im Repository liegen, die sich auch eigentlich niemals unterscheiden sollten, aber so wäre der ABI Fehler wohl mit hoher Wahrscheinlichkeit aufgefallen. Auch ohne Tests die explizit die ABI testen.

  18. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: Iruwen 14.06.15 - 19:14

    Internet Smartasses to the Rescue. Nie eine Zeile Code geschrieben, nie Software getestet, nie etwas zu einem OSS Projekt beigetragen, aber Meckern als wäre man Ray Ozzie persönlich.

  19. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: YoungManKlaus 14.06.15 - 19:54

    > Es würden zwar dann gewisse Header zwei mal im Repository liegen,
    > die sich auch eigentlich niemals unterscheiden sollten

    eine Referenz für Tests zu haben finde ich okay, ist definitiv keine unnötige Verdoppelung.

  20. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: GodsBoss 16.06.15 - 19:47

    > Internet Smartasses to the Rescue. Nie eine Zeile Code geschrieben, nie
    > Software getestet, nie etwas zu einem OSS Projekt beigetragen, aber Meckern
    > als wäre man Ray Ozzie persönlich.

    Andere wiederum urteilen über Menschen, über die sie nichts wissen und schreiben ihnen dabei Dinge zu, von denen ihnen nicht bekannt ist, ob sie stimmen oder nicht.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Schwalmstadt
  2. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  3. Computacenter AG & Co. oHG, verschiedene Standorte
  4. J. Bauer GmbH & Co. KG, Wasserburg/Inn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Monster Hunter World: Iceborne Digital Deluxe für 29,99€, Phoenix Wright: Ace Attorney...
  2. 15,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de