Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücken: OpenSSL-Update…

Das hätte man beim Testing doch merken müssen?!

  1. Thema

Neues Thema Ansicht wechseln


  1. Das hätte man beim Testing doch merken müssen?!

    Autor: Lala Satalin Deviluke 12.06.15 - 17:34

    Seltsam...

    Grüße vom Planeten Deviluke!

  2. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: SJ 12.06.15 - 18:03

    ja, hätte man müssen... aber wenn selbst Unternehmen mit Milliarden von Gewinn das nicht immer schaffen, dann kann man das einer Handvoll Leuten auch nicht vorwerfen.

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  3. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: root666 12.06.15 - 18:44

    SJ schrieb:
    --------------------------------------------------------------------------------
    > ja, hätte man müssen... aber wenn selbst Unternehmen mit Milliarden von
    > Gewinn das nicht immer schaffen, dann kann man das einer Handvoll Leuten
    > auch nicht vorwerfen.

    Aber das ist doch Open Source. Da wird doch der Code immer von hunderten Leute auf Fehler geprüft.

  4. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: DASPRiD 12.06.15 - 18:52

    root666 schrieb:
    --------------------------------------------------------------------------------
    > SJ schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ja, hätte man müssen... aber wenn selbst Unternehmen mit Milliarden von
    > > Gewinn das nicht immer schaffen, dann kann man das einer Handvoll Leuten
    > > auch nicht vorwerfen.
    >
    > Aber das ist doch Open Source. Da wird doch der Code immer von hunderten
    > Leute auf Fehler geprüft.

    Tun sie ja auch, deshalb wurde der Fehler ja so schnell bemerkt ;)

  5. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: 476f6c656d 12.06.15 - 23:04

    Sie werden wahrscheinlich automatisierte Tests haben. Und diese Tests werden beim Bauen der Lib mit gebaut. Daher hat beim Test die ABI auch funktioniert und ist daher wohl nicht aufgefallen. Und der Fehler tritt ja auch nicht bei jedem Programm auf. Eben nur bei jenen, die diese Funktion benutzen.

  6. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: bstea 12.06.15 - 23:51

    Mehrfaches Hä?
    Erstens wenn die einen Test gehabt hätten, wäre das aufgefallen, ergo gibts keinen.
    Zweitens werden solche Dinge nicht erst beim Release geprüft sondern nach dem einchecken also weit vor der Bekanntgabe.
    Und drittens ja, der Fehler tritt bei jeden Programm auf was alt mit aktuell mischt.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  7. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: burzum 13.06.15 - 01:24

    DASPRiD schrieb:
    --------------------------------------------------------------------------------
    > root666 schrieb:
    > ---------------------------------------------------------------------------
    > > Aber das ist doch Open Source. Da wird doch der Code immer von hunderten
    > > Leute auf Fehler geprüft.
    >
    > Tun sie ja auch, deshalb wurde der Fehler ja so schnell bemerkt ;)

    Wohl weniger weil jemand danach suchte als viel mehr das er schwerwiegend genug war als das man ihn nicht übersehen konnte als *Nutzer*. Was auch so im Artikel steht.

    Irgendeine Flachschippe hat also nicht getestet, dann die ABI geändert, dabei "vergessen" die Version zu ändern und damit alles was sich darauf verläßt quasi gehimmelt.

    Der Fehler liegt klar auf Seiten des/der Maintainer IMHO.

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.

  8. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: Dumpfbacke 13.06.15 - 09:39

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Mehrfaches Hä?
    > Erstens wenn die einen Test gehabt hätten, wäre das aufgefallen, ergo gibts
    > keinen.
    > Zweitens werden solche Dinge nicht erst beim Release geprüft sondern nach
    > dem einchecken also weit vor der Bekanntgabe.
    > Und drittens ja, der Fehler tritt bei jeden Programm auf was alt mit
    > aktuell mischt.
    Zu Erstens: Die Frage ist, wie der Test aussieht. Wenn alles zum Test neu kompiliert wurde, funktioniert der Test erfolgreich. Die Software wurde mit der neuen Bibliothek aufgebaut und deshalb funktioniert der Aufruf fehlerfrei.
    Zu Zweitens: Das Problem trifft nur bei binärer Software auf, weil diese nicht gegen die neue Version kompiliert wurde.
    Zu Drittens: Was durch die letzten Anpassungen kein Problem mehr darstellt. Die Änderung der ABI wurde rückgängig gemacht, weshalb das Mischen von alt und neu wieder funktioniert.

    Verständlich?

    mfg

  9. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: 476f6c656d 13.06.15 - 10:03

    Ich stimme dir zu, das man das beim Einchecken hätte sehen sollen. Wenn man nur einen diff auf den Code gemacht hätte.
    Aber die Tests werden typischerweise mit der Applikation kompiliert. Und die benutzen dann natürlich die richten Datenstrukturen. Also würde es auch nicht auffallen.

  10. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: dudida 13.06.15 - 11:41

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Und drittens ja, der Fehler tritt bei jeden Programm auf was alt mit
    > aktuell mischt.

    Nein, tritt es nicht. Es tritt nur auf, wenn man eine spezifische struct in einer spezifischen Weise verwendet. Es wird also keineswegs jedes Programm betroffen sein.



    1 mal bearbeitet, zuletzt am 13.06.15 11:42 durch dudida.

  11. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: GodsBoss 13.06.15 - 11:42

    > Aber die Tests werden typischerweise mit der Applikation kompiliert. Und
    > die benutzen dann natürlich die richten Datenstrukturen. Also würde es auch
    > nicht auffallen.

    Das kommt doch drauf an, was getestet werden soll? Es gibt Unit-Tests, Integrationstests, Ende-zu-Ende-Tests, warum nicht auch Tests, die die ABI-Kompatibilität zur vorigen Version sicherstellen? Eigentlich müsste man doch dazu "nur" Tests (aber wohl nicht Unit-Tests) mit der vorigen Version kompilieren, aber gegen die aktuelle laufen lassen.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  12. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: bstea 13.06.15 - 11:56

    Äh, nein.
    Der Fehler tritt im Wechselspiel von alten mit neuem aus. Gäbe es einen Test, würde dies auch 100% entdeckt werden. Zumal auch durch bloßes Hinsehen erkennbar ist wenn die Signaturen sich ändern oder das Speicherformat das die ABI damitgebrochen wird.
    Zu zweitens deshalb existieren ja drei Versionen, weil API und ABI Umbrüche darin sind. Also sind sich die Leute diesen Problem bewusst und ignorieren oder hoffen das nix passiert. Klingt beides nicht sonderlich vertrauenswürdig.
    Zu drittens, spricht nicht unbedingt von einen guten Entwicklungsprozess wenn Lösungen schnell rausgepustet werden ohne Tests und wo es Alternativen zu Implementierung gab. Dachte jetzt mit den bezahlten Kräften gibts auch Kompetenz und weniger Druck. Scheinbar ist das immer noch nicht der Fall.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  13. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: bstea 13.06.15 - 12:01

    OpenSSL ist auch eine Bibliothek sogesehen führt jeder Fehler in der Implementierung zu weitreichenden Problemen. Gut, immerhin hatten die kaputten Versionen eine geringe Lebenszeit. Wäre ja den Entwicklern schnell aufgefallen, dass deren alter Kram mit dem neuen nicht funktioniert hätte und man häts nicht so ausgeliefert.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  14. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: Niantic 13.06.15 - 15:46

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Mehrfaches Hä?
    > Erstens wenn die einen Test gehabt hätten, wäre das aufgefallen, ergo gibts
    > keinen.
    > Zweitens werden solche Dinge nicht erst beim Release geprüft sondern nach
    > dem einchecken also weit vor der Bekanntgabe.
    > Und drittens ja, der Fehler tritt bei jeden Programm auf was alt mit
    > aktuell mischt.

    hauptsach keine ahnung haben, wie?
    die tests werden im übrigen mit openssl im source tarball geliefert, und beim bauen des pakets (make test ist afair immernoch dependency von make install) mitgebaut. daher sind die testcases selbstverständlich beim bauen des pakets ABI-kompatibel - darüber hinaus möchte ich die golemautoren mal dazu anregen, ABI nachzuschlagen. Was man unter ABI-kompatitibilität versteht scheint nämlich weder der autor des artikels noch der grossteil der kommentatoren hier verstanden zu haben...

  15. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: YoungManKlaus 14.06.15 - 09:13

    OpenSSL und testing? Der war gut!

  16. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: YoungManKlaus 14.06.15 - 09:15

    Tja, brauchens halt auch einen ABI compatibility test wenn sie Kompatibilität garantieren. Sollte nicht so wahnsinnig schwer zu realisieren sein.

  17. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: 476f6c656d 14.06.15 - 18:09

    Unendlich schwer ist das gewiss nicht. Der Test darf dann nur die Headerversionen benutzen, ab denen es ein API Freeze gibt um dann später die ABI in den darauffolgenden Versionen prüfen zu können.
    Ich bin jetzt kein Experte was das Testing angeht. Ich selbst schreib meine Tests auch nur mit Hilfe von Frameworks, wie QTest. Aber ich finde, wenn ich mal so drüber nachdenke, dem Test eigene Header zu spendieren, gar nicht schlecht. Es würden zwar dann gewisse Header zwei mal im Repository liegen, die sich auch eigentlich niemals unterscheiden sollten, aber so wäre der ABI Fehler wohl mit hoher Wahrscheinlichkeit aufgefallen. Auch ohne Tests die explizit die ABI testen.

  18. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: Iruwen 14.06.15 - 19:14

    Internet Smartasses to the Rescue. Nie eine Zeile Code geschrieben, nie Software getestet, nie etwas zu einem OSS Projekt beigetragen, aber Meckern als wäre man Ray Ozzie persönlich.

  19. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: YoungManKlaus 14.06.15 - 19:54

    > Es würden zwar dann gewisse Header zwei mal im Repository liegen,
    > die sich auch eigentlich niemals unterscheiden sollten

    eine Referenz für Tests zu haben finde ich okay, ist definitiv keine unnötige Verdoppelung.

  20. Re: Das hätte man beim Testing doch merken müssen?!

    Autor: GodsBoss 16.06.15 - 19:47

    > Internet Smartasses to the Rescue. Nie eine Zeile Code geschrieben, nie
    > Software getestet, nie etwas zu einem OSS Projekt beigetragen, aber Meckern
    > als wäre man Ray Ozzie persönlich.

    Andere wiederum urteilen über Menschen, über die sie nichts wissen und schreiben ihnen dabei Dinge zu, von denen ihnen nicht bekannt ist, ob sie stimmen oder nicht.

    Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über experteer GmbH, Nürnberg
  2. Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg
  3. TenneT TSO GmbH, Bayreuth
  4. Therapon 24, Nauheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. 24,99€
  3. (-76%) 9,50€
  4. (-60%) 23,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
  2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf

  1. Telekom: 30 Millionen Haushalte mit Vectoring und FTTH erreicht
    Telekom
    30 Millionen Haushalte mit Vectoring und FTTH erreicht

    30 Millionen Haushalte können von der Telekom schnelles Internet bekommen. 1,1 Millionen davon sind für den Anschluss an das Glasfaser-Netz der Telekom vorbereitet.

  2. Google: Android Q heißt einfach Android 10
    Google
    Android Q heißt einfach Android 10

    Schluss mit den Süßigkeiten: Google bricht mit der zehn Jahre alten Tradition, seine Android-Versionen nach Naschwaren zu benennen. Aus Android Q wird dementsprechend einfach Android 10, dessen finaler Release in den kommenden Wochen erscheinen soll.

  3. Keine Gigafactory: Tesla will offenbar Autos in Niedersachsen bauen
    Keine Gigafactory
    Tesla will offenbar Autos in Niedersachsen bauen

    Der Elektroautohersteller Tesla erwägt den Bau einer Fabrik in Niedersachsen. Eine Giga-Fabrik für Akkuzellen und Batterien ist allerdings nicht geplant.


  1. 17:32

  2. 17:10

  3. 16:32

  4. 15:47

  5. 15:23

  6. 14:39

  7. 14:12

  8. 13:45