Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Verschlüsselung: Google forkt OpenSSL

Kompatibilität?

  1. Thema

Neues Thema Ansicht wechseln


  1. Kompatibilität?

    Autor: Smiled 21.06.14 - 22:51

    Ist die Kompatibilität zwischen OpenSSL und "Google SSL" gewährleistet? Wenn nicht, hoffe ich, dass die meisten Unternehmen bei OpenSSL bleiben. Nur weil es eine Sicherheitslücke gab und Chrome "Google SSL" nutzen wird, muss man nicht wechseln. Ich verstehe allgemein den Sinn von Forks oft nicht. Warum versucht man nicht, sich mit den Entwicklern zu einigen und sie zu unterstützen?

  2. Re: Kompatibilität?

    Autor: brm 21.06.14 - 23:02

    Je mehr Vielfalt umso unwahrscheinlicher ist es dass bei einem Bug alle Implementierungen betroffen sind .

  3. Re: Kompatibilität?

    Autor: kazhar 21.06.14 - 23:04

    Das Problem von OpenSSL betrifft nicht Sicherheitslücken sondern die Wart- und Lesbarkeit des Codes.

    Ich würde mein Geld eher in Projekte stecken, die da mal aufräumen...

  4. Re: Kompatibilität?

    Autor: burzum 21.06.14 - 23:14

    Smiled schrieb:
    --------------------------------------------------------------------------------
    > Ist die Kompatibilität zwischen OpenSSL und "Google SSL" gewährleistet?

    Weil Du dann Jahrzehnte Legacycode mitschleifen mußt. Microsoft macht das und versucht immer sehr lange Abwärtskompatibel zu sein und wird dafür oft von OSS-Trollen und Fanatikern gescholten. Auf der einen Seite ein Segen für die Nutzer und ein Garant für lange Laufzeiten von Software in Unternehmen (ja die wollen so was), auf der anderen Schleppst Du halt Altlasten mit. Das Gegenteil ist halt der Linuxmutant: Immer wieder neue lustige Späße. Kein Verlaß auf nichts. Ich vermisse hier einen Mittelweg aus beiden Wegen.

    > Wenn nicht, hoffe ich, dass die meisten Unternehmen bei OpenSSL bleiben.
    > Nur weil es eine Sicherheitslücke gab und Chrome "Google SSL" nutzen wird,
    > muss man nicht wechseln. Ich verstehe allgemein den Sinn von Forks oft
    > nicht. Warum versucht man nicht, sich mit den Entwicklern zu einigen und
    > sie zu unterstützen?

    Weil das ursprüngliche Projekt offenbar von Leuten programmiert wurde die nicht richtig programmieren können? Respekt vor der kryptographischen Leistung dahinter, aber der Code ist MÜLL. Je eher OpenSSL in der Versenkung verschwindet und von einem Projekt ersetzt wird das den Code aufräumt und verbessert desto besser.

    Wenn Du ewig alten und häßlichen unwartbaren Code weiterschleifen willst, viel Spaß. Ich nenne das Jenga-Code, nach dem Spiel (schlags nach). Ab einem gewissen Punkt stehen die Resourcen die man aufwenden muß um den unverständlichen wirren Code zu pflegen nicht mehr im Verhältnis. Scheiße kann man nicht unendlich hoch stapeln, zumindest nicht wirtschaftlich sinnvoll.

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.



    2 mal bearbeitet, zuletzt am 21.06.14 23:16 durch burzum.

  5. Re: Kompatibilität?

    Autor: __destruct() 21.06.14 - 23:45

    burzum schrieb:
    --------------------------------------------------------------------------------
    > Ich nenne das Jenga-Code, nach dem Spiel (schlags nach).

    Ich bin mir sicher, da passen noch mindestens 3 weitere ANDs in die Schleifenbedingung und weil AND Vorrang hat, braucht man auch keine Klammerung. :)

  6. Re: Kompatibilität?

    Autor: Schattenwerk 22.06.14 - 00:17

    Google wird primär für seine Produkte dieses Produkt entwickeln und nicht für dich bzw. uns ;)



    1 mal bearbeitet, zuletzt am 22.06.14 00:18 durch Schattenwerk.

  7. Re: Kompatibilität?

    Autor: Nephtys 22.06.14 - 02:47

    kazhar schrieb:
    --------------------------------------------------------------------------------
    > Das Problem von OpenSSL betrifft nicht Sicherheitslücken sondern die Wart-
    > und Lesbarkeit des Codes.
    >
    > Ich würde mein Geld eher in Projekte stecken, die da mal aufräumen...

    Genau das geht bei OpenSSL nicht, weil du nichts warten DARFST. Patches und Co sind das einzige Mittel, um da überhaupt eine entsprechende Version benutzen zu können.
    Ein Fork macht nur Sinn. Nicht aus technischen, sondern organisatorischen Gründen. Open Source ist schön und gut, aber OpenSSL ist eine Katastrophe. Da hilft auch der derzeitige Medienrummel darum nicht viel.

  8. Re: Kompatibilität?

    Autor: bstea 22.06.14 - 08:57

    Ich hoffe das ist nicht so zu verstehen, dass du vorschlägst überall Klammern hinzufügen wo es offensichtlich ist, welche Operatoren Vorrang haben, weil genau das ist mieser Stil und unwartbar.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  9. Re: Kompatibilität?

    Autor: violator 22.06.14 - 11:38

    brm schrieb:
    --------------------------------------------------------------------------------
    > Je mehr Vielfalt umso unwahrscheinlicher ist es dass bei einem Bug alle
    > Implementierungen betroffen sind .


    Dafür tritt man aber auf der Bremse wenn sich die Entwickler auf mehrere Projekte aufspalten, statt dass alle mal an einem Strang ziehen.

  10. Re: Kompatibilität?

    Autor: __destruct() 22.06.14 - 20:13

    Wenn 2 Bedingungen mit AND verknüpft werden und logisch zusammenhängen, umschließe ich sie mit Klammern.

  11. Re: Kompatibilität?

    Autor: quadronom 22.06.14 - 23:45

    bstea schrieb:
    --------------------------------------------------------------------------------
    > Ich hoffe das ist nicht so zu verstehen, dass du vorschlägst überall
    > Klammern hinzufügen wo es offensichtlich ist, welche Operatoren Vorrang
    > haben, weil genau das ist mieser Stil und unwartbar.

    Nein, mieser Stil ist vor allem Inkonsistenz!
    Mal ne Klammer, mal nicht, sowas geht gar nicht!

    %0|%0

  12. "Genau das geht bei OpenSSL nicht, weil du nichts warten DARFST."

    Autor: Yes!Yes!Yes! 23.06.14 - 07:53

    Halte ich für ein Gerücht. Dass nicht jeder Klopskopf Code zu größeren Projekten beisteuern kann, der ohne Nachfrage direkt übernommen wird, dürfte einleuchten.
    Google hätte sich mit der Projektleitung sicher einigen können, aber dazu hätte man ja direkt kommunizieren müssen. Dann wäre glatt rausgekommen, dass bei Google doch noch echte Menschen arbeiten. :)

  13. Re: Kompatibilität?

    Autor: bstea 23.06.14 - 10:47

    Würdest du auch Rückgabewerte klammern als return (bla <= blub)?
    Ich kann's gar nicht mehr sehen, wenn Leute überflüssige Klammern einsetzen, nicht nur weil es die Lesbarkeit verringert und man vor lauter Klammern den eigentlichen Ausdruck schwer erkennt. Weshalb ich erst klammere wenn es an Übersicht gewinnt, übergeordnet, logisch zusammenhängt oder Zeilenwechselzeichen einspart .
    Eigentlich sind nur die Blockzeichen bei nur einen Anweisung bei Bedingungen schlimmer. Man schreibt Code den man braucht und nicht welcher der evtl. mal gebraucht wird.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  14. Re: Kompatibilität?

    Autor: bstea 23.06.14 - 10:52

    Genau deshalb lasse ich alle weg, wo sind keinen Mehrwert bringen. Solche Inkosistenzregeln kommen von Leuten die partout keine Gotos verwenden wollen, weil das irgendjemand mal in einem spez. Kontext gesagt hat.

    --
    Erst wenn der letzte Baum gefällt, der letzte Fluss gestaut und der letzte Fisch gefangen ist, werdet ihr feststellen, dass man Biber nicht essen kann!

  15. Re: "Genau das geht bei OpenSSL nicht, weil du nichts warten DARFST."

    Autor: bofhl 23.06.14 - 11:26

    Rate mal was Google die ganze macht?
    Blos konnte und/oder wollte bei OpenSSL niemand die (ganzen) Patches einbauen!
    Zum großen Teil auch, weil OpenSSL 100% kompatibel zu allen bisherigen Einsatzgebieten bleiben muss - Google ist das egal, denn die schränken die Benutzung einfach auf ihre bekannten OS (und Programme) ein und können so viel von den unnötigen Code-Teilen hinauswerfen. Und dafür ihren und den von LibreSSL hinein nehmen!

  16. Re: Kompatibilität?

    Autor: __destruct() 23.06.14 - 15:43

    Goto oO

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. ING-DiBa AG, Nürnberg
  3. ifp l Personalberatung Managementdiagnostik, Raum Norddeutschland
  4. BWI GmbH, Berlin, München, Nürnberg, Rheinbach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 14,97€
  2. 107,00€ (Bestpreis!)
  3. 419,00€
  4. 79,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. In eigener Sache ITler und Board kommen zusammen
  2. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht
  3. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

Projektorkauf: Lumen, ANSI und mehr
Projektorkauf
Lumen, ANSI und mehr

Gerade bei Projektoren werden auf Plattformen verschiedener Onlinehändler kuriose Angaben zur Helligkeit beziehungsweise Leuchtstärke gemacht - sofern diese überhaupt angegeben werden. Wir bringen etwas Licht ins Dunkel und beschäftigen uns mit Einheiten rund um das Thema Helligkeit.
Von Mike Wobker


    1. TLS-Zertifikat: Gesamter Internetverkehr in Kasachstan kann überwacht werden
      TLS-Zertifikat
      Gesamter Internetverkehr in Kasachstan kann überwacht werden

      In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land.

    2. Ari 458: Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro
      Ari 458
      Elektro-Lieferwagen aus Leipzig kostet knapp 14.000 Euro

      Ari 458 ist ein kleiner Lieferwagen mit Elektroantrieb, den der Hersteller mit Aufbauten für verschiedene Einsatzzwecke anbietet. Die Ausstattung ist einfach, dafür ist das Auto günstig.

    3. Quake: Tim Willits verlässt id Software
      Quake
      Tim Willits verlässt id Software

      Seit 24 Jahren ist Tim Willits einer der entscheidenden Macher bei id Software, nun kündigt er seinen Rückzug an. Was er künftig vorhat, will der ehemalige Leveldesigner und studierte Computerwissenschaftler erst nach der Quakecon verraten.


    1. 17:52

    2. 15:50

    3. 15:24

    4. 15:01

    5. 14:19

    6. 13:05

    7. 12:01

    8. 11:33