Vlákno názorů ke zprávičce Obslužné aplikace eObčanky jsou k dispozici pro Linux od muf - Co takhle napřed ověřit, jestli to staré OpenSSL...
-
muf (neregistrovaný)
Co takhle napřed ověřit, jestli to staré OpenSSL není náhodou opatchované než začnu pořvávat?
Takhle to bude mít jediný výsledek. Další verze už nebude, protože se na to prostě vykašlou. Ať už si o nich myslím cokoliv(widlaři, kteří používají své obvyklé naučené postupy), málokdo si nechá za dobrou vůli nadávat.Mám - li si vybrat, pořád lepší ne zrovna ideální aplikace než žádná.
-
DannyStříbrný podporovatelA jak to chcete overovat, kdyz ta informace o pouzitych verzich knihoven neni nikde uvedena? 250+ MB knihoven je v binarni podobe odkudsi vykopirovano bez udani zdroje a toto "reseni" se jeste oficialne oduvodnuje stabilitou a bezpecnosti. V praxi klasicka security through obscurity.
-
Petr Neni (neregistrovaný)
Takze jinak receno: nerikejte ze to auto nema iarbag protoze se na tu vyrobu nakonec vyserou... v oblasti bezpecnosti informaci existuji urcite standardy, best practices, ktere vam mimo jine zarucuji ze vase reseni je bezpecne (dle verejne znamych zdroju). Kdyz budujete PKI spolehate se na to, ze nikdo neumi ze znalosti verejneho certifikatu odvodit v dobe x privatni klic. Pokud stat rika, ze reseni eObcanek je postavene na certifikatech a PKI obecne, mel by sve tvrzeni dolozit moznosti videt public certifikat. Pokud to nenich ochoten/schopen dolozit, nebavime se o PKI ale jakemsi ceskem bastlu ktery s PKI nema nic spolecneho.
-
Filip JirsákStříbrný podporovatelUž vás chápu. Použít OpenSSL opatchované vlastními silami je špatně. Použít OpenSSL opatchované distribucí je také špatně. Použít OpenSSL opatchované vývojáři OpenSSL je také špatně. Takže je vlastně špatně jakékoli použití OpenSSL. A předpokládám, že totéž by se vztahovalo i na jakoukoli jinou SSL knihovnu a špatně je už to, že autoři vůbec něco dělají.
-
Filip JirsákStříbrný podporovatel
Jak mám tušit, že podle vás oficiální patche nejsou „patchování cizími silami“? Zeptám se tedy ještě jednou – jak jste přišel na to, že patchovali OpenSSL vlastními silami a nepoužili oficiální patche?
-
Lol Phirae (neregistrovaný)
Jirsáku, jak již ti bylo řečeno nesčetněkrát, čím víc se matláš v hovně, tím víc smrdí. Je přesně NULA důvodů u nového projektu použít patche (a je úplně jedno, jestli "vlastní silou" nebo "oficiální) místo aktuální verze té knihovny.
Jenže to se nesmí "vyvíjet" metodou patláma matláma paprťála žbrluch, což je přesně ta metoda, kterou všichni ve státní sféře využívají (viz v diskusi již zmiňovaný JRF, zmatlalanina od Postsignum atd. atd. atd.)
-
Filip JirsákStříbrný podporovatel
Já jeden důvod vidím – můžu použít přeloženou, sestavenou a funkční distribuční verzi. Když chcete použít aktuální verzi knihovny, musíte si jí sám přeložit a sestavit. A tohle budete dělat se všema použitými knihovnama a se všema jejich závislostma, včetně kompilačních. Takže musíte znovu řešit všechno to, co už vyřešili autoři distribuce.
-
Filip JirsákStříbrný podporovatel
Na tohle máme takové pěkné rčení „prázdný sud nejvíc duní“. „Z informaci, ktere SZR dnes upustila jde ale porad o binarku z Ubuntu 17.10, kteremu v cervenci oficialne support uz taky skoncil.“
-
Filip JirsákStříbrný podporovatel
Lol Phirae: Že je mimo vaši představivost to, že někdo vezme distribuční OpenSSL z Ubuntu 17.10 (tedy se všemi distribučními patchi z toho Ubuntu) a přibalí ho ke své aplikaci, to by se dalo pochopit. Že vám to nedojde ani po několika nápovědách, to by se taky dalo pochopit. Ale proč to musíte troubit do světa a ještě při tom nadávat těm, kteří to chápou? To vypadá – nezlobte se, že to tak řikám – jako že jste úplně blbej. Tak si to tu s j, Kentanem z Montargi, BoneFlute a Nickem Sekáčem Magorem užívejte.
