Comments 19
Похоже придётся смириться с тем что всё — решето.
+11
Один мой знакомый не-программер сказал «так пиши весь свой софт сам». Что-то в этом есть.
0
Эх, совсем недавно злопыхатели кричали, что openssl — решето, а polarssl и появлявшийся на свет libressl — совсем не то, заботятся о безопасности. А на деле программисты — тоже люди и могут ошибаться, так что ничего удивительного.
Печально, что обновлять на новую версию будут долго.
Печально, что обновлять на новую версию будут долго.
+1
Теперь осталось так ещё matrixssl ломануть для полного «счастья». О нём мало говорят, хотя компании используют его весьма известные.
+2
---программисты — тоже люди и могут ошибаться
Программисты всегда ошибаются, если не пишут елементарных unit тестов и уж тем более не пользуются программами синтаксического анализа.
Честно говоря я в шоке, что столь распространенные криптобиблиотеки выглядят таким крапом.
Программисты всегда ошибаются, если не пишут елементарных unit тестов и уж тем более не пользуются программами синтаксического анализа.
Честно говоря я в шоке, что столь распространенные криптобиблиотеки выглядят таким крапом.
0
Если программа/библиотека собирается, то, очевидно, с синтаксисом там всё нормально. Но, думается мне, вы путаете его со статическим анализом, который совсем не про то и не является серебряной пулей.
+4
---путаете его со статическим анализом
Да не то слово использовал.
Программы типа Coverity во время билда отрепортуют как Error однозначно, и да — в проэктах как криптобиблиотеки — это практически серебрянная пуля для таких тупых ошибок. Честно говоря не пойму зачем платят деньги QA-шикам в гугле?
Да не то слово использовал.
Программы типа Coverity во время билда отрепортуют как Error однозначно, и да — в проэктах как криптобиблиотеки — это практически серебрянная пуля для таких тупых ошибок. Честно говоря не пойму зачем платят деньги QA-шикам в гугле?
+2
Ну как бы они как раз гордятся, что у них больше 6500 тестов. Так что скорее вывод в том, что тесты не панацея от уязвимостей.
+9
Нагло влезу со стороны — C++ уже не исправить, но, к счастью, скоро выйдет Rust 1.0, который не позволяет писать такое решето.
-5
Из названия функции polarssl_free() явно торчат уши C, плюсы то тут причём?
+2
Через unsafe позволит что угодно, хоть что-нибудь гораздо более решетнее.
0
Возможность существует, но ведь нет никакого смысла использовать unsafe в тех местах, где как раз нужна безопасность.
0
Использование raw pointers для структур данных является чем-то вроде unsafe в современном С++.
Мне кажется что немного наивно полагать что новый язык вдруг даст сразу счастье и избавит от проблем с безопасностью. Для некоторых задач, вроде где разбирается ASN.1 из бинарных данных наверное ничего лучше row pointers не придумать в случая rust.
Мне кажется что немного наивно полагать что новый язык вдруг даст сразу счастье и избавит от проблем с безопасностью. Для некоторых задач, вроде где разбирается ASN.1 из бинарных данных наверное ничего лучше row pointers не придумать в случая rust.
0
В процессе перевода сайта на HTTPS рассматривал вариант замены OpenSSL на сабж, но пришёл к выводу, что и так сойдёт. Тем более, что за неделю до продакшна в OpenSSL как раз исправили очередные 8 уязвимостей. Не прогадал!
+1
Sign up to leave a comment.
Критическая уязвимость в PolarSSL