Комментарии 6
Всегда настораживали модули безопасности (например SSL) с приставкой Open…
А меня нет. Просто всё дело в популярности ПО и чем оно популярнее тем больше его анализируют и тем больше находят дыр. Для примера можно взять Flash или IE или криптографические продукты от Apple или MS (в статье даже упоминается Microsoft Schannel с той же проблемой). В общем, во всех популярных продуктах точно так же регулярно находят и закрывают дырки, а в криптопродуктах их обычно находят чаще поскольку их чаще всего тестируют. А вот что меня по-настоящему тревожит так это софт, которым пользуется полтора человека и который, вообще, никто никогда не проверял на безопасность, что в случае целенаправленной атаки даст злоумышленникам огромные преимущества.
Не соглашусь с этим выводом. По моему личному мнению, всё дело в квалификации и мотивации разработчиков. Если безопасность и качество продукта — это хлеб и приоритет компании (разработчиков + менеджеров + QA), то и продукт получается соответствующий. Например, массовый продукт Skype, по CVE 28 уязвимостей, а у OpenSSL 191.
Библиотека OpenSSL написана на Си, вот факты о качестве кода. Если и этого не достаточно, можно посмотреть на количество и качество тестов. Тестов на эту библиотеку чуть больше сотни, на покрытие кода тестами без слез сложно смотреть. Обычно модуль сериализации/десериализации настроек имеет сравнимое количество тестов. Так вот вывод из вышесказанного один — разработка качественного и надежного кода не было приоритетом сообщества при разработке этой библиотеки.
А что с Flash? Недавно имел возможность в спокойной обстановке лично пообщаться со старшим научным сотрудником и архитектором в Adobe Шоном Перентом (Sean Parent). Отвечая на вопрос «Почему в Adobe Flash находят столько уязвимостей?», он сообщил, что продукт развивался достаточно быстро и руководство поставило приоритетом удовлетворение потребностей пользователей в новом функционале, а приоритет качества и надежности кода был понижен. В итоге продукту удалось завоевать внимание пользователей, но вот переписать всю эту кучу некачественного кода времени так и нет.
С разработчиками IE не общался, прокомментировать не могу.
Да, свой комментарий выше не пометил тегом «сарказм». Посыпаю голову пеплом.
Библиотека OpenSSL написана на Си, вот факты о качестве кода. Если и этого не достаточно, можно посмотреть на количество и качество тестов. Тестов на эту библиотеку чуть больше сотни, на покрытие кода тестами без слез сложно смотреть. Обычно модуль сериализации/десериализации настроек имеет сравнимое количество тестов. Так вот вывод из вышесказанного один — разработка качественного и надежного кода не было приоритетом сообщества при разработке этой библиотеки.
А что с Flash? Недавно имел возможность в спокойной обстановке лично пообщаться со старшим научным сотрудником и архитектором в Adobe Шоном Перентом (Sean Parent). Отвечая на вопрос «Почему в Adobe Flash находят столько уязвимостей?», он сообщил, что продукт развивался достаточно быстро и руководство поставило приоритетом удовлетворение потребностей пользователей в новом функционале, а приоритет качества и надежности кода был понижен. В итоге продукту удалось завоевать внимание пользователей, но вот переписать всю эту кучу некачественного кода времени так и нет.
С разработчиками IE не общался, прокомментировать не могу.
Да, свой комментарий выше не пометил тегом «сарказм». Посыпаю голову пеплом.
В статье очень не хватает описания сути уязвимости, а то я, например, не понял угрожает мне эта уязвимость чем-нибудь или нет. Пришлось читать сайт, но даже это не дало окончательной уверенности, например, в том затрагивает ли уязвимость продукты вроде OpenVPN или нет.
P.S. ну и явная ссылка на тест для браузеров тоже нужна: freakattack.com/clienttest.html
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
В десктопных и мобильных ОС обнаружена опасная уязвимость FREAK