パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる」記事へのコメント

  • by Anonymous Coward on 2014年04月17日 17時41分 (#2584088)

    UIというか何と言うか、opensslコマンド(相当)のオプションとか引数とか、その辺りもごっそりの見直してくれないかな。

    • by Anonymous Coward on 2014年04月17日 17時56分 (#2584101)

      それをするぐらいならopensslじゃなくて他のを使ったりfrom scratchで書くと思う。
      portsその他への影響を最小限にするためopensslのforkを選んだのでは。

      親コメント
      • by Anonymous Coward on 2014年04月17日 18時03分 (#2584105)

        オフトピですが、セキュリティ関連ツールのUIがひどいのは確かですからね。

        GitHubに秘密鍵をアップしちゃうバカが後を絶たないのも、そこら変に問題があるんじゃないでしょうか。Combat Proofはあっても、Fool Proofになってない、というか。

        親コメント
      • by Anonymous Coward on 2014年04月17日 18時30分 (#2584126)
        ちなみにセキュリティホールを作る最も簡単な方法はセキュリティを担うモジュールをスクラッチすることらしいよ。がんばって。
        親コメント
    • by Ryo.F (3896) on 2014年04月18日 0時58分 (#2584362) 日記

      コマンドのopensslって、あくまでもライブラリのお試し用か試験用って感じだよね。
      例えば、opensslのcaコマンドのマニュアルにも、排他制御しないので並列処理は無理(意訳)、って書いてある。
      その程度のものだと思って使うのが正しいんじゃないかな。

      まともに使えるUIは、別のプロジェクトでどうぞ、ってことなんでしょう。
      実際、OpenSSLのライブラリをリンクする認証局ソフトウェアもいくつか出てるね。

      親コメント
    • by Anonymous Coward

      今回の件は何にも考えてない人が分流の機能を拡張しようとした結果、
      些末な機能の追加による問題な気がします。

      オプションの引数追加(ではさすがに問題はおきないと思いますが、例えば)で、
      オプションパーサーが BoF に対して脆弱だと、結果メモリ内容が漏洩する、とか。

      今回の Heartbeat に限らず、OpenSSL に機能を追加/変更する場合には、
      些末な機能でも、同一プロセスで動く以上、メモリへ無制限にアクセスできることをもっと意識して欲しい。

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...