LibreSSL: porque o OpenSSL não tem solução

arsebled

Depois do HeartBleedGate e dos rios de personagens escritos no caso, aquele mangá teimoso que são os desenvolvedores do OpenBSD, liderado por Theo de Raadt, disse "Vamos fazer nosso próprio OpenSSL com jogos de azar e putas." Mas como o financiamento não lhes dá para jogos de azar e vadias, eles ficaram com apenas o fork do OpenSSL, que eles chamarão LibreSSL e que inicialmente será para OpenBSD 5.6 e, se tudo correr bem, para outros sistemas POSIX, incluindo, é claro, o Linux.

Na verdade, o desenvolvedor do OpenBSD, Ted Unangst, menciona que o Heartbleed era apenas um dos vários bugs catastróficos anuais do OpenSSL e que esse bug não era motivo para bifurcação. O bug em que Ted se concentra (aquele que acabaria causando o fork) tem a ver com os freelists internos do OpenSSL e de que ngnix não funciona sem esses freelists. Mas o pior foi a falta de resposta do OpenSSL pois esse bug já tem um patch proposto e eles ainda não o aplicaram. Esse patch é por um ano não incluso; OpenSSL, OpenBSD e Debian têm seus próprios patches corrigidos. Se os desenvolvedores do OpenSSL não aplicassem o patch, eles não iriam convencê-los a retirar seu suporte para Visual C ++ 5.0 (os programadores de C podem rir com esses exemplos).

Então, eles se livraram de cerca de 150 mil linhas de código e contando, especialmente depois de remover o suporte para VMS, um sistema operacional fechado abominável para servidores que a Hewlett Packard mantém. É como se X fosse comparado a Wayland.

Enquanto isso, deixo vocês com o site Rampage OpenSSL Valhalla com a galeria de horror que os do OpenBSD tentam corrigir.


8 comentários, deixe o seu

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   eliotime3000 dito

    Graças a esses forks, softwares como o LibreOffice e o MariaDB tiveram sua preferência (no Slackware, eles substituíram o MySQL pelo MariaDB e, na maioria das distros, todos substituíram o OpenOffice pelo LibreOffice).

    1.    Mario dito

      Mas esses garfos eram porque não queriam ter o mesmo destino do OpenSolaris nas mãos de um novo "dono", era um caso de necessidade imperiosa, e a maioria rapidamente apoiou a alternativa (que na verdade são seus criadores, mas com outro nome). Isso me parece mais que o pessoal do OpenBSD (com Theo "Linux é para perdedores" de Raadt no comando) não está feliz por não ter incluído suas alterações. Por esta razão existem FreeBSD, NetBSD e OpenBSD.

    2.    Um certo lucas dito

      Eu concordo com você 100%. Você não precisa ser tão extremo, ou um fanboy.

  2.   DaCooksGenericName dito

    Desculpe, tudo que eu conseguia pensar era "Nikzon, para hemorróidas."

  3.   drako dito

    Aparentemente, hoje eles incluíram o patch de controvérsia.
    https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826

    1.    diazepam dito

      Tal como o Felipe, a amiga da Mafalda disse:
      "A vontade deve ser a única coisa que, quando esvaziada, precisa ser picada."

  4.   Não do Brooklyn dito

    Eu não entendo o discurso retórico sobre esse fork, afinal, é assim que a comunidade de código aberto funciona, com garfos e mesclagens. Pelo contrário, acho louvável que tenham decidido fazer um pacote tão grande.

    Não sou um especialista em OpenSSL, mas de acordo com os três pontos mencionados por Diazepan, isto é "Suporte para um sistema completamente fechado" (VMS), "Código antigo" (Visual C ++ 5.0) "e" Falta de suporte " , parece-me que não poderia ser de outra forma.

    E sim, falei falta de apoio, que o referido patch foi incluído hoje, não quer dizer que ficou mais de um ano nas listas de pedidos. O fato de o OpenBSD, que é um dos sistemas mais estáveis ​​que existem, não apenas por ser OpenBSD, mas também por ser BSD, e o Debian ter incluído em seus repositórios indica que não era um patch experimental, mas estável.

  5.   SinFlag dito

    Infelizmente a Linux Foundation não vê dessa forma e alocou dinheiro para OpenSSL, que, do meu ponto de vista é um erro, deveriam apoiar o LibreSSL, algo que começa quase zero, iniciando os maus hábitos do OpenSSL, como o exemplo do malloc.