หลังจาก HeartBleedGate และแม่น้ำของตัวละครที่เขียนเกี่ยวกับคดีนี้มังงะปากแข็งซึ่งเป็นผู้พัฒนา OpenBSD นำโดย Theo de Raadt กล่าวว่า "เรากำลังจะสร้าง OpenSSL ของเราเองด้วยเกมแห่งโอกาสและความร่าน" แต่อย่างไร การจัดหาเงินทุนไม่ให้พวกเขา สำหรับการพนันและร่านพวกเขาเหลือเพียงส้อมของ OpenSSL ที่พวกเขาจะเรียก LibreSSL และในตอนแรกจะเป็นสำหรับ OpenBSD 5.6 และถ้าทุกอย่างเป็นไปด้วยดีสำหรับระบบ POSIX อื่น ๆ รวมถึงลินุกซ์แน่นอน
Ted Unangst ผู้พัฒนา OpenBSD กล่าวว่า Heartbleed คือ เพียงหนึ่งในข้อบกพร่องร้ายแรงของ OpenSSL ประจำปีหลาย ๆ และข้อผิดพลาดนี้ไม่ใช่เหตุผลที่จะแยก ข้อผิดพลาดที่ Ted มุ่งเน้นไปที่ (สิ่งที่จะทำให้เกิดส้อม) เกี่ยวข้องกับ ฟรีลิสต์ OpenSSL ภายใน และอะไร ngnix ใช้ไม่ได้ถ้าไม่มีฟรีลิสต์เหล่านั้น. แต่ที่แย่ที่สุดคือ การขาดการตอบสนองจาก OpenSSL เนื่องจากข้อบกพร่องนี้มีแพตช์ที่เสนอไว้แล้วและยังไม่ได้นำไปใช้ แพทช์นั้นคือ ไม่รวมเป็นปี; OpenSSL, OpenBSD และ Debian ได้ทำการแก้ไขด้วยตัวเอง หากนักพัฒนา OpenSSL ไม่ได้ใช้แพตช์พวกเขาจะไม่ค่อยโน้มน้าวให้ถอนการสนับสนุน Visual C ++ 5.0 (โปรแกรมเมอร์ C สามารถหัวเราะได้ ด้วยตัวอย่างเหล่านี้).
ดังนั้นพวกเขาจึงกำจัดโค้ดและการนับประมาณ 150 บรรทัดโดยเฉพาะอย่างยิ่งหลังจากลบการรองรับ VMS ซึ่งเป็นระบบปฏิบัติการปิดที่น่ารังเกียจสำหรับเซิร์ฟเวอร์ที่ Hewlett Packard ดูแลอยู่ เหมือนกับว่า X เทียบกับ Wayland
ในขณะเดียวกันฉันฝากคุณไว้กับเว็บไซต์ OpenSSL Valhalla อาละวาด ด้วยแกลเลอรีแห่งความสยองขวัญที่เหล่า OpenBSD พยายามแก้ไข
ต้องขอบคุณส้อมเหล่านี้ซอฟต์แวร์เช่น LibreOffice และ MariaDB จึงมีความชอบ (ใน Slackware พวกเขาได้แทนที่ MySQL ด้วย MariaDB และใน distros ส่วนใหญ่พวกเขาได้แทนที่ OpenOffice ทั้งหมดด้วย LibreOffice)
แต่ส้อมเหล่านั้นเป็นเพราะพวกเขาไม่ต้องการมีชะตากรรมเช่นเดียวกับ OpenSolaris ที่อยู่ในมือของ "เจ้าของ" รายใหม่มันเป็นกรณีที่จำเป็นและส่วนใหญ่สนับสนุนทางเลือกอย่างรวดเร็ว (ซึ่งในความเป็นจริงคือผู้สร้าง แต่มีชื่ออื่น) สิ่งนี้ทำให้ฉันรู้สึกเหมือนคนใน OpenBSD (ด้วย Theo "Linux is for Losers" โดย Raadt ที่ถือหางเสือเรือ) ไม่พอใจที่พวกเขาไม่ได้รวมการเปลี่ยนแปลงไว้ด้วย ด้วยเหตุนี้จึงมี FreeBSD, NetBSD และ OpenBSD
ฉันเห็นด้วยกับคุณ 100% คุณไม่จำเป็นต้องสุดโต่งหรือเป็นแฟนบอย
ขอโทษทีฉันนึกออกแค่ "นิกซอนสำหรับโรคริดสีดวงทวาร"
เห็นได้ชัดว่าวันนี้พวกเขารวมการโต้เถียง
https://rt.openssl.org/Ticket/Display.html?id=2167#txn-39826
ขณะที่เฟลิเป้เพื่อนของมาฟัลดากล่าวว่า:
"พินัยกรรมต้องเป็นสิ่งเดียวที่เมื่อยวบจำเป็นต้องถูกทิ่มแทง"
ฉันไม่เข้าใจการพูดจาโผงผางเกี่ยวกับส้อมนี้เพราะนี่คือวิธีการทำงานของชุมชนโอเพนซอร์สโดยใช้ส้อมและการรวมเข้าด้วยกัน ในทางตรงกันข้ามฉันพบว่ามันน่ายกย่องที่พวกเขาตัดสินใจทำแพ็คเกจขนาดใหญ่เช่นนี้
ฉันไม่ใช่ผู้เชี่ยวชาญใน OpenSSL แต่จากสามจุดที่ Diazepan กล่าวไว้นั่นคือ "การสนับสนุนสำหรับระบบปิดอย่างสมบูรณ์" (VMS), "โค้ดที่ล้าสมัย" (Visual C ++ 5.0) "และ" ขาดการสนับสนุน "สำหรับฉันแล้วดูเหมือนว่า มันไม่สามารถเป็นอย่างอื่นได้
และใช่ฉันได้กล่าวว่าขาดการสนับสนุนว่าแพตช์ดังกล่าวรวมอยู่ในวันนี้ไม่ได้หมายความว่าจะเกินหนึ่งปีในรายการคำขอ ความจริงที่ว่า OpenBSD ซึ่งเป็นหนึ่งในระบบที่เสถียรที่สุดไม่เพียงเพราะเป็น OpenBSD เท่านั้น แต่ยังเป็นเพราะมันเป็น BSD และ Debian ได้รวมไว้ในที่เก็บของพวกเขาบ่งชี้ว่ามันไม่ใช่แพตช์ทดลอง แต่มีความเสถียร
น่าเสียดายที่ Linux Foundation ไม่เห็นแบบนั้นและจัดสรรเงินให้ OpenSSL ซึ่งจากมุมมองของฉันเป็นความผิดพลาดพวกเขาควรสนับสนุน LibreSSL ซึ่งเป็นสิ่งที่เริ่มเกือบเป็นศูนย์โดยเริ่มจากนิสัยที่ไม่ดีของ OpenSSL เช่นตัวอย่างของ malloc