Menéame: comentarios [2162904]

#91 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--13404-- — Fri, 25 Apr 2014 08:14:31 +0000

Relacionada: Los gigantes tecnológicos escarmientan y darán dinero a OpenSSL y otros proyectos www.meneame.net/story/gigantes-tecnologicas-escarmentadas-heartbleed-a

» autor: --13404--

#90 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

meneandro — Thu, 24 Apr 2014 13:06:31 +0000

#89 Y posiblemente solo han tocado aquellas partes necesarias para conseguirlo (se habrán cargado más cosas que ellos ven innecesarias y habrán dejado sin tocar lo que ellos consideran que funciona y les interesa), dejando otras cosas como están (que un fork no consiste necesariamente en reescribirlo todo), con sus fallos de seguridad y demás (claro que al ser en espacio de usuario "no son tran graves").

» autor: meneandro

#89 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Thu, 24 Apr 2014 12:49:21 +0000

#11 OpenBSD hizo un fork de X.org llamado Xenocara, el cual funciona sin permisos de root.

» autor: --125581--

#88 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

thingoldedoriath — Thu, 24 Apr 2014 12:49:16 +0000

#16 Esa gente desarrolla, mantiene y usa OpenBSD!! que es probablemente el sistema operativo más seguro que existe o como poco uno de los más seguros.

Mirar su web es mirar el dedo en lugar de lo que el dedo señala. La comunidad OpenBSD no se dedican al diseño de páginas web y es seguro que no dedican a ello más recursos de los estrictamente necesarios.

» autor: thingoldedoriath

#87 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Yagami_Raito — Thu, 24 Apr 2014 09:01:47 +0000

Si os quereis reir un rato: www.tedunangst.com/flak/post/worst-common-denominator-programming

» autor: Yagami_Raito

#86 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 19:38:13 +0000

#85 "no sabía ni que existía, porque nunca me ha hecho falta." El problema es ese, no saber que existe.

Esto te va a gustar

pelusa.fis.cinvestav.mx/tmatos/LaSumA/LaSumA2_archivos/Supercomputo/Th

C puede ser bastante jodido, escribiendo zonas donde no le corresponden a la funcion.

» autor: --125581--

#85 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Despero — Wed, 23 Apr 2014 17:19:54 +0000

#84 O de no saber que existe la función length. De hecho, yo jamás la he usado en C, y mira que llevo años programando en C, no sabía ni que existía, porque nunca me ha hecho falta.

» autor: Despero

#84 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Galero — Wed, 23 Apr 2014 17:13:55 +0000

#22 No jodas. Tardas menos en escribir length que en contar para meter un hardcode. La prisa no justifica esa chapuza, otras a lo mejor, pero eso no. Es de vago tirando a inútil.

» autor: Galero

#83 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--143520-- — Wed, 23 Apr 2014 15:32:04 +0000

#80 Si vamos a ser un poco justos, ese es el problema del software, antes o después te vas a llenar de apaños. Ya sea porque desde el principio se hizo así, o porque a partir de hacerlo bien es inevitable que termines arrastrando código.

Además hay que sumarle que un desarrollo abierto tiene más problemas de organización. Eso sí, es un fallo muy grave no por sus consecuencias sino por la estupidez necesaria para generarlo.

» autor: --143520--

#82 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--143520-- — Wed, 23 Apr 2014 15:29:57 +0000

#6 Cuanto odio hay en el mundo. Tienes razón, que cualquiera pueda verlo no significa que alguien lo haya auditado. Y sin querer tomar partido, si es un proyecto privado por lo menos significa que alguien tenía la obligación (para eso le pagaban) de auditarlo, otra cosa es que eso tampoco significa que alguien lo haya hecho.

Y por cierto, este bug me parece exageradamente básico, son el tipo de cosas que siempre se comprueban.

» autor: --143520--

#81 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--332267-- — Wed, 23 Apr 2014 13:35:25 +0000

[Usuario deshabilitado]

» autor: --332267--

#80 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Marx — Wed, 23 Apr 2014 12:16:10 +0000

#75 Una cosa es que haya fallos, algo comprensible, y otra muy diferente que haya tantos fallos que en vez de arreglarlos terminas antes haciendo un avión nuevo, salvando si tal las ruedas y poco más porque el original es "tan malo que han decidido directamente hacer un fork".

Cuando hay "fallos tan flagrantes" es porque ese código no lo miró ni el tato, o el tato sabe tanto de informática como mi abuela.

» autor: Marx

#79 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 11:34:10 +0000

#78 OpenSSL NO esta en la base. Ni siquiera es de ellos.

» autor: --125581--

#78 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--332267-- — Wed, 23 Apr 2014 11:29:51 +0000

[Usuario deshabilitado]

» autor: --332267--

#77 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Nova6K0 — Wed, 23 Apr 2014 11:27:38 +0000

#6 Se nota que no has entrado mucho en Bugzilla. Donde muchas aplicaciones de software libre lo usan para revisar errores y solucionarlos. Y esto incluye a los propios usuarios que las usan.

En todo caso las posibilidades que da el software libre no las dará el propietario en su vida. Mismo la revisión de código. No es por nada pero si tengo que confiar en un programa, aplicación, algoritmo, librería,... de software libre frente a una propietaria, vamos elijo el primer caso de cabeza.

Realmente hay una diferencia enorme. El software libre, por lo general, para el usuario normal si es gratis y el autor no pide nada a cambio, salvo que le dones dinero y poco más. Con esto quiero decir que no te cobra nada, con lo cual si su programa tiene fallos no te puedes quejar, respecto a que no has pagado nada por él, incluso aunque le hubieses donado algo. Pero hay errores infantiles de funcionalidad, entre otros, en programas de pago que no es que valgan 20-30 € precisamente. Del caso específico de los vídeojuegos prefiero no hablar, que me entra la risa.

Salu2

» autor: Nova6K0

#76 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

PythonMan8 — Wed, 23 Apr 2014 11:14:08 +0000

los hombres de verdad utilizamos trevp.net/tlslite/ (python quality)

» autor: PythonMan8

#75 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Whitefox — Wed, 23 Apr 2014 11:03:01 +0000

#6 ¿Y si hay tanta seguridad en los aviones cómo es que siguen habiendo accidentes? Por que la gente puede equivocarse y hay fallos que pueden no verse hasta que sea demasiado tarde.

Además siempre se tiende a prestar más atención cuando ya ha ocurrido algo.

» autor: Whitefox

#74 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

TheMaster — Wed, 23 Apr 2014 10:45:50 +0000

Hay menos gente experta de la que se cree trabajando en asuntos 'sensibles'. Los bugs existen y seguirán existiendo, no hay fiabilidad suprema, porque somos seres humanos. Lo único que puedes hacer es minimizar los bugs, revisando el desarrollo y los procesos de testeo y calidad, pero lo dicho.

» autor: TheMaster

#73 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Despero — Wed, 23 Apr 2014 10:37:35 +0000

#70 La última vez que tuve un fallo del estilo, postee en stackoverflow.

Me imagino una pregunta de un novato en esa página estilo...

"Hola. Tengo un fallo que no se resolver. Cambie la request que tenía por esta otra y me devuelve cosas que no deberían. Mi código antes era

y funcionaba bien y ahora es

¿Alguien podría ayudarme?"

"Hola, te has olvidado de cambiar la longitud de la request. Deberías usar length() para evitar poner esas cosas a mano y evitarte este tipo de fallo.
Por cierto... qué cosa más rara... No debería devolverte tanta información".

He visto cosas peores en stackoverflow, por cierto.

Es más, puede ser que fuera algo así lo que les pusiera en sobreaviso y les hiciera revisar esa parte específica del código. Aunque no tengo ni idea de como se dieron cuenta o si se sabe quién dio el primer aviso. Yo no tengo ni idea de como se dieron cuenta, pero a no ser que a alguien le diera por ponerse a revisar el código línea a línea, algo así tuvo que ser.

» autor: Despero

#72 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Marx — Wed, 23 Apr 2014 10:32:11 +0000

#7 Sí, claro que lo revisaron... después de saltar la liebre con Heartbleed y sobre todo ¿después de cuántos años? Existe desde el 98 ¿y nadie se dió cuenta antes de lo que parece ser una chapuza? Pues estamos apañados con las revisiones que hacen.

¿Cuánto código habrá por revisar? A saber porque los mil ojos parece que sólo son un mito.

» autor: Marx

#71 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 10:29:13 +0000

#69 Me refiero a que en GNU/Linux hay demasiada fragmentación.

» autor: --125581--

#70 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

delawen — Wed, 23 Apr 2014 10:29:03 +0000

#51 Luego me das la razón. Quien podría acceder de forma ilógica a esta API sería alguien que no tendría mucha idea, y que por tanto tampoco entendería el bug. Es muy posible que ni piense que es un bug, sino que el problema es suyo.

» autor: delawen

#69 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

ragnarel — Wed, 23 Apr 2014 10:26:58 +0000

#68 ya estamos otra vez. Que te guste la forma de hacer de OpenBSD (ojo, no estoy criticándola, de hecho me gusta), no significa que el resto del mundo deba hacerlo de la misma forma. Hay variedad, incluso en las formas. LibreSSL viene muy bien si finalmente despega, porque un achuchón a OpenSSL era necesario después de todo lo que se está descubriendo.

» autor: ragnarel

#68 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 10:24:27 +0000

#65 GNU debería sacar una distro estándar bianal con el kernel, coreutils, Emacs y Xorg y luego todo lo demás que sea bajo debs o rpms. Como openbsd.

» autor: --125581--

#67 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

kahun — Wed, 23 Apr 2014 10:23:13 +0000

#16 "This page scientifically designed to annoy web hipsters. Donate now to stop the Comic Sans and Blink Tags" Si te molesta ya sabes lo que tienes que hacer.

» autor: kahun

#66 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

nereidsol — Wed, 23 Apr 2014 10:22:10 +0000

#1 muchas no colaboran, pero muchas otras si, además estas empresas tienen interés en que su solución basada en opensource sea competitiva y segura por lo que meten programadores y recursos para que las partes más flojas se mejoren, Red Hat, IBM, Google, y muchísimas más contribuyen activamente mejorando partes críticas. Ya verás como si open ssl no mejora y tanto google como IBM como Redhat, etc... tiene problemas al final acabarán metiendo recursos o contribuyendo. El entorno opensource es sólido y dispone de modelos de negocio asociados que lo hacen crecer incluso cuando hace falta inversión. Por otro lado parece que no va a ser necesario que nadie contribuya sino que van a salir alternativas por parte de la comunidad de openbsd. Así pues sí ha sido un tropiezo, pero opensource sigue adelante.

» autor: nereidsol

#65 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

ragnarel — Wed, 23 Apr 2014 10:21:49 +0000

@Ander_ y @Filiprino, ¿y no es mejor que cada uno de los dos proyectos (GNU y BSD), aporten lo mejor de cada uno y tengamos un ecosistema de software libre cada vez más rico? La competencia es buena, demostrado está. En cuanto a vuestros comentarios en ésta noticia, menuda discusión de ególatras.

» autor: ragnarel

#64 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

outofmemory — Wed, 23 Apr 2014 10:20:56 +0000

#57 Ya, pero eso del "fork+limpieza" es como decir que están haciendo un refactoring del código original, pero sin integrar los cambios en la rama principal. No me parece mal, pero creo que lo ideal es partir del código maduro y hacer ahí la reestructuración.

» autor: outofmemory

#63 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 10:20:09 +0000

#61 Ya pero esta gente se supone experta en el campo.

» autor: --125581--

#62 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

gilipipas — Wed, 23 Apr 2014 10:19:16 +0000

#22 Para los que sepan un poco de C aquí hay una explicación del bug (muy interesante el link para programadores):

www.tedunangst.com/flak/post/worst-common-denominator-programming

snprintf

The real snprintf returns the number of characters it wanted to print, regardless of buffer size. The imitation BIO_snprintf returns the number of characters printed, unless truncation occurs, in which case it returns -1. So they’re mostly the same, except in those situations where bad things like overflow are happening, in which case normal C programmers need to remember that OpenSSL C is not normal.

if (BIO_snprintf(buf,sizeof buf,"%s_default",v->name) >= (int)sizeof(buf))

That’s how one checks real snprintf for truncation, but not BIO_snprintf! Ironically, the code would have worked even so, because -1 implicitly converted to size_t is going to be quite large, but then somebody went full retard and cast sizeof to int. Never do this. (The cast would be mostly harmless with real snprintf. Only the combination of wrapper and cast cause the error. The planets must have been in alignment. Still, don’t cast sizeof.)

Básicamente, si hay un desbordamiento de buffer al intentar escribir la función de OPENSSL devuelve -1, con lo cual la condición que determina si se genera el error no se cumple, ya que -1 < (int) sizeof(buf) y se permite proseguir como si no hubiera error alguno aunque realmente ha habido un desbordamiento.

» autor: gilipipas

#61 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Despero — Wed, 23 Apr 2014 10:18:37 +0000

#58 Yo he usado C muchas veces y he hecho programas choriceros.
El ejemplo que he puesto es porque ahora misom tengo delante una hoja de matlab que estoy cambiando precisamente porque he aprendido una nueva función que antes no sabía.
Me juego la mano derecha a que si empiezo a usar openSSL, me ocurre lo mismo.

Pero vamos, que a mí me da igual. Sólo me queda claro que la idea de que los open, por mucho tiempo que pase, pueden tener fallos sangrantes de seguridad.
Y no me parece raro. Pero mucha gente se llena la boca con eso de que "mucha gente los revisa" y los famosos "miles de ojos" y luego parece que la realidad es otra.

#63 ¿todos? ¿Nadie empezó con SSL y aprendiendo C a la misma vez ex professo para usar SSL? Porque yo he hecho muchas veces eso de aprender un lenguaje para poder usar un programa específico y no sé de ese lenguaje nada más.

» autor: Despero

#60 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

TaoTao — Wed, 23 Apr 2014 10:17:43 +0000

#9 Free as in freedom. Not as in "free beer"

» autor: TaoTao

#59 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--222052-- — Wed, 23 Apr 2014 10:17:41 +0000

[Usuario deshabilitado]

» autor: --222052--

#58 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 10:17:15 +0000

#54 Hablamos de C, no Matlab. Se exige un manejo apropiado de los datos en memoria. De forma basica, ademas. Y sobre todo, esta gente ha querido reinventar la rueda para ganar mas velocidad y se la han pegado en varias curvas cerradas.

» autor: --125581--

#57 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

eduardor2k — Wed, 23 Apr 2014 10:17:06 +0000

#51 Lei por ahi que criticaban de que el código es complicado de leer, eso significa que es complicado analizar que hace cada porción de código, puede que si estuviera un poco mejor hecho, alguién lo hubiera encontrado antes.

#55 No lo han reescrito desde cero, han hecho un fork + limpieza, pero es muy probable que se introduzcan nuevos bugs aunque estos deberíans er mas sencillos de corregir.

» autor: eduardor2k

#56 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

wadop1312 — Wed, 23 Apr 2014 10:12:34 +0000

#35 Por supuesto que lo va a tener. Está hecho por seres humanos.
¿Y tu te crees que las soluciones de seguridad implementadas por Microsoft y Apple no los tienen?
La diferencia es que tienes que pagar por los parches de seguridad

» autor: wadop1312

#55 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

outofmemory — Wed, 23 Apr 2014 10:11:14 +0000

No sé a vosotros, pero a mí no me parece tan buena idea.
Normalmente reescribir un código desde cero sirve para introducir nuevos bugs o problemas que ya se habían solventado en versiones del software más maduro.
Esto es algo casi "evolutivo". Si hay un bug en OpenSSL, que tiene muchos años de experiencia, hay que corregirlo y, dado el caso, refactorizar.
Pero hacer un fork y reescribir algunas partes desde cero, para mí no tiene sentido. A no ser que el código que quieres arreglar esté hecho unos zorros y te de igual introducir nuevos bugs a cambio de tener una arquitectura del código más decente.

» autor: outofmemory

#54 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Despero — Wed, 23 Apr 2014 10:02:38 +0000

#57 En mi rama, te encuentras pi=3.141652 al comienzo de muchos programas.
Y hay otros que que saben que muchos lenguajes llevan pi ya definido.
Y otros que usan páginas de decimales de pi para poner un buen tocho con copypaste.

Hay tantos niveles que alguno se equivocará y se dará cuenta de que hay un fallo.

Hasta hace no mucho, en matlab ponía las longitudes a mano porque no sabía que existía la función lengt(), así que si lo hago y empieza a darme cosas que no debería, pues sospecharía bastante.

El código este no lo usan sólo expertos que conocen todas las funciones, también más gente, con muchos niveles distintos y muchos conocimientos distintos del programa. Por eso lo sorprendente es que nadie con escrúpulos lo descubriera antes.

» autor: Despero

#53 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:58:51 +0000

#51 meter esas funciones a mano teniendo otras bien conocidas y seguras es como el equivalente en tu rama a usar Pi como 22/7

» autor: --125581--

#52 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

abacero — Wed, 23 Apr 2014 09:54:07 +0000

#16 En el pie de la página (www.libressl.org):

"This page scientifically designed to annoy web hipsters. Donate now to stop the Comic Sans and Blink Tags"

» autor: abacero

#51 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Despero — Wed, 23 Apr 2014 09:51:17 +0000

#48 No he dicho que sea normal escribir a mano las longitudes, he dicho que EN DOS AÑOS COMPLETOS con MILES Y MILES de personas de personas "REVISANDO" y USANDO en código de todas las maneras imaginables, desde el experto que lo usa bien hasta el novato que lo usa sin tener ni puta idea, NADIE lo ha reportado.

EN
DOS
AÑOS

Tú seguro que eres la puta ama programando. Yo desde luego, si lo uso por primera vez y no tengo ni puta idea, metería las longitudes a mano, poque no sabría ni que existe una función length() o similar (de hecho, no lo sé).

No todo el mundo nace sabiendo programar, Don Perdonavidas, y los primeros códigos que pueda uno tener sí que pueden ser horribles. Y de esos códigos horribles, por lo que ves, se pueden aprender muchas cosas.

Y ahora, se pueden poner todas las excusas que se quieran y todo los razonamientos de bla bla bla.
Esa es la realidad. Que en dos años de uso por miles de personas, todos esos "ojos" de los que siempre se habla no han sido capaz de encontrar un fallo tan estúpido.

P.S: No, no soy programador.

» autor: Despero

#50 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:43:57 +0000

"y no colaboran con nada fuera de BSD "

ZFS, parches a Xorg, y ahora, LibreSSL, el cual podrá ser llevado a GNU.

No, si lo mejor será dejaros el pozo de mierda de OpenSSL (Y GNUTLS salió con bug gordo hace pocos días) para que lo comáis con patatas y tengáis "seguridad".

Y no, SeLinux en este caso no sirve para una mierda.

» autor: --125581--

#49 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

meneandro — Wed, 23 Apr 2014 09:41:43 +0000

#42 Gnome no tiene una dependencia fuerte con systemd por mucho que digan por ahí. Si no usas systemd pierdes funcionalidades y hay que escribir código para sustituír los servicios que provee systemd y así poder activarlas (que es lo que ha hecho openBSD). Eso si, como ya casi todos los sistemas mayoritarios incorporan systemd, seguramente cada día por comodidad se irán atando más y más.

» autor: meneandro

#48 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

delawen — Wed, 23 Apr 2014 09:39:26 +0000

#22 ¿En serio crees que es normal hacer llamadas donde pones a mano los caracteres? ¿En serio crees que es normal que incluso en ese caso, no se use length?

Espero que no seas programador, porque miedito me daría el código que saldría con esa filosofía.

Está claro que es un bug de lo más tonto y que cualquier test unitario básico debería haberlo cubierto, pero de ahí a decir que es normal que la gente haga estas llamadas a mano, metiendo una cadena de caracteres a mano y contando a mano cuantos caracteres son... Lo que significaría que probablemente estás enviando una constante en tu código, que es bastante raruno y seguro que abre agujeros de seguridad en tu parte de la aplicación, porque si siempre envías la misma pregunta y esperas la misma respuesta, cualquiera se te cuela enmedio y tú te crees que sigue siendo el servidor original.

Vamos, que es que si alguien estaba enviando "a mano" la longitud de los strings, probablemente sea también alguien que no tiene mucha idea del tema.

» autor: delawen

#47 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--347930-- — Wed, 23 Apr 2014 09:38:09 +0000

[Usuario deshabilitado]

» autor: --347930--

#46 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:37:00 +0000

#44 Teniendo el código de OpenBSD directamente usable y compilable desde OpenCVS (Y siendo magnitudes de veces más pequeño y legible que GNU/Linux, donde meten de todo por usabilidad) aegurar tal patraña es un FUD que causa la risión.

» autor: --125581--

#45 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:34:43 +0000

#39 "claro, eso de la colaboración con otros los de BSD no lo entienden "
Sobre colaborar, ¿lo dices por el fusilamiento a OpenSSH? ¿O por qué la gente adopta como un loco TMUX en vez de Screen, el cual vale, lo del soporte serie mola, pero ha quedado viejo y casi sin mejorarse?

¿O el que hasta los de Arch usen CWM por lo ligero que es?

» autor: --125581--

#44 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Black_Diamond — Wed, 23 Apr 2014 09:34:21 +0000

Esto me recuerda una historia algo antigua, cuando Gregory Perry envío un email a Theo de Raadt avisando de que el FBI había pagado a varios desarrolladores de OpenBSD para insertar entradas traseras en IPSEC. En lugar de preguntar por más información, Theo hizo público el email e invitó a quien no se fiase de OpenBSD a revisar el código.

marc.info/?l=openbsd-tech&m=129236621626462&w=2

» autor: Black_Diamond

#43 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Seifer — Wed, 23 Apr 2014 09:32:35 +0000

#9 ¡¡¡¡Oooooh!!!!, que gran desgracia no cumplir con las expectativas de los ignorantes que no saben distinguir el concepto de libre con el de gratuito...

» autor: Seifer

#42 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:31:41 +0000

#39 Wayland será portado a BSD, tenlo por seguro. Soporte KMS tenemos.

Por ejemplo, observa tambien como han conseguido usar Gnome3.10 sin Systemd en OpenBSD 5.5 .

» autor: --125581--

#41 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Despero — Wed, 23 Apr 2014 09:31:39 +0000

#33 Ya, bueno, eso me lo supongo. Lo que quiero decir es que ninguno de los "buenos" lo encontró hasta dos años después...
Lo cuál no deja de ser sorprendente.

» autor: Despero

#40 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:29:48 +0000

#35 opensslrampage.org/

Anda, lee. Decir que los de OpenBSD no saben lo que hacen es conocer poco el sistema y los cojones de esta gente.

Hicieron un FORK de X.Org para lanzarlo sin permisos de root. No se van a quedar de brazos cruzados con esto.

#39. Los tiene, en kernel, a no ser que uses Linux-Libre:

www.fsfla.org/ikiwiki/selibre/linux-libre/

» autor: --125581--

#39 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--347930-- — Wed, 23 Apr 2014 09:29:01 +0000

[Usuario deshabilitado]

» autor: --347930--

#38 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:27:47 +0000

#34 "Sí que lo he usado y se nota que tienes un lavado de cerebro bastante severo. No me gustaría usar software que no promociona la libertad sino el libertinaje. "

Borra todo lo que tengas de BSD en tu GNU/Linux, entonces.

Aunque total, has promocionado Ubuntu muchas veces en esta página. ¿No deberías recomendar Trisquel por coherencia?

» autor: --125581--

#37 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

neuralgya — Wed, 23 Apr 2014 09:27:05 +0000

En general, es más fácil y satisfactorio escribir código que leerlo. A veces se me apetece escribir una aplicación simplemente por usar una nueva tecnología, o por reto personal. Jamás se me ha apetecido auditar el código de nadie.

Supongo que esto es lo mismo, mientras nadie pague, o que tengas por necesidad que verle las tripas a algo porque no le funciona, o porque quieres encontrar una vulnerabilidad para explotarla, a nadie se le va apetecer por que si verse el código de nadie.

» autor: neuralgya

#36 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:25:54 +0000

#34 Se nota que no has usado OpenBSD. En fi, sigue cerrado en el mundo GNU.

#35 Los de OpenBSD son expertos en seguridad, no gente salida del mundo acostumbrado a hack+hack.

Saben como hacer un código seguro desde que salió la primera versión.

» autor: --125581--

#35 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--347930-- — Wed, 23 Apr 2014 09:25:44 +0000

[Usuario deshabilitado]

» autor: --347930--

#34 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--347930-- — Wed, 23 Apr 2014 09:25:16 +0000

[Usuario deshabilitado]

» autor: --347930--

#33 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--26321-- — Wed, 23 Apr 2014 09:25:03 +0000

#6 #22 Las teorías conspiranoicas dicen que lo que da más miedo de ese bug es que era fácil de explotar y que las posibilidades de ganar acceso eran muy altas. Por lo que si alguien había detectado el problema y tenía pocos escrúpulos podía tener vía libre a un montón de información.

Resumiendo: Que es posible que sí se supiera antes, sólo que la gente que lo sabía no quería decirlo. Por ejemplo, www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug

» autor: --26321--

#32 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:25:00 +0000

#31 En el caso de TMUX y OSS, sí.

ALSA+Pulse es un hack crudo. Jackd es más usable.

De hecho, por si no lo sabías, ALSA realiza un downsample y resample forzado. No sé si hace poco lo corrigieron.

» autor: --125581--

#31 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--347930-- — Wed, 23 Apr 2014 09:24:28 +0000

[Usuario deshabilitado]

» autor: --347930--

#30 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

wadop1312 — Wed, 23 Apr 2014 09:24:01 +0000

#25 GnuTLS tuvo varios problemas, En todo caso Mozilla tiene su propia solución que también está bajo licencias libres

» autor: wadop1312

#29 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Cuñado — Wed, 23 Apr 2014 09:23:25 +0000

#8 Faltaría un titular con un verbo en condicional y un chiste metido a calzador sobre Rajoy

» autor: Cuñado

#28 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:22:43 +0000

#27 "No, los de BSD no crean bien las cosas desde el principio "

No, apenas:

xenocara.org/ (Xserver sin privilegios de root)

tmux.sourceforge.net/ (Screen pero mejorado)

www.openbsd.org/cgi-bin/man.cgi?query=sndiod&manpath=OpenBSD Curre (Servidor de sonido decente + OSS)

Con Pulse me costó horrores configurar fldigi.

» autor: --125581--

#27 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--347930-- — Wed, 23 Apr 2014 09:22:06 +0000

[Usuario deshabilitado]

» autor: --347930--

#26 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:21:11 +0000

#25 Al menos creamos las cosas bien desde el principio. (TMUX, Clang, Xenocara...)

Sobre GNUTLS, los de OpenBSD prefieren algo con licencia BSD.

» autor: --125581--

#25 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--347930-- — Wed, 23 Apr 2014 09:18:57 +0000

[Usuario deshabilitado]

» autor: --347930--

#24 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

takamura — Wed, 23 Apr 2014 09:15:03 +0000

#1 La solución existe desde hace mucho: copyleft. De todas formas, OpenBSD lleva 19 años vivito y coleando, así que un poquillo sensacionalista sí que es el periodista.

» autor: takamura

#23 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

ragnarel — Wed, 23 Apr 2014 09:14:26 +0000

Aquí al final quien gana es la seguridad y los usuarios, así que muy bien.

» autor: ragnarel

#22 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Despero — Wed, 23 Apr 2014 09:13:35 +0000

#6 Pues eso me preguntaba yo en la noticia del Heartbleed.

Si el bug es, básicamente, que tú le pides al servidor cierta cantidad de letras que debería corresponderse con la longitud de una palabra, pero que puede ser distinta y entonces te da más de esa palabra...
¿nadie había contado mal ni una sola vez?

Vale que muchas veces la gente pondría con algo parecido a length() para no contar a mano, pero alguna vez, con las prisas, pones un número y deberían haberse dado cuenta, digo yo.

De hecho, así es como se dieron cuenta, supongo. Lo que da miedo es que hayan tardado en darse cuenta dos años de un montón de gente usándolo.

» autor: Despero

#21 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--125581-- — Wed, 23 Apr 2014 09:09:01 +0000

#12 "O sea que si es cierto lo que lei que no os extrañe que LibreSSL no llege a nada tampoco o no solucione nada, o al menos los problemas más graves. "

¿Theo dejando las cosas a medias? No creo

» autor: --125581--

#20 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

joncarlopez — Wed, 23 Apr 2014 09:08:40 +0000

"cuanto más gatos, más ratones"

» autor: joncarlopez

#19 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Xtampa2 — Wed, 23 Apr 2014 09:07:58 +0000

#9 Anda que te has enterado tu bien de qué va la cosa. Precisamente siempre se remarca que lo de "free" se debe traducir como "libre" y no como "gratis".

» autor: Xtampa2

#18 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

meneandro — Wed, 23 Apr 2014 09:07:55 +0000

#16 Blink no tiene problemas de seguridad conocidos... salvo que mires la web sin gafas de sol y durante mucho rato seguido

» autor: meneandro

#17 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Artok — Wed, 23 Apr 2014 09:07:13 +0000

#1 open source es también una estrategia, casi obligada en ciertos campos hoy dia, si quieres que una comunidad mayor la use y desarrolle para es la mejor opción. Otra cosa es que no sepan sacarle rédito.

» autor: Artok

#16 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

eltxoa — Wed, 23 Apr 2014 09:05:56 +0000

Esta gente que va a arreglar OpenSSL usa

"<blink>Coming Soon Please Be Patient</blink>"

En el código de su web.

Ya estoy más tranquilo.

» autor: eltxoa

#15 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

forms — Wed, 23 Apr 2014 09:05:45 +0000

#13 si dejas un torrent compartiendo, no necesitas estar pendiente ni dedicar tiempo a ello

» autor: forms

#14 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Penetrator — Wed, 23 Apr 2014 09:04:55 +0000

Joder, estoy mirando la página en la que se van recopilando las cagadas que hay en el código de OpenSSL (opensslrampage.org/), y la verdad es que da miedo.

» autor: Penetrator

#13 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--413427-- — Wed, 23 Apr 2014 09:04:24 +0000

#9
Se pide reciprocidad y ni tan siquiera para con los autores del proyecto del que disfrutas sino para con toda la comunidad.

es como los torrents, si hay más leechers que seeders se jode el invento:
¿es gratis? sí, pero comparte tú también coño!.

» autor: --413427--

#12 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

GoDie — Wed, 23 Apr 2014 09:02:47 +0000

#6 Muchas lineas de codigo, para auditar eso bien por profesionales hay que pagarlo, deben ser mucho trabajo, a pocos pues como paso ahora alguna empresa se la da por cierta parte y se encontrara el marrón.

Ademas no debe ser muy claro, o debe ser un caos, lei por ahí que para algo seguro seria mejor tirar el codigo a la basura y hacerlo bien, supongo que algo como pasaba como la historia de sendmail / qmail.

O sea que si es cierto lo que lei que no os extrañe que LibreSSL no llege a nada tampoco o no solucione nada, o al menos los problemas más graves.

» autor: GoDie

#11 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

meneandro — Wed, 23 Apr 2014 09:02:26 +0000

Las empresas e instituciones que lo usan están más centradas en añadir las funcionalidades que necesiten o parchear errores concretos que en mantener y evolucionar la librería. Pasa como con Xorg, que si, que se ha modularizado y modernizado, pero porque ha llegado a puntos insostenibles (el fork de Xfree86, las extensiones cada vez más habituales para no tener que lidiar con el desfasado megunge que es X). En parte porque todos parecen confiar en el código, todos los que no saben, y todos los que saben por falta de especialización, en parte por centrarse en su arquitectura o sistema olvidándose de que pueden estar introduciendo código no portable/malicioso para otras, en parte por falta de interés, en parte por falta de tiempo, se terminan amontonando capas encima de capas para resolver problemas puntuales y se termina creando otro tipo de problemas. Cuando pasa eso lo mejor es empezar desde una base limpia y segura (libreSSL, wayland, etc).

» autor: meneandro

#10 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

NapalMe — Wed, 23 Apr 2014 09:01:56 +0000

Si hacen "borrón y cuenta" no es un "fork" ¿no? /tiquismiquis

» autor: NapalMe

#9 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

forms — Wed, 23 Apr 2014 08:59:08 +0000

#1 una de las ventajas que siempre se ponen para el software libre, es que es "gratis", pero luego bien que siempre piden dinero o tiempo (que al final es lo mismo)

» autor: forms

#8 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--222052-- — Wed, 23 Apr 2014 08:56:48 +0000

[Usuario deshabilitado]

» autor: --222052--

#7 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--413427-- — Wed, 23 Apr 2014 08:56:00 +0000

#6
pueden revisarlo, y de hecho la noticia demuestra que se puede revisar, y forkear

Cuando salga una noticia de que openBSD ha revisado el código de ntfs y que como no les ha gustado lo van a forkear me avisas.

» autor: --413427--

#6 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

angelitoMagno — Wed, 23 Apr 2014 08:48:23 +0000

Y siendo OpenSSL software libre, ¿nadie lo había revisado en profundidad hasta ahora? ¿Cómo puede ser que esté tan lleno de bugs y errores?

No, si al final eso de que "el soft libre lo revisan miles de personas y por eso es más seguro" va a ser una falacia.

» autor: angelitoMagno

#5 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--311215-- — Wed, 23 Apr 2014 08:38:25 +0000

Aunque buena parte de la comunidad no está interesada en este tipo de cosas, espero que este llegue a portada porque me parece muy relevante.

» autor: --311215--

#4 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

Carles6 — Wed, 23 Apr 2014 08:25:18 +0000

Theo de Raadt for president

» autor: Carles6

#3 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

JeckGo — Wed, 23 Apr 2014 08:01:20 +0000

gracias por la publicación, muy recomendable y gran contenido para los que trabajamos en este mundo!

» autor: JeckGo

#2 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

alejojo — Wed, 23 Apr 2014 07:50:09 +0000

El tema de la subvención a mi me gusta como lo tiene enfocado Ubuntu:

www.ubuntu.com/download/desktop/contribute

donde te dan la oportunidad de invertir en lo que te interesa. En el caso de los desarrolladores de OpenSSL haría algo parecido pero con milestones, en plan:

.para hacer una auditoria necesitamos tanta pasta,
.para desarrollar tal funcionalidad tanta otra

y así, y que las entidades, ya sean personas o corporaciones que donen en consecuencia.

» autor: alejojo

#1 LibreSSL, borrón y cuenta (casi) nueva para mejorar la seguridad de OpenSSL

--413427-- — Wed, 23 Apr 2014 07:27:00 +0000

para mí el párrafo más importante es el último:

Hay muchísimas empresas que funcionan en gran parte gracias a software libre como OpenSSL y que después no contribuyen de vuelta a la comunidad (ya sea económicamente, corrigiendo errores o creando más software libre). El software libre no es un regalo totalmente altruista: si es posible, debería "pagarse" de alguna forma a la comunidad por él. Esperemos que Heartbleed sea capaz de abrir un debate sobre este problema y que todos (especialmente las empresas) tratemos de corregirlo.

» autor: --413427--