OpenForum RSS: Google перешел c OpenSSL на BoringSSL https://www.opennet.ru/openforum/vsluhforumID3/105149.html Разработчики BoringSSL (https://boringssl.googlesource.com/boringssl/), форка (https://www.opennet.ru/opennews/art.shtml?num=40049) OpenSSL от компании Google, опубликовали (https://www.imperialviolet.org/2015/10/17/boringssl.html) обзор состояния проекта. Последнее время на BoringSSL уже переведены все программные продукты Google, как внутренние сервисы, так и такие проекты как Chrome/Chromium и An&#173;droid. BoringSSL используется как единый TLS-стек для всех продуктов Google, что позволило значительно упростить сопровождение кодовой базы. <br><br><br>При этом использование BoringSSL в сторонних проектах может предоставлять трудности, так как код достаточно сильно почищен, разработчики не ставят перед собой цель полной совместимости с OpenSSL и ABI может меняться в зависимости от потребностей компании. В отличие от LibreSSL, разработка BoringSSL на заключалась в копировании имеющихся исходных текстов OpenSSL для их последующей переработки и чистки. Вместо этого BoringSSL развивался путём создания пустого проекта Google перешел c OpenSSL на BoringSSL (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#41 Fri, 23 Oct 2015 08:17:55 GMT &gt; GPL/opensource запрещает ломать api?<br>&gt; Вот это новость.<br><br>Я про "api" не писал. Я писал, что вас, опенсорсников, проприертарщики вертят на вашем опенсорсе, как хотят. Судя по удивлению, я даже, наверное, попал.<br> Google перешел c OpenSSL на BoringSSL (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#40 Fri, 23 Oct 2015 08:01:06 GMT В libreSSL сделали тоже самое.<br>Давно доказано, что теоретически невозможно на прикладном уровне собрать достаточно энтропии для генерации достаточно длиной последовательности случайных чисел на нужды криптографии.<br><br>https://youtu.be/GnBbhXBDmwU?t=26m5s<br><br>Попытки "собрать" энтропию или "улучшить" ее приводили и приводят к весьма опасным уязвимостям. Как на счет возможности угнать любой акаунт facebook?<br><br>http://www.youtube.com/watch?v=fWk_rMQiDGc<br><br>Реально, если вы не доверяете urandom то пить боржоми и пытаться набрать энтропию вручную уже поздно.<br> Google перешел c OpenSSL на BoringSSL (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#39 Fri, 23 Oct 2015 07:49:12 GMT GPL/opensource запрещает ломать api?<br>Вот это новость. <br> Google перешел c OpenSSL на BoringSSL (robux) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#38 Fri, 23 Oct 2015 05:05:42 GMT &gt; Вместо собственной реализации генератора псевдослучайных чисел в BoringSSL задействован штатный системный urandom.<br><br>С учётом того, что транснациональная корпорация "гугл" полностью подчиняется АНБ, я ждал чего-то подобного в тексте новости.<br><br>Короче, "АНБ форкнуло OpenSSL, взяло под контроль, вставило бэк-доров и обязало гугл использовать этот форк и агитировать других" - суть новости.<br> Google перешел c OpenSSL на BoringSSL (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#37 Thu, 22 Oct 2015 14:15:47 GMT &gt;&gt; это какбы и не настоящий опен-сорс, а просто исходный код в открытом доступе <br>&gt; Open source &#8212; это и есть "просто исходный код в открытом доступе". <br><br>Его "папы", Реймонд-Перен и О'Райли там же крутился, http://opensource.org/definition считают, что нет.<br><br>Но копрорасты, под которых они прогибались, абсолютно не уважают мнение тех, кто под них прогибается. RMS-а боятся. И "уважают", могет быть, если слегка потянуть за определения. У них там такое "уважение". А об этих ноги вытирают и пхай-пхают их этот модный лейбл куда ни попадя (см."openwashing").<br><br>Как бы и поделом. Неча батькино Учение на себя тянуть, "императив" выхолащивать.<br> Google перешел c OpenSSL на BoringSSL (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#36 Thu, 22 Oct 2015 13:53:55 GMT &gt; это какбы и не настоящий опен-сорс, а просто исходный код в открытом доступе<br><br>Open source &#8212; это и есть "просто исходный код в открытом доступе".<br> Google перешел c OpenSSL на BoringSSL (Нет) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#35 Thu, 22 Oct 2015 13:37:59 GMT Назло маме отморожу уши. Неважно кто и что делает, главное чтобы не нашему правительству.<br> Google перешел c OpenSSL на BoringSSL (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#34 Thu, 22 Oct 2015 12:20:21 GMT &gt; ABI может меняться в зависимости от потребностей компании<br><br>Т.е. это какбы и не настоящий опен-сорс, а просто исходный код в открытом доступе. Какой смысл это пиарить?<br> Google перешел c OpenSSL на BoringSSL (.) https://www.opennet.ru/openforum/vsluhforumID3/105149.html#33 Thu, 22 Oct 2015 11:46:53 GMT &gt; Понятно что гуглу удобно, но нам это не есть хорошо.<br><br>ну да, поскольку оно специально сделано так, что заменить им системную openssl нельзя, соответственно, имеем два последствия: 1. патчи гугля перестают улучшать качество кода openssl 2. ошибки, намеренные закладки и прочая, внесенные гуглем, может теперь заметить только либо сам гугль, либо те кто потратят время на анализ именно гуглевой библиотеки.<br>