https://mobile.opennet.me/openforum/vsluhforumID3/123706.html Доступен корректирующий выпуск криптографической библиотеки OpenSSL 1.1.1k , в котором устранены две уязвимости, которым присвоен высокий уровень опасности:...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54833<br> https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#47 Sat, 27 Mar 2021 16:04:53 GMT Да, конечно, вам же systemd чувствительные места прищемил.<br> https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#46 Sat, 27 Mar 2021 07:52:55 GMT &gt; Забавно, что OpenNet работает на TLS 1.2 <br><br>tls1.2 сам по себе к этой проблеме отношения не имеет. В openssl1.1.x понаулучшайкали большой кусок кода, и, вот, кто бы мог подумать, да и было ли ему - чем?!<br><br> https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#45 Sat, 27 Mar 2021 07:37:12 GMT &gt; Загугли CVE, овощ. Пудели и логджемы привет передавали. Ты и про это не в курсе что это?<br><br>я как раз в курсе. Впопеннетовская белка-истеричка, разумеется, нет. Страшных слов начиталась, а понять как это могло работать и почему в реальности не работает никогда - не. Истерика мешает.<br><br>&gt; Атакуется _канал_ <br><br>атакуется только твой горящий анал.<br><br>Чтобы стать увизьгвимым к хоть одной реалистичной атаке - нужны _специальные_ _нетривиальные_ и _невозможные_ в твоем, истеричка, софте вообще нетиповые настройки. По двум концам одновременно, иначе не поможет.<br><br>&gt; А как программы юзают TLS... ну вон hexchat мало того что не чекаел серт так еще и хэш не пишет,<br>&gt; трололо. <br><br>вероятно, авторы здраво оценивают реалистичность угроз. <br><br>&gt; А в каком-нибудь 1.0 небось катит<br><br>не катит. Технически невозможно. Если только авторы софта и отдельно потом админ сервера и пользователь очень специально не заботились. С двух сторон разом. Потому что нельзя "сдаунгрейдить" на то, чего вообще нет.<br><br>Вот тебе отчет ssllab по перво https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#44 Fri, 26 Mar 2021 23:13:42 GMT &gt; ты конечно не трепло и подгонишь пруфлинк? Я тебе даже облегчу задачу - для 1.0<br><br>Загугли CVE, овощ. Пудели и логджемы привет передавали. Ты и про это не в курсе что это?<br><br>&gt; В варианте когда настройки хотя бы на одном конце сделаны не _специально_ <br>&gt; (нетривиально недефолтные) чтобы именно _настраивающего_ можно было атаковать.<br><br>Атакуется _канал_ и никому не интересно кто и почему дал маху. Успешная атака создает unexpected там где его быть не должно было, согласно "гарантиям" протокола. Кто именно из сторон оказывается в пролете - весьма зависит от конкретики что это было.<br><br>А как программы юзают TLS... ну вон hexchat мало того что не чекаел серт так еще и хэш не пишет, трололо. Собссно бери и ssl-бампай готовенького. Остальные не сильно лучше. А в каком-нибудь 1.0 небось катит даже откровенный троллфэйс типа даунгрейда шифрования до какой-нибудь 40-битной дичи или суперсекурного MD5, который сейчас коллайдится вообще влет всеми желающими, после чего рассматривать его как защиту от чего-то - ну, э, ло https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#43 Fri, 26 Mar 2021 20:23:01 GMT &gt; Никакого качества в дебиане уже лет десять как не осталось <br><br>ну если так считать - то и не было никогда до того. Был обычный gnu/linux с неописуемо уродливым пакетным менеджером и невероятно уродливым системным софтом поверх него.<br>На самом деле, в дебиллиане единственное что есть - это огромное, по меркам других дистрибутивов, количество майнтейнеров. И многие из них действительно чего-то стоят.<br><br>Напомните, кто сразу заткнул дырку в ведре с iscsi, а кто по сей день раздуплиться не может?<br>Да, там простая копипаста-то не прокатывала, надо было уметь кодить хоть немножко.<br><br>Ну и других локальных побед у дебиановских майнтейнеров есть (часть из них потом на халяву получает убунта). Одна беда - эти люди не входят в корытцеонные советы, они делом заняты.<br>А у корыта, как обычно, собрался бесполезный хлам, с единственным скиллом прыганья по сцене на презентациях и форумах и писания в CoC.md.<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#42 Fri, 26 Mar 2021 20:04:36 GMT Никакого качества в дебиане уже лет десять как не осталось<br> https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#36 Fri, 26 Mar 2021 13:10:38 GMT Ну слушай, откуда возьмется качество софта и операционки у борцунов за все хорошее и против всех плохих, список плохих уточните перед партсобранием?<br><br>Они вряд ли вообще умеют кодить. Вот, на xml, разьве что. А, нет, там же копипастер.<br><br> https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#35 Fri, 26 Mar 2021 13:08:00 GMT Ты все неправильно понял - серт хороший, годный, правильная эллиптическая кривая, не кривая какая-то. А что мы его уже признали негодным потому что он подписан васяном - я уже забыла, стара стала, эклер этот... Проходи, проходи.<br><br>&gt; А за вторую пусть Фрактал скажет.<br><br>Не отвлекай, он уже переписывает на совершенно безопастном от неинициализированных переменных языке. Уже написал CoC и readme.md<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID3/123706.html#34 Fri, 26 Mar 2021 13:04:42 GMT В этом плане opensslщики немодны и немолодежны - двадцать лет у них вообще были версии 0.что-то (вполне адекватные качеству кода)<br><br>Но цифра перед буквой создаст тебе очень даже внятные проблемы, если ты сдуру поапгрейдишься на неправильную. Есть у нас такой интересный софт. И вот его писали - м-ки.<br><br>Точнее, портили. Написал-то нормальный разработчик, только, гад, денег хотел. Жрать дерьмо у корпораций на зарплате - не хотел. Тварь!<br><br>