https://www.opennet.ru/openforum/vsluhforumID3/96426.html Компания Google опубликовала (https://www.imperialviolet.org/2014/06/20/boringssl.html) репозиторий с исходными текстами проекта BoringSSL (https://boringssl.googlesource.com/boringssl/), в рамках которого ведётся разработка независимого форка OpenSSL. Проект включает наработки, которые уже используется в Google для усиления безопасности OpenSSL. За годы в Google создано большое число патчей к OpenSSL, около 70 из которых не были приняты в основной состав OpenSSL, так как они носили экспериментальный характер или приводили к нарушению API или ABI. Теперь эти патчи легли в основу проекта BoringSSL. Разработку BoringSSL возглавил Адам Лэнгли (Adam Langley, agl), известный (http://tools.ietf.org/html/draft-agl-tls-chacha20poly1305-00) эксперт (http://tools.ietf.org/html/draft-agl-tls-padding-03) по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS и сетевой стек Chrome.<br><br><br><br><br><br>Развитию BoringSSL как открытого проекта способствовала недавняя череда серьёзных https://www.opennet.ru/openforum/vsluhforumID3/96426.html#74 Fri, 14 Jul 2017 09:54:16 GMT Те же самые Google через Fuzzy тестирование<br> https://www.opennet.ru/openforum/vsluhforumID3/96426.html#73 Wed, 25 Jun 2014 14:26:19 GMT &gt; Так вам правду или недостатки?<br><br>потрясающий по своей красоте и наивности вопрос. рассказ о недостатках, значит &#8212; это заведомо ложь.<br> https://www.opennet.ru/openforum/vsluhforumID3/96426.html#72 Wed, 25 Jun 2014 14:22:13 GMT &gt; Можно подумать, ты до опенсорсного мантайнера доорешься со своим патчем.<br><br>ты знаешь, орать не пробовал. а вот ежели почтой электрической писать &#8212; отвечают. за багрепорты благодарят, а ежели к репортам ещё и патчи приложены, то в большинстве случаев ответ приходит вида &#171;thank you. integrated in commit &#8230;&#187;.<br><br>так что если ты не можешь &#171;доораться&#187; &#8212; попробуй не орать, а письма писать. а если твои патчи не берут&#8230; может, просто багрепортами тогда будешь обходиться, раз твой код такое гуано?<br> https://www.opennet.ru/openforum/vsluhforumID3/96426.html#71 Wed, 25 Jun 2014 12:16:45 GMT &gt; Так вам правду или недостатки?<br><br>Поскольку идеал по определению недостижим, недостатки являются частью правды. А вот попытка подтасовки ответа - это типичный прием MS-ботов.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/96426.html#70 Wed, 25 Jun 2014 12:15:02 GMT &gt; Можно подумать, ты до опенсорсного мантайнера доорешься со своим патчем. <br><br>Проверял и так и сяк. Опенсорс намного больше понравился. Там можно сразу доораться до живого програмера или майнтайнера. Без полугода пинков с ботами из саппорта, старательно пытающихся доказать мне что я сам во всем виноват, хотя дебагер давно сказал мне что пролошился отнюдь не я. <br><br>&gt; А если и доорешься, то не факт, что патч возьмут.<br><br>Не факт, но как правило процесс вполне конструктивен. Мало кто портит свои программы осознанно. И как правило люди вполне нормально относятся к сообщениям об ошибках и уж тем более помощи в починах оных. Просто надо понимать что никто никому ничего не должен и плясать от этого дефолта. Вполне может оказаться что точки взаимодействия найдутся. Не обязательно, но зачастую вполне катит.<br><br>&gt; Разумеется, ты всегда можешь сделать форк... нутыпонел.<br><br>Да, я понял что запасной парашют - лучше чем его отсутствие.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/96426.html#69 Wed, 25 Jun 2014 12:10:50 GMT &gt; серидину<br><br>Эх, каникулы у двоечников начались :(.<br> https://www.opennet.ru/openforum/vsluhforumID3/96426.html#68 Wed, 25 Jun 2014 12:10:01 GMT &gt; Они собираются объявлять куски API устаревшими, но пока их кто-то использует они <br>&gt; не могут их так просто выпилить не сломав много софта.<br><br>В результате весь этот хлам таскает уйму несекурного кода. Логично что потом баги долбаются там и тут, возможны атаки типа даунгрейда протокола и прочие веселости.<br> https://www.opennet.ru/openforum/vsluhforumID3/96426.html#67 Wed, 25 Jun 2014 12:08:48 GMT Понабежало тут спецов, тудыть-растудыть. Нормальная либа криптографии должна выглядеть ... ну как NaCl берштейна. Особенно в виде TweetNaCl. Простое апи, где облажаться толком негде. И безопасные дефолты. Вот так оно даже секурным может быть. А сетевой протокол может выглядеть ... ну, как CurveCP например. В 20 раз проще любого SSL/TLS и при этом предлагает все лучшее что в принципе можно из TLS выжать, будучи гуру. А тут оно просто дефолтные свойства протокола. Учитесь как надо, лузеры.<br> https://www.opennet.ru/openforum/vsluhforumID3/96426.html#66 Wed, 25 Jun 2014 11:52:07 GMT &gt; Да я вот тоже не пойму в чем прикол, прослойка безопасности (SSL) <br>&gt; должна добавлять к стандартным : open, read, write, close, ну и <br>&gt; с прицелом на сеть: socket, listen, bind, свои реализации: ssl_open, и <br>&gt; т. д., ну какой ни какой функционал для работы с сертификатами, <br>&gt; тут справится даже студент, алгоритмы шифрования/подписи/проверки лучше дядям посерьезнее <br>&gt; доверить, но технически - прогнать буфер перед отправкой через алгоритм элементарно, <br>&gt; а они что делают?<br><br>ASSL вам в помощь.<br><br>&gt; Лепят "системные" конфиги в которых прописан тот или иной параметр, который можно <br>&gt; переопределить через аргументы командной строки, либо переменные окружения, либо переопределив <br>&gt; изначальный конфиг, какого лешего столько заморочек, есть куча убогих контейнеров аля <br>&gt; mp3 или avi, с которыми народ еб..ся много лет, почему не <br>&gt; реализовать "свободный" (в плане добавлениия в него инфы любого типа)<br><br>Потому что одна отвёртка для всего на свете - это, конечно, круто. Но не везде пролезет, таскать тяжело,