Разработчики проекта OpenBSD представили выпуск переносимой редакции пакета LibreSSL 3.8.0, в рамках которого развивается форк OpenSSL, нацеленный на обеспечение более высокого уровня безопасности. Проект LibreSSL ориентирован на качественную поддержку протоколов SSL/TLS с удалением излишней функциональности, добавлением дополнительных средств защиты и проведением значительной чистки и переработки кодовой базы. Выпуск LibreSSL 3.8.0 рассматривается как экспериментальный, в котором развиваются возможности, которые войдут в состав OpenBSD 7.4...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59209
Оно ж мертво уже несколько лет, смысл? Даже из генту выкинули. Вот же людям заняться нечем.
Да кому та гента нужна :)
Как юзал на FreeBSD так и дальше юзаю либру.
Действительно. А фряха самолично патчит весь софт? Или ты насобирал кривого мусора, каждой программе своего, и сидишь довольный?
Часть софта я сам патчю и отдаю патчи во фрю и в апстрим, или беру с апстрима и втаскиваю в порты патчами.
> Часть софта я сам патчю и отдаю патчи во фрю и вКлассика бздуневодства: вместо того чтобы просто сорвать^W скачать готовый дистр с сабжем и софтом из коробки или хотя бы подождать ебилдов - нужно пердолится самому с какими-то патчами и апстримами ...
Вам с таким подходом на венду или мак, а в опенсорце либо ждать либо делать самому.
Вот я как раз тот кто делает сам, а потом такие ждуны как вы получают ебилды с моми патчами.
а как ты уговорил работодателя поставить на продакшн "libressl с моими наколенными патчами = патчами от Васяна"? или ты ему просто не говорил? ssl - это чуть ли не самая критичная часть системы, максимум в топе-2 по критичности. Я туда постеснялся бы впендюривать патчи даже от признанных мировых авторитетов по криптографии, если их патчи не прошли ревью от десятков других мировых авторитетов. А тут патчи от Васяна в стиле "сам себя поревьюил, компилится и ладно".
А вы вообще читали?Я патчил не libressl а проекты которые с ним собираются, чтобы они и дальше собирались.
Для работодателя я патчил и сам libressl (libtls если точнее), не вижу в этом ничего особенного.Для вас критичная, для остальных утилитарная.
Мировые признанные авторитеты обычно в программирование не лезут, а если лезут то не очень разбираются.В общем у вас сплошные клише в мышлении.
И не смотрите список коммиттеров либры, опенссл, гнутлс и прочих криптолиб, иначе ваш мирок рухнет :)
> Для вас критичная, для остальных утилитарная.Нет, для тебя утилитарная, для всех остальных - критичная (или: не суди всех по своей собственной легкомысленности). Попробуй пропихнуть патч в ssl/tls в любой дистр, если на то пошло. Если это норм дистр, а не болгенос, то патч нужно долго и упорно защищать и обосновывать. Но у себя в локалхосте тебе конечно нужно договариваться лишь с самим собой.
> не смотрите список коммиттеров либры, опенссл, гнутлс и прочих криптолиб, иначе ваш мирок рухнет
В популярных проектах, в том числе в тех, что ты упомянул, существует процедура ревью.
1. Мои патчи касательно поддержки libressl взяли везде в проектах куда я их присылал.2. Мои патчи взяли и в FreeBSD порты.
3. Я бы с удовольствием не занимался патчами для поддержки libressl, но больше никто не занимается, а ждать годами пока кто то сделает при сломаной проге или держать старый libressl - мне охота ещё меньше чем писать патчи.
4. Местами мне реально плевать, главное чтобы оно хоть как то собралось - я про rust. (ха-ха)
5. Последний раз объясняю для не понимающих: я в крипту не лезу, меня волнует только сборка с либрой, для починки которой нужно обычно поправить дефайны чтобы компилятор увидел нужные функции.
Если вы настолько не разбираетесь что не понимаете о чём речь - то лучше воздержитесь от последующих коментариев.
> потом такие ждуны как вы получают ебилды с моми патчами.Никого не жду. Сам пишу патчи для LibreSSL и поддерживаю оверлей с ебылдами патченными под либру.
Получается, ты из тех, у кого компилируется равно работает? Понимаю, но не понимаю.
Как правило все проблемы сводятся к тому что оно не видит нужные функции при сборке и это решается заменой условий в #ifdef на нужные цифры.
Случаи когда каких то функций нет совсем - редкие, такое я обычно в апстрим репортю, если они сами ещё не сделали.
Жаль, что непонятно, на какой ветке OpenSSL основана эта версия.
В OpenSSL 3.x с производительностью TLS всё очень плохо, и совершенно неясно, куда бежать.
LibreSSL пилит команда Тео, так что они скорее всего такими мелочами, как производительность, запариваться не будут. BoringSSL - штука сугубо для статической сборки под андроид-приложения, все остальные применения - на свой страх и риск. WolfSSL - типа под embedded, максимальная экономия памяти в ущерб производительности.
Кому нужна производительно используют кернельный ТЛС, который в юзерспейсе только согласования ключей делает.
Кому нужна производительность, те используют аппаратные шифраторы, которые в юзерспейсе вообще ничего не делают.
Ламели на р141 ?
че вы там такое делаете, что tls является бутылочным горлышком?
Не знаю, может у него железо дохлое.
Нетфликс вон по 140 гигабит с одного сервера в ТЛС раздаёт, и аппаратных ускорителей там нет, не считая AES-NI в проце.
С одного сервера и я могу раздавать с любого старого сервера столько гигабит, которые способен выдавать дисковый массив и/или суммарная пропускная способность всех сетевых интерфейсов, смотрящих на клиентов. А шифровать весь трафик будет какой-нибудь эмбедед шлюз для каждого подключения.
А вот у них всё один сервер и раздаёт и шифрует.
Так сервер поди из нескольких нод состоит...
Почитайте уже их презентации, хватит выдумывать.
А какой на самом деле смысл гнать видео по HTTPS если оно, видео, все равно закодировано с помощью DRM (Widewine например)? Даже перехватив его ничего внятного не получится выудить.
Не факт что закодировано, у них вроде до 720p идёт без особой защиты ДРМ.
> Не факт что закодировано, у них вроде до 720p идёт без особой
> защиты ДРМ.Вовсе нет, у Амазон и Нетфликса видео качеством выше 720 можно сомтреть только в Edge под виндой с Интелловским процессором и последними апдейтами ОС. Вот для 720p они и Widewine считают достаточным. О кине без DRM (что кстати встречается на Кинопоиске) речи не идет у них вовсе.
иначе есть риск что модный современный безопасТный Браузер если еще не сегодня то точно уже завтра покажет вместо твоего видео пустое место.
> иначе есть риск что модный современный безопасТный Браузер если еще не сегодня
> то точно уже завтра покажет вместо твоего видео пустое место.Да на Нетфликс как бы пофиг, он не был интересен даже тогда официально был доступен, что до остальных, то Кинопоиск - это Яндекс, а Окко - Сбер. Никуда не денутся (чего не скажешь о фильмах в каталоге).