OpenSSL : Google ouvre un nouvel embranchement

Le par  |  3 commentaire(s)
https

La bibliothèque de chiffrement OpenSSL a un fork supplémentaire. Google mise sur BoringSSL pour Android, Chrome et autres.

Après le traumatisme Heartbleed, Theo de Raadt avait annoncé LibreSSL. Profitant de la flexibilité de l'open source, le fondateur du projet OpenBSD a initié un fork d'OpenSSL avec dans l'idée de proposer une implémentation plus sécurisée des protocoles SSL et TLS. Pour lui, OpenSSL n'a pas été développé par " une équipe responsable. "

cadenasMais un fork d'OpenSSL, Google en a également créé un avec BoringSSL afin de répondre spécifiquement aux besoins d'Android, de Chrome et d'autres de ses produits. Ce projet bâti à partir du code source d'OpenSSL ne serait cependant pas une réponse aux récents bugs dont le médiatique Heartbleed.

BoringSSL s'apparente plus à une adaptation maison d'OpenSSL par Google dans le but d'appliquer ses propres patchs qui ne seraient pas forcément validés par le projet OpenSSL, comme l'explique Adam Langley, ingénieur logiciel chez Google qui travaille sur l'infrastructure HTTPS et la pile réseau de Chrome.

Pour autant, les contributions à OpenSSL ne vont pas cesser lors de la découverte de bugs et BoringSSL aura donc plus pour vocation de cibler les produits de Google. Par ailleurs, les modifications à BoringSSL pourront aussi profiter à LibreSSL.

Rappelons que Google est l'un des membres fondateurs de Core Infrastructure Initiative visant à soutenir des projets open source critiques pour l'infrastructure mondiale de l'information, dont OpenSSL.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1775042
"OpenSSL n'a pas été développé par " une équipe responsable. ""

C'est sûr que google est beaucoup plus responsable. Il ne fait que monétiser notre vie privée et professionnelle à coups de métadonnéees, là où l'imbécile de base ne voit toujours que sa gratuité apparente et la facilité immédiate de quelques bibelots...

Au final, si vous cherchez des irresponsables, regardez vous plutôt dans une glace !
Le #1775102
Hansi a écrit :

"OpenSSL n'a pas été développé par " une équipe responsable. ""

C'est sûr que google est beaucoup plus responsable. Il ne fait que monétiser notre vie privée et professionnelle à coups de métadonnéees, là où l'imbécile de base ne voit toujours que sa gratuité apparente et la facilité immédiate de quelques bibelots...

Au final, si vous cherchez des irresponsables, regardez vous plutôt dans une glace !


T'as loupé une partie de la phrase toi... C'est pas un mec de google qui a dit ça, c'est Théo de Raadt, le responsable du premier fork, celui fait par OpenBSD...
Et pour le coup, il a certainement raison, c'est un pape de la sécurité, contrairement aux couillons de OpenSSL qui ont laissé la NSA mettre plein de backdoors dans leur code sans jamais le relire...
Ou comme les imbéciles de chez google qui croient qu'ils vont faire mieux que tout le monde en concevant leur propre version d'un protocole standard (même si j'ai plus confiance dans les codeurs de Google que ceux de M$, il a déjà été montré à maintes reprises que multiplier les versions ça divise le nombre de relecteurs sur chacune et que d'autant plus de bugs restent grands ouverts... Et sans compter que quand on est une grosse boîte qui vise uniquement à faire du fric, on s'arrange souvent de grosses erreurs de conception pour aller un peu plus vite.... un petit exemple parmi des milliers chez M$ : ils ont modifié les fonctions de hashage de leurs mots de passe windows/réseau sous XP en considérant qu'il valait mieux découper les mots de passe en paquets de 7 caractères, comme ça les calculs des hashages sur chaque paquet étaient plus rapides... Sauf que du coup, la sécurité maximale d'un mot de passe windows était équivalente à celle d'un mot de passe de 7 caratères, même si tu t'étais fait chier à choisir une passphrase de 50 caractères... Or, même avec les (faibles) puissances de calcul de l'époque, un petit brute force était suffisant pour casser un tel mot de passe en moins d'une minute).
Le #1775402
LIAR a écrit :

Hansi a écrit :

"OpenSSL n'a pas été développé par " une équipe responsable. ""

C'est sûr que google est beaucoup plus responsable. Il ne fait que monétiser notre vie privée et professionnelle à coups de métadonnéees, là où l'imbécile de base ne voit toujours que sa gratuité apparente et la facilité immédiate de quelques bibelots...

Au final, si vous cherchez des irresponsables, regardez vous plutôt dans une glace !


T'as loupé une partie de la phrase toi... C'est pas un mec de google qui a dit ça, c'est Théo de Raadt, le responsable du premier fork, celui fait par OpenBSD...
Et pour le coup, il a certainement raison, c'est un pape de la sécurité, contrairement aux couillons de OpenSSL qui ont laissé la NSA mettre plein de backdoors dans leur code sans jamais le relire...
Ou comme les imbéciles de chez google qui croient qu'ils vont faire mieux que tout le monde en concevant leur propre version d'un protocole standard (même si j'ai plus confiance dans les codeurs de Google que ceux de M$, il a déjà été montré à maintes reprises que multiplier les versions ça divise le nombre de relecteurs sur chacune et que d'autant plus de bugs restent grands ouverts... Et sans compter que quand on est une grosse boîte qui vise uniquement à faire du fric, on s'arrange souvent de grosses erreurs de conception pour aller un peu plus vite.... un petit exemple parmi des milliers chez M$ : ils ont modifié les fonctions de hashage de leurs mots de passe windows/réseau sous XP en considérant qu'il valait mieux découper les mots de passe en paquets de 7 caractères, comme ça les calculs des hashages sur chaque paquet étaient plus rapides... Sauf que du coup, la sécurité maximale d'un mot de passe windows était équivalente à celle d'un mot de passe de 7 caratères, même si tu t'étais fait chier à choisir une passphrase de 50 caractères... Or, même avec les (faibles) puissances de calcul de l'époque, un petit brute force était suffisant pour casser un tel mot de passe en moins d'une minute).


Même en découpant en mots de 7 caractères un mot de passe de 50 caractères reste un mot de passe de 50 caractères ... je vois pas où est le problème. Au lieu de trouver un mot de passe de 50 caractères tu dois en combiner 8 de 7 caractères, et en fait, de toute façon tu ne sais pas a priori combien de mots de 7 caractères complets ou incomplets tu as besoin. Bref ça reste assez solide. Concernant ton brute force, j'ai jamais encore vu un seul soft capable d'afficher en clair le mot de passe d'un admin Windows en moins d'une minute.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]