A propos des failles d'openSSL
Le
Leger

Bonjour,
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à
toucher à ça?
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Bon week-end.
--
@+
Leger
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?
Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.
A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à
toucher à ça?
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.
Bon week-end.
--
@+
Leger
Ici ça parle d'une faille présente depuis 15 ans
--
Ni Gourou Ni Maitre
Bonjour,
Voir libressl :
http://www.openbsd.org/papers/bsdcan14-libressl/
JFB
Leger
Il semblerait.
Ohloh parle par exemple de 400.000 lignes de code (dont 300.000
lignes de C) :
http://www.ohloh.net/p/openssl/analyses/latest/languages_summary
Après je ne sais pas combien de ces lignes correspondent au programme
lui-même plutôt qu'à des outils autour, il me semble avoir vu passer
plutôt 150.000 lignes de code (par les gens d'OpenBSD ?), mais pas sûr.
En tout cas ça en fait quand même un programme pas tout à fait
ridicule, surtout si le niveau de fiabilité est critique.
Pas quelqu'un qui passerait, venu de nulle part, je pense. Mais il n'y
a sans doute pas 15 développeurs actifs sur le projet. Ça pourrait être
quelqu'un qui est devenu le développeur principal du projet ou qui est
devenu un développeur important du projet, tout à fait officiellement.
Maintenant les gens d'OpenBSD semblent penser que le code d'OpenSSL
c'est globalement de la merde. Bon, peut-être qu'il pensent ça de tout
ce qui sort d'OpenBSD mais ils n'avait pas l'air de dire que c'était
centré sur une poignées de contributions.
Des fonctionnalités ont pu être ajoutées, des algos implémentés, ... Je
ne sais pas ce qui a été touché depuis deux ans mais mesurer l'impact
sur ta vie est difficile puisque ça concerne des sites que tu consultes
par exemple, sans que tu saches comment exactement.
Dans les années 90 un gus dev de chez AOL, en avait publié une palanqu ées !
Et le paplare disait qu'il restait l'homme du milieu ...
( qui malgré l'open source a ma connaissance et toujours d'actualité )
Ptilou
Le dimanche 8 juin 2014 08:27:44 UTC+1, Leger a écrit :
fr.comp.os.linux.debats
(
Source ?
Openssl dans les années 90, ça devait être à la fin des années 90 et au
début d'openssl.
--
La nuit te glace au fond d'un train
Où tu croyais trouver l'oubli
Voyageur des petits matins
Tu rentres de tes insomnies
-- H.F. Thiéfaine, Narcisse 81
changecipherspec-actualite-1891172.html>
Merci à tous pour ces réponses.
Malgré tout faut déjà pouvoir exploiter ces genres de failles. Découvrir
des failles c'est une chose mais les exploiter c'est autre chose.
Mais bon si le libre n'est plus sûr, dites moi quand il me faudra
repasser à Windows. :-)
--
@+
Leger
Netscape, avec Mosaïque en marier ! ;-D
Fin des années 90 p-tre meme debut 2000 ...
Au fait le fondateur de Netscape a été élu gouverneur ?
Ptilou
Le dimanche 8 juin 2014 11:00:52 UTC+1, Doug713705 a écrit :
Le code, c'est compliqué. Le code sécurisé, c'est compliqué. La
crypto, c'est compliqué.
wut?
A noter, une excellente sur le sujet au SSTIC 2014 là dessus:
https://www.sstic.org/2014/presentation/crpytocoding/
Pas encore de lien, mais si ça sort, c'est à suivre.
C'est une des personnes qui a audité le code de truecrypt.
--
Kevin