ComputerBase Menü
Aktuelles

News OpenBSD spaltet sich mit LibreSSL von OpenSSL ab

@Creeed: Ich lese da nur dass er sich über vermeintliche Unzulänglichkeiten aufregt obwohl er noch gar nichts verstanden hat und dieses dann im Update im Nachhinein noch damit relativiert dass die Lösung die es da gibt seiner Meinung nach auch nix taugt. Und im zweiten Blogpost wirds noch peinlicher, weil er behauptet es gäbe in Windows keinen Zufallszahlengenerator in der Krypto API. Er hätte lieber schreiben sollen dass er es nicht weiß, und nicht dass es ihn nicht gibt. Interessant finde ich das nicht wirklich. Ist eher so die Kategorie facepalm.
 
0Maruja0 schrieb:
Ich sehe nicht wo dadurch weniger Betriebssysteme unterstützt werden sollen als mit OpenSSL.
Zum Vergrößern anklicken....

Ziel von LibreSSL ist eine minimalistische SSL Implementierung. Wie du schon selbst festgestellt hast, hat dies mehr Vor- als Nachteile: Der overhead beim Supporten alter oder sinnloser Plattformen (Windows wegen eigener Implementierung) kann entfernt werden. Die API wird übersichtlicher, besser wattbar und somit bugfreier. Third-Party anbietet, welche SSL auf Ihrer Architektur brauchen können dank Open-Source und POSIX Kompatibilität LibreSSL einfach Portieren. Die offizielle Unterstützung weniger Architekturen zu Gunsten einer sauberen Architektur ist in diesem Fall erklärtes Ziel des Forks.
 
Daaron schrieb:
Es ist Schwachsinn, das ist alles. Erst kegeln sie allen Kompatibiltitäts-Code raus, dann wollen sie "Spenden" dafür, den Code wieder einzubauen. Ein Schelm, wer Böses dabei denkt.
Zum Vergrößern anklicken....

Das habe ich nirgens gelesen.

Daaron schrieb:
So etwas läuft am Ende eh nur auf einen Forking-Wettstreit raus, bei dem dann jeder sein eigenes Süppchen kocht und alles auseinander driftet.
Zum Vergrößern anklicken....

+1
Da kommts auf eins mehr auch nicht an :evillol:


PunGNU schrieb:
Ziel von LibreSSL ist eine minimalistische SSL Implementierung. ... Die API wird übersichtlicher, besser wattbar und somit bugfreier. ... Die offizielle Unterstützung weniger Architekturen zu Gunsten einer sauberen Architektur ist in diesem Fall erklärtes Ziel des Forks.
Zum Vergrößern anklicken....

So sehe ich das auch :)
 
PunGNU schrieb:
(Windows wegen eigener Implementierung) kann entfernt werden.
Zum Vergrößern anklicken....
Aha, und wenn ich jetzt FOSS schreibe und in selbige die Bibliothek einbetten will, um 100% FOSS zu bleiben? Dann kann ich die Windows-API nicht verwenden... und WILL ich evtl auch gar nicht.

craine schrieb:
Das habe ich nirgens gelesen.
Zum Vergrößern anklicken....
http://www.libressl.org/


Multi OS support will happen once we have
...
A Stable Commitment of Funding to support an increased development and porting effort.
 
flappes schrieb:
Das System basiert nunmal auf Vertrauen. Wer Honest Achmed vertraut, der ist nunmal selber Schuld.
Zum Vergrößern anklicken....

Jede Zertifizierungsstelle arbeitet prinzipiell wie Honest Achmet und seine Brüder und Onkel. Es gibt keinerlei Sicherheit und Kontrolle. Einbrüche werden nicht gemeldet, kriminelle Handlungen der Zertifizierungsstellen können nicht ausgeschlossen oder entdeckt werden. In den USA ansässige Firmen müssen alle Root-Zertifikate und privaten Schlüssel rausrücken. Fremde Staaten können sich als Goolgle, Facebook oder sonstwer ausgeben, wie vielfach schon geschehen, z.B. im Iran. Das ganze System ist völlig kaputt.
 
etking schrieb:
Das ganze System ist völlig kaputt.
Zum Vergrößern anklicken....

Nein wir kommen nur wieder dahin zurück wo wir vor 100 Jahren waren. Die Staaten holen sich halt ihr Informationsmonopol mehr oder weniger wieder zurück. Ne Zeitung ist auch nur solang unabhängig, wie niemand sie kontroliert. Wenn jemand die Zensur einführt, wars das auch mit Unabhängigkeit. Das selbe setzt sich halt jetzt auch im Internet durch.

@PunGNU: Das heist aber dann dass du am ende 100000 Impelemtierungen für alles und jeden hast. Das ist am Ende nicht übersichtlicher, nur dass die Schuldfrage, wenn was schief geht, einfacher abzuschieben ist. Die Referenzimplementierung war ja sauber, nur halt die in deinem Gerät nicht.

Andererseits ist dann auch nicht jedes Gereät betroffen, wie das bei Heartbleed der Fall war/ist.

Wie gesagt, es wird für den Endanwender nur noch unübersichtlicher, weil welches Gerät hat jetzt ne Saubere Implementierung?
 
Netter Ansatz – OpenSSL steht in dem Ruf, gerne mal das Rad neu zu erfinden und daher eben ein riesiger Code-Molloch zu sein, der kaum zu warten ist. Und ob seiner Sicherheits-Brisanz muss eine solche API eigentlich wirklich fehlerfrei sein… In der aktuellen Version hat man die Codebasis schonmal halbiert – und das nur im Schnelldurchgang, indem man tote Funktionen rausgeworfen hat. Ich vermute, dass sich das ganze am Ende mindestens nochmal halbieren lässt. Und *dann* kann man da mal sinnvolle Code-Reviews machen.
 
SO erklärt ARD Ratgeber Internet den Heartbleed bug ... (Volkverdummung)
Ergänzung ()

Daaron schrieb:
Statt dessen wir hier wieder halbgarer Scheiß gekocht, der nur auf BSD läuft. Wer setzt schon auf BSD? Warum sollte jemand das LibreSSL - Team, wie von ihnen gefordert, finanziell unterstützen um z.B. Support für seine Linux- oder Windows-Maschinen zu erhalten? Warum sollte da jemand auch nur einen Cent locker machen?
Zum Vergrößern anklicken....

SOSO deine Bank benutzt also Linux server als login ...

Wenn du OpenBSD nicht verstanden hast, dann ist das nicht meine Schuld !

Und ausserdem, solche Kommentare verwirren nur andere Anwender, die sich vieleicht in Sachen Internetsicherheit nicht so gut auskennen.
Und zum Schluss kannst Du nie wissen, welches OS auf dem Server am laufen ist, Du redest da von Client Software, das ist aber nicht ganz das Problem ...

An deiner Antwort merke ich sofort mit wem ich es hier zu tun habe, also schone ich lieber meine Nerven ...
Ergänzung ()

craine schrieb:
OpenBSD programmiert BSD-Software. Mehr nicht.
Was ist daran verwerflich?
Zum Vergrößern anklicken....

OpenBSD hat auch Richtlinien, wie der Code auszusehen hat, das scheint wohl bei OpenSSL nicht der Fall zu sein, nach einem Kommentar von AllanJude ...
Ergänzung ()

Daaron schrieb:
http://www.libressl.org/
Zum Vergrößern anklicken....

Danke, kannte ich noch nicht ...
http://www.ip-adress.com/whois/libressl.org
Ergänzung ()

DasBoeseLebt schrieb:
http://opensslrampage.org/
Zum Vergrößern anklicken....
http://www.ip-adress.com/whois/opensslrampage.org
Ergänzung ()

Marco^^ schrieb:
SO erklärt ARD Ratgeber Internet den Heartbleed bug ... (Volkverdummung)
Ergänzung ()

SOSO deine Bank benutzt also Linux server als login ...

Wenn du OpenBSD nicht verstanden hast, dann ist das nicht meine Schuld !

Und ausserdem, solche Kommentare verwirren nur andere Anwender, die sich vieleicht in Sachen Internetsicherheit nicht so gut auskennen.
Und zum Schluss kannst Du nie wissen, welches OS auf dem Server am laufen ist, Du redest da von Client Software, das ist aber nicht ganz das Problem ...

An deiner Antwort merke ich sofort mit wem ich es hier zu tun habe, also schone ich lieber meine Nerven ...
Ergänzung ()

OpenBSD hat auch Richtlinien, wie der Code auszusehen hat, das scheint wohl bei OpenSSL nicht der Fall zu sein, nach einem Kommentar von AllanJude ...
Ergänzung ()

Danke, kannte ich noch nicht ...
http://www.ip-adress.com/whois/libressl.org
Ergänzung ()

http://www.ip-adress.com/whois/opensslrampage.org
Zum Vergrößern anklicken....

... schau mal auf die blockierten Elemente in NoScript auf der Webseite !
 
Marco^^ schrieb:
SOSO deine Bank benutzt also Linux server als login ...
Zum Vergrößern anklicken....
Tatsächlich... weiß ich es nicht. Niemand weiß es. Im Zweifel sinds eher MS-Kisten. Aber spielt das eine Rolle? kannst du als User es verifizieren?

Wenn du OpenBSD nicht verstanden hast, dann ist das nicht meine Schuld !
Zum Vergrößern anklicken....
Was gibts da zu verstehen? Auf der einen Seite heißt die Devise "Freiheit um jeden Preis", auf der anderen Seite gibts obskure Regeln was wie auszusehen hat...

Und zum Schluss kannst Du nie wissen, welches OS auf dem Server am laufen ist, Du redest da von Client Software, das ist aber nicht ganz das Problem ...
Zum Vergrößern anklicken....
Wieso Client Software? Wieso User verwirren?
Aber ok, auch Endverbraucher-Software bindet die eine oder andere SSL-Bibliothek ein, z.B. alle Browser, alle Mailclients, Chattools, FTP-Clients,.... Auch hier: Wenn die Lib nicht für mein Ziel-OS existiert, ist sie für mich nutzlos. Das Ziel-OS ist zu 99% Windows. Und obwohl FF, Chrome,... unter Windows laufen, verwenden sie nicht die MS SSL Schnittstelle.

Wenn du professionell Server betreibst und Dienste anbietest, die eine SSL-Bibliothek ansprechen, und das zusätzlich noch in so großem Stil, dass da durchaus ein paar Kröten wahlweise für OpenSSL oder LibreSSL abfallen könnten, dann wirst du ja wohl auch Interesse daran haben, dass die von dir unterstützte Bibliothek auch auf deinem OS läuft und mit deiner bestehenden Software funktioniert.

Würde OpenSSL überarbeitet und gefixt, kannst du getrost davon ausgehen. Deine Investition macht Sinn.
Wenn statt dessen die OpenBSD-Entwickler wie die Axt im Walde wüten und alles mögliche ausmisten, das SIE SELBST unnötig finden, kannst du nicht mehr verifizieren, dass sich für dich als Investor nichts ändert.

Und was wird, wenn LibreSSL jetzt nicht die nötigen Mittel z.B. für Linux-Support erhält? Dann schreibt irgendwer einen Linux-Fork. Dem nächsten geht der Fork nicht weit genug, er forkt den fork. Dann gibts noch n Windows-Fork, den Fork, jenen Fork, alles forkt wild rum.
Am Ende weißt du nie, ob der Fork, den du gerade verwendest, die Sicherheitslücke des Ursprungstools enthält oder nicht.
 
Darum heißen Forks ja meist anders.

(Wieder mal zeigt sich, dass die Linux-"Gemeinschaft" trotz ihrer Größe ambitionierte Projekte einfach nicht auf die Beine gestellt bekommt. TEAM = Toll, ein anderer macht's?)
 
Hier nochmal was für die Linux Benutzer und Antworten dazu ...

JB:LINUX Unplugged 37
YT:Client Side Drama | LINUX Unplugged 37@8Min
Ergänzung ()

Daaron schrieb:
Wieso Client Software? Wieso User verwirren?
Aber ok, auch Endverbraucher-Software bindet die eine oder andere SSL-Bibliothek ein, z.B. alle Browser
Zum Vergrößern anklicken....

Cipher Suiten haben nix zu tun mit dem OpenSSL bug !

Der bug betrifft den RAM Speicher auf dem Server, OpenBSD überschreibt sogar den Freiraum, damit er nicht ausgelesen kann ...

Welches OS macht das noch bitteschön ?

2. Anmerkung, DU hast OpenBSD nicht verstanden ...

Ich möchte dazu jetzt nix mehr dazufügen, das JB & Allan Jude schon mehr als 90Min darüber diskutiert haben sollte genug sein !
 
Marco^^ schrieb:
Cipher Suiten haben nix zu tun mit dem OpenSSL bug !

Der bug betrifft den RAM Speicher auf dem Server
Zum Vergrößern anklicken....
Falsch. Nehmen wir als Beispiel mal einen Browser mit Heardbleed-Lücke (existiert nicht, ist aber denkbar).
Ein User surft auf eine präparierte Webseite, die wiederum eine manipulierte SSL-Verbindung mit dem verwundbaren Browser herstellt. Jetzt kann die Webseite die sagenumwobenen 64kByte RAM des Clients auslesen.

Das Pendel schwingt in beide Richtungen. Bei Servern ist der Fehler nur viel offensichtlicher und leichter auszunutzen.
Oder um mal heartbleed.com zu zitieren:
When it is exploited it leads to the leak of memory contents from the server to the client and from the client to the server.
 
Stimmt, der Android Browser unter Android 4.1.1 dürfte verwundbar sein. Ansonsten wüsst ich keinen Fall.
Ändert aber wenig an der Gesamtaussage: Clients SIND angreifbar über Heartbleed.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

|Moppel|
Linux ≠ Windows | Warum sollte Linux mich wollen?
30 31 32
Antworten
631
Aufrufe
66.653
Randnotiz
Randnotiz
fethomm
News Cloud-Storage: Nextcloud spaltet sich von ownCloud ab
2 3 4
Antworten
60
Aufrufe
12.629
mensch183
mensch183
azereus
nützliche Tools und Programme für Windows
Antworten
4
Aufrufe
10.456
azereus
azereus
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz