Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsOpenBSD spaltet sich mit LibreSSL von OpenSSL ab
Die Entwickler des Unix-Derivats OpenBSD durchforsten seit einer Woche den Code der für den Heartbleed-Bug verantwortlichen Open-Source-Kryptografie-Software OpenSSL. Da der Code nach Aussagen von Projektleiter Theo De Raadt ein totales Durcheinander sei, entschloss sich das Team zu einer Abspaltung namens LibreSSL.
Ändert nichts an dem Problem, dass alle Root-Zertifizierungsstellen unterwandert und unsicher sind und unsachgemäß geführt und nicht kontrolliert werden (können). Das Honest Achmet Problem ist aktueller denn je. https://bugzilla.mozilla.org/show_bug.cgi?id=647959
"3. Certificate Summary
The purpose of this certificate is to allow Honest Achmed to sell bucketloads of other certificates and make a lot of money.
...
CA Hierarchy information for each root certificate
1. CA Hierarchy
Honest Achmed plans to authorise certificate issuance by at least, but not limited to, his cousin Osman, his uncles Mehmet and Iskender, and possibly his cousin's friend Emin.
2. Sub CAs Operated by 3rd Parties
Honest Achmed's uncles may invite some of their friends to issue certificates as well, in particular their cousins Refik and Abdi or "RA" as they're known. Honest Achmed's uncles assure us that their RA can be trusted, apart from that one time when they lent them the keys to the car, but that was a one-off that won't happen again.
Was ich gerade nicht verstehe - wieso ein Fork wenn das OpenSSL Projekt doch eigentlich dringend hilfe sucht? Wieso nicht direkt helfen? Was übersehe ich?
Mit dem Fork kannst du im Code veranstalten was du willst, du musst dich niemandem gegenüber erklären. Bspw. um die Hälfte des Codes zu entfernen. Wenn du im OpenSSL Code direkt die Hälfte des Codes gelöscht hättest, hätte man sich wohl erstmal erklären müssen und evtl. wäre es auch wieder rückgängig gemacht worden, wenn die Entwickler von OpenSSL das nicht gewollt hätten.
Was ich gerade nicht verstehe - wieso ein Fork wenn das OpenSSL Projekt doch eigentlich dringend hilfe sucht? Wieso nicht direkt helfen? Was übersehe ich?
LibreSSL wird weniger Architekturen unterstützen, weniger Betriebssysteme ("Windows ist sowieso irrelevant", nicht mal Linuxsupport ist sichergestellt), weniger Features haben (keine Kryptobeschleunigungschips/-karten) und eventuell auch weniger Teile von SSL/TLS unterstützen (Heartbeat ist glaube ich gleich mal komplett geflogen, obwohl es klar spezifiziert ist - wobei man natürlich über die Sinnhaftigkeit streiten kann).
Im Endeffekt wohl ein ähnlicher Schritt wie bei NaCl - statt ALLES abzudecken, eben nur ein paar bekannt gute/sinnvolle Ciphers etc. anbieten, bevor da noch jemand auf die Idee kommt RSA512 einzusetzen.
Was ich gerade nicht verstehe - wieso ein Fork wenn das OpenSSL Projekt doch eigentlich dringend hilfe sucht? Wieso nicht direkt helfen? Was übersehe ich?
LibreSSL wird weniger Architekturen unterstützen, weniger Betriebssysteme ("Windows ist sowieso irrelevant", nicht mal Linuxsupport ist sichergestellt)
Windows besitzt eine eigene SSL-Implementierung. Daher irrelevant. Third Party Products können sicherlich weiterhin LibreSSL selbst einbauen. Ich sehe nicht wo dadurch weniger Betriebssysteme unterstützt werden sollen als mit OpenSSL. Was du mit "Architekturen" meinst ist mir in diesem Zusammenhang nicht ganz schlüssig. OpenSSL ist in C geschrieben, warum soll LibreSSL jetzt nicht auch für die benötigte Architektur kompiliert werden können? Hast du da etwas falsch verstanden oder weißt du mehr als ich? (Ernst gemeinte Frage)
Die von Windows ist aber nicht freie Software und daher ist eine freie Bibliothek durchaus relevant. Mit "Architektur" meine ich z.B. Support für Systeme abseits von x86/x86_64. OpenSSL hat Code drinnen um auf jedem Klopapierhalter mit Internet zu laufen...
Sogar einfache "hello world" Beispiele werden dir nicht auf jede Plattform auf der man C ausführen kann funktionieren ("#include <stdio.h>" inkludiert so einiges, das nicht gerade trivial ist), siehe z.B. http://www.imb-jena.de/~gmueller/kurse/c_c++/c_hello.html
Ändert nichts an dem Problem, dass alle Root-Zertifizierungsstellen unterwandert und unsicher sind und unsachgemäß geführt und nicht kontrolliert werden (können). Das Honest Achmet Problem ist aktueller denn je. https://bugzilla.mozilla.org/show_bug.cgi?id=647959
"
Das KISS - Prinzip heißt aber nicht, dass man nützliche Features über Bord werfen sollte, bloß weil man selbst sie nicht braucht. Was bringt der Welt eine Bibliothek, die am Ende nur bei OpenBSD sauber läuft? Die Welt braucht eine Lösung für das OpenSSL-Problem, sprich Entwickler die da durch sehen und sanft aber bestimmt die Mängel beseitigen.
Statt dessen wir hier wieder halbgarer Scheiß gekocht, der nur auf BSD läuft. Wer setzt schon auf BSD? Warum sollte jemand das LibreSSL - Team, wie von ihnen gefordert, finanziell unterstützen um z.B. Support für seine Linux- oder Windows-Maschinen zu erhalten? Warum sollte da jemand auch nur einen Cent locker machen?
Wenn ich Geld in ein SSL-Projekt investieren würde, dann hätte ich also 2 Optionen:
1.) Ich investiere in das OpenSSL - Team. Ich erhalte mit Sicherheit Support für all meine Geräte.
2.) Ich investiere in das LibreSSL - Team. Ich bete und hoffe, dass sie dann auch Support für meine Architekturen und Betriebssysteme einbauen.... und nicht nur die Version des für mich vollkommen nutzlosen BSD weiter ausbauen.
Hier will sich jemand schlicht und ergreifend auf Basis der Heartbleed-Lücke auf legalem Wege ne goldene Nase verdienen.
Das Ding gehört einfach von Grund auf neu aufgezogen, da steckt so unsagbar viel Müll drin (was aber auch den mülligen Spezifikationen geschuldet ist). Die "Großen" sollten sich da mal gemeinsam dransetzen, die Spezifikationen entschlagen und darauf dann openSSL neu aufbauen.
Ansonsten wird daraus eh nichts, weil das jetzt jeder forken wird und für sich das anpasst. Dann haben wir wieder so nen Querbett-Scheiß und sind kein Schritt weiter.
(imho)
Es ist Schwachsinn, das ist alles. Erst kegeln sie allen Kompatibiltitäts-Code raus, dann wollen sie "Spenden" dafür, den Code wieder einzubauen. Ein Schelm, wer Böses dabei denkt.
So etwas läuft am Ende eh nur auf einen Forking-Wettstreit raus, bei dem dann jeder sein eigenes Süppchen kocht und alles auseinander driftet. Dagegen ist der Wayland - MIR - Konflikt ein kleines Geplänkel.
Für mich eh nicht verständlich, warum ein Projekt wie OpenSSL, das so aktiv und zahlreich Verwendung findet, keine wirkliche finanzielle Grundlage bekommt um die Entwicklung zu garantieren. Dürfte sich aber bestimmt bald ändern.
