Критическая уязвимость OpenSSL

[tvv]

tvv, а можно пример ваших трудов на аде? Столько разговоров, покажите нам успешное применение

Может мне понравится и я адский бот запилю)))))

ну на мелких программах не заметите вообще никакой разницы - кстати gnat и кодогенераторы из gcc использует, так что и на выходе будет практически идентично...

А вот на больших проектах разница заметна - когда пытаешься там ковыряться.
(кстати мой Hello world для новичков видели?  Исходники самого компилятора...
Ну а че мелочиться - пусть сразу разбираются и двигают проект дальше - опенсорс же)

Скачайте скажем исходники линукса(или gcc) и попробуйте там разобраться, ну скажем че-нить найти и исправить,
например русификацию провести(чтобы на русский алфавит не ругался - кстати в turbo я когда-то нашел эту проверку,
но исправить не смог - настолько там плотный был код что лишних пару байт вставить не куда),
а потом какой-нить проект на Аде - например исходники самого gnat, ну или хоть реализацию этого SSL,
в Аде это библиотека AWS, кстати будет полезно поискать дырки и там, программисты же писали...

Vladimir

[1715509956]

1715509956

[1715509956]

1715509956

[1715509956]

1715509956

[1715509956]

1715509956

[tvv]

Может мне понравится и я адский бот запилю)))))

ну давайте сравним че-нить конкретное чтоли...  О, и subj в тему


вот значит либа на аде, со всекими веб-ными делами и протоколами - вроде как и SSL там тоже был...

http://en.wikibooks.org/wiki/Ada_Programming/Libraries/Web/AWS
http://www.ohloh.net/p/aws
http://libre.adacore.com/tools/aws/



Теперь найдите то-же самое на Ц и давайте сравним где понятнее и читаемее...

Потому что если дальше пойти, то в сравнении с лиспом ада - это распиаренное УГ.

Слышь, ты эта, как протрезвеешь и моск хоть немного работать начнет(забыл где работаешь и что скажут
при сертификации на лисп или пролог?) - потрудись на Ц найти аналоги этой адской библиотеке,
то тока ссылочки найти нормальные, а то меня боюсь стощнит от того что любят Ц-ники...

Тогда и поговорим

Vladimir

[Balthazar]

Ему про лисп, а он про Ц... И кто тут протрезветь-то должен, хеллоу?

Глупость какая-то.

[tvv]

Ему про лисп, а он про Ц... И кто тут протрезветь-то должен, хеллоу?

Глупость какая-то.

да мне таки интересно, что будет если на сертификацию принесешь прогу на лиспе...
Попробуй как-нить - потом расскажешь.

А лисп с Адой сравнивать вообще не корректно - языки совершенно разного типа.

Вот Ада и Ц - практически полные аналоги, можно сказать конкуренты,
хотя каким может быть конкурентом ЯВУ квазиассемблер...


PS  вот если бы ты знал Аду - то таких ошибок бы не делал - поумнел бы сразу
Там type число_ложек is integer;  и type число_вилок is integer; будут разными(и не совместимыми!) типами...
А вот в Ц да такая-же каша как и у тебя уже в голове

[deisik]

PS  вот если бы ты знал Аду - то таких ошибок бы не делал - поумнел бы сразу
Там type число_ложек is integer;  и type число_вилок is integer; будут разными(и не совместимыми!) типами...

Как быть в этом случае?

[tvv]

А для этого есть функции преобразования типов - надо явно написать к какому типу преобразуешь.

Причем это не какая-нить малозаметная закорючка как в Ц или перлах, а название типа, длинное слово, заметишь...
(без преобразования получишь ошибку компиляции - ошибка все равно не пройдет)

[deisik]

А для этого есть функции преобразования типов - надо явно написать к какому типу преобразуешь.

Причем это не какая-нить малозаметная закорючка как в Ц или перлах, а название типа, длинное слово, заметишь...
(без преобразования получишь ошибку компиляции - ошибка все равно не пройдет)

Я не про преобразование, я про объединение - про объект, который может быть и вилкой и ложкой (как раз ваш случай, а пример из реальности)...

[vodz]

Если речь про конкретно вот эту Heartbleed, то смена языка там точно бы ничем не помогла. На каком бы языке не напиши выделение памяти согласно данных пришедших по сети без параноидальных проверок этих данных - получишь тоже самое. Нет там проблемы по выходу из диапазона и прочих тормозящих выполнение проверок языков высокого уровня, всё на первый взгляд чинно и благородно.

[tvv]

Поэтому и надо чтобы проект проверяло не 1.5 укуренных программиста, а миллионы - а для этого надо писать на чем-то понятном.

[vodz]

Поэтому и надо чтобы проект проверяло не 1.5 укуренных программиста, а миллионы - а для этого надо писать на чем-то понятном.

Вообще-то говоря, это как раз взламыватели имеют весьма укуренный мозг. Программисты думают как решить задачу, а взламыватели - как данное решение использовать для плохих целей. И кстати, ваши миллионы как раз и делают насквозь дырявое на этих php/java/perl-ах...

[tvv]

Если хакеры оказываются умнее программистов - то во-первых таким программистам не место в программировании,
а во-вторых такие поделки должны быть выкинуты и заменены на надежный софт...

А чем больше народу сможет проверить исходники - тем больше ошибок будет найдено.
(то что твориться сейчас open source можно назвать только условно - там и сами авторы то через год разобраться не могут, не то чтобы кто-то посторонний мог проверить - вот для этого и надо сделать сертификацию и опросы/голосования, если иходники не понятен для всех то его надо срочно начинать переписывать, пока не хакнули)

Vladimir

[vodz]

Если хакеры оказываются умнее программистов - то во-первых таким программистам не место в программировании,
а во-вторых такие поделки должны быть выкинуты и заменены на надежный софт...

Херня какая-то, это тоже самое что сказать разрушители памятников умнее скульпторов.

А чем больше народу сможет проверить исходники - тем больше ошибок будет найдено.
(то что твориться сейчас open source можно назвать только условно - там и сами авторы то через год разобраться не могут, не то чтобы кто-то посторонний мог проверить - вот для этого и надо сделать сертификацию и опросы/голосования, если иходники не понятен для всех то его надо срочно начинать переписывать, пока не хакнули)

Сразу видно, что никогда не аудитили closed-source.
Могу и прекрасный пример: как известно, политики майкросовского домена - это просто записи в реестр, которые сами ни на что не влияют, то есть если программа хочет им следовать, она сама должна читать соответствующие ветки реестра и сама себя ограничивать. Как следствие, то что наограничивали политикой для "проводника" элементарно обходится, например, вызов соответствующих действий через макросовскую же Пуск->Помощь->Найти как сделать что-то->тык. Охренеть безопасность...

[tvv]

Ага, а теперь скажите что никто из миллиона пользователей не заметит эту "мелоч" когда посмотрит код, если он конечно будет понятен.
(а если не понятен - предлагаю сразу его и браковать по этому критерию)

Причем среди пользователей не только домохозяйки, но и инженеры и др, кто в принципе на порядки умнее этих мальчиков-программистов...

[yurm]

Если хакеры оказываются умнее программистов - то во-первых таким программистам не место в программировании,
а во-вторых такие поделки должны быть выкинуты и заменены на надежный софт...

1. Математик != программист
2. Программист != хакер
3. Хакер != скрипткидди

1. Создают ПО типа OpenSSL в первую очередь математики, хорошо разбирающиеся в предметной области (криптографии). Прикажете им не писать код? Ну-ну. Весело будет смотреть на уязвимый, но архитектурно вылизанный код. Debian OpenSSL bug помните?
2. Умение программировать (под этим я понимаю в первую очередь создание архитектуры системы и старания по поддержанию её при воплощении идеи в код) ещё не означает умения находить потенциальные бэкдоры в своём коде. Да и требования к безопасности у разного софта разные.
3. Умение пользоваться метасплойтом или подобными инструментами само по себе не делает человека хакером. Т.е. это ещё не означает, что он сможет сам найти уязвимость в коде.

А чем больше народу сможет проверить исходники - тем больше ошибок будет найдено.

Отчасти верно, но сможет проверить и проверит — разные вещи. У больших одноранговых команд есть одна проблема — большинство ждёт, что задачу решит (сделает код-ревью в нашем случае) кто-нибудь другой. Вдобавок, удерживать в голове при чтении все взаимосвязи проекта смогут только глубоко в него погрузившиеся люди. У многих ли возникнет желание тратить на это своё время (много времени), да ещё и бесплатно?

вот для этого и надо сделать сертификацию и опросы/голосования, если иходники не понятен для всех то его надо срочно начинать переписывать, пока не хакнули

Для всех? В этом случае команды разработчиков любого ПО рискуют быстро превратиться в бесплатные обучающие центры. Делом когда заниматься?

Ошибки в ПО будут всегда. С этим следует смириться. Помочь может разве что формальная верификация, но она даже для космических проектов не делается (не всегда, не полностью, не для новых условий — нужное подчеркнуть), что уж говорить о рядовом софте. Почитайте, интересная статья. Кстати, использовалась Ада

[tvv]

Ошибки в ПО будут всегда. С этим следует смириться. Помочь может разве что формальная верификация, но она даже для космических проектов не делается (не всегда, не полностью, не для новых условий — нужное подчеркнуть), что уж говорить о рядовом софте. Почитайте, интересная статья. Кстати, использовалась Ада

да знаю, децкий сад...   (над EADS уже и прикалываться скучно - все руки не доходят под носом у них запатентовать то что они упускают)

Сделали 2 ошибки

1  Вместо специалистов привлекли программистов - хотя Ада как раз позволяет привлекать не-программистов,
  то есть тут собсно ничего полезного из Ады и не было использовано...

2  Излишне усложнили проект.   Метод ампутации рулит

Vladimir