OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラド オープンソース

OpenBSDがOpenSSLの大掃除に着手しています（slashdot）。 たとえばlibssl/src/sslを見ると、CVSに罵倒と修正がひっきりなしに記録されています。 Heatbleed対策のパッチだけで満足しなかった理由は、彼らから見てHeartbleedが単なるバグや仕様の問題ではなく、セキュリティ意識の問題から産まれたものだからです。 何年も前から 「OpenSSL はサルが書いてるんだろう」と揶揄していたとおり、OpenSSL コードの品質が低いことをOpenBSD開発者たちは知っていましたが、それが意識や責任感の問題だという確信はまだなかったのかもしれません。 OpenBSD にはメモリ防護機構がありますので、Heartbleed脆弱性があっても当初、malloc.confにJオプションを付ければfree済みメモリはシュレッダーにかけられ秘密は漏れないだろうと思ったそう

[kaerucircus]

TheoじゃなくてもみんなTheoらしい物言いだし、それこそOpenBSD akaキチガイじみた潔癖野郎の本質。ただ、整理されていないコード事自体がセキュリティリスクとなる事を証明してしまったOpenSSLは不潔呼ばわりも仕方ない

[ebo-c]

仲良く喧嘩しな(斧で)

[syuu1228]

…は？“しかも、オプションで普通の malloc/free を使うようにすると動作しません。それは freelist に捨てたメモリを拾い直しても内容が同じであるという前提のコードだったからです。”

[dbfireball]

「CVS に罵倒と修正がひっきりなしに記録されています。 」

[honeniq]

“OpenSSL は、速度のためにセキュリティを犠牲にするオプションを追加し、それをデフォルトにし、それを無効にした場合のテストをしていなかった”

[KUMARI]

行動しないのは無能と同じ。－＞OpenBSD

[riocampos2]

なるほど元ネタとしてこれがあったわけか。4/17の/.J。…ん？OpenBSDってなんぞ？｜OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラッシュドット・ジャパン オープンソース

[gazi4]

"OpenSSLは独自のfreelistを管理することで、脆弱性緩和策を回避し、確実に脆弱になるように書かれていたのです"あ、確かにこれ陰謀論でるわ

[mrmt]

こ れ は > “普通の malloc/free を使うようにすると動作しません。それは freelist に捨てたメモリを拾い直しても内容が同じであるという前提のコードだったからです”

[Cujo]

まだここ読んだだけだけど、openSSLの件は本当にパッチ作った当人が言うような「ハンロンの剃刀の例外」だったのだろうか、と疑問に思ってしまった。

[asakura-t]

（記事とは直接関係ない）こういう話では何故かNetBSDが出てこないのが不思議（BSD系のそれぞれの立ち位置って今どうなってるんだろ？）

[jitsu102]

http://www.openopenssl.org/

[forewind]

久々にオープンソース界隈の地図が動くのかな？：OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる | スラッシュドット・ジャパン オープンソース...

[AmaiSaeta]

うーん、OpenBSD側のやり方には感心しないなぁ。何年も前から分かってたならば、揶揄する前にコード出せよと。OSSなんだからさ。今じゃなくてその時点でさ。それだけの技術も持ち合わせていただろうに。

[hon_ya]

OpenBSD から見て Heartbleed は氷山の一角に過ぎない Submission

[ooblog]

#Heartbleed 「OpenSSLは、速度のためにセキュリティを犠牲にするオプション~それを無効にした場合のテストをしていなかったということに」

[kaionji]

OpenBSDとFreeBSDって仲悪いの？

[amino_acid9]

怒りのOpenBSD

[gnw]

freebsd

[ya--mada]

消毒班

[rx7]

OpenOpenSSL...

[SyncHack]

Theo様すげえｗ。そこにシビれ(ry

[tmatsuu]

ｶｯｺｲｲ

[TOKOROTEN]

ロックだ・・・

[prozorec]

屋上屋を重ねる

[Rinta]

往々にして残念な実装というのはあるもので、それがOSSでもあったという事。

[sona-zip]

本当なら凄い 「しかも、オプションで普通のmalloc/freeを使うようにすると動作しません。それはfreelistに捨てたメモリを拾い直しても内容が同じであるという前提のコードだったからです。」

[houyhnhm]

リファクタリングのタイミングだったのだろうかな。

[siteworkers]

なるほど

[KoshianX]

この解説読むと確かにひどいな……

[sonots]

そんなかんじだったのか > "OpenSSLはサルが書いているんだろう"

[Guro]

オープンソースの難しさ、ととらえてよいかどうか

[at_yasu]

((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

[doublehorn93]

OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる

[nilab]

OpenBSD から見て Heartbleed は氷山の一角に過ぎない | スラッシュドット・ジャパン Submission