forum.opennet.ru

Составление сообщения

Исходное сообщение

"Представлен новый защищённый SSH-сервер TinySSH"
Отправлено Аноним, 12-Май-14 22:44

> это 4 функции в одном комбайне
А почему 4? Если например посчитать все системные вызовы - получится и 100 запросто! А чего мелочиться? Открытие файла и чтение из него - две разные функции, да?! А оно несколько файлов читает, сокетами орудует, и вообще. Эвона сколько задач.
Поэтому я с точки зрения разумного баланса я согласен считать "secure shell" за 1 задачу. И распиливание ее на субзадачи чревато ошибками конфигурирования, о которых у этих господ написано. В частности, не любой системный администратор - специалист по криптографии. Поэтому лучше если произвольно взятый админ не будет испытывать соблазна выбирать алгоритм шифрования. А то выберет, блин, 56-битный DES. Лучший алгоритм. По мануалу по которому еще его дедушка админить учился. Видели мы это в SSL, спасибо.
> единственное пока.
Неправда. Еще по идее лучше надежность за счет статичного выделения памяти. И лучше переживет ситуации с душняком памяти в системе, и меньше ключевого материала вне программы может потенциально утекать. А отсутствие поддержки легаси и только быстрое берштейновское шифрование - значит, сервак не будет жрать кучу проца и оперативы если стайка ботов пришла побрутить. Даже если не костылировать сие файрволом. Вообще, довольно свински когда проблемность протокола приходится затыкать пуская сисадминов амбразурой на грудь. Возможность часто и много инициировать тяжелые операции - это таки продолб в протокольном дизайне. Сейчас, когда появились алгоритмы позволяющие сделать операции публичной криптографии легкими и быстрыми, эту лазейку для потенциального проведения DoS атак следует зарубить. Что в сабже и сделали, оставив только современную и быструю криптографию.
> htartbeat в OpenSSH никогда не было.
А разве кто-то утверждал что оно было? Я скорее имею претензии к общему качеству OpenSSL как таковой. Там и без heartbeat плюх хватает. Достаточно ченжлоги Tor почитать, чтобы увидеть как они костылировали маразм авторов openssl относительно хардварных RNG. Как вам идея получить предсказуемые ключи если в аппаратном RNG вскроется бэкдор? Ну вот авторов openssl такая фигня не смущает, оказывается. Видимо, пример с дебианом им не в прок.

Исходное сообщение
"Представлен новый защищённый SSH-сервер TinySSH" Отправлено Аноним, 12-Май-14 22:44
> это 4 функции в одном комбайне А почему 4? Если например посчитать все системные вызовы - получится и 100 запросто! А чего мелочиться? Открытие файла и чтение из него - две разные функции, да?! А оно несколько файлов читает, сокетами орудует, и вообще. Эвона сколько задач. Поэтому я с точки зрения разумного баланса я согласен считать "secure shell" за 1 задачу. И распиливание ее на субзадачи чревато ошибками конфигурирования, о которых у этих господ написано. В частности, не любой системный администратор - специалист по криптографии. Поэтому лучше если произвольно взятый админ не будет испытывать соблазна выбирать алгоритм шифрования. А то выберет, блин, 56-битный DES. Лучший алгоритм. По мануалу по которому еще его дедушка админить учился. Видели мы это в SSL, спасибо. > единственное пока. Неправда. Еще по идее лучше надежность за счет статичного выделения памяти. И лучше переживет ситуации с душняком памяти в системе, и меньше ключевого материала вне программы может потенциально утекать. А отсутствие поддержки легаси и только быстрое берштейновское шифрование - значит, сервак не будет жрать кучу проца и оперативы если стайка ботов пришла побрутить. Даже если не костылировать сие файрволом. Вообще, довольно свински когда проблемность протокола приходится затыкать пуская сисадминов амбразурой на грудь. Возможность часто и много инициировать тяжелые операции - это таки продолб в протокольном дизайне. Сейчас, когда появились алгоритмы позволяющие сделать операции публичной криптографии легкими и быстрыми, эту лазейку для потенциального проведения DoS атак следует зарубить. Что в сабже и сделали, оставив только современную и быструю криптографию. > htartbeat в OpenSSH никогда не было. А разве кто-то утверждал что оно было? Я скорее имею претензии к общему качеству OpenSSL как таковой. Там и без heartbeat плюх хватает. Достаточно ченжлоги Tor почитать, чтобы увидеть как они костылировали маразм авторов openssl относительно хардварных RNG. Как вам идея получить предсказуемые ключи если в аппаратном RNG вскроется бэкдор? Ну вот авторов openssl такая фигня не смущает, оказывается. Видимо, пример с дебианом им не в прок.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> это 4 функции в одном комбайне

> А почему 4? Если например посчитать все системные вызовы - получится и 
> 100 запросто! А чего мелочиться? Открытие файла и чтение из него 
> - две разные функции, да?! А оно несколько файлов читает, сокетами 
> орудует, и вообще. Эвона сколько задач.

> Поэтому я с точки зрения разумного баланса я согласен считать "secure shell" 
> за 1 задачу. И распиливание ее на субзадачи чревато ошибками конфигурирования, 
> о которых у этих господ написано. В частности, не любой системный 
> администратор - специалист по криптографии. Поэтому лучше если произвольно взятый админ 
> не будет испытывать соблазна выбирать алгоритм шифрования. А то выберет, блин, 
> 56-битный DES. Лучший алгоритм. По мануалу по которому еще его дедушка 
> админить учился. Видели мы это в SSL, спасибо.

>> единственное пока.

> Неправда. Еще по идее лучше надежность за счет статичного выделения памяти. И 
> лучше переживет ситуации с душняком памяти в системе, и меньше ключевого 
> материала вне программы может потенциально утекать. А отсутствие поддержки легаси и 
> только быстрое берштейновское шифрование - значит, сервак не будет жрать кучу 
> проца и оперативы если стайка ботов пришла побрутить. Даже если не 
> костылировать сие файрволом. Вообще, довольно свински когда проблемность протокола приходится 
> затыкать пуская сисадминов амбразурой на грудь. Возможность часто и много инициировать 
> тяжелые операции - это таки продолб в протокольном дизайне. Сейчас, когда 
> появились алгоритмы позволяющие сделать операции публичной криптографии легкими и быстрыми, 
> эту лазейку для потенциального проведения DoS атак следует зарубить. Что в 
> сабже и сделали, оставив только современную и быструю криптографию.

>> htartbeat в OpenSSH никогда не было.

> А разве кто-то утверждал что оно было? Я скорее имею претензии к 
> общему качеству OpenSSL как таковой. Там и без heartbeat плюх хватает. 
> Достаточно ченжлоги Tor почитать, чтобы увидеть как они костылировали маразм авторов 
> openssl относительно хардварных RNG. Как вам идея получить предсказуемые ключи если 
> в аппаратном RNG вскроется бэкдор? Ну вот авторов openssl такая фигня 
> не смущает, оказывается. Видимо, пример с дебианом им не в прок.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру