> это 4 функции в одном комбайне А почему 4? Если например посчитать все системные вызовы - получится и 100 запросто! А чего мелочиться? Открытие файла и чтение из него - две разные функции, да?! А оно несколько файлов читает, сокетами орудует, и вообще. Эвона сколько задач.
Поэтому я с точки зрения разумного баланса я согласен считать "secure shell" за 1 задачу. И распиливание ее на субзадачи чревато ошибками конфигурирования, о которых у этих господ написано. В частности, не любой системный администратор - специалист по криптографии. Поэтому лучше если произвольно взятый админ не будет испытывать соблазна выбирать алгоритм шифрования. А то выберет, блин, 56-битный DES. Лучший алгоритм. По мануалу по которому еще его дедушка админить учился. Видели мы это в SSL, спасибо.
> единственное пока.
Неправда. Еще по идее лучше надежность за счет статичного выделения памяти. И лучше переживет ситуации с душняком памяти в системе, и меньше ключевого материала вне программы может потенциально утекать. А отсутствие поддержки легаси и только быстрое берштейновское шифрование - значит, сервак не будет жрать кучу проца и оперативы если стайка ботов пришла побрутить. Даже если не костылировать сие файрволом. Вообще, довольно свински когда проблемность протокола приходится затыкать пуская сисадминов амбразурой на грудь. Возможность часто и много инициировать тяжелые операции - это таки продолб в протокольном дизайне. Сейчас, когда появились алгоритмы позволяющие сделать операции публичной криптографии легкими и быстрыми, эту лазейку для потенциального проведения DoS атак следует зарубить. Что в сабже и сделали, оставив только современную и быструю криптографию.
> htartbeat в OpenSSH никогда не было.
А разве кто-то утверждал что оно было? Я скорее имею претензии к общему качеству OpenSSL как таковой. Там и без heartbeat плюх хватает. Достаточно ченжлоги Tor почитать, чтобы увидеть как они костылировали маразм авторов openssl относительно хардварных RNG. Как вам идея получить предсказуемые ключи если в аппаратном RNG вскроется бэкдор? Ну вот авторов openssl такая фигня не смущает, оказывается. Видимо, пример с дебианом им не в прок.