[elektro] OpenSSL
SZIGETI Szabolcs
szigiszabolcs at gmail.com
Tue Apr 15 14:54:37 CEST 2014
Nagyobb baj az, hogy ez a végtelenül primitív programozói hiba kb. két éve
benne van az OpenSSL-ben, pedig már óvodában tanítják, hogy külső inputot
validálás nélkül nem fogadunk el. Ezt, aki commitolta a kódot,át kellett
volna néznie.
Miután én is egy hete csak ezzel foglalkozom, belenéztem az OpenSSL
kódjába, hát valami szörnyű. Ha tanítani kellene, hogyan kell
olvashatatlan, karbantarthatatlan kódot csinálni, ezt lehetne mutogatni. Az
OpenSSL-t karbantartó csapat, vagy nagyon dilettáns, vagy nagyon erőforrás
hiányos, vagy mindkettő.
És a net egy nagy része ettől a kódtól függ. Szerencsére nem minden verzió
volt hibás.
Úgyhogy emberek! Írjatok szép, olvasható, karbantartható kódot!
Szabolcs
2014. április 15. 11:10 r3flow írta, <nzoltan at freemail.hu>:
>
> Minden rosszban van valami jó, itt most az, hogy az elemző eszközök is
> fejlődnek, mostantól felismerik majd az ilyen hibákat is, azaz
> előbb-utóbb azért eljutunk egy szintre ahol már nagyon ritka lesz az
> ilyen hiba, bár eddig sem volt gyakori.
>
> http://blog.regehr.org/archives/1128
>
>
> http://security.coverity.com/blog/2014/Apr/on-detecting-heartbleed-with-static-analysis.html
>
> Z.
>
> -----------------------------------------
> elektro[-flame|-etc]
More information about the Elektro
mailing list