From 7247b510da39d7913136b3d76f5ce65e49f28767 Mon Sep 17 00:00:00 2001 From: Sergey Matveev Date: Mon, 8 Jun 2020 19:05:12 +0300 Subject: [PATCH] =?utf8?q?=D0=9F=D0=BE=D0=BB=D1=83=D1=87=D0=B8=D0=BB=20?= =?utf8?q?=D0=B7=D0=B0=D1=80=D0=BF=D0=BB=D0=B0=D1=82=D1=83=20=D0=BE=D1=82?= =?utf8?q?=20=D1=82=D1=80=D1=91=D1=85=D0=B1=D1=83=D0=BA=D0=B2=D0=B5=D0=BD?= =?utf8?q?=D0=BD=D1=8B=D1=85=20=D0=BA=D0=BE=D0=BC=D0=BF=D0=B0=D0=BD=D0=B8?= =?utf8?q?=D0=B9=3F=20=D0=97=D0=BD=D0=B0=D1=87=D0=B8=D1=82=20=D1=82=D0=B2?= =?utf8?q?=D0=BE=D1=8F=20=D1=80=D0=B0=D0=B1=D0=BE=D1=82=D0=B0=20=D0=BD?= =?utf8?q?=D0=B0=D1=81=D0=BC=D0=B0=D1=80=D0=BA=D1=83?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf8 Content-Transfer-Encoding: 8bit https://lists.freebsd.org/pipermail/freebsd-questions/2020-June/289962.html В рассылке FreeBSD, по теме сравнения FreeBSD и NetBSD, всплыла OpenBSD. И вот вроде бы человек ранее был замечен адекватным, но а тут он пишет что раз разработчик работал с трёхбуквенными компаниями, получал от них зарплату, то от его кода надо держаться подальше. Речь про код связанный с IPsec в OpenBSD, насколько понимаю. Я этого совершенно не понимаю. Я даже не понимаю где тут логика. "Трёхбуквенным" организациям, вроде бы, как никому нужна безопасность и хороший качественный код. Что удивительного что они его пишут? Эти организации могут и хотят позволять себе нанимать профессионалов. А профессионалы по моему вольны продавать свои знания/умения нуждающимся в этом. У меня такое ощущение что у людей "Трёхбуквенные" организации занимаются тем, чтобы *уменьшать* где-то безопасность, вставлять backdoor-ы. Ну США в этом замечены, да, только для своих задач то они что используют? Windows или macOS никто из трёхбуквенных для себя использовать не будет в вопросах безопасности -- там то лазейки гарантированно имеются, безусловно. Но даже если и так, то это означает что профессионал типа ничего не умеет делать кроме как писать код с лазейками? Бред какой-то. И речь то не про ширпотрёбные ОС, которые используют люди, а про системы которые уже для реальной безопасности. Вообще какие компании то заинтересованы в настоящей безопасности, тем более криптографической? Google/Apple/Microsoft/Facebook -- очевидно что никто из них, более того, они и сами всю безопасность только усугубляют. Просто такое отвращение сразу и неуважение к человеку вызывают все эти беспочвенные нелогичные бредни. А Брюс Шнайер работал на Минобороны... очевидно что наверное его работа и книги тоже наверное никакого веса не имеют после этого. Или Минобороны чем-то отличается от "трёхбуквенных"? Или внутри США его "Прикладная криптография" и его Blowfish/Twofish/Skein/whatever -- какие-то другие версии? В нашей стране у меня то как-раз впечатление что самые параноидальные на тему безопасности люди собраны как-раз "трёхбуквенными", что тупо логично. ... but realizing that to audit the code written by top programmer is virtually impossible, I decided for myself to just shy away from OpenBSD То есть, код топового программиста он не в состоянии оценить. Ok. А если бы этот код был написал студентом за лето в Google Summer Of Code? То его можно было бы проанализировать или просто не нужно было бы? Какова вероятность что в сетевом/криптографическом коде студент совершит ошибку на C? Его код по любому априори будет требовать аудита. Тогда как хороший код профессионала явно должен и будет написан так, что никаких странностей и неаккуратностей не должно оставаться по максимуму. Ну собственно вот мы и живём, большинство людей, в мире говноподелок несерьёзных, где всякие OpenSSL живут десятилетиями с критическими багами. Зато не спонсировано и написано не "трёхбуквенными"! У которых я вообще не припомню чтобы были какие-либо значительные уязвимости и проблемы (ну кроме возможно маленьких DH групп по умолчанию, что конфигурацией правится) в IPsec/OpenBSD за всю историю. А ещё вот в https://en.wikipedia.org/wiki/OpenBSD#Funding увидел что два года основные денежные вливания вообще были от китайской компании. -- 2.50.0