Что: 7247b510da39d7913136b3d76f5ce65e49f28767 Когда: 2020-06-08 19:05:12+03:00 ------------------------------------------------------------------------ Темы: hate ipsec ------------------------------------------------------------------------ Получил зарплату от трёхбуквенных компаний? Значит твоя работа насмарку https://lists.freebsd.org/pipermail/freebsd-questions/2020-June/289962.html В рассылке FreeBSD, по теме сравнения FreeBSD и NetBSD, всплыла OpenBSD. И вот вроде бы человек ранее был замечен адекватным, но а тут он пишет что раз разработчик работал с трёхбуквенными компаниями, получал от них зарплату, то от его кода надо держаться подальше. Речь про код связанный с IPsec в OpenBSD, насколько понимаю. Я этого совершенно не понимаю. Я даже не понимаю где тут логика. "Трёхбуквенным" организациям, вроде бы, как никому нужна безопасность и хороший качественный код. Что удивительного что они его пишут? Эти организации могут и хотят позволять себе нанимать профессионалов. А профессионалы по моему вольны продавать свои знания/умения нуждающимся в этом. У меня такое ощущение что у людей "Трёхбуквенные" организации занимаются тем, чтобы *уменьшать* где-то безопасность, вставлять backdoor-ы. Ну США в этом замечены, да, только для своих задач то они что используют? Windows или macOS никто из трёхбуквенных для себя использовать не будет в вопросах безопасности -- там то лазейки гарантированно имеются, безусловно. Но даже если и так, то это означает что профессионал типа ничего не умеет делать кроме как писать код с лазейками? Бред какой-то. И речь то не про ширпотрёбные ОС, которые используют люди, а про системы которые уже для реальной безопасности. Вообще какие компании то заинтересованы в настоящей безопасности, тем более криптографической? Google/Apple/Microsoft/Facebook -- очевидно что никто из них, более того, они и сами всю безопасность только усугубляют. Просто такое отвращение сразу и неуважение к человеку вызывают все эти беспочвенные нелогичные бредни. А Брюс Шнайер работал на Минобороны... очевидно что наверное его работа и книги тоже наверное никакого веса не имеют после этого. Или Минобороны чем-то отличается от "трёхбуквенных"? Или внутри США его "Прикладная криптография" и его Blowfish/Twofish/Skein/whatever -- какие-то другие версии? В нашей стране у меня то как-раз впечатление что самые параноидальные на тему безопасности люди собраны как-раз "трёхбуквенными", что тупо логично. ... but realizing that to audit the code written by top programmer is virtually impossible, I decided for myself to just shy away from OpenBSD То есть, код топового программиста он не в состоянии оценить. Ok. А если бы этот код был написал студентом за лето в Google Summer Of Code? То его можно было бы проанализировать или просто не нужно было бы? Какова вероятность что в сетевом/криптографическом коде студент совершит ошибку на C? Его код по любому априори будет требовать аудита. Тогда как хороший код профессионала явно должен и будет написан так, что никаких странностей и неаккуратностей не должно оставаться по максимуму. Ну собственно вот мы и живём, большинство людей, в мире говноподелок несерьёзных, где всякие OpenSSL живут десятилетиями с критическими багами. Зато не спонсировано и написано не "трёхбуквенными"! У которых я вообще не припомню чтобы были какие-либо значительные уязвимости и проблемы (ну кроме возможно маленьких DH групп по умолчанию, что конфигурацией правится) в IPsec/OpenBSD за всю историю. А ещё вот в https://en.wikipedia.org/wiki/OpenBSD#Funding увидел что два года основные денежные вливания вообще были от китайской компании. ------------------------------------------------------------------------ оставить комментарий: mailto:comment@blog.stargrave.org?subject=Re:%20%D0%9F%D0%BE%D0%BB%D1%83%D1%87%D0%B8%D0%BB%20%D0%B7%D0%B0%D1%80%D0%BF%D0%BB%D0%B0%D1%82%D1%83%20%D0%BE%D1%82%20%D1%82%D1%80%D1%91%D1%85%D0%B1%D1%83%D0%BA%D0%B2%D0%B5%D0%BD%D0%BD%D1%8B%D1%85%20%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D0%B9%3F%20%D0%97%D0%BD%D0%B0%D1%87%D0%B8%D1%82%20%D1%82%D0%B2%D0%BE%D1%8F%20%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%20%D0%BD%D0%B0%D1%81%D0%BC%D0%B0%D1%80%D0%BA%D1%83%20%287247b510da39d7913136b3d76f5ce65e49f28767%29 ------------------------------------------------------------------------ Сгенерирован: SGBlog 0.34.0