2014-04-11 23:41 GMT+02:00 Igor Falcomata' wrote: [...] > Personalmente apprezzo i rantoni provocatori e (spesso) intelligenti di > keinpfusch.net, anche se in questo caso mi sembra che la cavolata > sparata all'inizio sia abbastanza palese ed invalidante; per il resto > del post o faccio come farei normalmente leggendo il link condiviso su > <social network a tuo piacere> - cioe' sghignazzo sotto i baffi, ci > perdo 2 minuti e ciao - ma se dovessi commentare seriamente (e comunque > TL;TR) cercando di tornare in topic da un lato potrei anche dargli > ragione, ma dall'altro dovrei prima analizzare tutti i commit e i > contributi di aziende commerciali ai prodotti di security (e non) OSS, > considerare i bug bounty (vedi google che copre anche codice non suo se > OSS), etc., etc., etc., etc., etc. .. e, anche valutato tutto questo, > rimarremmo sempre nel campo delle opinioni..
Spero di aggiungere qualcosa di sensato con questo commento ;-) Colui che ha introdotto il bug ha fatto "outing" ed ha spiegato come è successo: http://www.theguardian.com/technology/2014/apr/11/heartbleed-developer-error-regrets-oversight Robin Seggelmann, un programmatore tedesco, ha introdotto la "feature" durante il lavoro della sua tesi di dottorato. A proposito di questo specifico topic, forse vale la pena notare - in aggiunta a quello che ha detto Igor Falcomatà - che: - Google e Codenomicon stavano per l'appunto facendo code review, ed è per questo che il bug è stato trovato. - Lo stesso Seggelmann ha commentato sul fatto che non vede l'episodio come un "fallimento" dell'open source - al contrario. Egli crede che non sia stato trovato perché si tratta di una feature molto poco usata e non si tratta di un errore concettuale, ma di uno "stupido" errore di programmazione. [...] > e, per fare un esempio concreto di quanto sopra, possiamo far partire un > threadone infinito e interessantissimo al riguardo, ma non credo ne > verrebbe fuori anche solo una riga di codice a posteriori e/o una > soluzione condivisibile da tutti.. Visto quello che è successo, forse è meglio se non ci si improvvisi coder part-time di OpenSSL... Sarebbe piuttosto opportuno se aziende come Google o Facebook si facessero avanti e finanziassero il progetto in qualche modo, così come fanno con moltissimi altri progetti open source - Facebook ha contribuito con oltre 30 patch sostanziali al kernel di Linux soltanto negli ultimi anni, tanto per parlare della morte dell'open source... Cordiali saluti -- Marco Ermini root@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!"
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
