Dane, to mela byt ironie a poznamka, ze se nejednalo o nejstastjnejsi napad. Pouziti statickeho buildu pro SVN (systemovy, vyuzivajici OpenSSL BASE) by bylo fajn. Pouziti textoveho souboru, trebaze pomalejsiho by bylo fajn, nezavisle na nejakem 3rd party sw. Alespon by se to dalo rozumne ukocirovat. Ale soucasna situace je strasna.
K OpenSSL base/port a Kerberosu Base obsahuje vlastni Heimdal, bindovany na OpenSSL/base Porty obsahuji Heimdal, ktery by mel byt bindovany na OpenSSL/port, ale volba je (zda se) mozna pouze pomoci promenne v /etc/make.conf (WITH_OPENSSL_PORTS=YES) Porty dale obsahuji Kerberos MIT, licencne omezeny, volba podpory OpenSSL je zda se shodna jako u Heimdal/port Aplikace kompilujici krb5 NEMAJI praticky moznost zvolit si (lepe receno identifikovat), proti cemu to bylo prelozeno a volby v /etc/make.conf se v tomto pripade ignoruji. vysledkem je tedy kompilace krizem, na ktere zacnou rvat knihovny (v lepsim pripade), v horsim to spadne az pri spusteni. Ale zrovna tohle je vec, odchytitelna automatickym vyhodnocovanim. A ktera je algoritmizovatelna. Jen se proste system nesmi snazit byt chytrejsi nez clovek, ktery ho ovlada a spravci vyvoje musi akceptovat, ze admin ma mozek a vi co chce delat. Honza Dne 8.7.2015 v 19:20 Dan Lukes napsal(a): > On 07/08/15 13:49, Jan Dušátko: >> synchronizace portu a zdrojaku pres software z portu zavisle na SSL >> (navic s kolizi base/ports) ... > > Ne, to nepujde. > > Uz dost na tom, ze ten samotny software je z portu - vsak taky museli > to systemu pridat specialni "lite" verzi tehoz, ktera slouzi jako > zavadec a instalator "hlavniho" software z portu. > > Nemuzes ale, pri zdravem rozumu, ten software z portu ucinit navic > zavisly na dalsich portech. To bysis koledoval o deadlock. Ani ne tak > pri instalaci, jako pri nasledne udrzbe. > > Jakoze vsechno, co potrebuje OpenSSL, prekladam proti portovemu, pkg > musi zustat prelozene vuci systemovemu. V tomhle pripade plati nejen > "tertium non datur". Ona zde neexistuje dokonce ani zadna druha moznost. > > > Dan > > > -- Jan Dušátko Phone: +420 602 427 840 e-mail: [email protected] SkypeID: darmodej GPG: http://www.dusatko.org/downloads/jdusatko.asc -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
