April 2014 Archives

这次 Heartbleed 安全漏洞之后,阿里巴巴集团的多个产品均迅速修复了漏洞(好事),但事后的公关处理做的却有待改进。

我在微博上看到有人转发 阿里安全 在4月9日13:01发表的一篇微博,内容如下:

关于OpenSSL某些版本存在基于基础协议的通用漏洞,阿里各网站已经在第一时间进行了修复处理,目前已经处理完毕,包括淘宝、天猫、支付宝等各大网站都确认可以放心使用。

紧接着, 支付宝 转发了 这条微博:

大家可以放心了!

我并不是阿里巴巴/支付宝的客户,不过看到有人转发这条消息,我半开玩笑地 回了一句:

冲这句"大家可以放心了"就没法放心了......

OpenBSD fork 了 OpenSSL

| 2 Comments | No TrackBacks

OpenBSD [捐款链接] 又一次出手为民除害了! Undeadly报道: OpenBSD has started a massive strip-down and cleanup of OpenSSL

这次 Heartbleed 的事情搞的我十分不爽,这事固然不能全怪 OpenSSL 的开发者,但是整个过程非常的让人不舒服,具体的就不多说了。等过个几十年再回头看看这次这件事情再说吧。

OpenBSD 目前对 OpenSSL fork 的改进主要包括:

  • 修正了一处释放后还在使用内存的问题
  • 清理了一系列在 OpenBSD 上不需要的垃圾代码
  • 删除了绝大多数后端引擎(VIA padlock、Intel AES-NI支持除外)
  • 去掉了一系列用于移植的函数封装。
  • 使用了易读的 KNF (BSD的代码风格)取代坑爹+反人类的 GNU C 风格
  • 去掉了可能弱化随机数的代码
  • 砍掉了 Heartbeat 功能作者所写的全部代码

我个人非常希望 OpenBSD 的 fork 能够成功,那样的话我们就可以在几年以后(已经发布的版本还需要继续支持一段时间)彻底从 FreeBSD 基本系统中砍掉 OpenSSL 了。

Monthly Archives

Pages

OpenID accepted here Learn more about OpenID
Powered by Movable Type 5.2.3