開源運動是否走到盡頭?--談談怎樣看待OpenSSL心臟出血
開源運動是隨著Linux作業系統的誕生和廣泛被使用而逐步被人們所接受的,對軟體產業和IT產業來講,是一個重大變革。開源運動,建立了一種新的模式。這種模式應該是更加積極,促進IT產業和軟體產業發展的。
OpenSSL是開原始碼中,最最廣泛被使用的開源庫,最初是以Eric Young以及Tim Hudson兩人所寫的SSLeay為基礎所發展的。
近些年,隨著網際網路的發展,OpenSSL也遇到了很多問題,爆出了很多bug,別的不說,就只看去年的“心臟出血”吧,我以前一直沒有怎麼關注,近期看了看,也就是一個C語言不檢查陣列長度和copy記憶體引起的,應該也算不大多麼大的問題。
關鍵問題不是這個漏洞技術分析本身,而是這個深思這個漏洞,我們能夠發現幾個方面的問題:
1、敷衍了事的設計或根本沒有設計
C語言不檢查數字長度,記憶體copy不慎重的話容易導致緩衝器溢位問題,這個問題多少年了?OpenSSL還在使用最最危險的C庫函式。難道是他們不瞭解C語言的這一特性嗎?作為一個被如此廣泛使用的基礎性的軟體,理所應當經過認真的分析和設計,考慮到這些情況,設計和編碼經過嚴格的review。之所以還是存在這樣的漏洞,是為了什麼?
..............
後續內容沒有繼續貼過來,請有興趣的朋友參見 http://windshome.iteye.com/blog/2192830
OpenSSL是開原始碼中,最最廣泛被使用的開源庫,最初是以Eric Young以及Tim Hudson兩人所寫的SSLeay為基礎所發展的。
近些年,隨著網際網路的發展,OpenSSL也遇到了很多問題,爆出了很多bug,別的不說,就只看去年的“心臟出血”吧,我以前一直沒有怎麼關注,近期看了看,也就是一個C語言不檢查陣列長度和copy記憶體引起的,應該也算不大多麼大的問題。
關鍵問題不是這個漏洞技術分析本身,而是這個深思這個漏洞,我們能夠發現幾個方面的問題:
1、敷衍了事的設計或根本沒有設計
C語言不檢查數字長度,記憶體copy不慎重的話容易導致緩衝器溢位問題,這個問題多少年了?OpenSSL還在使用最最危險的C庫函式。難道是他們不瞭解C語言的這一特性嗎?作為一個被如此廣泛使用的基礎性的軟體,理所應當經過認真的分析和設計,考慮到這些情況,設計和編碼經過嚴格的review。之所以還是存在這樣的漏洞,是為了什麼?
..............
後續內容沒有繼續貼過來,請有興趣的朋友參見 http://windshome.iteye.com/blog/2192830
相關文章
- OpenSSL“大管家”Steve Marquess:“心臟出血”重創後的OpenSSL(圖靈訪談)圖靈
- 關於OpenSSL“心臟出血”漏洞的分析
- U-Mail郵件系統客戶無需擔心OpenSSL心臟出血漏洞AI
- linux系統bash漏洞,甚過心臟出血Linux
- 談談怎樣清理Linux磁碟碎片Linux
- Web開發學習之路是否有盡頭Web
- 淺談貪心與動歸
- 開源Freeman:心無旁騖地工作(圖靈訪談)圖靈
- openssl框架閒談–SSL實現框架
- 談談如何高效學習開源專案
- 漫談 Greenplum 開源背後的動機
- 心臟病不再擔心,人工智慧3D列印心臟人工智慧3D
- 漫談Github與開源Github
- 再談開源ERP
- 當我談開源時,我談些什麼?
- 從OpenSSL漏洞談及資料安全
- 資料運營:活動社交類 App 談怎樣盤活使用者?APP
- 談談我對學生浮躁心裡的理解
- 消失的150家主體:買量公司的商業模式走到了盡頭?模式
- 談談位運算和在Android中的運用Android
- 恆訊科技談談:冷門的澳大利亞伺服器怎麼樣?伺服器
- 淺談IT運維運維
- 簡談開源OS發行版
- 【開源訪談】厲華:寫一個開源容器引擎會是什麼樣的體驗?
- 從“悲劇”的幾個運維場景談談運維開發的痛點運維
- 【搞定Jvm面試】 面試官:談談 JVM 類載入過程是怎樣的?JVM面試
- 四年談判終到盡頭 LG微軟簽訂交叉授權協議微軟協議
- 漫談開源與閉源的紛爭薦
- 談一談安全運營工作是什麼
- 開源的那些事兒 (1):如何看待開源
- 談談透過有效的指標設計推動運營成功的方法指標
- banq是否可以談談你的技術成長經歷?
- 淺談怎樣保住資料最後的貞操
- [分享]離職面談怎麼談
- 獵頭們怎麼看開源
- 程式設計師談薪技巧公開,這樣談比預期高30%程式設計師
- 遊戲運營翻車了怎麼辦?談談更新維護中的“潛規則”遊戲
- 在阿里工作5年了,斗膽談談我認為的高階開發到底應該是怎樣的?阿里