nakal
Anfänger
Sicherheit ist ein Nebenaspekt, ja klar. Es ist selbstverständlich, dass man sicher programmiert, wenn es um Software geht, die kritisch für das System ist. Der Punkt ist aber, dass man Features anbieten muss und den Schneid haben, voran zu kommen, auch wenn es partiell dazu führt, dass man für eine gewisse Zeit mit neuen Fehlern konfrontiert ist, die man aber hoffentlich in Grenzen hält.
Das OpenSSL-Projekt hat gezeigt, dass es mutig ist, denn der Fehler ist noch nicht alt und in einer neuen Komponente. Der Fehler ist kritisch, das ist sehr schlecht (ist natürlich nicht akzeptabel; sie haben also sauberes Design vernachlässigt und Auditing auch, hier ist etwas anzukreiden).
Theo hat hier aber auch bei der OpenSSL-Lücke gesagt, dass sie malloc nicht verwenden. Das ist Quatsch. malloc wird sehr wohl verwendet. Es gibt da eine API rund um malloc, welche Speicherlücken aufdeckt (etwas fett, ich habe für meine Projekte eine schlankere gemacht). Wahrscheinlich wird aber der Puffer wiederverwendet (habe den Teil da nicht so genau angeschaut), denn die Puffer werden auch genullt, nach der Verwendung.
Theo hat auch behauptet, dass man keine unzuverlässigen Quellen für Random-Seeds nehmen sollte. Das ist vollkommener Unsinn, denn auch wenn man einen anständigen Seed dabei hat, tut der Rest der Seeds auch nichts mehr neues dazu. Der Vorwurf "They [FreeBSD] don't know about security." ist einfach wieder ausm Arsch gezogen, viel mehr nicht. Er redet auch oft von Qualität, aber er mein damit nicht Reichhaltigkeit an Features, sondern nur seine beschränkte Idee wie Sicherheit in der Software definiert ist.
Ich habe OpenBSD bis jetzt nur 1x verwendet und sofort eine "Remote"-Lücke gefunden ("remote" deswegen, weil der OpenBSD-Kernel nur per WLAN von einer Arbeitsstation gepanict werden konnte). So gesehen habe ich nicht gerade einen Eindruck von Qualität erlebt. Also... dummes Gequatsche... Fehler passieren jedem! Aber insbesondere denen, die voran kommen wollen. Das ist wohl selbstverständlich!
Das OpenSSL-Projekt hat gezeigt, dass es mutig ist, denn der Fehler ist noch nicht alt und in einer neuen Komponente. Der Fehler ist kritisch, das ist sehr schlecht (ist natürlich nicht akzeptabel; sie haben also sauberes Design vernachlässigt und Auditing auch, hier ist etwas anzukreiden).
Theo hat hier aber auch bei der OpenSSL-Lücke gesagt, dass sie malloc nicht verwenden. Das ist Quatsch. malloc wird sehr wohl verwendet. Es gibt da eine API rund um malloc, welche Speicherlücken aufdeckt (etwas fett, ich habe für meine Projekte eine schlankere gemacht). Wahrscheinlich wird aber der Puffer wiederverwendet (habe den Teil da nicht so genau angeschaut), denn die Puffer werden auch genullt, nach der Verwendung.
Theo hat auch behauptet, dass man keine unzuverlässigen Quellen für Random-Seeds nehmen sollte. Das ist vollkommener Unsinn, denn auch wenn man einen anständigen Seed dabei hat, tut der Rest der Seeds auch nichts mehr neues dazu. Der Vorwurf "They [FreeBSD] don't know about security." ist einfach wieder ausm Arsch gezogen, viel mehr nicht. Er redet auch oft von Qualität, aber er mein damit nicht Reichhaltigkeit an Features, sondern nur seine beschränkte Idee wie Sicherheit in der Software definiert ist.
Ich habe OpenBSD bis jetzt nur 1x verwendet und sofort eine "Remote"-Lücke gefunden ("remote" deswegen, weil der OpenBSD-Kernel nur per WLAN von einer Arbeitsstation gepanict werden konnte). So gesehen habe ich nicht gerade einen Eindruck von Qualität erlebt. Also... dummes Gequatsche... Fehler passieren jedem! Aber insbesondere denen, die voran kommen wollen. Das ist wohl selbstverständlich!