[Solar-general] Fwd: [Socios-HispaLinux] Linux con error criptografico- comentarios antiDebian

dario balozzi dbalozzi en gmail.com
Vie Mayo 16 23:25:24 CEST 2008


[ disclaimer: uso debian via ubuntu ]

On Fri, May 16, 2008 at 3:08 PM, Santiago Roza <santiagoroza en gmail.com> wrote:
> 2008/5/16 dario balozzi <dbalozzi en gmail.com>:
>
>> digamos 99% de Kurt Roeckx y 1% de alguno de la lista de openssl-dev ...
>
> ese "alguno" es el unico desarrollador de openssl que lee la lista
> dev?
>

ese 1% ( en realidad ahora despues de leer mas detenidamente el post
lo bajo a 0.2% )  es para  Ulf Möller ( @openssl-dev ) que ( aunque no
tenia la obligacion ) no dio una respuesta categorica y dio lugar a la
ambiguedad. Me refiero a este post [0] donde a la "duda" de Kurt, el
encargado de debian de mantener el paquete openssl:

"... But on the other hand, I'm not even sure how much entropy some
unitialised data has."

Ulf le responde:

"Not much. If it helps with debugging, I'm in favor of removing them.
(However the last time I checked, valgrind reported thousands of bogus
error messages. Has that situation gotten better?)"

Es decir, Ulf le dice "estoy a favor de remover las asignaciones de
memorias no-inicializadas puestas para favorecer la entropia ya que no
ayudan mucho". En ningun lugar Ulf le dice, ok maestro, dale masa
nomas, comenta todas las lineas de md_rand.c donde veas algo que dice
"MD_Update(&m,buf,j);" y siga el baile siga el baile

> [..] pasaron dos años, ninguno
> de los desarrolladores de openssl se dio cuenta, y la unica culpa es
> del tipo que metio un parche?  vamos, no seamos infantiles...
>

yo no esperaria que los desarrolladores de openssl tengan que ocuparse
de los parches[1] que deciden los mantenedores de paquetes de debian
... suficientes problemas tendran ellos con su propio proyecto ... es
mas, es posible que varios de los desarrolladores de openssl se esten
matando de risa por lo que paso ...  quizas varios corran slackware y
no debian ...

hay que aprender de los errores: este problema tiene que ser asumido
completamente por el que le corresponda y hacer lo posible para que no
vuelva a ocurrir ( ej: peer review, o firma obligatoria de mas de un
encargado de paquete , publicacion clara en debian.org de cambios a
paquetes sensibles y pervasivos como este, etc.., etc, etc. ).

Igual, estas cag.... tambien se las mandan en closed-source y ni no
nos enteramos .. pero no hay que abusar de la resilencia :-) , de la
autoconfianza ni de la cafeina

  Dario

[0] http://marc.info/?l=openssl-dev&m=114652287210110&w=2
[1] http://svn.debian.org/viewsvn/pkg-openssl/openssl/trunk/crypto/rand/md_rand.c?rev=300&r1=173&view=log



Más información sobre la lista de distribución Solar-general