Ошибка Heartbleed OpenSSL показывает истинную стоимость программного обеспечения с открытым исходным кодом

ошибка

АНАЛИЗ НОВОСТЕЙ: подавляющее большинство тех, которые используют в своих интересах бесплатное, программное обеспечение с открытым исходным кодом, таких как OpenSSL, не делает ничего для вклада его развитию — и это — часть проблемы.Каждый день приносит новые отчеты об угрозе, представленной ошибкой Heartbleed.

Но открытие Heartbleed также раскопало скандал, это заполоняло сообщество разработчиков ПО с открытым исходным кодом в течение многих лет.Скандал — то, что гигантские предприятия не делают ничего для вклада развитию, тестированию и проверке бесплатного программного обеспечения, от которого они зависят. Они — берущие, чистые и простые.

Ничто не делает это более очевидным, чем подробные данные показанный немецким разработчиком, который был ответственен за ошибку во-первых, доктора Робина Сеггелмана.Доктор Зеггелман, это появляется, тратил свой конец праздника года, работая для исправления ошибок в первой версии OpenSSL, программное обеспечение шифрования, которое становилось стандартом в Интернете. В то время как он был в нем, Зеггелман разработал способ создать функцию сердцебиения, которая могла сохранить зашифрованные сеансы открытыми вместо того, чтобы испытать таймаут в течение долгого времени.Идея сердцебиения в этом смысле состоит в том, чтобы подтвердить к компьютеру в удаленном конце сессии, что связь все еще активна, сокращая потребность выйти из системы и затем восстановить зашифрованный сеанс для передачи большего количества данных.

Делая так, он создал способ существенно сократить задержку в этих связях, устранив задержку квитирования. Это была очень хорошая идея.Но как происходит так часто в развитии, доктор Зеггелман сделал ошибку.

Он забыл указывать переменную конца, которая в свою очередь могла вызвать переполнение буфера, которое в свою очередь могло показать до 64 килобайтов данных в памяти о сервере в удаленном конце. Эта ошибка не была поймана в это время и в конечном счете закончилась в производственном коде.

Итак, почему ошибка не была зафиксирована? Была большая спекуляция в блогосфере об этом с некоторым предложением, что это был Злой Участок Агентством национальной безопасности.

Другие предположили, что разработчик был некомпетентен. В действительности ни один не истина. Это была ошибка кодирования, чистая и простая.

Это не было поймано, потому что существует только ряд людей в работе всего мира, бесплатно, для разработки OpenSSL.И та идея открытой среды разработки бесплатного программного обеспечения, в которой все сообщество программистов сотрудничают для создания программного обеспечения, в котором все нуждаются, является частью проблемы в этом случае.

Это — проблема, потому что это предполагает, что будет многочисленное сообщество разработчиков, все из которых проверяют код в течение долгого времени, ища ошибки.Но в реальном мире, программное обеспечение с открытым исходным кодом разработано и затем выпущено в производство, и потому что существует так мало людей в сообществе, которые понимают его, очень мало проверки происходит.


2 комментария

  1. В День Независимости Украины желаю Китаю вернуть исконно китайскую Сибирь в родную гавань Поднебесной!

  2. В Америке дескриминация руских людей…..

Комментарии закрыты.