image

OpenSSL gaat onveilige configuratie-opties standaard uitschakelen

zaterdag 20 januari 2018, 14:11 door Redactie, 10 reacties

Het OpenSSL Team gaat verschillende veranderingen doorvoeren die iedereen die met de software werkt aangaan, waaronder het uitbrengen van beveiligingsupdates op dinsdag en het standaard uitschakelen van onveilige configuratie-opties. OpenSSL behoort tot de meest gebruikte software voor het versleutelen van internetverbindingen, bijvoorbeeld tussen websites en hun bezoekers.

Onlangs kwam het OpenSSL Team bij elkaar in Londen waar verschillende zaken werden besproken. Zo zullen beveiligingsupdates voortaan op dinsdag verschijnen, tenzij er sprake van "buitengewone omstandigheden" is. Het gaat dan bijvoorbeeld om een kwetsbaarheid die actief wordt aangevallen. De aankondiging van aankomende beveiligingsupdates zal op de dinsdag voor het verschijnen van de patches plaatsvinden.

Verder zijn er ook verschillende nieuwe afspraken over het encryptiebeleid gemaakt. Onveilige configuratie-opties zullen standaard uitgeschakeld staan. Hier is OpenSSL al mee begonnen door SSLv2 uit te schakelen. In de toekomst kan er besloten worden om de minimale sleutellengte van bepaalde algoritmen te verlengen. Daarnaast moeten alle algoritmen en protocollen in OpenSSL door nationale of internationale standaardenorganisaties zijn erkend. Ook zal het mogelijk worden om alle nieuwe algoritmes bij het compileren van OpenSSL uit te schakelen.

Op het gebied van communicatie heeft het OpenSSL Team besloten om meer van GitHub gebruik te gaan maken en zal de mailinglist voor ontwikkelaars worden gesloten. Het verschil tussen de mailinglist voor ontwikkelaars en gebruikers was volgens het OpenSSL Team te klein en daarnaast zullen ontwikkelaars nu meer via GitHub werken. Afsluitend wordt gemeld dat de volgende versie van OpenSSL het nieuwe encryptieprotocol TLS 1.3 zal bevatten, als de Internet Engineering Task Force (IETF) er klaar mee is.

Reacties (10)
20-01-2018, 14:59 door Anoniem
"Meer via github werken", is heel leuk voor github, vooral als dat in de praktijk gaat betekenen dat iedereen die iets wil toevoegen of zelfs maar een probleem wil rapporteren nu een github-account moet hebben. Ik zie wel meer FOSS-projecten die een vergelijkbare kant op gaan, maar slim is het niet. Redenen waarom als oefening voor de lezer.
20-01-2018, 16:17 door Anoniem
@14:59 : legt U dat eens uit s.v.p.
20-01-2018, 17:24 door Anoniem
Nu al de onveilige opties uitschakelen? Is dat niet een paar jaar (of een decennium) te laat? Geef mij maar LibreSSL.
20-01-2018, 19:10 door -karma4
Door Anoniem: "Meer via github werken", is heel leuk voor github, vooral als dat in de praktijk gaat betekenen dat iedereen die iets wil toevoegen of zelfs maar een probleem wil rapporteren nu een github-account moet hebben. Ik zie wel meer FOSS-projecten die een vergelijkbare kant op gaan, maar slim is het niet. Redenen waarom als oefening voor de lezer.

GitHub is de de facto standaard voor FOSS dus er is hier weinig vreemds aan de hand. En eventjes een GitHub account maken lijkt me niet zo'n moeite. Een beetje FOSS-developer heeft natuurlijk allang zo'n account. Niks mis met GitHub.
20-01-2018, 20:19 door Anoniem
Door The FOSS:
GitHub is de de facto standaard voor FOSS dus er is hier weinig vreemds aan de hand.
Toch wel. git is die de facto standaard, voorzover. github is een bedrijf dat daar handig op ingesprongen heeft, maar hun diensten zijn a) gecentraliseerd en b) volstrekt onnodig voor correct functioneren van git, het o zo populaire gedecentraliseerde version control systeem.

En eventjes een GitHub account maken lijkt me niet zo'n moeite. Een beetje FOSS-developer heeft natuurlijk allang zo'n account. Niks mis met GitHub.
Er is niets mis met github zolang je het niet aan mensen opdringt. Wat er dus mis is, is dat onnadenkende gemak waarmee jij, en wel meer mensen, maar aannemen dat iedereen "toch al" zo'n account heeft. Of wel zal willen hebben. Niet dus.

En dat is maar een aspect. Maargoed, een beetje verder kijken dan je neus lang is, is al best moeilijk hier.
21-01-2018, 08:53 door Anoniem
Door Anoniem:
Er is niets mis met github zolang je het niet aan mensen opdringt.
Er wordt NIKS aan de mensen "opgedrongen" hoor!
Jij kunt je eigen FOSS project gewoon op de door jouzelf gekozen service onderbrengen.
OpenSSL heeft gekozen voor github. Jij kiest iets anders. Iedereen even goede vrienden.
21-01-2018, 12:59 door -karma4 - Bijgewerkt: 21-01-2018, 13:10
Door Anoniem:
Door The FOSS:
GitHub is de de facto standaard voor FOSS dus er is hier weinig vreemds aan de hand.
Toch wel. git is die de facto standaard, voorzover. github is een bedrijf dat daar handig op ingesprongen heeft, maar hun diensten zijn a) gecentraliseerd en b) volstrekt onnodig voor correct functioneren van git, het o zo populaire gedecentraliseerde version control systeem.

Met git alleen kan je niet veel (op een werkbare handige manier) als je met meerdere ontwikkelaars aan een code base wilt werken [1]. En ik krijg visioenen zoals [2]. Zelf gebruik ik GitHub en Bitbucket (die laatste voor het niet-openbare spul).

Door Anoniem:
En eventjes een GitHub account maken lijkt me niet zo'n moeite. Een beetje FOSS-developer heeft natuurlijk allang zo'n account. Niks mis met GitHub.
Er is niets mis met github zolang je het niet aan mensen opdringt. Wat er dus mis is, is dat onnadenkende gemak waarmee jij, en wel meer mensen, maar aannemen dat iedereen "toch al" zo'n account heeft. Of wel zal willen hebben. Niet dus.

Aluhoedje? Waarom zou je geen -gratis nota bene - GitHub account willen hebben? Je mag zelfs een account onder een pseudoniem aanmaken, zodat niemand weet dat jij het bent.

Door Anoniem: En dat is maar een aspect. Maargoed, een beetje verder kijken dan je neus lang is, is al best moeilijk hier.

Keek jij maar wat verder dan die git op je eigen systeem.

[1] https://git-scm.com/book/en/v2/Distributed-Git-Distributed-Workflows
[2] https://www.theregister.co.uk/2018/01/14/linux_kernel_mailing_list_archives_will_return_soon/
22-01-2018, 10:20 door Anoniem
Door The FOSS:
Door Anoniem:
Door The FOSS:
GitHub is de de facto standaard voor FOSS dus er is hier weinig vreemds aan de hand.
Toch wel. git is die de facto standaard, voorzover. github is een bedrijf dat daar handig op ingesprongen heeft, maar hun diensten zijn a) gecentraliseerd en b) volstrekt onnodig voor correct functioneren van git, het o zo populaire gedecentraliseerde version control systeem.

Met git alleen kan je niet veel (op een werkbare handige manier) als je met meerdere ontwikkelaars aan een code base wilt werken [1].
Het is werkelijk doodeenvoudig om zelf een git repo op te zetten, zonder github, lekker centraal, door je vriendjes te benaderen, als je dat wil. Maar zelfs dat hoeft niet. Dat niet nodig zijn van gecentraliseerde faciliteiten zoals github is van het begin af aan in git ingebouwd.

Dus alweer, github heb je gewoon niet nodig. Het zijn wat handige snelle jongens die een verdienmodel geknutseld hebben op meeliften op het succes van andermans software.

En ik krijg visioenen zoals [2]. Zelf gebruik ik GitHub en Bitbucket (die laatste voor het niet-openbare spul).
Visioenen zelfs. Over een webservertje dat het even niet deed, met een archief van een mailinglist die het verder gewoon bleef doen.

Maar bijvoorbeeld https://en.wikipedia.org/wiki/Censorship_of_GitHub ontgaat je dan gemakshalve maar weer.

Door Anoniem:
En eventjes een GitHub account maken lijkt me niet zo'n moeite. Een beetje FOSS-developer heeft natuurlijk allang zo'n account. Niks mis met GitHub.
Er is niets mis met github zolang je het niet aan mensen opdringt. Wat er dus mis is, is dat onnadenkende gemak waarmee jij, en wel meer mensen, maar aannemen dat iedereen "toch al" zo'n account heeft. Of wel zal willen hebben. Niet dus.

Aluhoedje? Waarom zou je geen -gratis nota bene - GitHub account willen hebben? Je mag zelfs een account onder een pseudoniem aanmaken, zodat niemand weet dat jij het bent.
Hier spreekt jouw vooroordeel. Tegen de tijd dat je de vraag kan stellen zonder gelijk met "aluhoedje?" te beginnen kunnen we mischien wat ideetjes en probleempjes doorspreken.

Maargoed, jij roept dat er geen vuiltje aan de lucht kan zijn want jij hebt toch gewoon een account mogen maken. Dat is natuurlijk niet inhoudelijk, maar gewoon lekker oppervlakkig want je zou eens na moeten gaan denken. Goed, jouw houding is duidelijk. Ga fijn verder met leven, maar weet dat niet iedereen het met je eens is, en dat je geen argumenten hebt om ze te overtuigen.

Door Anoniem: En dat is maar een aspect. Maargoed, een beetje verder kijken dan je neus lang is, is al best moeilijk hier.

Keek jij maar wat verder dan die git op je eigen systeem.
Je bedoelt dat internationale FOSS project met een geschatte 30 miljoen gebruikersinstallaties waar met git maar zonder github effectief aan ontwikkeld wordt? Daar ben ik al weer een tijdje uit, maar was voor een tijdje best leuk om te doen.

Het zijn iedere keer weer jouw aannames die de discussie kleuren. Die mag je zelf opruimen. Of niet, maar dan heb ik hier niets te zeggen waar jij niet gelijk "aluhoedje!!!1!" op gaat roepen. Of ik nu gelijk heb of niet is dan irrelevant: Jij zal "aluhoedje!!!1!" roepen en dus heeft het voor mij geen zin om mijn argumenten begrijpelijk voor je uit te stallen.
24-01-2018, 18:33 door -karma4
Door Anoniem:
Door The FOSS:
Door Anoniem:
Door The FOSS:
GitHub is de de facto standaard voor FOSS dus er is hier weinig vreemds aan de hand.
Toch wel. git is die de facto standaard, voorzover. github is een bedrijf dat daar handig op ingesprongen heeft, maar hun diensten zijn a) gecentraliseerd en b) volstrekt onnodig voor correct functioneren van git, het o zo populaire gedecentraliseerde version control systeem.

Met git alleen kan je niet veel (op een werkbare handige manier) als je met meerdere ontwikkelaars aan een code base wilt werken [1].
Het is werkelijk doodeenvoudig om zelf een git repo op te zetten, zonder github, lekker centraal, door je vriendjes te benaderen, als je dat wil. Maar zelfs dat hoeft niet. Dat niet nodig zijn van gecentraliseerde faciliteiten zoals github is van het begin af aan in git ingebouwd.

Heel fijn maar niet echt werkbaar.

Door Anoniem: Dus alweer, github heb je gewoon niet nodig. Het zijn wat handige snelle jongens die een verdienmodel geknutseld hebben op meeliften op het succes van andermans software.

Dit begint echt een smaakje van jaloezie te krijgen.

Door Anoniem:
En ik krijg visioenen zoals [2]. Zelf gebruik ik GitHub en Bitbucket (die laatste voor het niet-openbare spul).
Visioenen zelfs. Over een webservertje dat het even niet deed, met een archief van een mailinglist die het verder gewoon bleef doen.

Maar bijvoorbeeld https://en.wikipedia.org/wiki/Censorship_of_GitHub ontgaat je dan gemakshalve maar weer.

In bepaalde landen wordt heel internet gecensureerd dus om daar nu GitHub uit te gaan lichten...

Door Anoniem:
Door Anoniem:
En eventjes een GitHub account maken lijkt me niet zo'n moeite. Een beetje FOSS-developer heeft natuurlijk allang zo'n account. Niks mis met GitHub.
Er is niets mis met github zolang je het niet aan mensen opdringt. Wat er dus mis is, is dat onnadenkende gemak waarmee jij, en wel meer mensen, maar aannemen dat iedereen "toch al" zo'n account heeft. Of wel zal willen hebben. Niet dus.

Aluhoedje? Waarom zou je geen -gratis nota bene - GitHub account willen hebben? Je mag zelfs een account onder een pseudoniem aanmaken, zodat niemand weet dat jij het bent.
Hier spreekt jouw vooroordeel. Tegen de tijd dat je de vraag kan stellen zonder gelijk met "aluhoedje?" te beginnen kunnen we mischien wat ideetjes en probleempjes doorspreken.

Dat 'aluhoedje' is geboren uit de toon die jij meteen aansloeg. Lees maar terug, dan zie je waar de scherpe randjes zijn begonnen.

Door Anoniem: Maargoed, jij roept dat er geen vuiltje aan de lucht kan zijn want jij hebt toch gewoon een account mogen maken. Dat is natuurlijk niet inhoudelijk, maar gewoon lekker oppervlakkig want je zou eens na moeten gaan denken. Goed, jouw houding is duidelijk. Ga fijn verder met leven, maar weet dat niet iedereen het met je eens is, en dat je geen argumenten hebt om ze te overtuigen.

Weer dat denigrerende en polariserende toontje waar je vooraan in deze discussie mee begonnen bent.

Door Anoniem:
Door Anoniem: En dat is maar een aspect. Maargoed, een beetje verder kijken dan je neus lang is, is al best moeilijk hier.

Keek jij maar wat verder dan die git op je eigen systeem.
Je bedoelt dat internationale FOSS project met een geschatte 30 miljoen gebruikersinstallaties waar met git maar zonder github effectief aan ontwikkeld wordt? Daar ben ik al weer een tijdje uit, maar was voor een tijdje best leuk om te doen.

Geweldig... Gebruikersinstallaties zijn geen developerinstallaties toch? Dus niet relevant, anders dan aangeven dat het groot was.

Door Anoniem: Het zijn iedere keer weer jouw aannames die de discussie kleuren. Die mag je zelf opruimen. Of niet, maar dan heb ik hier niets te zeggen waar jij niet gelijk "aluhoedje!!!1!" op gaat roepen. Of ik nu gelijk heb of niet is dan irrelevant: Jij zal "aluhoedje!!!1!" roepen en dus heeft het voor mij geen zin om mijn argumenten begrijpelijk voor je uit te stallen.

Niet nodig hoor het is kraakhelder!
25-01-2018, 08:51 door -karma4
Door Anoniem: Het zijn iedere keer weer jouw aannames die de discussie kleuren. Die mag je zelf opruimen. Of niet, maar dan heb ik hier niets te zeggen waar jij niet gelijk "aluhoedje!!!1!" op gaat roepen. Of ik nu gelijk heb of niet is dan irrelevant: Jij zal "aluhoedje!!!1!" roepen en dus heeft het voor mij geen zin om mijn argumenten begrijpelijk voor je uit te stallen.

Het is eerder dat je gewoon niet met argumenten komt. Zonder een dienst als GitHub moeten een of meerdere deelnemers aan een project namelijk een Git-server gaan inrichten (op hun laptopje, of er moet een server of servers beschikbaar zijn, waarmee je GitHub aan het nabouwen bent). En men moet met e-mails gaan communiceren over hoe en wat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.