[about] [index] [prev] [2020-06-08 19:05:12+03:00] [7247b510da39d7913136b3d76f5ce65e49f28767]
Topics: [hate][ipsec]

Получил зарплату от трёхбуквенных компаний? Значит твоя работа насмарку

https://lists.freebsd.org/pipermail/freebsd-questions/2020-June/289962.html
В рассылке FreeBSD, по теме сравнения FreeBSD и NetBSD, всплыла OpenBSD.
И вот вроде бы человек ранее был замечен адекватным, но а тут он пишет
что раз разработчик работал с трёхбуквенными компаниями, получал от них
зарплату, то от его кода надо держаться подальше. Речь про код связанный
с IPsec в OpenBSD, насколько понимаю.

Я этого совершенно не понимаю. Я даже не понимаю где тут логика.
"Трёхбуквенным" организациям, вроде бы, как никому нужна безопасность и
хороший качественный код. Что удивительного что они его пишут? Эти
организации могут и хотят позволять себе нанимать профессионалов. А
профессионалы по моему вольны продавать свои знания/умения нуждающимся в
этом. У меня такое ощущение что у людей "Трёхбуквенные" организации
занимаются тем, чтобы *уменьшать* где-то безопасность, вставлять
backdoor-ы. Ну США в этом замечены, да, только для своих задач то они
что используют? Windows или macOS никто из трёхбуквенных для себя
использовать не будет в вопросах безопасности -- там то лазейки
гарантированно имеются, безусловно. Но даже если и так, то это означает
что профессионал типа ничего не умеет делать кроме как писать код с
лазейками? Бред какой-то. И речь то не про ширпотрёбные ОС, которые
используют люди, а про системы которые уже для реальной безопасности.
Вообще какие компании то заинтересованы в настоящей безопасности, тем
более криптографической? Google/Apple/Microsoft/Facebook -- очевидно что
никто из них, более того, они и сами всю безопасность только усугубляют.

Просто такое отвращение сразу и неуважение к человеку вызывают все эти
беспочвенные нелогичные бредни. А Брюс Шнайер работал на Минобороны...
очевидно что наверное его работа и книги тоже наверное никакого веса не
имеют после этого. Или Минобороны чем-то отличается от "трёхбуквенных"?
Или внутри США его "Прикладная криптография" и его
Blowfish/Twofish/Skein/whatever -- какие-то другие версии? В нашей
стране у меня то как-раз впечатление что самые параноидальные на тему
безопасности люди собраны как-раз "трёхбуквенными", что тупо логично.

    ... but realizing that to audit the code written by top programmer
    is virtually impossible, I decided for myself to just shy away from
    OpenBSD

То есть, код топового программиста он не в состоянии оценить. Ok. А если
бы этот код был написал студентом за лето в Google Summer Of Code? То
его можно было бы проанализировать или просто не нужно было бы? Какова
вероятность что в сетевом/криптографическом коде студент совершит ошибку
на C? Его код по любому априори будет требовать аудита. Тогда как
хороший код профессионала явно должен и будет написан так, что никаких
странностей и неаккуратностей не должно оставаться по максимуму.

Ну собственно вот мы и живём, большинство людей, в мире говноподелок
несерьёзных, где всякие OpenSSL живут десятилетиями с критическими
багами. Зато не спонсировано и написано не "трёхбуквенными"! У которых я
вообще не припомню чтобы были какие-либо значительные уязвимости и
проблемы (ну кроме возможно маленьких DH групп по умолчанию, что
конфигурацией правится) в IPsec/OpenBSD за всю историю.

А ещё вот в https://en.wikipedia.org/wiki/OpenBSD#Funding увидел что два
года основные денежные вливания вообще были от китайской компании.

[leave comment]