hotgiraffe: “If a Microsoft developer commented out

Camelopardus flagrans (

hotgiraffe) wrote,
@ 2008-07-14 14:17:00

“If a Microsoft developer commented out seeding in Vista CryptGenRandom(), they would be fired 12 times. Then Microsoft would buy the next company that hired them in order to fire them again.” – Thomas Ptacek

(Post a new comment)

dimrub
2008-07-14 10:28 am UTC (link)

Not that simple. То есть, конечно, у такого фрукта все шансы получить плохую оценку на следующей аттестации. И на следующей. И потом быть уволенным. Но вряд ли кто-то будет покупать его следующую работу только чтобы его снова уволить :))).

(Reply to this) (Thread)

dimrub
2008-07-14 10:29 am UTC (link)

Кстати, я читал, что они не просто так взяли, да и убрали эту строчку. Обратились за разъяснениями в OpenSSL community, и вот тамошние девелоперы-то им и сказали ее убрать. Вот кого уволнять надо, жаль только, они ни на кого не работают :).

(Reply to this) (Parent)(Thread)

hotgiraffe
2008-07-14 10:32 am UTC (link)

ну там да, была переписка в OpenSSL mailing list, в которой, правда, никто из OpenSLL core developers не участвовал - код надо лабать, а не лясы точить
основные претензии-то к Дебиану были не на то, что они это поправили, а то, что патч не ушёл тогда upstream, где его бы как раз core guys и поймали бы

(Reply to this) (Parent)(Thread)

	dimrub 2008-07-14 10:33 am UTC (link)
	Да, это серьезная предъява. Компании типа дебиана не отсылать пэтчи домой - это просто финиш. (Reply to this) (Parent)(Thread)

	hotgiraffe 2008-07-14 10:35 am UTC (link)
	причём патчи _в системе безопасности_ у Дебиана тоже были какие-то аргументы по этому поводу, но тут уж я устал читать и занялся обратно делом )) (Reply to this) (Parent)

dimrub
2008-07-14 10:40 am UTC (link)

Кстати, в конечном итоге главными придурками оказались те самые крутые парни из OpenSSL. Потому как брать случайные данные со стэка в качестве источника энтропии, и никак это не комментировать - вот за это я бы действительно уволил многократно.

(Reply to this) (Parent)(Thread)

	hotgiraffe 2008-07-14 10:46 am UTC (link)
	типа того, да оно, конечно, работало - но только за счёт unsophisticated (в этом месте) реализаций компиляторов и операционных систем (Reply to this) (Parent)

	hotgiraffe 2008-07-14 10:33 am UTC (link)
	SLL -> SSL естессно (Reply to this) (Parent)

	hotgiraffe 2008-07-14 10:32 am UTC (link)
	ну понятно, что это поэтическая вольность ) (Reply to this) (Parent)

	myxomop 2008-07-14 11:23 am UTC (link)
	(Reply to this) (Thread)

	security FAIL hotgiraffe 2008-07-14 11:26 am UTC (link)
	откуда взял ты эту тёлку? (Reply to this) (Parent)(Thread)

	Re: security FAIL myxomop 2008-07-14 11:28 am UTC (link)
	НИСКАЖУ!!!! (Reply to this) (Parent)

	Re: security FAIL cema 2008-07-14 03:13 pm UTC (link)
	Вопрос ребром. (Reply to this) (Parent)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…

About

Help

Get Involved

Legal

Store

LJ Labs