Re: Debian-OpenSSL-Key-Debakel

Startseite
Anhänge:
Nachricht
+ (text/plain)
Nachricht löschen
Nachricht beantworten
Autor: Oliver Rompcik
Datum:  
To: list
Betreff: Re: Debian-OpenSSL-Key-Debakel
> Ich hoffe ihr versteht meinen Galgenhumor, aber ich finde es schon
> absolut wahnsinnig, dass ein Maintainer von einem so kritischen
> Debian-Paket einfach Code, den er nicht versteht auskommentiert, siehe
> "What I currently see as best option is to actually comment out
> those 2 lines of code. But I have no idea what effect this
> really has on the RNG. "
> (http://marc.info/?l=openssl-dev&m=114651085826293&w=2)

In der Tat ein schlechtes Zeichen von einem Maintainer, gerade zumal die
Problematik mit Debuggern wie Valgrind ein uraltes Thema auf der
OpenSSL-Developer-Mailingliste ist, das mindestens drei Jahre vor seinem
Posting schon hinreichend diskutiert wurde. Denn für Debugger sind nicht
initialisierte Daten natürlich schlecht zu bewerten, für die Realisierung
eines PRNG sind sie dagegen positiv.

> Erinnert mich irgendwie an Sledge Hammer, "trust me - i know what i?m
> doing!"


Ob man von einem Maintainer erwarten kann, daß er den Quelltext
vollständig versteht, sei mal dahingestellt. Dann hätte Debian, wie auch
alle anderen Distributionen, sicherlich kaum Pakete. Aber wenn man den
Code nicht versteht und auch nicht in der Lage ist, das zu erarbeiten
(oder nach Lösungen zu suchen), darf man ihn auf keinen Fall in der
gezeigten Weise einfach herausnehmen.

Man sollte aber auch nicht von einem Paket Rückschlüsse auf die gesamte
Distribution ziehen.