[VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed

Truong Anh. Tuan tuanta at iwayvietnam.com
Thu Apr 10 11:12:02 ICT 2014


----- Original Message -----
> From: "Vu The Binh" <binh at netnam.vn>
> To: members at lists.vfossa.vn
> Sent: Thursday, April 10, 2014 10:39:37 AM
> Subject: Re: [VFOSSA] Fwd: Lỗi bảo mật OpenSSL HeartBleed
> 
> Gửi cả nhà thêm một số thông tin:

<snipped>

Giải nghĩa vấn đề này cần kiến thức tương đối chuyên sâu về security.
Những thông tin mang tính chất "đại chúng" nhất có thể đọc trên web [1].

> Theo nghiên cứu của anh Nghĩa thì việc tìm ra và fix lỗi như OpenSSL thế
> này là nhanh hơn (hay chậm hơn) so với các bug khác của phái "nguồn đóng"?

Lỗi này được phát hiện ra từ 3/2012, nhưng chưa được phổ biến rộng, cuối
năm 2013 mới được report lên thành CVE-2014-0160 và sau đó vừa được fixed
xong ngày 7/4 vừa rồi như mọi người thấy.
Đây là một lỗi có độ phức tạp cao, do vấn đề trong quá trình implement. Tốc
độ fix như thế này là nhanh. Ngoài ra, từ lúc có bản vá đến lúc được đưa
vào kho chính thức của các Linux distro là cực nhanh (vài giờ) với những
thông tin hướng dẫn hết sức chi tiết.

> Comment (cá nhân): nhận xét của "một số ý kiến cho rằng" là có tính định
> kiến, quy chụp :-).

+1. Đọc mấy dòng đó, tuy không phải thành viên dự án OpenSSL, mình cũng
thấy bực :(, định chẳng thèm reply!

> Tuy nhiên, để trả lời ra nhẽ món này thì cần chuyên
> gia security + chuyên gia FOSS development :D

Về vấn đề development thì nhờ có FOSS model mà câu chuyện lỗi/sửa mới được
như hiện tại, và OpenSSL mới tiếp tục là lựa chọn hàng đầu cho bảo mật
(chắc phải đến quá 2/3 các máy chủ web SSL dùng món này)

Câu chuyện đưa thêm các features mới vào là theo nhu cầu sử dụng thôi,
không thể từ đó mà suy ra "tham". Các dự án FOSS như openssl vốn dĩ đã có
sự tham gia rất tích cực của những "người sử dụng" và họ là những người
request các new features chứ không phải tự thân đội lập trình.

Chuyện một phần mềm có lỗi là chuyện bình thường (đương nhiên không ai
mong muốn), vấn đề là phản ứng thế nào với lỗi đó (cả từ đội phát triển,
người sử dụng, truyền thông...). Và các thống kê từ trước đến nay vẫn
luôn chỉ ra phản ứng của FOSS luôn nhanh hơn (anh Nghĩa có nguồn trên
blog - vừa vào tìm lại nhưng chưa thấy, chắc chờ anh Nghĩa share lại)

Còn vấn đề security thì chắc phải chờ các chuyên gia. Chưa thấy ThaiDN nói
gì trên blog [2].

Kind regards,
Tuan

[1] http://heartbleed.com/
[2] http://vnhacker.blogspot.com/


More information about the Members mailing list