The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Первый стабильный релиз PGP-инструментария sq от проекта Sequoia

17.12.2024 09:44

После семи лет разработки сформирован релиз инструментарий командной строки sq 1.0, предназначенного для работы с артефактами OpenPGP. Инструментарий подготовлен проектом Sequoia PGP, также развивающим библиотеку функций с реализацией стандарта OpenPGP (RFC-4880). Выпуск 1.0 отмечен как первый стабильный релиз проекта, означающий стабилизацию кодовой базы и прекращение внесение изменений, нарушающих совместимость. Код написан на языке Rust и распространяется под лицензией LGPLv2.

Инструментарий включён в состав дистрибутива Red Hat Enterprise Linux 10 в качестве альтернативы GnuPG, задействован для работы с PGP в пакетных менеджерах DNF и RPM, и используется по умолчанию в экспериментальной ветке пакетного менеджера APT при наличии компонентов Sequoia в системе. Созданный разработчиками Sequoia сервер ключей Hagrid применяется в сервисе keys.openpgp.org.

Проект Sequoia создан тремя разработчиками GnuPG из компании g10code, специализирующейся на аудите криптосистем и разработке дополнений к GnuPG. Целью проекта заявлена переработка архитектуры и внедрение новых техник повышения безопасности и надёжности кодовой базы. Помимо использования языка Rust для снижения вероятности ошибок при работе с памятью, в Sequoia реализована дополнительная защита от ошибок на уровне API. Например, API не позволяет случайно экспортировать материал секретного ключа и подстраховывает от пропуска важных действий при обновлении цифровой подписи. Для дополнительной изоляции применяется разделение по отдельным процессам сервисов, работающих с открытыми и закрытыми ключами.

Помимо функций для шифрования данных, работы с электронными подписями и управления ключами, схожих с возможностями gpg, в sq дополнительно предоставляется децентрализованная инфраструктура открытых ключей (PKI). PKI используется для аутентификации сертификатов и сообщений, и позволяет удостовериться в том, что полученный открытый ключ и принятое сообщений связаны с заявленным автором, а не сформированы злоумышленником.

При загрузке сертификата с keys.openpgp.org или другого сервера ключей, утилита sq автоматически сохранит информацию о сертификате на локальной системе и будет использовать эту информацию при последующих операциях для выявления поддельных сертификатов. Отмечается, что реализованная система может применяться в качестве основы для построения подобия распределённого удостоверяющего центра (CA), охватывающего различные серверы ключей.

Например, перед проверкой подлинности загруженных сборок ОС Qubes пользователь может вначале проверить сертификат Qubes, отдаваемый с основного сервера ключей проекта Qubes:


   sq network search https://keys.qubes-os.org/keys/qubes-release-4.2-signing-key.asc

Указанная команда загрузит сертификат с сервера keys.qubes-os.org, а затем проверит его наличие на известных серверах ключей, таких как keys.openpgp.org и keyserver.ubuntu.com, или попытается получить при помощи механизмов WKD (Web Key Directory) и DANE (DNS-Based Authentication of Named Entities). Далее утилита сравнит полученные сертификаты и если они связаны с одним владельцем предложит использовать команду "sq pki link add" для сохранения сертификата на локальной системе для последующих проверок. После сохранения сертификат будет считаться заслуживающим доверия и для загрузки сборок с проверкой их достоверности достаточно будет выполнить команду:


    sq download --signature-url https://mirrors.edge.kernel.org/qubes/iso/Qubes-R4.2.3-x86_64.iso.asc --url https://mirrors.edge.kernel.org/qubes/iso/Qubes-R4.2.3-x86_64.iso --output /tmp/qubes.iso


  1. Главная ссылка к новости (https://sequoia-pgp.org/blog/2...)
  2. OpenNews: Релиз Sequoia 1.0, реализации OpenPGP на языке Rust
  3. OpenNews: В рамках проекта NeoPG развивается форк GnuPG 2
  4. OpenNews: Выпуск GnuPG 2.5.0 с поддержкой ключей, устойчивых к подбору на квантовых компьютерах
  5. OpenNews: Разработчики GnuPG предупредили о трудноустранимой атаке на серверы ключей
  6. Методы обнаружения ключей OpenPGP
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62421-sequoia
Ключевые слова: sequoia, sq, gpg, pgp, rust
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (125) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 11:23, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    ls -lh usr bin gpg 124 grep -v sq -rwxr-xr-x 1 root root 1 2M ноя 1 14 49... большой текст свёрнут, показать
     
     
  • 2.9, Проходил мимо (?), 12:05, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Открой для себя команду strip, юный падаван.
     
     
  • 3.12, Anony (?), 12:16, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для растовых программ strip почти не помогает, только upx
     
     
  • 4.31, Проходил мимо (?), 14:00, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да вы что! А мужики-то и не знали!
    Наверное это чудо, что у меня растовые программы после стрипа ужимаются с 13 и более Мб до нескольких сот килобайт.
     
     
  • 5.47, Аноним (47), 16:54, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А проверка выходов за границы массивов не исчезает?
     
     
  • 6.102, Проходил мимо (?), 08:18, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вообще strip удаляет отладочную информацию Но лучше один раз проверить, верно ... большой текст свёрнут, показать
     
     
  • 7.147, luid (ok), 13:56, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вывод: удаление отладочной информации никак не влияет не проверку выхода за границы массива

    Как так получилось, что у вас отсутствуют буквально _базовые_ знания, для чего нужна отладочная информация.

     
  • 4.32, Проходил мимо (?), 14:07, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Специально для вас только что скомпилировал одну их простеньких программ и показываю эффект от применения strip:
    du -s -h ./target/debug/zmailbox_info
    13M     ./target/debug/zmailbox_info
    strip ./target/debug/zmailbox_info
    du -s -h ./target/debug/zmailbox_info
    528K    ./target/debug/zmailbox_info
     
     
  • 5.35, Аноним (-), 15:05, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Специально для вас только что скомпилировал одну их простеньких программ и показываю эффект от применения strip:

    Ого вот это магия!
    Думаю растохейтеры просто в шоке))


     
     
  • 6.154, 12yoexpert (ok), 04:23, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    не то чтобы в шоке, просто пытаюсь представить, сколько этот sq весит нестрипнутый, раз стрипнутый 21 мегабайт
     
  • 5.37, Аноним (37), 15:30, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Подскажите
    1) насколько у вас дисковое пространство в дефиците?
    2) оно всегда таким остается по размеру, или полный размер распаковывается именно в память?
     
     
  • 6.58, Аноним (58), 18:01, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    df -h Файловая система Размер Использовано Дост Использовано Cмонти... большой текст свёрнут, показать
     
  • 6.153, Аноним (153), 03:59, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Простите работаю с Raspberry Pi с 8Гб флешки вынужден ужимать все.
     
  • 3.16, 12yoexpert (ok), 12:40, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    почему он должен что-то делать с бинарниками в случае пакетного дистра? думаешь, мейнтейнеры тупые и не догадались?
     
  • 3.19, Аноним (19), 12:44, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >file /usr/bin/sq
    >/usr/bin/sq: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=0ecb384f72cc30a572ec4a200edaf19b59b9b83a, for GNU/Linux 3.2.0, stripped

    Я его не стрипал, он такой в пакете идёт.

     
  • 3.24, Аноним (24), 13:15, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он уже стрипнутый
     
  • 3.42, Аноним (42), 15:36, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/


    # strip -R .* /usr/bin/sq


     
  • 2.15, Аноним (-), 12:37, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > ls -lh /usr/bin/*gpg* | grep -v sq
    > Вся суть растоподелок.

    Э? А сказать то что хотел?
    На твой 20МБ макстрон не помещается современный софт?
    Что ты готов пользоваться дырявостью, зато сэкономить пару мегабайтов?

    Ну не пользуйся, тебя же некто не заставляет (пока, хехе))

     
     
  • 3.18, Аноним (19), 12:41, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Проблема не в "макстроне", и не в "дырявости". Проблема - в принципиальном вредительстве разработчиков Rustа, Cargo, и Sequoia. Смузи не из той субстанции перепили. Продолжают и нахваливают. Делали бы нормально - занимало бы ещё меньше, чем gpg.
     
     
  • 4.22, Аноним (-), 13:10, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Проблема - в принципиальном вредительстве разработчиков

    Где ты увидел вредительство? Они наоборот спасают индустрию.

    > Делали бы нормально - занимало бы ещё меньше, чем gpg.

    Ахаха! Ну покажи мастер-класс))
    Сейчас какбэ не 70е, размер приложения дааавно не главное.

      

     
  • 4.25, Аноним (-), 13:20, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Проблема - в принципиальном вредительстве разработчиков Rustа, Cargo, и Sequoia.

    То что твои ожидания от опенсорса не совпали с реальностью - это твои проблемы.
    Каждый программер может делать софт как считает нужным.

    > Делали бы нормально

    А нормально это как?
    Вот так opennet.ru/opennews/art.shtml?num=48741 ?
    Так opennet.ru/opennews/art.shtml?num=46812,
    или все таки так opennet.ru/opennews/art.shtml?num=44988 ?
    Последняя особенно эпична тк жила в 98 года)

    > занимало бы ещё меньше, чем gpg.

    А зачем меньше? У меня фотка кота может занимать столько же.
    Зачем мне экономить байтики? Просто чтобы померяться пис.. т.е пакетами, у кого меньше?

     
     
  • 5.27, Аноним (27), 13:28, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тебе какие то сказки на уровне бабаек рассказали и ты их боишься. Какие реальные проблемы созданы ты даже  объяснить не состоянии. Тебе дали четкую команду тут бояться, а сюда топить. Зачем почему это не твоя задача, твоя задача лаять на караван как мелкая собачонка.
     
  • 5.30, Moomintroll (ok), 13:52, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема вызвана отсутствием должной проверки имени файла, которое может включа... большой текст свёрнут, показать
     
     
  • 6.34, Аноним (-), 15:03, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Ни разу не про ошибки работы с памятью. А подобные (логические?) ошибки можно и в расте сделать, равно как и в любом другом языке.

    Во-первых я нигде не писал про "проблемы с памятью", а ответил на высокопафосный пассаж "Делали бы нормально".
    Если для Анонима (19) это "нормально", то.. ну у него такие стандарты для качества, чего не его осуждать.

    А во-вторых, раз ты уже спросил
    cvedetails.com/cve/CVE-2022-47629/
    cvedetails.com/cve/CVE-2022-3515/ - оба два product performs a calculation that can produce an integer overflow

    cvedetails.com/cve/CVE-2021-3345/ - a heap-based buffer overflow
    cvedetails.com/cve/CVE-2016-4579/ - out-of-bounds read and crash (хорошо что крашнулось, а не рута подарило)

    Дальше мне искать лениво, уж как-то сам.

     
     
  • 7.44, Аноним (37), 15:41, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >а ответил на высокопафосный пассаж "Делали бы нормально".

    "Нормально делай - нормально будет" ©

     
  • 4.51, Вирт (?), 17:22, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  Смузи не из той субстанции перепили.

    Не агитирую за Rust, но ты по хотя бы мат. часть выучил.
    Такой размер, потому что std библиотека, и все зависимости влинкованы статически,
    а большинство зависимостей gpg это разделяемые бибилотеки.

     
     
  • 5.53, Аноним (58), 17:33, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А я и выучил. Кто виноват, что они там статически? Правильно - вот именно те, кого перечислили. Разработчики Cargo и Rust виноваты в том, что заточили ЯП именно под это. Разработчики Секвои - что выбрали этот помойный ЯП, и что раз уж выбрали - даже не почесались отвязаться от Cargo и компилировать всё с помощью CMake, а линковаться - с сишными либами, раз растовая экосистема такое говно.
     
     
  • 6.59, Аноним (-), 18:12, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > отвязаться от Cargo и компилировать всё с помощью CMake

    Боже! Даже не предлагайте тянуть это омнище в экосистему раста!
    Его и без раста в приличном обществе лучше лишний раз не упоминать.

    > а линковаться - с сишными либами

    Писать на расте и линковаться с си?
    Весь же смысл отказаться от дыряшки настолько, насколько это вообще реально.


     
  • 6.93, Аноним (-), 02:31, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > компилировать всё с помощью CMake

    А потом в CMakeLists.txt будет добавлена лишняя точка, и... https://www.opennet.ru/opennews/art.shtml?num=60888
    Хотя чего можно ожидать от системы сборки из экосистемы дырявых языков.

    > а линковаться - с сишными либами

    Писать криптографию на расте и линковаться с непонятно какой дыряшкой, где очередной Tan наавтоконфигурировал? А месье знает толк в извращениях.

     
     
  • 7.117, Аноним (117), 14:39, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, лучше с целым деревом из 100500 зависимостей, где одна маленькая неприметная - как раз от Jia Tan.
     
  • 2.141, ТожеРусский (ok), 10:14, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чел, никакой магии там нет. Если он больше размером, значит он больше делает или делает другое (вместо вызова каких-то динамических библиотек). У раста нет какого-то ощутимого оверхеда в размере файла из-за того, что он раст.

    Например, GnuPG на коленке сам парсит командную строку, а Sequoia использует топовую стороннюю библиотеку для этого - 'clap'. Клап тебе и подскажет правильное название команды/флага, если ты опечатался, и кофе заварит, и хелп красиво нарисует, и значения аргументов сразу в структуру проставит и ещё много чего.

    Или вот, GnuPG для регулярок использует выдернутый из Tcl сишный файл 1986 года рождения, с непонятно какими свойствами и фичами. А Sequoia использует топовую популярную либу 'regex', которая давно уже победила все устаревшие сишные наработки.

    Ну и так далее. Размер бинаря - это не просто размер, он со смыслом.

     

  • 1.2, Аноним (1), 11:25, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    >для загрузки сборок с проверкой их достоверности достаточно будет выполнить команду: sq download

    Ну да, давайте ещё просмотрщик видео и нейросетевую модель детекции QR-кодов в бинарь втащим, чего уж мелочиться.

     
     
  • 2.43, Аноним (37), 15:39, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, в последних релизах новомодных архиваторов(с компрессором), уже требуется мощная видеокарта, сами понимаете для чего. Даже примеры звуковых файлов на опеннете выкладывали и обсуждали, что там этот архиватор нафантазировал.
    Почему бы и тут не начать фантазировать шифрование с помощью нейросетки?
     
  • 2.46, fuggy (ok), 16:38, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тоже показалось странным. Нарушают юниксвей. Это же по сути аналог wget & gpg verify.
     
  • 2.112, Аноним (112), 13:19, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В gnupg тоже есть функции скачивания ключей.
     
     
  • 3.119, Аноним (117), 14:47, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, что напомнили, что gpg тоже небезгрешен. Да, hkps - это реализация HTTP. Но в NEEDED я не вижу ни libssl.so, ни libcurl.so, через которые и надо было реализовывать криптографию и HTTP. Вместо горождения NIH-чучхе лучше бы выпилили чучхе-хлам из gpg.
     
  • 2.142, ТожеРусский (ok), 10:20, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, не юниксвей какой-то. Слишком всё просто и удобно. No pain - no gain! Надо же как следует задолбаться, попыхтеть, или хотябы просто иметь возможность применить свои широченные знания, что бы почувствовать всю крутоту того, что ты - в линуксе. А тут, блин, одно слово написал, и уже всё готово. Ну кто так делает?
     
     
  • 3.148, Анониссимус (?), 15:50, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, хорошая иллюстрация! Только не одно слово, а два. И ещё три хитромудрёных ключа. И ещё три аргумента к ним. У -- Удобство! Не то что этот ваш дедовский юниксвей треклятый.
     
     
  • 4.149, ТожеРусский (ok), 16:59, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько понимаю, 'sq verify' делает только проверку, а 'sq download' - и скачивает, и делает проверку. Причём, 'sq download' не только проверяет, но ещё и удаляет скаченное, если проверка дала отрицательный результат. Поэтому и непонятно, в чём претензия-то? Что кому-то удобно сделали?

    В растовском сообществе с самого начала установили определённую культуру как среди общения людей, так и в поведении софта: помощь друг другу, помощь людям. Это отражается на дружелюбности общения и на поведении софта, когда софт делают максимально удобным, с максимально понятными сообщениями об ошибках (вплоть до того, что компилятор раста может не просто сказать, что у вас тут ошибка, а ещё и объяснить, почему она произошла и как её исправить).

    Причём это - в целом отображение американской культуры. Они правда очень дружелюбные и готовые помогать, в сравнении с другими культурами. Такая культура, разумеется, не очень понятна некоторым другим людям, их это бесит.

     
     
  • 5.152, Анониссимус (?), 02:17, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы неправильно меня поняли. Претензия вовсе не к sq, не к rust, и не к американской культуре. А к тем, кто называет ЭТО удобным способом скачивания, аргументируя тем, что там всего одно слово. Нет дядь, слов там ровно шесть (за вычетом урлов/путей).
     

  • 1.4, Аноним (-), 11:37, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > Инструментарий включён в состав дистрибутива Red Hat Enterprise Linux 10 в качестве альтернативы GnuPG,
    > задействован для работы с PGP в пакетных менеджерах DNF и RPM

    Шикарно.
    В след. RHEL можно будет внести небольшие несовместимости с гнутостью. А потом еще немного. И еще. Потом перевести поддержку гнутости в опциональную и как итог закопать.

    Жаль только лицуха у сековои такая же раковая как у оригинала.
    Хорошо хоть v2 only.

     
     
  • 2.70, Аноним (70), 20:30, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В новости ошибка там LGPL v2 or any later version.
     
  • 2.71, АнонимичныйАноним (?), 20:32, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А можно мне вот чуть-чуть объяснений, почему именно GNU GPL - плохо? Я искренне не понимаю, и хочу разобраться в ситуации, для общей эрудиции как минимум.
     
     
  • 3.73, Аноним (-), 20:43, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А можно мне вот чуть-чуть объяснений, почему именно GNU GPL - плохо?

    Дело в идее, и манифесте, как ее воплощении.
    Вкратце - попытка поставить пользователей выше чем создателей, загнать программистов под государсво и/или принудить к попрошайничеству.
    Это, слава богу-машине, не случилось, но общество приучили к "опенсорсный == бесплатный".

    > Я искренне не понимаю, и хочу разобраться в ситуации, для общей эрудиции как минимум.

    Тут уже как минимум три анона разбирали его цитаты, можешь поискать по gnu manifesto
    Вот один из тредов
    opennet.ru/openforum/vsluhforumID3/131642.html#230

    ЧСХ в каждый подобный подобный тред прибегают индивиды которые начинают с "вы все врете!!11", а когда получают ссылку на цитаты, то начинается "вы его неправильно поняли".

     
     
  • 4.77, АнонимичныйАноним (?), 21:48, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А принципиальное отличие в философии какое Условной MIT и GNU GPL Обе разрешаю... большой текст свёрнут, показать
     
     
  • 5.81, Аноним (-), 22:31, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы манифест прочитали Про урезание зп, про наказание неприсоединившихся, про го... большой текст свёрнут, показать
     
     
  • 6.86, АнонимичныйАноним (?), 23:08, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Здесь я всё таки рассуждаю на тему лицензии, а не моральных ориентиров проекта G... большой текст свёрнут, показать
     
     
  • 7.88, Аноним (-), 23:22, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты сам спросил про различие в философии Возможно, но я не отделяю проект G... большой текст свёрнут, показать
     
     
  • 8.89, АнонимичныйАноним (?), 23:34, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Философия лицензии, не проекта, как такового Я бы всё же разделял лицензию и ... текст свёрнут, показать
     
     
  • 9.90, Аноним (-), 23:59, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет конечно, не подходит Потому что всякие амазоны-гуглы просто будут брать сво... текст свёрнут, показать
     
     
  • 10.103, Аноним (-), 08:19, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда непонимаю зачем вы обсираете копилефт ... текст свёрнут, показать
     
     
  • 11.155, йцукен (??), 23:54, 20/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    очевидно, он либо полезный дурик либо на стипендии копилефт как и сишку , кото... текст свёрнут, показать
     
  • 6.111, fuggy (ok), 12:59, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    MIT это лицензия для корпораций Когда ты пишешь код под MIT, это значит ты бесп... большой текст свёрнут, показать
     
     
  • 7.113, Аноним (-), 13:40, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    GPL это лицензия для корпораций Она не дает возможность разработчику заработать... большой текст свёрнут, показать
     
     
  • 8.125, fuggy (ok), 17:22, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Слишком жирно Если это так, почему корпораты как огня боятся GPL B все Gnu ути... большой текст свёрнут, показать
     
     
  • 9.128, Аноним (-), 18:29, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, слишком жирно Код ядра на 80 написан корпами Где они боятся не ... большой текст свёрнут, показать
     
     
  • 10.134, fuggy (ok), 20:21, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший список продолжай Если ты не в курсе, MPL это копилефт лицензия или виру... большой текст свёрнут, показать
     
     
  • 11.136, Аноним (-), 22:40, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаю тебе начать с себя MPL, в отличие от гнурака, не заражает чужой код ... большой текст свёрнут, показать
     
     
  • 12.139, fuggy (ok), 00:25, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    MPL это копилефт на уровне файла, LGPL - копилефт на уровне библиотеки, GPL - ко... большой текст свёрнут, показать
     
     
  • 13.145, Аноним (-), 13:01, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Нет конечно, при использовании LGPL статически, он заражает все LGPL Ты же долж... большой текст свёрнут, показать
     
     
  • 14.146, fuggy (ok), 13:47, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не то имеешь в виду Я в любой коммерческой фирме могу использовать LibreOffi... текст свёрнут, показать
     
     
  • 15.150, Аноним (-), 17:06, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А, не так понял Подумал что речь все еще идет о способе заработка А где у меня... большой текст свёрнут, показать
     
  • 15.151, Аноним (-), 18:34, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я тут новость принес С лора, потому что тут не было ScyllaDB переходит на несв... текст свёрнут, показать
     
  • 6.131, Аноним (131), 19:09, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что ты там всёй этой фигни не нафантазировал Заявления в духе ставит по... большой текст свёрнут, показать
     
  • 5.84, Аноним (84), 23:02, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это не так GPL запрещает закрывать любой код, который линкуется с GPL Т е даж... большой текст свёрнут, показать
     
     
  • 6.87, АнонимичныйАноним (?), 23:13, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Выше ответил на первый абзац вашего сообщения.

    Насчёт компилятора: хорошо, что одумались, и добавили исключение.

    Про расширения GNU могу сказать, что иногда они действительно удобны. Не могу винить разработчиков их использующих. Некоторые из этих вещей давно следует добавить в стандарт, однако машина бюрократии неповоротливая и медленная, отсюда и появляются неофициальные расширения (Щас от этого же страдает Wayland).

     
  • 6.97, Аноним (97), 03:00, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь понятно почему многие сидели на 2.95 до последнего.
     
     
  • 7.104, Аноним (-), 08:24, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты неправильно понял. Редко, но бывали случаи, когда свежайшие верстт GCC иногда компилировали с ошибками, для стабилизации нужно немного подождать.
     
  • 6.106, Аноним (-), 08:44, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это ложь Вдруг, корпорации осознали что единственный компилятор применяемый в р... большой текст свёрнут, показать
     
     
  • 7.108, Аноним (-), 11:13, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, это просто неудобная для гнутиков история, которую они не хотят вспоминат... большой текст свёрнут, показать
     
     
  • 8.133, _ (??), 20:19, 18/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 9.135, Аноним (-), 21:41, 18/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (31)

  • 1.7, marten (ok), 11:58, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Мда, доверять тулзе, отвечающей за безопасность, на сайте которой флажки всякие висят, я бы не стал
     
     
  • 2.10, Аноним (47), 12:05, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Фотки Vincent и Nora в студию!
     
  • 2.29, Аноним (29), 13:49, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Штош.
    Так и делай.
    Не доверяй.
     
  • 2.45, похнапоха. (?), 16:37, 17/12/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.50, scut (?), 17:13, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато можно было бы доверять, если бы там аквафреш был?
     
     
  • 3.98, Аноним (97), 03:03, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любые флаги признак ангажированности. Защита будет для любимчиков.
     
  • 2.143, ТожеРусский (ok), 10:22, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Думаешь, там скрытый код тебя по айпи вычислит и накажет в стиле израильских пейджеров? Врядли, это ж опенсорс, там миллион глаз и сразу подобное бы заметили.
     

  • 1.8, Аноним (8), 12:04, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > sq network search https://keys.qubes-os.org/keys/qubes-release-4.2-signing-key.asc

    Чтобы иметь определенный уровень доверия к ключу, необходимо получить несколько цепочек доверия от вашего ключа к требуемуму. Для этого надо: https://www.linux.org.ru/forum/security/17817595?cid=17818179

     
  • 1.13, Аноним (27), 12:29, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Писать что-то секурное на языке, который не вызывает доверия это моветон. Это лишь вопрос времени когда в тулинг или в сторонний пакет залетит какая-нибудь бяка и сделает дыру.
     
     
  • 2.17, Аноним (-), 12:40, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Писать что-то секурное на языке, который не вызывает доверия это моветон.

    У кого не вызывает?
    Например разработчкики ТОР считают его лучше и безопаснее чем другие варианты.

    > Это лишь вопрос времени когда в тулинг или в сторонний пакет залетит какая-нибудь бяка и сделает дыру.

    Слава богу в СИ так не может быть!
    И никаких примеров типа Bvp47 или XZ не было)

     
     
  • 3.20, Аноним (27), 12:46, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У всех нормальных людей. Ты к ним не относишься. У тебя главная стратегия не вижу зла значит его нет. Думать хотя бы на шаг вперёд это же голова может заболеть.
     
     
  • 4.23, Аноним (-), 13:15, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > У всех нормальных людей.

    О, т.е. бывшие разрабы gnupg, которые решили писать секвою, - это не нормальные люди?
    Один ты - Аноним - тут стоишь в белом такой умный и красивый.

    > У тебя главная стратегия не вижу зла значит его нет

    Всегда есть большее зло. Есть призрачный шанс подменить что-то где-то, а есть более чем реальная сишечка, на которой что диды писать не умели, что нынешние смузехлебы.
    Можешь посмотреть сколько дыреней было из-за тулинга или стороннего пакета, а сколько из-за рукоопов, которые в очередной раз не шмогли посчитать размер буфера перед записью.

     
     
  • 5.36, Агоним (?), 15:30, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так ты и на расте писать не умеешь и старый зачем тогда Раст?
     
  • 5.40, Аноним (37), 15:35, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А ты никогда не думал, почему они теперь "бывшие"?
     
     
  • 6.56, Анонимусс (?), 17:51, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А ты никогда не думал, почему они теперь "бывшие"?

    Потому что их задолбало копаться в той... кодовой базе.
    И они решили сделать свое, но учитывая ошибки GnuPG.

     
     
  • 7.82, Аноним (37), 22:41, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    в своей то помойке куда приятней ковыряться...
     
  • 3.140, Аноним (140), 09:10, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Например разработчкики ТОР считают его лучше и безопаснее чем другие варианты.

    У этих и GitLab с JavaScript и дырами раз в месяци без анонимного доступа безопаснее чем trac. Вопрос только, что значит "безопаснее". Для кого? Для жоп тех, кого за яйца держат - да безопаснее.

     
  • 2.48, fuggy (ok), 16:56, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Такое ощущение что новости специально пишут ради упоминания "сделано на Rust". И после этого происходит перепись растохейтеров, в то время как все крупные компании и специалисты по безопасности продолжают писать проекты и радоваться отсутствию уязвимостей с указателями.
     
     
  • 3.55, Аноним (55), 17:47, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Такое ощущение что новости специально пишут ради упоминания

    Нет конечно. Новость как новость.
    Тут "Код написан на языке Rust и распространяется под лицензией GPLv2+."
    В соседней про гиперленд "Код написан на языке С++ и распространяется под лицензией BSD."
    Еще чуть раньше (миракл) "Код проекта написан на языке C++ и распространяется под лицензией GPLv3."
    Даже шаблон одинаковый.

    Но у местной публики при упоминании "раста" начинается форменное помешательство.

    > продолжают писать проекты

    Так это же писать нужно)))

     
     
  • 4.67, Аноним (58), 19:02, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что раст жрёт память и статически линкует. А ещё постоянно пополняется новыми API, потому что выясняется, что старые API оказались в который уже раз плохо спроектированы. Очевидно, что на таком языке можно написать что-то memory-safe, но юзабельное и supply-chain-safe - никогда. А значит ффтопку его со всеми поделками на нём.
     
     
  • 5.74, Аноним (-), 20:56, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что раст жрёт память

    Раст занимает сравнимо с сишкой на любой софтине больше хелловорда.
    При этом позволяет на порядок больше из коробки.
    То что рукоопые мейнтейнеры не научились его готовить - это не проблема раста.

    > и статически линкует.

    Раст умеет линковаться динамически. Проблема в том, что все либы в линуксе пока что сишные. А линковать к ним просто убивает весь смысл софта на расте - проблема в любой из них будет проблемой всей софтины.

    > А ещё постоянно пополняется новыми API, потому что выясняется,
    > что старые API оказались в который уже раз плохо спроектированы.

    А вот давайте примеры плохих АПИ. (сейчас выяснится что вы их предоставить не в состоянии)))
    Раст пополняется новыми апи потому что развивается, в отличие от.

     
     
  • 6.99, Аноним (97), 03:13, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Раст умеет линковаться динамически. Проблема в том, что все либы в линуксе пока что сишные.

    То есть, в теории, растоплагины к растопрограмме можно написать с не сишным апи/аби?

     
  • 6.118, Аноним (37), 14:44, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Проблема в том, что все либы в линуксе пока что сишные.

    Так вот в чем проблема не популярности раста - Торвальдс виноват! А я то думал - программисты, которые не хотят использовать раст для системных библиотек.
    У меня есть к вам предложение - напишите свой линукс на расте, с растовскими библиотеками, и линкуйте себе в загончике до потери сознания.

     
  • 6.120, Аноним (117), 15:05, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не звезди Как раст может занимать сравнимо с сишкой, если программа на сишке за... большой текст свёрнут, показать
     
     
  • 7.126, fuggy (ok), 17:53, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, с сишными либами он умеет линковаться динамически через unsafeы

    Что мешает так же подключать rust либы? Rust умеет компилироваться в dylib/cdylib (*.so), staticlib (*.a), а не только rlib для последующей линковки. See: The Rust Reference/Linkage

    > засорять себе башку API, которое через месяц станет неактуальным

    Всё просто указывает edition и работаешь со старым стабильным API. See: The Rust Edition Guide/What are Editions? Ты же когда на C++ пишешь не каждый же месяц на новое API переписываешь как только вышло -std=c++23. Много проектов которые до сих пор на -std=c++11 сидят.

     
  • 5.92, Аноним (92), 01:08, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >А значит ффтопку его со всеми поделками на нём.

    Ты для себя так решил - превосходно!
    Но меня всегда поражает однобокость глобальных критиков! Неужели им не хватает мозгов осознать, что у других людей могут быть другие критерии, другая точка зрения и, соответственно, другие выводы?

     
     
  • 6.121, Аноним (117), 15:10, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Благодаря этим людям софтварная экосистема превратилась в то, что невозможно использовать. Иными словами - они отправили адекватных людей в каменный век, а потребителей заставили платить. Они беспрерывно молиться должны, чтобы им не привелось получить причитающуюся им награду за это.
     
     
  • 7.123, Аноним (-), 15:58, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Э У всех получается, а у тебя нет Возможно стоит взять линейку и проверить пря... большой текст свёрнут, показать
     
  • 5.107, Проходил мимо (?), 08:44, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    К сожалению, чтобы на Rust слинковать проект статически, надо очень сильно извер... большой текст свёрнут, показать
     
     
  • 6.109, Аноним (-), 11:19, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Отличный пример, кстати.

    Они нашли неоднозначность, признали ее и исправили.
    В других языках это бы затянулось на годы заседания комитетов. И все равно не факт что исправили бы.
    Скорее добавили вторую функцию рядом, чтобы не дай бог не сломать совместимость с кодом двадцатилетней давности. Эпохи же они не придумали))

     
  • 4.72, Аноним (70), 20:33, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Но у местной публики при упоминании "раста" начинается форменное помешательство.

    В этом и вопрос.

     
     
  • 5.75, Аноним (-), 21:02, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > В этом и вопрос.

    А, это как раз не вопрос.
    У них просто тяжелейшая трава от упоминания раста в каждой сишной CVE по памяти.
    Ну т.е. примерно в 80-90% CVE))).

    Доходило даже до того, что достаточно было в такой новости написать что-то вроде "никогда такого не было и вот опять" вообще не упоминая раст, как ылитка погроммирования начинала заплевывать монитор желчью "при чем тут раст!!111 сишка будет жить вечно!!".

    Выглядит достаточно забавно)) В каждой новости пишу что-то такое)

     
  • 2.62, Пётрнахуевертел (?), 18:44, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Железобеттон курите? Вот сколько бредить так можно? Какой "не вызывает доверия"? А что вызывает доверия? Вот давай чёткий пример и пояснение. Пакетная экосистема язика != сам язик.

    Дайте угодаю - вашь контр аргумент будит втирать что-то про то, как пакетные манагеры дистрибутивов идту и аудит каждого пакета библиотек проводят, за упокавание которого они отвечают. Да, и сами вы же сперва читаете весь код библиотеки целиком, с учетением архитектуры, и afl++ запускаете только так, так как только из исходников всё строите.

    Давай не загаситься, а реально тогда довести свою демагогию тупую до конца. Переубедите меня.

     
     
  • 3.66, Аноним (58), 18:59, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Daniel Kahn Gillmor вызывает доверие. Но несильно.
     
  • 2.144, ТожеРусский (ok), 10:28, 19/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Само ничего никуда не залетит, см Cargo.lock. Читаешь код всех зависимостей, прибиваешь версии, и готово. На Си тебе пришлось бы сделать либо тоже самое, либо самому с нуля всё написать. Логика подсказывает, что писать всё с нуля дольше, чем прочитать чужой код. Впрочем, если приспичило всё написать с нуля (можно начать прям с бутлоадера или даже с UEFI кода в материнке), то уж лучше это делать на Расте, а не Сях всё равно.
     

  • 1.39, Аноним (37), 15:34, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Например, API не позволяет случайно экспортировать материал секретного ключа и подстраховывает от пропуска важных действий при обновлении цифровой подписи.

    А можно сразу писать так, что бы в АПИ не попадали куски кода, которые могут "случайно экспортировать материал секретного ключа"?
    Или это фантастика?
    (сначала наговнокодят, а потом доблестно бегут бороться с ошибками)

     
     
  • 2.101, qwe (??), 06:01, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > (сначала наговнокодят, а потом доблестно бегут бороться с ошибками)

    Если бы с ошибками! Борются с последствиями этих ошибок.

     

  • 1.54, nume (ok), 17:37, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для приложения или библиотеки на rust - стабильный релиз, полноценность и версия 1.0 это великое достижение которое мало кому удаётся там))
     
  • 1.80, sena (ok), 22:30, 17/12/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сколько нерешённых задач или решённых не до конца, но почему-то постоянно берутся переписывать то что уже есть и работает.
     
     
  • 2.85, Аноним (-), 23:02, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Сколько нерешённых задач или решённых не до конца, но почему-то постоянно берутся переписывать то что уже есть и работает.

    Так оно и есть "нерешенное до конца".
    Т.е - не работающее.

    Есть просто плохие инструменты. Которые приводят к ошибкам, затрагивающих кучу людей.
    Например Heartbleed - чтение памяти за пределами отведённого буфера наверное самая известная, но не единственная.
    Ведь тысячи их (с)


     
     
  • 3.91, sena (ok), 23:59, 17/12/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Есть просто плохие инструменты. Которые приводят к ошибкам, затрагивающих кучу людей.
    > Например Heartbleed - чтение памяти за пределами отведённого буфера наверное самая известная,
    > но не единственная.
    > Ведь тысячи их (с)

    Что характерно, Heartbleed был в openssl, но его на расте не переписали. Интересно почему.

     
     
  • 4.105, Аноним (-), 08:39, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что характерно, переписали, называется Rustls.
     
     
  • 5.114, sena (ok), 14:05, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Что характерно, переписали, называется Rustls.

    Любопытно, вроде бы действительно есть, уже больше 3х лет. Есть даже биндинги[1] к c/c++ Но почему же никто не спешит этим пользоваться? У меня в Дебиане все слинкованы с openssl.

    1. https://github.com/rustls/rustls-ffi

    Видимо есть какой-то нюанс? Производительность хреновая? Никто не верит в безопасность раста?

    Должна же быть какая-то причина, почему никто не хочет использовать эту возможно безопасную библиотеку? Или всё ещё не готова к использованию?

     
     
  • 6.122, Аноним (-), 15:50, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Думаю причин куча Например, что мейнтенеры дебиана это сумасшедшие Дабы на быт... большой текст свёрнут, показать
     
     
  • 7.130, sena (ok), 18:41, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Любопытно, вроде бы действительно есть, уже больше 3х лет. Есть даже биндинги[1] к c/c++ Но почему же никто не спешит этим пользоваться? У меня в Дебиане все слинкованы с openssl.
    > Т.е в "стейбл" лежит заведомо уязвимый squid, дырявый по самое немогу, причем
    > годами.

    При чём тут squid и мейнтейнеры Дебиана? Если будет фикс, они его включат, на то они и мейнтейнеры Дебиана. Они же не занимаюстя разработкой софта, они просто пакеты мейнтейнят.

    Если кто-то перейдёт на rustls-ffi, то новая версия со временем появится в Дебиане. Просто почему-то никто не переходит.


     
  • 6.124, Анонимусс (-), 16:18, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Видимо есть какой-то нюанс?

    Это ведь что-то нужно делать. Нужно привязываться к другой инфраструктуре.
    Большинству просто лень и пофиг на уязвимости. И дебианцы это прекрасный пример.
    Они лучше задокументируют cve как существующую и... ничего, пусть лежит в репе, зато все будут знать что там дыра.

    Кстати, именно дебианцы умудрились пропатчить openssl, добавив туда уязвимость.
    Так что на дебиан я бы ориентировался в последнюю очередь - им процессы важнее результата.

    > Производительность хреновая?

    И тут вроде бы все хорошо. Большая часть быстрее чем openssl [1], но с чем-то еще нужно работать.
    Напр. год назад у них была проблема с ChaCha20 - производительность была ниже чем у OpenSSL [2].
    Вроде уже исправили.

    > Никто не верит в безопасность раста?

    Верят. Поэтому добавляют поддержку в Lets Encrypt [3], nginx [4] и тд.
    Просто это не быстрый процесс.

    > Должна же быть какая-то причина, почему никто не хочет использовать эту возможно безопасную библиотеку?

    Те, кто хочет, уже использует.
    Те, кому пофиг, тем пофиг. Логично, правда?))

    [1] memorysafety.org/blog/rustls-performance-outperforms/
    [2] memorysafety.org/blog/rustls-performance/
    [3] letsencrypt.org/docs/client-options/ - rustls-acme, tokio-rustls-acme
    [4] phoronix.com/news/Rustls-With-Nginx

     
     
  • 7.127, sena (ok), 18:29, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Видимо есть какой-то нюанс?
    > Это ведь что-то нужно делать. Нужно привязываться к другой инфраструктуре.
    > Большинству просто лень и пофиг на уязвимости. И дебианцы это прекрасный пример.

    Если это дроп-ин замена, то ничего делать не надо, кроме пары строк в зависимостях. Но если сишная обвязка несовместима с openssl, то это, конечно, большое препятствие.

    > Те, кто хочет, уже использует.
    > Те, кому пофиг, тем пофиг. Логично, правда?))

    Что-то лучшее и при этом более-менее совместимое всегда внедряется очень быстро, если нет каких-то препятствий. Видимо они есть.

     
  • 2.95, Аноним (95), 02:45, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так GPG, если верить тем, кто его использует не только для красоты, как раз-таки работает из рук вон плохо. Неудивительно что за десятилетия существования он так и не получил популярности.
     
     
  • 3.110, Аноним (-), 11:24, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что апи проектировали аутисты для наркоманов Или наркоманы для аутистов ... большой текст свёрнут, показать
     
     
  • 4.116, sena (ok), 14:25, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Так GPG, если верить тем, кто его использует не только для красоты, как раз-таки работает из рук вон плохо
    > Потому что апи проектировали аутисты для наркоманов.
    > Или наркоманы для аутистов? Сложно точно утверждать.

    Возможно апи надо доработать, улучшить и т.п. Однако для этого не надо же переписывать всё на расте :)

     
     
  • 5.137, Аноним (-), 22:49, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Возможно апи надо доработать, улучшить и т.п.

    Возможно. А вы когда-либо пробовали такое провернуть?
    Сразу же начинается:
    - у меня все работает!
    - да, апи "немножко по дe6ильному написан" (c), но все уже привыкли, не переучиваться же!
    - вы что, вы обязаны сохранить обратную совместимость! иначе у меня полторы башпортянки сломаются!
    ...
    И это еще не дошли до обсуждения как именно нужно менять)))

    > Однако для этого не надо же переписывать всё на расте :)

    Вот иногда... хотя кого я обманываю, очень даже часто когда, проще и быстрее переписать с нуля, чем договориться со всеми заинтересованными сторонами и мимокрокодилами.


     
     
  • 6.138, sena (ok), 23:56, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот иногда... хотя кого я обманываю, очень даже часто когда, проще и
    > быстрее переписать с нуля, чем договориться со всеми заинтересованными сторонами и
    > мимокрокодилами.

    Ну да, в результате несколько дублирующих друг друга по странным причинам (типа не смогли договориться) проектов, в то время как есть реально нерешённые проблемы. Плохой апи в gpg это в бесконечно число раз лучше, чем полное отстутсвие свободного решения в другой области.

     
  • 3.115, sena (ok), 14:11, 18/12/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так GPG, если верить тем, кто его использует не только для красоты,
    > как раз-таки работает из рук вон плохо. Неудивительно что за десятилетия
    > существования он так и не получил популярности.

    В Дебиане давно используется не для красоты, а для подписи пакетов и для голосования, не помню чтобы сильно жаловался кто-то. Но может я пропустил.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру