Názor k článku
Jak na OpenSSL 3

Nerekl bych ze prosazuji ideologii. Spise prosazuji svuj odborny nazor, tak jako Vy prosazujete svuj ("hodlame prokazat ze..."). Na tom ale nevidim nic neprofesionalniho. Muj nazor vychazi z mych zkusenosti a Vas zase z Vasich. Ja vidim, ze "security through obscurity" funguje u jednotlivych instalaci (armada) ale uz nikoli u siroce rozsirenych SW. U toho armadniho je totiz problem nejenom ziskat zdrojove kody, ale take vubec ziskat pristup k tomu SW.

Abyste mne chapal - ted se nebavim jenom o SSL implementacich. V tom mozna mate pravdu. Ja ted mam na mysli vsechny komponenty systemu, ktere je mozno exploitovat.

Jiny pristup: Jednim z pravidel bezpecnosti je, ze je nesmysl chranit data vetsimi naklady, nez je jejich cena. Data armady maji zajiste vetsi cenu, nez data e-shopu. Takze e-shop sice muzete mit super zabezpeceny, ale ve vysledku na tom tratite, protoze by bylo levnejsi udelat zabezpeceni mene kvalitni, zato vsak levnejsi a smirit se se zbytkovym rizikem.

Ad poznamka pana Klimy: Predpokladejme, ze podobna chyba existuje v XYZ SSL, ktere ale kvuli nedostupnosti zdrojovych kodu nezkoumal. Ted je ale otazka - co je bezpecnejsi? OpenSSL, ve kterem je chyba opravena, nebo XYZ SSL, kde stale je ale nikdo o ni (verejne) nevi? Z toho co pisete bych usuzoval, ze podle vas XYZ SSL, ja mam vsak opacny nazor.