Je absurdní se domnívat, že vaše aplikace je bezpečnější, když "ji ještě" nikdo neprolomil. Znamená to jen to, že se o to ještě nikdo nepokusil (anžto zřejmě nebude tak rozšířená nebo dosud není průnik odhalen).
Navíc u uzavřených implementací zapomínáte na fakt, že ukrást zdrojové kódy není až takový problém. Může to být otázka úplatku, hrubé síly (sprosté vykradení kanceláří), lidské chyby (ukradení notebooku s důvěrnými daty) nebo primitivní využití trojského koně (uvnitř firmy). Asi ještě jednodušší bude jít na to přes vládní úroveň (tj. firma bude povinna spolupracovat v zájmu národní bezpečnosti a následně to někdo pustí dál).
Tím se dostáváme k problému, že průnik lze realizovat snadno a bez možnosti obrany (nikdo z "White Hat" to neopraví, protože prostě zdrojáky nemá).
Navíc se dá předpokládat, že do auditu kódu OpenSSL (resp. přepsání) budou investovat firmy, které o to mají zájem a je to předmět jejich core bussiness (Red Hat, Novell, IBM). Tedy přesněji - už to dávno dělají.
Navíc mi vaše poznámky nutkají představu, že jste umaštěný prosťáček, který si "něco přečetl", protože opomínáte logické věci, neumíte psát, vystupujete anonymně a mlžíte. Také tenhle článek není o "nejlepší implementaci", ale o principu manipulace s certifikáty (tato praktická stránka věci bude podobná u všech podobných nástrojů).
Názor k článku
Jak na OpenSSL 3
aura:43
