Je fajn, že byla nalezena chyba a opravena.
Admini velmi rychle (v řádu hodin) záplatovaly svoje stroje.
Potud je vše v pořádku.
CA nabídly výměnu (reissue) certifikátu zdarma. Což je taky fajn.
Jenže co dál?
Při výměně nekontrolovali (alespoň ty, se kterými jsem měl co do činění já) (ne)použití původního soukromého klíče (takže reissuovaný certifikát používal stejný klíč jako z před záplatou). Ve skutečnosti tohle bylo jen malé procento.
Co ale nastalo potom? Potom, po klasickém vypršení platnosti certifikátu (proces reissue platnost neprodlužoval), tedy při klasickém renew, se opět použil původní klíč.
Takže je sice fajn, že chyba byla nalezena a opravena, ale k čemu to je, když nedošlo k výměně (možná prozrazených) soukromých klíčů?
(To se zcela vyhýbám tomu, že lidé běžně posílají pár soukromého a veřejného klíče v zcela otevřeném tvaru emailem. A to i wildcard na poměrně zajímavé domény s platností na několik let dopředu...
Osobně tedy vidím jako daleko větší problém, než (přece jen náročně zneužitelnou chybu v software) v tom, jak lidé se šifrováním (obecně) zacházejí.
to jak se zachazi se sifrovanim a overovanim nam nedavno ukazal google na androidu :D
viz clanek http://www.itbiz.cz/zpravicky/chyba-v-androidu-umoznuje-ziskat-vsechny-prava-bez-roota
Kdyz jsem videl zdrojaky androida, tak jsem si chtel koupit Windows telefon. Ano. Tak tragicke to je... Neuveritelny bordel a spousta duplicitnich komponent na vice mistech. Verze a bugy jsem radsi nezkoumal. Jedna knihovna(ted nevim jestli polar nebo openssl) pohazena nekolikrat na vice mistech. Opravite includy a linkovani a zjistite ze ze zafixovanou verzi zavislou komponentu rozbijete:-/ Jako ktery mameluk...
Hnus velebnosti. Nehlede na to ze nazvy jako bouncycastle... kravina. Proc jsou ruzna apk na sebe cyklicky navazana?(marny pokus vytvorit minimalisticky custom build)
Nikde zadna dokumentace, jen experimenty.
Nezavidim lidem kteri s tim pracuji.
Nejlepsi jsou experti co evidentne nechapou wo co go ze...
Oficialni devel docka k vnitrnostem androidu v podstate neni. Mate dokumentovane API a pak jakysi relikt ktery gagl uz na svych strankach nema a stejne uz nesedi. Takto si vazeny priteli dokumentaci nepredstavuji.
Jak mimo jine souvisi pouziti google s tim ze mate na vice mistech jednu a tu samou kritickou knihovnu? Jak zajistite jeji udrzovatelnost v pripade ze se objevi buga? V pripade opravy to budete shanet po celem systemu. U androida resite dve ruzne ssl knihovny!
Jste si vedom toho ze drtiva vetsina veci v androidu je staticky linkovana takze se to fakt musi prelozit cely a je to pruser?
A tim googlem myslis chlapci z cyanogenmod / xda-developers + fora ? Tak so samozrejmne kecaji. Nektera apk nelze vyhodit bez toho aniz bych si rozbil treba slovniky (ano potrebuju i rozsypany caj, ale napsat to tam!) nebo prisel o mediaprovidera ktereho potrebuji aplikace na praci s medii. Nemuzu vyndat napr. telefon protoze to vola Settings a ty pak zhebnou protoze neni classa. Kde mam do stromu rozepsany dependence?
Navic co android to specifikum. Do tech zdrojaku bylo proste nutno se podivat (jina moznost uz po puldennim googlovani nebyla) protoze to nikdo jiny evidentne nechtel resit a byla to jedina cesta. Takze jsem se dozvedel ze ten list je uplne blbe nebo nesedel na moji verzi androida.
Bouncycastle, plným názvem Legion of The Bouncy Castle, je nejznámější opensource kryptografická knihovna pro Javu. Aspoň něco z toho byste jistě použitím Google zjistil.
Takže chápu, o co jde. Zahlédl jste někde něco ze zdrojáků Androidu, nenamáhal jste se něco z toho pochopit, ale za to se vám udělal silný názor.