Vlákno názorů k článku
Fwupd přechází z XZ na Zstd, kromě důvěry získá také lepší kompresi od cc - Takže vlastně přidali další vektor útoku :-D ? Já...

Takže vlastně přidali další vektor útoku :-D ?

Já jsem čekal, až toto začnou některé projekty dělat, ale podle mě to nedává smysl. xz není možné ze systémů dostat teď hned pryč, takže je úplně jedno, že nějaký projekt přidá další knihovnu pro kompresi. xz potřebuje hlavně audit - pak to bude možná paradoxně nejbezpečnější formát :)

To nebude nikdy, je to komplexní moloch se širokou nabídkou děr a návrhových chyb. https://www.nongnu.org/lzip/xz_inadequate.html

Disclosure statement: The author is also author of the lzip format.

Autor určitě chtěl říct, že lzip, o kterém sice nikdo neslyšel a nikdo ho nepoužívá, je mnohem lepší :)

Má ale smůlu... xz je ten formát, který se používá pro distribuci všeho možného, a proto se taky stal terčem toho útoku. Já se xz teda nechci zastávat, je mi úplně jedno jaký algoritmus se pro kompresi používá, ale prostě najednou ho přestat používat nejde, a to by měl pochopit každý... takže buď pořádný audit a nebo reimplementace.

Ne reimplementace, ale specifikace. Kterou nemá, a kterou by takto stěžejní formát měl mít. Má děravou referenční implementaci, kterou používají všichni krom 7-Zipu, který má DIY.