@reet, zou je de titel aub willen wijzigen van OpenBSD naar IPSEC? En dat OpenBSD’s IPSEC (secure connectie op het laagste internet packet niveau) in een heleboel (quasi-)open source producten zit verwerkt, zoals vziw OSDijkie?

OpenWTF?

Ik werk al jaren met OpenFBI, gaat prima.

Beetje een open deurtje.

Ah, daar is dus de implementatie van het OpenDIR protocol!

Ubuntu?

Wat Monade zegt.

En http://marc.info/?l=openbsd-tech&m=129236621626462&w=2 : daar is de bron van het verhaal,

@jack: je laptop dus inpakken in alululuminium (pfew) folie.

Er zijn dagen dat ik blij ben dat het installeren van openBSD met IPSEC mij als alleen theoretische linuxkenner nooit is gelukt. Dit is zo'n dag

Iemand op Slashdot merkte dan nog fijntjes op dat NSA bijgedragen heeft aan Windows-7. Alsof Microsoft hulp nodig heeft om gaten in haar software te slaan.

men is er nog niet uit of dit een hooks is.
Maar het lijkt erop dat als het waar is, Monade's theorie van een intentionally crippled cryptosystem bewaarheid wordt. (maar het kan net zo goed iets simpel steganografisch zijn met sequence-nummers of paddingbits, of andere ruimte die er nog in het protocol zit)
Inmiddels heb ik al begrepen dat ik die code niet moet gaan lezen.

Mijn intuitie werkt nog. Random padding bits considered harmfull.

Fijn dat Marc Espie er zo nuchter onder blijft & gewoon fijn een code review gaat doen. (Comment op obfuscurity.)

Ik ben wel benieuwd of iemand in de oudere versie van rond 2000 gaat neuzen, toen het allemaal gebeurd zou zijn.

Trouwens, mede naar aanleiding van het gawker debacle: Huilende Wolf slaat de wachtwoorden toch hopelijk wel tenminste in ROT13 op?

@b mineur, a CVS rollback is just a command away.

Ik was al begonnen met door de diif heen te stappen, maar ben toen FC Utrecht gaan kijken (en in slaap gevallen). De standaard diff is 2001 tot heden, IIRC. Bovendien is het wellicht de verkeerde file.

http://obfuscurity.com/2010/12/Updates-on-the-OpenBSD-IPsec-Gossip

Leuk: de publieke omroep gebruikt ook OpenBSD! (Hebben gedoneerd: http://www.openbsd.org/donations.html)

Ik zelf zojuist ook maar even gedoneerd. Ik gebruikt 't al sinds 3.8, dus het werd tijd.

vandaaro: Even if Greg's claims are eventually proven true, something like this would more likely fall under a TOP SECRET (or even as high as TS/SCI) classification, which is typically declassified after a 25-year period. Releasing this information prematurely would land Greg in a steaming lake of hot water.

Daar heeft-ie wel een punt. En da's een punt wat iedereen die een beetje nadenkt wel had kunnen bedenken: als een overheidsclub de moeite neemt om een backdoor in te brengen, dan willen ze niet dat je dat binnen de kortste keren aan de grote klok hangt. Oftewel, is d'r hier niet gewoon sprake van politiek?

Maarh et onderliggende probleem is natuurlijk een nieuw soort cargo cult programming: als je het niet snapt (zoals moeilijke cryptografie, of hinderlijke alignmentissues in IP-segments, of buffer management, of locks) dan blijf je er van af. En zo kan het zomaar zijn dat eindloze lappen source jarenlang unchanged blijven, gewoon omdat niemand er aan durft te komen. (dat is bijvoorbeeld ook de onderliggende reden van die out-of-bounds indexing in yacc (of lex), die tien jaar in de src is blijven zitten)
Maar er blijkt IMHO dus wel dat de defenseve release policy van BSD (en debian) dus niet werkt. (om maar een oude theo < -- > linus flame op te rakelen)

Dat is nog niet gebleken, toch?

Ik ben niet echt op de hoogte van de staat van de ip stack, maar PF is in de afgelopen tien jaar al een keer helemaal opnieuw geïmplementeerd. Onwaarschijnlijk dat daar 10 jaar oude "bugs" in zitten. :)

[EDIT: is ook nog geen 10 jaar oud, geloof ik]

Packetfilter is al heel oud, (als dat pf is). Zijn diverse implementaties van geweest, voorzover ik weet.Had een heel vreemd bytecode-taaltje om het in een syscall te kunnen proppen. Heb er (in 2001 ofzo) nog wel eens mee gespeeld op een Ultrix of OSF-mashine.
Tien jaar oude "bugs" zijn dus bugs die binnen de specs blijven. Zoals niet of verkeerd geinitialiseerde padding. [er was ooit een (sun?) implementatie van brk() die het geheugen niet bzero()de (op zich ook een BSD-isme). Daarna kwam copy on write, en /dev/zreo, en ging alles automagisch beter.]

"PF has been a part of the GENERIC OpenBSD kernel since OpenBSD 3.0" en is dus inderdaad ongeveer 10 jaar oud. Ik was er erg blij mee, omdat de syntax van linux pendant destijds mij ontzettend hoofdpijn bezorgde.

Maar ik kan me vinden in de strekking van je verhaal.

OpenBSD pf is relatief nieuw. Ik heb er Theo en consorten aan zien hacken op de HAL 2001.

Maar er blijkt IMHO dus wel dat de defenseve release policy van BSD (en debian) dus niet werkt.
Het werkt dus wel, maar niet voor complexe dingen zoals crypto code die de gemiddelde niet-expert ver boven de pet gaan.

En voor de bugs die jij aanhaalt zijn tegenwoordig goede design en verificatietools. Het gebruik ervan moeten we alleen in de koppies van de huidige generatie programmeurs rammen.

/ObFlamebait: het vergassen van diehard C-kloppers zou ons een stuk op weg helpen.

Preventief ruimen van OO-scriptkiddies levert meer winst op, medunkt.

Maar de bugs die ik aanhaal waren om te illustreren dat het "ontwikkel-model" niet werkt. Die C-code-kloppers doen goed werk. En ze blijven van anderman's werk af, uit respect of gebrek aan domeinkennis. Dat laatste is het probleem. Van de echte crypto-core is er waarschijnlijk maar een of twee ontwikkelaar(s). Van de IP-stack: idem. Overlap tussen de twee aandachtsgebieden: 0.1.

het vergassen van diehard C-kloppers zou ons een stuk op weg helpen.

Yup. Hoewel er nog niet echt een heersend alternatief is om een O/S vanaf de grond mee op te bouwen; C is de meest portable (of leesbare, al naar gelang hoe cynisch je wilt zijn) assembler tot nog toe.

Ik weet dat er bijzonder matige PHP programmeurs aardig bijverdienen met het vertalen van oude COBOL meuk naar iets moderners. Hopelijk niet bij /mijn/ bank! denk ik dan maar.

Over archaïsche rommer gesproken: OpenBSD heeft geloof ik recentelijk een nieuwe parser voor de man-pages gekregen. Er was ergens een filmpje op de interwibbles met een presentatie. De vorige implementatie dateerde nog uit de steentijd.

@marjolein: http://www.menuetos.net/ :)

'Open BackSideDoor'

rommel ^

Er was (rond 1995) een heel vermakelijke flame op de lkml tussen lbt en een scriptkiddie, die de kernel naar c++ wilde ombouwen. Linus is an excellent flamer.
Bier en nootjes!

Maar de bugs die ik aanhaal waren om te illustreren dat het "ontwikkel-model" niet werkt.
Volgens mij werkt het wel, maar het schaalt niet genoeg. Bovendien is het aantal mensen dat echt goed kan programmeren klein en, als ik in een cynische bui ben, constant.

Bovendien is kernel codebase te groot; ~ 1/2 - 1 miljoen LOC. Niemand kan zoiets begrijpen. Projecten zoals BSD zijn ook al meer dan 30 jaar oud. Met dat soort tijdspannes heb je niet meer zoveel aan documentatie of communicatie. Er zijn ook al oorspronkelijke developers overleden (RIP Mike Muus).
Een vriend van mij is NetBSD kernel-developer, en hij is daar de DVD-driver expert. Hij komt telkens aanzetten met verhalen over de rare bugs die hij nu weer uit hun codebase heeft gevist.

En dan te bedenken dat er gebruikersprogramma’s zijn die 10x zo groot zijn (vb Apenoffice).

Ik zelf vind het OS niveau niet meer interessant, en heb mij puur op portable programmatuur gestort. En dan mag je nog meer dan genoeg hacken, bijvoorbeeld de Lienoeks BlueZ bloetoet stack. GOOODVERRR!! WAT EEN APEN!!1!

L00nix zuigt sowieso harige apenballen. BSD is sowieso (vanaf de buitenkant - ik wil niet echt onder de motorkap kijken) een stuk prettiger om mee te werken.

(als je je websides graag met lynx bekijkt, je email doet met "mail" (leuk daar is "ed" ook weer)... en geen last van flase wilt hebben, en quake in ascii-art wilt spelen /zucht/)

Dat laatste is onzin, @marjolein. Er zijn genoeg lutsterts die KDE en Gn*m* op BSD willen draaien, dus die prut heb je ook. En er is een goede Java port, dus Java-zut doet het ook. Lucky us.

Als ik op dit moment een Unix aanzwengel is dat Sun’s OpenSolaris, en die is heulemaal verGNUd, dus Gnome + Nautilus + Java Desktop lachen je te gemoet, als een tandeloze dertienjarige crackhoer.

/It’s frea if your time is worthless

Leuk dat menuet. Maar 'k vind asm geen vooruitgang t.o.v. C ...
Hoeveel security issues zou dat menuet well niet hebben?


('t doet me overigens aan BeOS denken, dat menuet)


Overigens: uit http://www.infoworld.com/d/developer-world/programming-iq-test-round-1-166

Vraag 7:

7. What is the best way to preserve type safety in assembly language?
a. Don't link your modules to modules written in any other language
b. Make sure you declare all your variables' data types ahead of time
c. Don't add variables of one type to variables of another
d. Devout prayer

Haha Monade, heb je honger? Ik weet toch! Alleen flash is een echt probleem (of misschien ondertussen ook niet meer).

Ach ja, dat desktop-gezwets.
Die hele desktop heeft de kernel kapot gemaakt. Achtelijke scheduler bugs, omdat er RTOS-features in moeten alleen omdat Henk&Ingrid een fillumpje willen kijken.
Gelukkig is het allemaal wel aan en uit te schakelen als je weet waar de knoppies zitten, en wat ze voorstellen.

Maar het bizarre is dat de eigenlijke linux-revolutie achter de schermen plaatsvindt, in the serverroom, met LAMP enzo.
Desktop is voor hosmos.

@marjolein:
You got 18 of 20 correct. Your score: 90%
Een ervan was de cola vraag. Ik doe niet aan cola. En van vraag 12 waren alle antwoorden fout.

/Gaat dangerously overinformed pitten

Die cola had ik ook fout. En die multithreaded-vraag had geen goed antwoord. De helft van de OO-vragen had ik voud. The test is flawed!

Ik zat slechts aan de 16/20 goed. En test #2 (want er is ook een test #2) zat ik rond de 15/20. Nee, die cola wistik ook niet. Ik doe niet aan energydrinks.

En awk / K&R had ik ook fout. Kutkwis.
Maat dat SQL niet Turing-complete is had ik goed. Kuttaal!

Daarom is het ook geen taal! *grin* Maar nu ga ik ook naar m'n mandje. Truste!

@monade dat de desktop voor andersdenkenden is, daar wil ik je toch even op corrigeren. Ubuntu! heeft niet voor niets een "bug number one" over het oneerlijk verdeelde desktopmarktaandeelpercentage. Belangrijker is, dat er op de servermarkt sowieso nog wel concurrentie is - daar is namelijk het marktaandeel Windos niet > 95%.

Er zijn ondertussen miljoenen overheidsgeld gepompt in projecten rond open source, die allemaal (volgens de oorspronkelijke kamermotie) als doel hebben om een betere marktwerking te krijgen; maar oh wee, de desktop, daar komen ze (op een enkele uitzondering na) niet aan, want dat kan niet en is niet haalbaar.

Het probleem oplossen, maar niet op de plek waar het probleem zit.

Ik heb de linkdumptitel even aangepast, stelletje wortelbroeken.

Wij zagen toch al lang dat jij dat deed, Sha-baz.

Via die speciale wortelbroeken-backdoor die wij in het CMS hebben gebakken bedoel je?

Bedoel je die speciale zij-uitgang die ome blues heeft ingebakken tbv de KGB ?

Die zit alweer dicht, de KGB betaalt slecht.