Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Responsable .NET

    Le fondateur d’OpenBSD fork OpenSSL pour créer LibreSSL
    Le fondateur d’OpenBSD fork OpenSSL pour créer LibreSSL
    le code source de la bibliothèque de chiffrement trop désordonné pour Theo de Raadt

    Internet fait face depuis quelques jours à l’une des pires failles de son histoire. La faille Heartbleed, au cœur de la boite à outils de chiffrement open source OpenSSL, permet d’accéder à des données sécurisées par TLS/SSL.

    Des milliers de sites Web, des équipements de télécommunications, des plateformes et applications mobiles, ainsi qu’un nombre important de logiciels sont touchés par cette faille, car OpenSSL a été largement adopté par l’industrie.

    Cette faille peut cependant sonner le glas de la fin d’OpenSSL, car celui-ci vient d’être victime de l’un des sports favoris des acteurs de l’open source : le fork. La communauté du projet OpenBSD vient d’annoncer la création de LibreSSL, le fork du projet OpenSSL.

    Pourquoi créer une nouvelle variante d’OpenSSL, au lieu de contribuer à l’amélioration de la bibliothèque qui est largement utilisée sur Internet ? Pour Theo de Raadt, le fondateur d’OpenBSD, cela se justifierait par le manque de clarté dans le code source d’OpenSSL.

    Pour rappel, Heartbleed est due à un petit bug qui était présent dans la branche de développement, et qui est passé outre les mailles du système de validation, ce qui apporte du crédit aux affirmations de Theo de Raadt.

    Plus de la moitié du code de la branche principale d’OpenSSL a été nettoyé et le code a été refactorisé pour faciliter la maintenance. Theo de Raadt a déclaré à ZdNet.com que 90 000 lignes de code C et 150 000 lignes de contenu ont été supprimées.

    Le code source de base de LibreSSL est disponible sur OpenBSD.org. Son développement est soutenu par la fondation OpenBSD, responsable du développement du système d’exploitation Unix OpenBSD et des projets connexes comme OpenSSH ou encore OpenSMTPD.

    LibreSSL est conçu initialement pour être embarqué dans OpenBSD, mais supportera également plusieurs autres systèmes d’exploitation, lorsque son code sera assez stable et facilement maintenable.

    La première version de LibreSSL devrait être incluse dans OpenBSD 5.6, dont la publication serait prévue pour novembre de cette année.

    Le site de LibreSSL

    Et vous ?

    Qu’en pensez-vous ? Vers la fin d’OpenSSL ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre éprouvé
    Cette faille peut cependant sonner le glas de la fin d’OpenSSL, car celui-ci vient d’être victime de l’un des sports favoris des acteurs de l’open source : le fork.
    J'adore, c'est tellement vrai !

    Pour ce qui est de la solution alternative, je suis pressé qu'elle soit stable pour faire un test sur la dev.
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  3. #3
    Expert confirmé
    Citation Envoyé par Shuty Voir le message
    J'adore, c'est tellement vrai !
    En même temps, le fork dans du proprio c'est vachement moins évident, sauf à avoir de problèmes.

  4. #4
    Membre régulier
    Pendant un moment j'ai cru que le site était une blague, puis j'ai lu la dernière ligne : "This page scientifically designed to annoy web hipsters. Donate now to stop the Comic Sans and Blink Tags".
    Rassuré.

  5. #5
    Membre expérimenté
    sports favoris des acteurs de l’open source : le fork.
    C'est parce que le fork apporte beaucoup a l'Open-Source, il fait partis de ses forces.

    Dans le propriétaire, le fork existe aussi mais le fork qui gagne est celui qui a conquis le chef le plus puissant... c'est pas toujours le meilleurs étant donné que le chef ne se penche jamais sur le fonctionnement interne, sur les conséquences a long terme, il voit ce qu'on lui montre.

    Dans l'Open-Source, c'est tout l'inverse, c'est d'abord les développeurs qui vont choisir le plus simple, efficace et logique d'un point de vue technique. Pour finir l'utilisateur va les départager et choisir celui qui lui conviens le mieux, qui est le plus souple / efficace / documenté / sécurisé... Mais parfois les 2 survivront longtemps et apporteront des solutions complémentaires voire créeront une concurrence efficace. Cette concurrence se retrouve certes un peu dans le propriétaire mais c'est bien souvent celui qui a le meilleurs marketing qui gagne (vente lié et autres vente forcé) et il n'y a pas d'échange de bon procédé entre eux, juste une guerre de brevets sur l'interface.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  6. #6
    En attente de confirmation mail
    On est assez loin d'un fork dû à une communauté divisée parce que l'un pife pas l'autre (ffmpeg/libav) ou Google qui s'approprie une techno' (webkit).
    De la part de Theo de Raadt, il faut s'attendre à un fork de compét'. La philosophie de l'OpenBSD Foundation est la sécurité à travers des audits, mais aussi une volonté très forte de maintenir un code le plus claire possible.
    Les projets OpenSSL/LibreSSL ont beaucoup à gagner à travers cette initiative.

  7. #7
    Membre chevronné
    Citation Envoyé par abriotde Voir le message
    C'est parce que le fork apporte beaucoup a l'Open-Source, il fait partis de ses forces.

    Dans le propriétaire, le fork existe aussi mais le fork qui gagne est celui qui a conquis le chef le plus puissant... c'est pas toujours le meilleurs étant donné que le chef ne se penche jamais sur le fonctionnement interne, sur les conséquences a long terme, il voit ce qu'on lui montre.

    Dans l'Open-Source, c'est tout l'inverse, c'est d'abord les développeurs qui vont choisir le plus simple, efficace et logique d'un point de vue technique. Pour finir l'utilisateur va les départager et choisir celui qui lui conviens le mieux, qui est le plus souple / efficace / documenté / sécurisé... Mais parfois les 2 survivront longtemps et apporteront des solutions complémentaires voire créeront une concurrence efficace. Cette concurrence se retrouve certes un peu dans le propriétaire mais c'est bien souvent celui qui a le meilleurs marketing qui gagne (vente lié et autres vente forcé) et il n'y a pas d'échange de bon procédé entre eux, juste une guerre de brevets sur l'interface.
    Le fork, c'est aussi sa faiblesse car ça disperse les forces et brouilles les utilisateurs les moins initiés. Trop d'environnement de bureau, trop de suite office trop de tout. "Trop, c'est comme pas assez" comme disait ma grand mère. Sans compter que pour les forks dûs à des querelles, ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée. Le gros problème du libre, c'est les libristes en fait.

  8. #8
    Membre chevronné
    Citation Envoyé par nirgal76 Voir le message
    ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée
    Mais peut-être que ça vient du côté publique du processus de développement du libre. Ça doit se quereller aussi dans le privé.
    "If you can't teach it then you don't know it."

  9. #9
    Expert éminent sénior
    c'est là qu'on voit que même une solution libre, quand elle occupe une position dominante, représente un danger. Il me semble qu'un faille avait été aussi trouvé dans libupnp qui se retrouve sur un tas d'équipements UPnP.

    moi je suis pour la diversité.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Le Store Excute Store

  10. #10
    Membre éprouvé
    Citation Envoyé par Shuty Voir le message
    J'adore, c'est tellement vrai !

    Pour ce qui est de la solution alternative, je suis pressé qu'elle soit stable pour faire un test sur la dev.
    J'aurais plutôt mis en avant la partie "sonner le glas de la fin" qui ne veut pas dire ce que le newser voudrait lui faire dire

  11. #11
    Membre du Club
    En tout cas les commentaires des gars d'OpenBSD sur le code d'OpenSSL qu'ils sont entrain de réécrire ne sont pas toujours tendres. Caustiques, disons.

    Je trouve ça un peu limite.

    Concernant "pour ou contre le fork", je trouve que c'est une question idéologique: centraliser ou décentraliser, leadership fort ou anarchie, efficacité ou passion, etc... Tout dépend du monde dans lequel on veut vivre.

  12. #12
    Membre éclairé
    Pour être cohérent il faudrait forker OpenBSD en LibreBSD, qui utilisera des connexions LibreSSH basées sur LibreSSL pour faire tourner LibreOffice en toute sécurité...

    Je me pose la même question que celle posée dans l'article: pourquoi forker au lieu de participer à améliorer le projet existant, à le faire évoluer? Est-ce qu'il a fait des propositions qui lui ont été refusées ou est-ce simplement qu'il pense que sa façon de faire est meilleure simplement parce qu'elle vient de lui? Parfois les forks permettent aussi tout simplement de casser la compatibilité avec les anciennes versions.

    Pour ne prendre que l'exemple OpenOffice/LibreOffice dont le fork a été fait pour des raisons plus "politiques" que techniques: le grand gagnant de l'opération a incontestablement été Microsoft Office.

  13. #13
    Modérateur

    Citation Envoyé par olreak Voir le message
    Pour être cohérent il faudrait forker OpenBSD en LibreBSD, qui utilisera des connexions LibreSSH
    Oups, openSSH fait partie du projet openBSD...

    Citation Envoyé par olreak Voir le message
    pourquoi forker au lieu de participer à améliorer le projet existant, à le faire évoluer?
    Probablement pour que les release de libreSSL soient calquees sur le modele de celles d'openBSD, c'est a dire que le code est figé bien avant la sortie, pour justement faire des tests et des corrections.
    Cela va souvent a l'encontre des autres distributions qui ne figent pas le code, mais se contentent de prendre une version "stable" tout en continuant les dev.

    Bref, regarde un peu la philosophie d'openBSD et de Theo de Raadt, les critiques positives et negatives qui sont faites a leur encontre, et tu trouveras pourquoi.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  14. #14
    Membre averti
    Je n'ai pas les éléments pour dire si ce fork est justifié ou non (à priori, il y a quand même pas mal de débris dans OpenSSL, mais vu que j'ai lu ça sur un blog pro-fork...). Par contre je ressent un peu comme une injustice vis-à-vis d'OpenSSL en dehors de toute question de gouvernance et d'égos. Tout le monde s'en sert pour sécuriser ses transactions. C'est à dire que tout le monde profite de ce code, même des sociétés qui ont des capacités de développement. Mais combien contribuent au logiciel au final? Quand il y a un bug on se met à fustiger ce code, jusqu'à remettre en cause le dvpt open source. Effectivement, c'est un composant critique : il mérite une revue de code digne, encore faut-il qu'il y aie des relecteurs et que les principaux utilisateurs consacrent des ressources à ce travail (qui - je rappelle - ne peut être fait sur une librairie proprio).

    Enfin bref, une petite gueulante quoi du Jeudi midi

    Daniel

  15. #15
    Modérateur

    Citation Envoyé par mangobango Voir le message
    il mérite une revue de code digne, encore faut-il qu'il y aie des relecteurs et que les principaux utilisateurs consacrent des ressources à ce travail
    Oui, il merite une revue de code digne de ce nom, et je suis persuadé qu'il y en a.

    Choisir de forker, c'est beaucoup plus souvent un choix politique qu'un choix technologique : lorsqu'on fork, on prend la responsabilite du nouveau code, et donc aussi la gestion de qui commit quoi, quand et comment.
    Oui, l'equipe d'openBSD aurait bien sur pu contribuer a openSSL, mais que penseraient les possesseurs d'un commit qui supprime 90 000 lignes de code C et 150 000 lignes de contenu ? Probablement pas grand chose tellement ce changement est grand, et donc ingerable dans la version actuelle.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  16. #16
    Expert éminent
    @mangobango, il faut aussi dire que le libre manque de coté pratique pour les boites. A par un projet californien pour developper des fonctionnalités sur du libre, il faut assigner des dev, qui se feront ou pas intégrer dans l'équipe, etc..

    Pour une petite boite, et même une grosse, c'est tellement plus simple de faire un chèque... mais la on l'adresse a qui ?
    Mon profil linked in

    Chez Adaptive, nous cherchons un dev python / Cloud sur Toulouse sud.
    Produit fun et belle refonte du code.

  17. #17
    Expert confirmé
    Citation Envoyé par Delbor Voir le message
    En tout cas les commentaires des gars d'OpenBSD sur le code d'OpenSSL qu'ils sont entrain de réécrire ne sont pas toujours tendres. Caustiques, disons.

    Je trouve ça un peu limite.

    Concernant "pour ou contre le fork", je trouve que c'est une question idéologique: centraliser ou décentraliser, leadership fort ou anarchie, efficacité ou passion, etc... Tout dépend du monde dans lequel on veut vivre.

    C'est surtout une belle connerie.... Au lieu de s'allier pour éprouver et permettre à OpenSSL de sortir renforcé de cette expérience, on crée un LibreSSL qui d'après les premières lectures faites, a été épuré de plein de fonctions. Ce n'est pas une solution. Alors certes LibreSSL sera peut être plus sur mais il n'est plus iso fonctionnel. Quel est le gain ? 0

    C'est avant tout pour faire chier les linuxiens, Les gueguerres BSD/Linux commencent vraiment à être lourdes... Manque que Lenhart dans la discussion le troll et on attendra le sommet.
    Grave urgent !!!

  18. #18
    Membre extrêmement actif
    Citation Envoyé par olreak Voir le message
    Pour ne prendre que l'exemple OpenOffice/LibreOffice dont le fork a été fait pour des raisons plus "politiques" que techniques: le grand gagnant de l'opération a incontestablement été Microsoft Office.
    Enfin, dans ce cas, c'est aussi que les dernières versions de MSO (depuis MSO 2007) ont mis OOo et LO à des années lumières derrière elles au niveau look et fonctionnalité. Avant, on pouvait voir que OOo comme une alternative à MSO, depuis OOo et LO ont tellement de retard qu'il y a peu de chance qu'ils s'en relèvent.

    Pour ce qui est des forks en général, je dirais que c'est symptomatique du libre. On créé plein de petits projets similaires, chacun avec ses forces et ses faiblesses mais aucun grand et projet de taille à rivaliser avec les logiciels propriétaires qui ont l'avantage d'un suivi et d'une pérennité.
    Au nom du pèze, du fisc et du St Estephe
    Au nom du fric, on baisse son froc...

  19. #19
    Expert éminent
    Citation Envoyé par Katyucha Voir le message
    C'est surtout une belle connerie.... Au lieu de s'allier pour éprouver et permettre à OpenSSL de sortir renforcé de cette expérience, on crée un LibreSSL qui d'après les premières lectures faites, a été épuré de plein de fonctions. Ce n'est pas une solution. Alors certes LibreSSL sera peut être plus sur mais il n'est plus iso fonctionnel. Quel est le gain ? 0
    Je ne suis pas d'accord.
    Il faut évaluer les fonctions supprimées pour savoir si elles sont utiles ou pas.
    Iso-fonctionnel c'est mignon, mais trainer des vieux machins, c'est un cout de dev non négligeable.

    La simplification a du bon en général.
    Mon profil linked in

    Chez Adaptive, nous cherchons un dev python / Cloud sur Toulouse sud.
    Produit fun et belle refonte du code.

  20. #20
    Expert éminent
    Citation Envoyé par Hinault Romaric Voir le message
    ...Et vous ?

    Qu’en pensez-vous ? Vers la fin d’OpenSSL ?
    J'en pense surtout que le monde du libre est bien vivant ... et ça, c'est plutôt rassurant.
    Pierre GIRARD

###raw>template_hook.ano_emploi###