IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Internet Discussion :

Chrome : Google remplace OpenSSL par BoringSSL


Sujet :

Internet

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 332
    Points
    252 332
    Billets dans le blog
    118
    Par défaut Chrome : Google remplace OpenSSL par BoringSSL
    Chrome : Google remplace OpenSSL par BoringSSL
    son fork de la bibliothèque de chiffrement open source

    BoringSSL, l’outil de chiffrement open source de Google a été adopté par les développeurs du projet Chromium, ce qui signifie que la solution devra remplacer OpenSSL dans une prochaine mise à jour du navigateur Chrome.

    Il y a pratiquement un mois, Google avait présenté le projet BoringSSL, avec pour objectif de réduire les efforts de maintenance d’OpenSSL, qui avait fait les choux gras de la presse IT il y a quelques mois pour la faille Heartbleed.

    BoringSSL est donc un fork d’OpenSSL, qui n’a cependant pas pour ambition de remplacer OpenSSL. La vision des développeurs de Google est de disposer d’un socle sur lequel ils importeront les modifications qui ont été apportées à OpenSSL, plutôt que d’appliquer leurs changements au-dessus de l’outil. Il faut noter que Google dispose actuellement de plus de 70 correctifs développés en interne pour OpenSSL. Les maintenir pour l’ensemble de ses produits utilisant la solution (Android, Chrome, etc.), demande beaucoup trop d’efforts. De plus, avec BoringSSL, Google pourra également profiter des évolutions de LibreSSL, le fork d’OpenSSL maintenu par la fondation OpenBSD.

    BoringSSL a déjà été intégré dans une build de Chrome. Les développeurs intéressés peuvent déjà tester cette version qui est disponible sur le « dev channel » du projet Chromium.

    Il faut souligner que selon les notes de révision du navigateur, la migration vers BoringSSL n’a pas été aussi facile que prévu. Le 16 juillet, les développeurs du projet Chromium ont ajouté BoringSSL à l’arbre de Chrome, avant de le supprimer par la suite à cause de problèmes de compatibilité avec le composant WebView pour Android.

    Une deuxième tentative a eu lieu le 17 juillet, mais les développeurs auraient constaté un problème de compatibilité avec WebRTC sur Android. Puis, le 18 juillet, BoringSSL a été intégré à Chrome et a été par la suite supprimé à cause d’un problème de Build, avant une dernière tentative le 22 juillet.

    L’intégration de BoringSSL dans Chrome amorce une migration qui verra la solution remplacer OpenSSL dans tous les produits de Google dans lesquels la solution de sécurité open source est utilisée.

    Télécharger Chrome sur le Dev channel


    Source : site du projet Chromium


    Et vous ?

    Qu'en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre éprouvé
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    581
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2004
    Messages : 581
    Points : 1 092
    Points
    1 092
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Il faut souligner que selon les notes de révision du navigateur, la migration vers BoringSSL n’a pas été aussi facile que prévu.
    Ah, ils se sont rendu compte que développer sa propre backdoor, c'est pas si facile que ça?

    Plus sérieusement, quelle est l'utilité d'une "n+1ème" version dont on n'a aucune garantie de sérieux ni de sécurité ni de fonctionnement, qui sera développée et maintenue par un cercle plus restreint que le précédent, et qui va embrouiller encore plus tout le monde ?
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  3. #3
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    107
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : avril 2010
    Messages : 107
    Points : 233
    Points
    233
    Par défaut
    @Thorna :o ! Cela donne une certaine flexibilité à Google.

    Google avait tellement de correctifs/patch sur leur banche, (Pas tous approuvé ou mergé sur la branche principale) que cela devenait laborieux de la maintenir. Dans ce cas, il vaut mieux faire un fork et continuer de contribuer à OpenSSL. L'avantage que c'est tout tes correctifs sont directement sur ton fork, et plus sous forme de Patch non mergé, que tu vas perdre/re-écrire/re-debugger à chaque MAJ.

    Enfin c'est comme ça que je vois les choses.

  4. #4
    Membre habitué
    Homme Profil pro
    Développeur de jeux vidéo
    Inscrit en
    février 2009
    Messages
    141
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur de jeux vidéo
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2009
    Messages : 141
    Points : 185
    Points
    185
    Par défaut
    Moi je me demande quand même pourquoi ils n'ont pas fait ça plus tôt, forker un projet pour ajouter ses propres modifications c'est monnaie courante dans le monde du développement (Quand c'est vraiment nécessaire).

Discussions similaires

  1. Réponses: 3
    Dernier message: 23/01/2006, 13h02
  2. Remplacer null par...
    Par HichamK dans le forum Oracle
    Réponses: 4
    Dernier message: 17/01/2006, 14h56
  3. Réponses: 2
    Dernier message: 14/11/2005, 14h33
  4. [Configuration] remplacement des é par des i
    Par illegalsene dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 18/10/2005, 17h37
  5. [ASP] include remplacer chemin par variable
    Par damn dans le forum ASP
    Réponses: 3
    Dernier message: 01/10/2004, 16h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo