x****k
发帖数: 2932 | 1 编者按:本文作者为霍炬,科技 blogger,连续创业者,技术爱好者,有一个公众帐号
“歪理邪说”(ID:wxieshuo)。
前几天,在朋友圈看到转来的原发于 “ 界面 “ 关于 OpenSSL 和开源项目的 “ 隐
形战友 ” 一文。开始觉得不过是炒冷饭,“心脏出血” 这个 OpenSSL 严重漏洞,从
去年(2014)4 月初被公众知道,到现在已有将近一年了,这件事已经算告一段落。
尽管这篇文章充满了误解、硬伤和企业宣传,我也没太在意。结果,今天看到界面的网
站上竟然还在用支付宝给 OpenSSL 募捐,这就荒唐了。之前有一些朋友说,无论怎么
样,多一些关注总是好的,从现在的结果看,界面的文章造成的坏影响更大,这篇文章
扭曲了开源社区的本来状况,对其他组织和企业也不公平。开源软件、安全、隐私确实
是大部分普通用户不了解的领域,但记者要写一篇文章,总应该对历史有个基本了解。
界面网络的创始人何力先生,曾经创建了经济观察报和第一财经,都是不错的媒体,再
次创业界面,也备受关注。可惜界面这篇文章,给我带来的失望比较大。更好笑的是,
当年罗永浩对战王自如的时候,罗粉说王自如的公司是雷军投... 阅读全帖 |
|
p**********r
发帖数: 3581 | 2 【 以下文字转载自 Java 讨论区 】
发信人: pittsburgher (钢人), 信区: Java
标 题: Java7和openssl版本问题
发信站: BBS 未名空间站 (Tue May 13 16:05:42 2014, 美东)
最近工作上碰到的,Java升级到7,完后以前工作的SSL Certificate就不工作了。
网上搜了一圈,发现是个bug,应该修好了,可是升到最新的7u55,还是不行。
java升级到8,都启动不了。
但是另外的老版本的openssl机器上就没这问题,java6和7通吃,openssl是098e。
出问题的机器openssl是随CentOS 6.4带的1.0.0-fips。
两个选择,一个是降级openssl到098e,做了yum install,系统显示2个版本,不知道
怎么把1.0.0-fips去掉。
第二选择就是用网上搜到的方案去从新折腾SSL Certificate。想偷个懒降级openssl,
公司的系统管理员不愿意搞,说有200多package受影响。尼玛,难道只能把CentOS降到
5.8才行吗? |
|
p**********r
发帖数: 3581 | 3 最近工作上碰到的,Java升级到7,完后以前工作的SSL Certificate就不工作了。
网上搜了一圈,发现是个bug,应该修好了,可是升到最新的7u55,还是不行。
java升级到8,都启动不了。
但是另外的老版本的openssl机器上就没这问题,java6和7通吃,openssl是098e。
出问题的机器openssl是随CentOS 6.4带的1.0.0-fips。
两个选择,一个是降级openssl到098e,做了yum install,系统显示2个版本,不知道
怎么把1.0.0-fips去掉。
第二选择就是用网上搜到的方案去从新折腾SSL Certificate。想偷个懒降级openssl,
公司的系统管理员不愿意搞,说有200多package受影响。尼玛,难道只能把CentOS降到
5.8才行吗? |
|
s***e
发帖数: 108 | 4 这个不应该是openssl的问题吧
OpenSSL生成key/cert后, 就没OpenSSL啥事了呀
你有packet dump吗?看着可能是用了session ticket.
SSL/TLS现在问题就是太复杂,实现又各有各的,OpenSSL也没办法吧
debug |
|
h**********c
发帖数: 4120 | 5 另外,
我老以前就提出过,openssl不过是一堆加密协议的堆砌。Openssl不是ips/ids, (
intrusion detection/prevention system).
openssl 不是it security consultant.就象google 不是社安局一样(social security
). 你能获得信息、帮助,但不是你的救命稻草。
敏感信息加密还要audit,
写个电脑游戏openssl有点overshoot
D0d 用就是笑话了 |
|
k***e
发帖数: 7933 | 6 centos 6,openssl是1.0.1e,heartbleed vulnerable。更新openssl说没有
# yum update openssl
Loaded plugins: security
Setting up Update Process
No Packages marked for Update
#
需要怎么更新? |
|
w***g
发帖数: 5958 | 7 界面上那篇文章一看就是文科生写的报告文学,不去扣技术细节和商业目的的话看着还
挺不错。楼主那篇写得也不错。
"他话多却有点耳背,平时爱好喝酒打猎,余下的时间都用来守护那个有史以来应用最
广泛的开源密码库项目——OpenSSL。如果OpenSSL代码存在漏洞,全球三分之二的网站
服务器将会受到影响。"
很有武侠小说的味道。话说OpenSSL影响力这么大的project,还是for profit的,收入
肯定不少。一般钱少的编程序会比较认真,钱多了反而就随便应付一下了。 |
|
|
|
s****y
发帖数: 503 | 10 最近的Heartbleed bug好像和OpenSSL有关吧
应该升级OpenSSL到最新的版本,然后再重新生成Certificate |
|
c********l
发帖数: 8138 | 11 re这个
话说我这两天正好在捣鼓这个
Openssl 生成的key/cert + Tomcat 7 + APR Connector
结果发现了一个莫名其妙的bug
按照道理,只要SSL的链接成功建立,都会有Session ID
具体体现是getAttribute( "javax.servlet.request.ssl_session")必然有返回值
但是,在某种特殊条件下会诡异地返回null
也就是说,
如果客户端浏览器将self signed的证书加入root CA ,并且在不打开java.net.debug
=all的情况下,那么session ID 为null
这两个条件,只要去掉其中任意一个,session id依然能返回
不知道到底是java还是Tomcat 7还是OpenSSL的问题,总之三个里面必然有一个
有问题。 |
|
h**********c
发帖数: 4120 | 12 i am not sure openssl is really open
never got the complete source to read, but there is work-around, leave to
the reader as hw
maybe the only way is to compile kernel yourself and then compile openssl,
never tried.
this thing is not a free lunch, ykwim. |
|
c********l
发帖数: 8138 | 13 Tomcat有两种不同的connector.
一种是NIO/BIO,如果用这种connector,需要用Java cipher suite
采用java keystore方式
另一种是APR,
在用APR时,需要单纯配置一个dll(windows环境下)
APR读取OpenSSL格式的Key file / Cert file
OpenSSL格式与Java的keytool并不兼容 |
|
S*A
发帖数: 7142 | 14 这个原文的评论主要是特别不满意别人捐钱给锤子的软文
和别人给 OpenSSL 捐钱,好像开源的关键是这个如何收集
捐钱。这个是比较偏颇的。给 OpenSSL 捐钱又怎么了。
又不是考这个发财。就算给他所说的其他项目捐钱,也不是
能保证出个什么结果的东西。
在我看来,如何运行好一个项目,如何让更多的人用。
这个才是开源的核心运作。有些项目受人的水平限制,
也是没有办法。想给贡献也很简单,有力出力,至于
有钱出钱还不是首位的。把钱放很重要位置的开源项目
多数不容易跑好,钱不是一直有的,有很多时候是兴趣
和其他因素推动的。 |
|
x*****n
发帖数: 1905 | 15 偶想用openssl的库做一个CA出来,可是在openssl的库函数说明
里面没有查到有关PKI Message的定义以及相应的操作,
我只能找到X509_REQ这样的证书请求处理函数,没有诸如证书失效
请求/应答函数,密钥失效请求/应答函数。
还请做过类似东东的大虾指教,小弟先谢过了。 |
|
p***p
发帖数: 559 | 16 我是阅读了IBM网站上和本站建立TOMCAT的SSL功能文章,严格按照其中步骤执行。
首先使用本站下载OPENSSL执行版,建立CA自己KEY,自签名做根证书。
使用KEYTOOL生成SERVER的钥匙对,以及待签名证书,COPY然后用OPENSSL证书签名。用OP
ENSSL生产
IE用的PK12证书加签名。
将CA根证书,SERVER证书引回到SERVER的KEYSTORE。将CA根证书和CLIENT证书引入IE,结
果访问8443
时候出现窗口,第三项依然是惊叹号,就是。页面名子和CA认证名字不相符,试验各种方
法都是不成。
请问一般是什么问题呢? 所有一切都是在本地一台机器上实现的。
还有几个问题:
1 如果用KEYTOOL为CLIENT何SERVER在同一机器上生成KEYPAAR,一定要用两个KEYSTORE吧
,请问KEY的ALIAS
到底什么作用呢,是不是要指定比如TOMCAT必须使用那个ALIAS的KEY。如果一个KEYSTORE
里面存在多个KEY PAAR
程序怎么知道该用哪个
2
IBM文章里面讲还要将CA根证书引入JSSE指定KEYSTORE,JDK/JRE/L |
|
f**y
发帖数: 138 | 17 You already have openssl-1.0.1e-16.el6_5.7 installed. And I already showed
you the change log of this version which contains the fix.
By the way, CentOS auto updates periodically. |
|
j******n
发帖数: 271 | 18 Today I tried to sign and verify a document with openssl dgst. Everything
worked ok when I used rsa keys. However when I used dsa key, the
verification failed with error about the private key. That puzzled me as
verification should use only the public key. Anybody with similar experience
to share? Many thanks. |
|
h**********c
发帖数: 4120 | 19 tomcat use sun/Java cipher suite,
not openssl, source your self,
I am not responsible
debug |
|
s***e
发帖数: 108 | 20 it is. You can sure compile OpenSSL from source. No need to compile kernel
by yourself. |
|
|
p*******g
发帖数: 660 | 22 原文很脑残,就跟吃饱了饭骂字幕组是一个道理。
整个一副老子给钱就是大爷的口气。说真的,做开源纯粹是兴趣,指望捐款会饿死。
300美金的机票很贵了,你指望冏国淫借你个十块淫冥币都借不到。我不知道冏国淫有
什么脸对openssl指手画脚的。 |
|
x*****n
发帖数: 1905 | 23 象你说的这样,这种消息机制遵循ldap协议的话,
偶在openssl中是 找不到此种处理函数了。
只能根据ldap的协议自己定义消息,自己做处理了,
看来很麻烦的说。 |
|
m**t
发帖数: 1292 | 24 actually one way to do it is that get the source code of all the
CA and CRL comandline utilities and make it a lib for yourself.
thus you have all the utilities APIs to manage ur CA stuff, but
regarding the req revoke whatever operations between Client and CA, the
LDAP is also an open source.
If you don't like to do all these, get a toolkit
from leading PKI vendors like entrust, certicom OpenSSL is not the
way to go, the only useful stuff from there I foun dis the cryptolibrary
... good luck |
|
i***s
发帖数: 39120 | 25 年度最严重安全漏洞波及2亿网民
可导致用户账号密码泄露;国内网站紧急修复,U盾不受影响
昨天,安全协议OpenSSL爆出本年度最严重的安全漏洞“心脏出血”。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,包括网银、知名购物网站、电子邮件等信息。昨天下午,国内大量网站已开始紧急修复此OpenSSL高危漏洞,中国金融认证中心则发文表示,网银受到的影响较少,U盾可以放心使用。
国内2亿网民面临泄密风险
4月7日凌晨,国内就出现了针对OpenSSL“心脏出血”漏洞的黑客攻击迹象。据360网站安全检测平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受该漏洞影响。4月7日、4月8日期间,共计约2亿网民访问了存在OpenSSL漏洞的网站。
360安全专家石晓虹博士表示,OpenSSL此漏洞堪称“网络核弹”,网银、网购、网上支付、邮箱等都会受到影响。因为有很多隐私信息都存储在网站服务器的内存中,无论用户电脑多么安全,只要网站使用了存在漏洞的OpenSSL版本,用户登录该网站时就可能被黑客实时监控到登录账号和密码。
目前还没有具体的统计数据... 阅读全帖 |
|
h**********c
发帖数: 4120 | 26 another five cents, I found openjdk cipher source.But openssl not,
if try to compile openssl, you have to download some binary .o etc.
Once tried compiling from kernel, too many dependencies, gave up.
So I believed some part of it is not that open.
But openssl not, it stated in their website, not exactly recall, openssl
depends on some US patents.
openjdk did not say so. |
|
发帖数: 1 | 27 1. 纳斯达克近万家公司,有哪家公司需要用比特币来装逼?先看有多少家公司有这种
需求,再谈产品。更何况找验资公司起码不会受这么大的价格波动,你才是真的一无所
知。
2."比特币被盗了警察不管?drama的老毛病又犯了吧? 我要是找出警察管的案例你自扇
耳光不?"
不要拿什么"好好读书有毛用,你没看北大学生出来找不到工作"这种小概率事件来反驳。
要不要我拿比特币被盗警察管不了的新闻出来看看哪种情况多?关了那么多交易所,比
特币找回来的有几次?
3."比特币的牛b在于我想实名就实名,不想实名就不实名。我淘宝上买个衣服我匿名干
嘛? 不要太搞笑。至于私钥要给淘宝或银行这种搞笑的说法,暴露了你不懂加密算法。
别拿你懂openssl来掩盖了:),
"至于私钥麻烦你搜一下纸钱包或者脑钱包的概念。你就知道要丢私钥确实比你老婆出
轨还难。"
匿名的使用场景低,买白粉买黑枪洗钱。
实名的使用场景高,但你实名以后你比特币相对微信和支付宝优势在哪?人家凭什么支
持你。
你淘宝买个衣服对公众也是匿名的,阿里只有极少数的人能审查你的订单(正好有朋友
负责阿里这块),而且每次登陆数据库服务器都有记录,包括为什么查... 阅读全帖 |
|
S*A
发帖数: 7142 | 28 你要仔细读你连接的那些东西是什么 License.不是什么开源东西都是
GPL 的,有很多是其他的 License. 例如 LGPL, BSD, Apache etc
OpenSSL 是 OpenSSL License, 你不用开源,但是需要公开你用了
OpenSSL 的代码。 |
|
x****u
发帖数: 44466 | 29 这事不是OpenSSL的责任。
Google内部发现了这个问题,自己修复后除了提交patch给OpenSSL之外还能做什么?
OpenSSL官网只发布源代码,又不负责编译成千上万个二进制包。
等IT加班加点rebuild和测试时,黑客早用脚本爽翻了。 |
|
|
c****3
发帖数: 10787 | 31 欧美富豪支持开源也是笑话。
openssl用的人有多少,google,facebook这些公司个个都在用,openssl一年的捐款只
有2000美元。 |
|
z*******3
发帖数: 13709 | 32 openssl重要归重要,关键是没有多少人参与
c的项目从来都没有多少人参与,看c代码太头疼了
apache的top project大多数都是java的
java的projects很容易找到各种傻冒给你做贡献
java社区比c社区活跃很多,openssl到现在版本号才刚刚上1
java的各种projects都开始退役了 |
|
R****2
发帖数: 342 | 33 这里大多都是多少搞过科研的,计算机方向的相信也不在少数。怎么也都和国内网上什
么都不懂的跟风狗一样兴奋,言必称抄袭。。。
前几年还在搞科研的时候还真读过透明计算的paper,不过也就是记得个名词最后也没
用上过了俩月就什么细节都不记得了。所以说这东西也就是篇普通灌水的文章根本够不
上奖这个所有人都没啥意见,要喷喷也无比正常,刚爆这事的时候我也一起喷过。
但是后来抄袭的事情一出来我就觉得开始过分了,大家都是搞过科研的,多少内容需要
用到开源库,多少内容就是在别人的库上修改以达成测试目的大家也都知道,退一万步
说,哪怕中南大学就是完全拿出一个开源软件来忽悠,光靠电视里那点证据完全不够吧
。举个不恰当的例子,如果我修改了OpenSSL内容实现了用一个崭新的算法实现加密,
然后有人看演示的时候还是运行了OpenSSL就说我一定抄袭,这完全是不靠铺的吧。。
。。
本来我以为这里基本只会对一等奖不满,对所谓抄袭会持保留态度,谁知道完全不是这
回事阿。。。。
难道是这里其实计算机背景的没多少么。。。 |
|
c****3
发帖数: 10787 | 34 你要知道搞开源的有多惨,就知道为啥中国人少了。
Openssl是个流行加密库,互联网上大部分程序都在用,openssl基金的一年只收到2000
美元捐款。全职开发者每年收入只有2万美元。 |
|
c***c
发帖数: 21374 | 35 人家就这样,还被骂白左
: 你要知道搞开源的有多惨,就知道为啥中国人少了。
: Openssl是个流行加密库,互联网上大部分程序都在用,openssl基金的一年只收
到2000
: 美元捐款。全职开发者每年收入只有2万美元。
|
|
发帖数: 1 | 36 你说的应用场景是比特币技术本身,而不是比特币。
这个是典型的比特币洗脑者的伎俩,那个江卓尔就是个利益相关的洗脑者,或者他自己
也被洗脑了。
为什么说比特币技术本身是有用的,因为这个技术完全直接可以被政府和银行使用。
之所以能证明他那个账户没有是动过,为什么呢,因为所有的交易记录都是公开的,你
转一笔钱,就会被记录到所有比特币网络中,永远无法撤销。
银行现在的问题就是:
1.你要去验证某个公司的资产,费时间费精力,没有对公众直接提供可查资的接口。
2.资产转移记录没有对外公开,交易可以内部撤销、回滚,这有时候会涉及到扯皮。
好了,有了比特币技术,这些就可以解决了,只要所有银行等金融机构建立这套信任网
络就行了,对于那些愿意公开的,银行就把所有交易记录通过接口公布出来,这个是银
行改不了的,比如我在汇丰银行公开一个账户地址,此账户的任何资产转移都会被公开
,汇丰银行内部也改不了,因为这些资产转移记录已经被其他所有行记录了,假设我往
里存一块钱,我可以在信任网络里查询是否存款成功,等我去取钱时,汇丰银行不认账
,但其他所有银行都有我这个账户的记录,那就可以为我证明汇丰银行在抵赖。
这个是比特... 阅读全帖 |
|
v****y
发帖数: 302 | 37 '说了,个人装逼可以学梅威瑟,公司装逼可以找验资公司,这已经可以解决大部分人
需求了,只有非常少的情况下,才连验资公司都不信,要做分布式验资,银行现在也在
做这种技术。
所以大部分装逼需求不劳烦您比特币再脱裤子放屁。"
展示一个比特币地址容易还是找验资公司容易? 哪个更省钱? 你这段话简直不值一驳。
"信用卡盗刷,支付宝转账被骗,你可以走法律程序,要不要回来是回事,有没有
渠道
是回事,你总不能说被抢钱了,小额的话国内警察一般不管,就不要警察这种职业了吧。
比特币私钥转账以后,你是毛主席都没用,谁也救不你。
淘宝或银行的这个平台当然信任架构阿,但是人家信任是建立在实名上的,还淘宝支持
比特币,不好意思,先实名再说,话说既然实名了,那我干嘛支持你比特币?匿名性的
特点也不要了?还有,你私钥得放到阿里或者银行那里吧,说好的去中心化特点呢。&
quot;
比特币被盗了警察不管?drama的老毛病又犯了吧? 我要是找出警察管的案例你自扇耳光
不?
比特币的牛b在于我想实名就实名,不想实名就不实名。我淘宝上买个衣服我匿名干嘛?
不要太搞笑。至于私钥要给淘宝或银行这种搞笑的说法,暴露了你不懂加密算... 阅读全帖 |
|
发帖数: 1 | 38 1. 我说大部分企业没需求,如果有需求可以用验资公司,这本身就是强调小范围需求
根本不需要花这么大的力。
使用场景难道不是要看使用量?Google、腾讯死的那些产品,总有那么小部分人在用吧
?人家为什么把服务关了?这个使用场景的需求不强阿,开这个服务性价比低阿。
你这个脑残连这点基本的逻辑都没有,还写论文,你老师真可怜。
还有,show比特币地址,你的资产是以比特币计价,比特币价格波动,你资产不波动?
你真是。。。哎,先学好中文。
2. 部分找回来了。。。要不要列有多少家交易所没有找回来阿,同学?
你不是喜欢列数据吗,列呗,把被搞的比特币交易所能找回来的,和不能找回来的新闻
贴出了,对比下数量不就行了。
我怎么没听过哪家银行、哪家券商被黑了,对用户不负责呢?
退一万步,就算不负责,还有法律这条后路可以走阿。
比特币呢?
3.
你当然可以不把私钥给淘宝微信阿,你当然可以自己私下用比特币买衣服呗,不过你付
钱了人家不发货,你没申诉和撤单渠道就是了。
至于离线和在线电脑两台分离,我还以为你有什么技术上的硬干货,说白了就是骗子的
老套路,自己想想这个交易的便捷性,还理论上这台电脑可以一辈子不上... 阅读全帖 |
|
|
l********l
发帖数: 9452 | 40 【 以下文字转载自 USENET 俱乐部 】
发信人: dragonben (DaBen), 信区: USENET
标 题: 把sabnzbd 装到tomato上去, 很爽
发信站: BBS 未名空间站 (Sun Jul 22 02:11:52 2012, 美东)
把sabnzbd 装到我tomato神油上去了,很爽。让它像驴一样下去吧!
假定你的tomato的/opt 下mount的了一个drive,并且ipkg也装在这个drive上了就直接
Follow this link:
http://tomatousb.org/forum/t-384431
如果/opt下没有drive, follow this link http://tomatousb.org/tut:optware-installation, 但是只需要做完这一步:
echo "LABEL=optware /opt ext3 defaults 1 1" >> /etc/fstab
比忘了重启。后面的可以不做,除非你想把整个optware都装上...
上一步做完后,可以装ipkg了, do this:
cd /opt
... 阅读全帖 |
|
E***e
发帖数: 3430 | 41 用了8080 TCP TAP
别的地方测试没问题
到了公司还是不行
求解
Fri Jun 19 09:25:53 2015 Warning: cannot open --log file: C:Program
FilesOpenVPNlogHome1.log: ????? (errno=5)
Fri Jun 19 09:25:53 2015 OpenVPN 2.3.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [
LZO] [PKCS11] [IPv6] built on Jun 8 2015
Fri Jun 19 09:25:53 2015 library versions: OpenSSL 1.0.1m 19 Mar 2015, LZO 2
.08
Fri Jun 19 09:25:54 2015 Attempting to establish TCP connection with [AF_
INET]*.*.*.*:8080 [nonblock]
Fri Jun 19 09:25:55 2015 TCP connection establish... 阅读全帖 |
|
t*d
发帖数: 1290 | 42 /etc/ssh_config 里所有语句都被comment out 了。
MAC和PC的SSH版本差不多:
MAC 的 SSH 版本:OpenSSH_5.1p1, OpenSSL 0.9.7l
PC 的 SSH 版本: OpenSSH_5.1p1 OpenSSL 0.9.8g |
|
S***w
发帖数: 1014 | 43 我用笔记本ssh 登入计算服务器的,
原来的笔记本联网ip xxx.xxx.132.124,不能ssh登录到计算服务器上
我换了个网络插口,新的ip xxx.xxx.172.134,就能用ssh登录到计算服务器上了
ssh -vv 信息
在132.124下登录
OpenSSH_5.2p1, OpenSSL 0.9.8l 5 Nov 2009
debug1: Reading configuration data /etc/ssh_config
debug2: ssh_connect: needpriv 0
debug1: Connecting to opportunity.neu.edu [155.33.1.100] port 22.
debug1: connect to address 155.33.1.100 port 22: Operation timed out
ssh: connect to host opportunity.neu.edu port 22: Operation timed out
在172.134下登录
OpenSSH_5.2p1, OpenSSL 0.9.8... 阅读全帖 |
|
