18.04.2014  Мнения, Открытый код/Linux

Каждый день приносит новые известия об угрозах, вызванных ошибкой Heartbleed. Однако обнаружение этой ошибки напомнило также о проблеме, с которой сообщество разработчиков открытого кода сталкивается на протяжении уже ряда лет. И заключается она в том, что крупные компании не вносят ровным счетом никакого вклада в разработку, тестирование и валидацию свободного ПО, от которого и сами зависят. Они просто берут его, и всё. Подавляющее большинство тех, кто пользуется преимуществами бесплатного ПО с открытым исходным кодом вроде OpenSSL не вносит никакого вклада в его создание. И это проблема. Наиболее очевидным образом проблема проявилась в истории с доктором Робином Сеггельманном, разработчиком из Германии, на котором в первую очередь лежит ответственность за ошибку Heartbleed. Оказывается, свои предновогодние каникулы он провел, исправляя ошибки в первой версии криптографического ПО OpenSSL, являющегося стандартом для использования в Интернете. Параллельно Сеггельманн разработал способ формирования функции heartbeat, который позволял сохранить шифруемую сессию открытой и не допустить ее автоматического закрытия по истечении определенного интервала времени. Идея в данном случае заключалась в том, чтобы подтвердить участвующему в сессии удаленному компьютеру, что соединение активно, и таким образом уменьшить число прерываний сессии с последующим ее возобновлением для передачи дополнительного объема данных. Фактически Сеггельманн придумал способ, позволяющий существенно ... читать далее.