Web Analytics
Conecta con nosotros

Noticias

LibreSSL, un fork de OpenSSL para superar el caos de Heartbleed

Publicado el

Heartbleed

Theo de Raadt, creador del sistema operativo libre basado en Unix, OpenBSD, está trabajando en LibreSSL, un fork de OpenSSL que pretende superar el caos de Heartbleed, la vulnerabilidad de mayor alcance de la historia de la Web.

Preguntado por la nueva versión de este sistema de administración de cifrado, muy utilizado para accesos seguros en sitios HTTPS y por defecto para el cifrado de servidores Apache o nginx, De Raadt explica que «se ha eliminado la mitad del árbol del código fuente de OpenSSL en una semana» con motivo de la amplia revisión ante Heartbleed, dando a entender que es un caos trabajar ahora sobre el mismo.

El programador canadiense explica que  «un modelo de código abierto depende de las personas que sean capaces de leer el código. Depende de la claridad y OpenSSL ya no es un código claro». El código base de LibreSSL está disponible en OpenBSD.org, y el proyecto está financiado por la OpenBSD Foundation y OpenBSD Project.

LibreSSL está construido inicialmente para OpenBSD y soportará múltiples sistemas operativos después que el código y la financiación están apuntaladas.

El presidente de OpenSSL, Steve Marquess, no ha querido comentar este fork que puede abrir un nuevo camino en el paquete de herramientas de administración y bibliotecas para cifrado o terminar por reventar el proyecto OpenSSL.

Veremos. Marquess sigue quejándose amargamente de la falta de financiación de OpenSSL y critica duramente a los se lucran con el proyecto:  «Los que incluyen OpenSSL en firewall, appliance, productos financieros, de seguridad en la nube, o los que lo utilizan para asegurar su infraestructura interna y las comunicaciones. Los que nos regañan por servicios de consultoría gratuita cuando no pueden encontrar la manera de usarlo. Los que nunca han movido un dedo para contribuir a la comunidad de código abierto que le ha dado este regalo…«.

Preguntado sobre Heartbleed y los dos años de presencia de la vulnerabilidad sin detectarla, Marquess comentaba que «el misterio no es que algunos voluntarios con exceso de trabajo hayan cometido un error. El misterio es por qué no ha ocurrido más a menudo«. Increible para un paquete de herramientas de seguridad que se utiliza en dos tercios de servidores de Internet.

13 comentarios
  • Winter

    Primero, el problema ya está resuelto, así que esto ya viene sobrando. Segundo, quitaron la mitad del código, lo mismo hicieron con LibreOffice y es más lento que OpenOffice y con más fallos…

    No gracias.

  • Geovanny Morillo

    No estoy de acuerdo contigo libreoffice es mas veloz y mas estable, al menos en mi maquina, es obvio que Oracle casi ha abandonado el proyecto dando como consecuencia que, los bugs se mantengan por mas tiempo y las optimizaciones sean casi nulas, aquí hay un articulo sobre el tema si te interesa http://www.pcactual.com/articulo/laboratorio/comparativas/11721/openoffice_libreoffice_dos_magnificas_suites_enfrentadas.html

  • Diego Silberberg

    Evidentemente no te has molestado en averiguar un poco del tema, Aunque muycomputer tampoco explica en profundidad el tema. Heartbleed solo fue la gota que superó el vaso, openssl tiene todos los años conflictos medianamente graves, de ahí sale la idea de producir un Fork

    Respecto a Libreoffice y Openoffice, quizas el primero sea un poco mas lento a la hora de abrir que su competidor, pero tiene mejor integración con el office de microsoft y tiene un desarrollo mas activo.

  • Winter

    Insisto, esto ya viene sobrando y no es cierto lo que dices sobre OpenSSL. Si nos vamos a los forks, LO salió con más errores que OO sin olvidar los problemas de rendimiento. Lo cual no es un buen indicativo de que LibreSSL pueda ser mejor que OpenSSL. Seguramente van a perder los estándares como ya ha pasado con OO y LO, muchos de los archivos creados con OO salen mal en LO y viceversa.

  • Winter

    Mi experiencia con estas dos suites de ofimática me hace discrepar completamente. En mi trabajo intentamos migrar de MSO a OO/LO, hicimos las pruebas con ambas suites, LO necesitaba significativamente más tiempo para procesar una planilla de cálculo que OO, y eso fue determinante, sin olvidar que los cuelgues en LO con planillas pesadas eran más frecuente que con OO. Ah, y OO ya no pertenece a Oracle hace mucho tiempo.
    Así que eso de que LO es más estable que OO, es un mito.

  • Diego Silberberg

    Me da la impresión de que crees que es la misma gente la que va a forkear OpenSSL que la que produjo libreoffice..

  • Winter

    Nop, no será la misma gente, pero sí la misma mentalidad. La tendencia es esa.

  • Diego Silberberg

    Deberias buscar el concepto «falacia» en el diccionario.

  • Winter

    La conozco bien a la definición, y en todo caso deberías explicar cual es la falacia. La tuya en este caso es la falacia del alegato especial.

  • Diego Silberberg

    Na, yo no te considero incapaz de entender, te trato con sarcasmo por que tu falacia es demasiado obvia.

    Estas haciendo una generalización apresurada sin sentido

    «Como los que forkearon OO consiguieron un LO mas lento, los que forkean Openssl solo conseguiran un libressl inferior»

    Ni son la misma gente, ni se manejan igual,ni comparten la misma forma de pensar salvo en cosas muy puntuales, ni aplican a software similar, ni tienen los mismos recursos, ni el código se parece como para que hiciesemos una predicción.

    y decir «Esa es la tendencia» es esconderse atras de un falso argumento

  • Winter

    JAJA acabas de cometer la falacia del hombre de paja, jamás dije que fueran las mismas personas.
    Y no, no es un falso argumento, conozco muy bien a la comunidad Open, y la línea de pensamiento, casi sin variación, es la misma.

    No es una generalización apresurada (el sinsentido está demás, dado que debes argumentar), es una deducción en base al comportamiento de ellos. Cada vez que se hace un fork pasa lo mismo, se pierden los estándares y muchas veces se empeora el rendimiento (LO), OO vs LO, las interminables distros de Linux, y la lista sigue.

    Siempre es la misma línea de pensamiento, si el proyecto de la otra comunidad tiene errores, pufff, yo (comunidad) voy a hacer algo mejor que los otros, quitando la mitad del código… bla, bla… el argumento siempre es el mismo y con los mismos resultados.

    Es una extrapolación muy sencilla de hacer.

    Por eso insisto: Esa es la tendencia. Y nos es un generalización apresurada, es un conclusión sacada del comportamiento de la comunidad Open.

  • Diego Silberberg

    «Cada vez que se hace un fork pasa lo mismo, se pierden los estándares y muchas veces se empeora el rendimiento»

    Lo de los Estándares es verdad, y es lo logico, pero que empeore el rendimiento queda en tu opinion personal, libreoffice en mi uso diario me dio muchos mejores resultados que openoffice

    «Siempre es la misma línea de pensamiento, si el proyecto de la otra
    comunidad tiene errores, pufff, yo (comunidad) voy a hacer algo mejor
    que los otros, quitando la mitad del código… bla, bla… el argumento
    siempre es el mismo y con los mismos resultados.»

    Si dejas meter tu opinion personal de las cosas en medio de tu juicio siempre das generalizaciones así

    Para colmo lo llamas «tendencia» a tu verdad personal.

  • Pingback: OpenBSD crea un fork de OpenSSL: LibreSSL » MuyLinux()

Top 5 Cupones

Lo más leído