Leserreporter: Wer schöne Verschwörungslinks für mich hat: ab an felix-bloginput (at) fefe.de!
[zurück][ältere Posting][neuere Posting] Montag, 13 März 2017 | Blog: 5 | No: 38077
Ich hab ja mit meinem alten Kumpel Rüdi auf dem Congress seit Jahren Diskussionen darüber, ob djb jetzt Recht hat oder nicht. djb war ja immer einer der Guten, bis er elliptische Kurven vorschlug, die mag Rüdi nicht (Zitat "Voodoo-Mathematik") :-)
Und als djb dann kam und spezielle elliptische Kurven vorschlug, damit Entwickler weniger Mist machen können, hielt Rüdi dagegen: Wer SO DOOF ist, dass er mit DEN SIEBEN TRIVIALEN Fällen bei Weierstraß-Kurven nicht klar kommt, der soll halt keinen Krypto-Code schreiben! Das könne doch nicht sein, und da guckte er mich hilfesuchend an, dass die Coder da draußen dermaßen inkompetent sein?!
Und ich hab ihm dann von strcpy erzählt und bestätigt, dass es im Allgemeinen eine gute Idee ist, wenn man Algorithmen so wählt, und API so auslegt, dass man nichts falsch machen kann.
Das fiel mir gerade ein, als ich diesen Bug in mbedTLS (früher PolarSSL) sah.
[zurück]
[ältere Posting][neuere Posting]
[zurück][ältere Posting][neuere Posting] Montag, 13 März 2017 | Blog: 5 | No: 38077
Wait, what?
diesen Bug in mbedTLS (früher PolarSSL)
Und als djb dann kam und spezielle elliptische Kurven vorschlug, damit Entwickler weniger Mist machen können, hielt Rüdi dagegen: Wer SO DOOF ist, dass er mit DEN SIEBEN TRIVIALEN Fällen bei Weierstraß-Kurven nicht klar kommt, der soll halt keinen Krypto-Code schreiben! Das könne doch nicht sein, und da guckte er mich hilfesuchend an, dass die Coder da draußen dermaßen inkompetent sein?!
Und ich hab ihm dann von strcpy erzählt und bestätigt, dass es im Allgemeinen eine gute Idee ist, wenn man Algorithmen so wählt, und API so auslegt, dass man nichts falsch machen kann.
Das fiel mir gerade ein, als ich diesen Bug in mbedTLS (früher PolarSSL) sah.
If a malicious peer supplies a certificate with a specially crafted secp224k1 public key, then an attacker can cause the server or client to attempt to free block of memory held on stack.Wait, what?!Twiter-Ticker
Fefes Latest Youtube Video Links
Der Betrieb der KraftZeitung kostet Geld. Da wir auch weiterhin unabhängig, überparteilich und ohne kommerzieller Werbung für Sie da sein wollen, sind wir auf Ihre Spende angewiesen. Vielen Dank.
