boringssl

1: ゆでたてのたまご ★ 2014/07/25(金) 13:10:59.95 ID:???.net

「Google Chrome」の(開発者向け)最新バージョンで、セキュリティプロトコルを実装するソフトウェア「OpenSSL」の使用が中止され、OpenSSLからフォークした独自の「BoringSSL」へと切り替えられた。切り替えに関する詳細な情報は、Chromium Code Reviewsで確認できる。

スポンサードリンク

OpenSSLについては、いわゆる「Heartbleed」脆弱性が4月に発覚し、大きな話題を呼んだ。この脆弱性を突かれると、HTTPSを介して行われたクレジットカード決済の情報などのセキュアなメッセージの中身だけでなく、プライマリおよびセカンダリSSLキー自体も盗み見されてしまう可能性があった。

またその後、中間者(MitM)攻撃を可能にしてしまう別の脆弱性も見つかり、パッチが提供されていた。

こうした状況の中、Googleは6月にOpenSSLのコードベースをフォークし、「BoringSSL」という名称のプロジェクトを新たに立ち上げたと発表。このとき、GoogleのシニアソフトウェアエンジニアAdam Langley氏はブログへの投稿で「われわれは何年にもわたってOpenSSLに対してパッチを適用してきた。それらの中にはOpenSSLのリポジトリに取り込まれたものもあるが、多くはOpenSSLが保証するAPIやABIの安定性に沿っておらず、また少し実験的過ぎるものも数多くあった」と述べ、複数のプラットフォームをまたがって70以上のパッチを維持していくという状況は、「Chrome」と「Android」のための作業としては手間がかかりすぎるものになったとしていた。

http://japan.cnet.com/news/service/35051363/

2: 名刺は切らしておりまして 2014/07/25(金) 13:12:14.12 ID:Pze8SxRV.net

もっと怖い


12: 名刺は切らしておりまして 2014/07/25(金) 13:44:34.28 ID:mJkMkYoq.net

NSAもニッコリ


30: 名刺は切らしておりまして 2014/07/25(金) 14:44:23.02 ID:P1TMcXId.net

とてもGoogleが真っ当なもんを出してくるとは思えないw
絶対何か仕込んでるでしょ。


13: 名刺は切らしておりまして 2014/07/25(金) 13:45:23.40 ID:+KpNCWW5.net

ChromeがバージョンUPする度に重くなってる気がするんだが・・・


31: 名刺は切らしておりまして 2014/07/25(金) 14:49:05.65 ID:ev77gTgD.net

>>13
firefoxのほうが軽い


34: 名刺は切らしておりまして 2014/07/25(金) 15:07:09.82 ID:dbVxTPdt.net

>>13
google chromeは昔からPCを可能な限り並列処理させるから重いんだよ。
アイドリング状態にさせないバグといわれたレスポンス稼ぎとかやってる。
昔はゲームのベンチマークに合わせてPCを組んだけど、
今はゲーマーor動画変換しない素人はgoogle chromeに合わせてPCを組む。
だから、ただでさえ遅いモバイル系の2コアなんて使いたがらない。


32: 名刺は切らしておりまして 2014/07/25(金) 15:03:10.02 ID:441oLDJK.net

ノート等でバッテリーの持ちが悪くなる件だっけ?あれも早く直せと。


9: 名刺は切らしておりまして 2014/07/25(金) 13:30:46.64 ID:2A7oV7xF.net

ブラウザで対応してたら大変だ罠


45: 名刺は切らしておりまして 2014/07/25(金) 19:42:13.37 ID:Yhc/tqYF.net

勝手パッチが規格に合わないので独自とすると (wwww


57: 名刺は切らしておりまして 2014/07/26(土) 12:09:42.34 ID:PHDJuUWH.net

来たよ独占企業様の大ナタ大改変


8: 名刺は切らしておりまして 2014/07/25(金) 13:26:06.01 ID:gcSsExEE.net

着々とオープンソースを攻撃してるね


10: 名刺は切らしておりまして 2014/07/25(金) 13:31:49.37 ID:LVl2IMmK.net

結局誰かが舵を切らないと責任の所在がはっきりしないオープンソースのままってなるからそこは評価するけどな


14: 名刺は切らしておりまして 2014/07/25(金) 13:50:24.05 ID:oe6nPSQ2.net

>>10
これはGoogleが責任取ってくれるライセンスか?


18: 名刺は切らしておりまして 2014/07/25(金) 14:02:44.48 ID:P1TMcXId.net

>>14
今までにGoogleが責任なんて取った事があるだろうか?w


53: 名刺は切らしておりまして 2014/07/25(金) 23:29:53.02 ID:6odBqCka.net

>>18
プロジェクト終わらせるのもひとつの責任の取り方じゃね?
Googleはダラダラ延命とかさせずにきっちり打ち切る方だと思う


21: 名刺は切らしておりまして 2014/07/25(金) 14:10:29.34 ID:RJVkicir.net

穴塞がったんだからOpenSSLでいいだろうに。
Openじゃ塞がってる穴が他のSSLにあったら餌食じゃないか。


24: 名刺は切らしておりまして 2014/07/25(金) 14:25:19.28 ID:DcLr//wo.net

>>21
これまでソフトに実装するライブラリとしてOpenSSLを使ってたけど、
そのライブラリを自作で作りますってことでしょ
だから、他のライブラリに穴があってもBoringSSLには無関係になる
サーバ側に問題があるのなら、それはサーバ側の問題だからgoogleには
関係ないわけだし


3: 名刺は切らしておりまして 2014/07/25(金) 13:13:30.31 ID:LVl2IMmK.net

LibreSSL とは別なのか
早くちゃんとしたの出してくれ


25: 名刺は切らしておりまして 2014/07/25(金) 14:27:01.09 ID:9SjCosse.net

見慣れない横文字ばかりで、理解不能だ


28: 名刺は切らしておりまして 2014/07/25(金) 14:38:37.85 ID:ZBwYF96X.net

Googleのプロダクトは自社のBoringSSLベースに、他はLibreSSLやまた別にforkして順次切り替え、って感じの流れになってくのかな。

OpenBSDプロジェクトの偏屈なまでのセキュアコーディングはわりと定評あるし、 OpenSSL→LibreSSLの切り替え案件はかなりの数になるかもね。

OOoとLibreOfficeのような関係性までそっくりになりそうというか、そういう皮肉も込めてLibreSSLって名づけたんだろうな。

Appleあたりも自社でforkして来そうなタイプだけど、さてどう動くか。


52: 名刺は切らしておりまして 2014/07/25(金) 23:01:32.22 ID:fwmVymWf.net

おぷそは、更新が遅いので、自分で勝手にやらせてもらう。


23: 名刺は切らしておりまして 2014/07/25(金) 14:24:56.71 ID:OKLEZb6m.net

自分の企みも明るみに出かねないから必死


6: 名刺は切らしておりまして 2014/07/25(金) 13:19:46.95 ID:05IlL9cB.net

どう考えてもバックドアです


36: 名刺は切らしておりまして 2014/07/25(金) 15:39:57.57 ID:mi7xjJ6g.net

百度に漏れるくらいならGoogleに漏らすよ


39: 名刺は切らしておりまして 2014/07/25(金) 16:11:08.16 ID:x1R791BT.net

中国、韓国アプリに電話帳や個人情報渡してるんだから
アメリカ様にお漏らしすることに抵抗ないわ

LINEのお陰やわ


38: 名刺は切らしておりまして 2014/07/25(金) 15:59:00.36 ID:xYf0IEsR.net

なんか空を飛びそうな名前だな


16: 名刺は切らしておりまして 2014/07/25(金) 14:00:08.21 ID:o0WQRIZO.net

ん?英語がちょっと分からんのだけど、Boringってどういう意味?

結局、Google関係者や経験者は仕様しってて、解読できるってこと??


19: 名刺は切らしておりまして 2014/07/25(金) 14:03:24.91 ID:yhga6N6f.net

>>16
つまらないSSL


20: 名刺は切らしておりまして 2014/07/25(金) 14:08:21.32 ID:o0WQRIZO.net

>>19
つまらないモノですが・・・ってことかな。 本当は結構高級・名物なんですけど・・・的な。


33: 名刺は切らしておりまして 2014/07/25(金) 15:04:17.77 ID:sNKajHlJ.net

退屈なsslなんだな


元スレ:http://anago.2ch.sc/test/read.cgi/bizplus/1406261459/