Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Google officialise sa propre implémentation d’OpenSSL : BoringSSL

Une vraie batterie de cuisine

Google officialise sa propre implémentation d'OpenSSL : BoringSSL

Le 23 juin 2014 à 14h40

Google a officialisé à son tour son propre « fork » d’OpenSSL, l’implémentation libre de référence des protocoles SSL et TLS. Une décision qui a pour but de simplifier l’entretien du code en interne, mais qui crée au passage une nouvelle variante du composant, quelques semaines après l'affaire Heartbleed.

ssl heartbleed openssl libressl boringssl
Crédits : FutUndBeidl (licence: CC by SA 2.0)

Alléger le code autant que possible

OpenSSL s'est fait connaître du grand public ces derniers temps surtout pour ses problèmes de sécurité. Ceux qui n’en avaient jamais entendu parler ont peut-être découvert son existence au travers de la problématique concernant HeartBleed, cette faille critique qui mettait en danger la confidentialité des données personnelles dans les échanges avec de nombreux sites et services.

 

Si Google utilise OpenSSL depuis longtemps, la situation qui entoure le composant a évolué et la firme s’est retrouvée piégée par une complexité accrue. La raison en est qu’elle utilise un lot de patchs qu’elle applique à chaque nouvelle mouture d’OpenSSL, soit pour en optimiser le fonctionnement, soit pour qu’il soit plus adapté à ses propres produits et besoins. Une partie de ces patchs est d’ailleurs proposée directement pour intégration, mais la majorité d’entre eux reste l’apanage de Google, soit parce qu’ils pourraient induire une cassure dans la compatibilité de la branche principale, soit parce qu’ils sont trop expérimentaux. 

 

Les équipes ont donc comme objectif final d’obtenir un résultat beaucoup plus léger, notamment en supprimant bon nombre d’API (Application Programing Interface) et ABI (Application Binary Interface).

Un SSL visiblement « ennuyeux » pour Google 

C’est ce qu’explique le développeur et cryptologue Adam Langley, qui travaille chez Google. Il ajoute que l’entreprise a besoin d’un nombre croissant de ces patchs pour ses propres produits et la maintenance du code, ajoutée à la vérification de la compatibilité, sont devenues de vrais casse-têtes. Aussi, la philosophie a complètement basculé : désormais, c’est la propre implémentation de Google, baptisée « BoringSSL » (littéralement « SSL ennuyeux », le nom n’est pas définitif), qui comptera, les nouveautés d’OpenSSL étant reprises et ajoutées pour assurer la compatibilité.

 

Google annonce ce changement car l’utilisation de BoringSSL devrait commencer à se voir prochainement dans les dépôts de Chromium. Ce qui signifie que dans quelques mois, Chrome en sera officiellement équipé en version finale. Un peu plus tard, c’est Android lui-même qui devrait en bénéficier, et il ne serait d’ailleurs pas étonnant qu’une annonce en ce sens soit faite durant la conférence Google I/O qui ouvre ses portes ce mercredi.

Une communication avec les autres forks... 

Adam Langley explique cependant que BoringSSL n’a pas vocation à entrer en concurrence avec OpenSSL. Pourquoi ? Tout simplement parce qu’il s’agit d’un composant utilisé en interne qui ne sera pas proposé comme solution de remplacement parce que « meilleure ».

 

Langley précise également d’autres éléments importants. En effet, les problématiques de sécurité liées à OpenSSL ont permis l’émergence de plusieurs initiatives. C’est tout particulièrement le cas de la Core Infrastructure Initiative lancée par la Linux Foundation et réunissant de nombreux grands noms du secteur : Microsoft, Intel, IBM, Amazon, Apple, Adobe, Dell, Cisco, Facebook, VMware ou encore Fujitsu. Or, Langley précise justement que Google continuera de participer activement au projet qui vise à alimenter en capitaux des efforts de sécurisation de certains composants open source cruciaux, car utilisés par de très nombreux produits, services et sites.

 

Mais Google n’est pas non plus insensible à LibreSSL. Cet autre « fork » d’OpenSSL est parti cette fois de l’OpenBSD Foundation et notamment du fondateur du célèbre Unix, Theo de Raadt. Début mai, ce dernier avait expliqué qu’au terme d’un premier examen, 90 000 lignes de code C et 150 000 lignes de contenus avaient été supprimées pour se concentrer sur l’essentiel. Cependant, LibreSSL n’est pas encore terminé et sa première exploitation doit se faire dans la mouture 5.6 d’OpenBSD, qui doit arriver le 1er novembre.

 

Or, encore une fois, Google compte intégrer dans BoringSSL toutes les contributions importantes qui seront faites dans LibreSSL et Adam Langley indique d’ailleurs que l’inverse est aussi possible. À la demande d’ailleurs de l’équipe travaillant sur LibreSSL, plusieurs anciennes contributions réalisées par Google sur OpenSSL ont été passées sous licence ISC, appelée également licence OpenBSD. Langley ajoute que ce sera également le cas de tout nouveau code qui sera écrit pour BoringSSL.

... mais pas non plus de fédération de tous les efforts 

On peut donc voir que les projets vont communiquer entre eux. Car non seulement OpenSSL n’est pas mort, mais des moyens conséquents, fédérés par la Linux Foundation, devraient lui permettre de regagner ses lettres de noblesse. Des morceaux seront vraisemblablement échangés avec LibreSSL et Boring SSL. Cependant, on ne peut s’empêcher de regretter que tous les efforts ne soient pas réellement réunis en un unique lieu, en l’occurrence OpenSSL qui bénéfice déjà de l’attention d’un grand nombre de géants de l’informatique et des réseaux.

 

Pour autant, ce nouveau venu ne semble pas faire trop grincer des dents. Theo de Raadt est d’ailleurs satisfait de la décision de Google car il a remarqué durant le week-end les similitudes entre BoringSSL et LibreSSL : « Leur priorité est la sécurité et non la compatibilité avec les ABI. Tout comme nous ». Il estime qu’avec le temps, la version de Google présentera un nombre élevé de similitudes avec LibreSSL, ce qui pourrait débloquer des opportunités pour ce dernier.

Commentaires (65)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







127.0.0.1 a écrit :



phase 1: Google crée un pur fork de OpenSSL: BoringSLL



phase 2: Google ajoute un mode “Fast SSL”, complètement optionnel et open-source



phase 3: Gmail, Gsearch, Youtube, Chrome, Android,& Chromecast exploitent le mode Fast SSL (en option) qui donne un gain de perf de 25%



phase 4: FFox, IE et autres browser migrent vers BoringSLL afin d’avoir le mm gain de perf sans avoir a tout recoder



phase 5: Google met ce qu’il veut dans BoringSLL, et tout le monde suit le leader





ou portent le patch sur Open SSL … vu qu’il est open source et completement optionnel.





votre avatar

Plutôt décevant ces attitudes de fork.

Ça finira par se tirer la bourre en disant que “Mon fork est meilleur que celui du voisin”.

Et quelles conséquences pour les libs des applications ? Une perte de temps et d’énergie pour rien au final ?

votre avatar







dualboot a écrit :



Plutôt décevant ces attitudes de fork.

Ça finira par se tirer la bourre en disant que “Mon fork est meilleur que celui du voisin”.

Et quelles conséquences pour les libs des applications ? Une perte de temps et d’énergie pour rien au final ?





Regarde Firefox, ça tire le tout en avant <img data-src=" />


votre avatar







draky a écrit :



Ce n’est pas toujours une bonne chose de vouloir à tout prix tout centraliser. Particulièrement en ce qui concerne un composant de sécurité aussi important.





+10.



Il vaut mieux avoir 10 produits différents qui se partagent le ‘marché’ du chiffrement SSL. Le jour où on découvre une faille critique dans une des dix implémentations, ce n’est plus 99% des machines qui sont INpactées par une faille critique, mais seulement 10%.



Et quand on dit ça, on n’a rien inventé, il suffit de relire Darwin : la nature elle-même a intégré depuis la nuit des temps l’avantage de la diversité, parce qu’elle permet de s’assurer que le jour où un souci spécifique (ou un changement de l’environnement) INpacte une ‘implémentation’ en particulier, elle fera pas tomber l’espèce en entier.


votre avatar







dualboot a écrit :



Plutôt décevant ces attitudes de fork.

Ça finira par se tirer la bourre en disant que “Mon fork est meilleur que celui du voisin”.

Et quelles conséquences pour les libs des applications ? Une perte de temps et d’énergie pour rien au final ?





Dans le cas présent (OpenSSL/BoringSSL), Google a ses propres bibliothèques et fonctions, qu’ils sont les seuls à utiliser (au sein de Chrome, etc.). Du coup à chaque nouvelle version de OpenSSL, ils doivent reprendre le code de OpenSSL, et ré-intégrer leurs fonctions aux bons endroits. C’est devenu trop lourd à gérer à chaque fois -&gt; fork. Du coup c’est au contraire un gain de temps pour l’équipe de Google (et pour l’équipe de OpenSSL ça ne change rien).



BoringSSL n’est pas du tout conçu pour être un concurrent de OpenSSL… Donc je ne vois pas ce qui te fait dire qu’il y aurait perte de temps et d’énergie.


votre avatar







Konrad a écrit :



phase 6: Google change la licence de BoringSSL et le rend propriétaire.



phase 7: Google met une backdoor dans BoringSSL et prend le contrôle de tous les serveurs de la planète.



phase 8: après une épidémie zombie, tous les concurrents ont été éradiqués et Google domine le monde.



Ouais ça doit être ça le plan de Google… <img data-src=" />







Phase 6 bis: Google perd le procès dû au changement de licence…


votre avatar







levhieu a écrit :



Phase 6 bis: Google perd le procès dû au changement de licence…





Ouais mais vu qu’il y aura une épidémie zombie c’est pas grave…


votre avatar







jb18v a écrit :



à force de faire des forks ils ont une vraie cuisine <img data-src=" />





Ou plein d’enfants (avec un mauvais accent <img data-src=" /> )


votre avatar







Konrad a écrit :



phase 6: Google change la licence de BoringSSL et le rend propriétaire.



phase 7: Google met une backdoor dans BoringSSL et prend le contrôle de tous les serveurs de la planète.



phase 8: après une épidémie zombie, tous les concurrents ont été éradiqués et Google domine le monde.



Ouais ça doit être ça le plan de Google… <img data-src=" />





Sachant que déjà la personne que tu cites s’était trompée dans la chronologie et que TA phase 7 est normalement placée en 1 bis (à savoir que la backdoor est évidemment placée dès à présent), il n’y a plus qu’à attendre que les analystes la trouve… Mais comme personne ne va chercher, sa carrière sera p-ê longue…


votre avatar

La NSA approuve cette nouvelle.<img data-src=" />

votre avatar







Zorglob a écrit :



Sachant que déjà la personne que tu cites s’était trompée dans la chronologie et que TA phase 7 est normalement placée en 1 bis (à savoir que la backdoor est évidemment placée dès à présent), il n’y a plus qu’à attendre que les analystes la trouve… Mais comme personne ne va chercher, sa carrière sera p-ê longue…







Enfin, ils sont surtout pas obligés de publier le code source de la version qu’ils ont sur leur serveur non plus … si backdoor il y a ça fait longtemps qu’ils l’auraient implémenté dans leur fork perso d’open SSL … faut être un peu demeuré pour penser que Google va rendre open source la version de leur SSL avec une backdoor dedant <img data-src=" />



Yay on a forké openSSL et on a juste modifié 5 lignes de code qui ouvrent une backdoor énorme. Heureusement personne ne vas chercher <img data-src=" />


votre avatar

Il y a des gens qui n’ont de toute évidence pas encore compris ici que google est devenu beaucoup trop “gros”, et que quand un acteur devient incontournable, il ne se gêne jamais pour imposer ses règles par la suite…



OpenSSL échappait encore à la main mise des américains. Voilà, c’est fait.



Bref, j’aurais vraiment préféré une participation de google dans le projet existant, plutôt qu’un “torpillage” comme on le voit ici.

votre avatar







hansi a écrit :



Il y a des gens qui n’ont de toute évidence pas encore compris ici que google est devenu beaucoup trop “gros”, et que quand un acteur devient incontournable, il ne se gêne jamais pour imposer ses règles par la suite…



OpenSSL échappait encore à la main mise des américains. Voilà, c’est fait.



Bref, j’aurais vraiment préféré une participation de google dans le projet existant, plutôt qu’un “torpillage” comme on le voit ici.





Il y a des gens qui n’ont de toute évidence pas lu la news <img data-src=" />



Je résume :





  • ça ne change rien à l’indépendance de OpenSSL

  • Google ne va pas contrôler OpenSSL

  • Google ne développe pas un concurrent de OpenSSL

  • tout code développé par Google et qui sera intéressant sera ensuite intégré à OpenSSL, donc Google va bien contribuer à l’existant.



    Alors parler de «torpillage»… <img data-src=" />


votre avatar







atomusk a écrit :



Enfin, ils sont surtout pas obligés de publier le code source de la version qu’ils ont sur leur serveur non plus … si backdoor il y a ça fait longtemps qu’ils l’auraient implémenté dans leur fork perso d’open SSL … faut être un peu demeuré pour penser que Google va rendre open source la version de leur SSL avec une backdoor dedant <img data-src=" />



Yay on a forké openSSL et on a juste modifié 5 lignes de code qui ouvrent une backdoor énorme. Heureusement personne ne vas chercher <img data-src=" />



Qu’est-ce que t’es obtu et fébrile quand même… et médiocre par la même occasion. C’est dingue de le révéler sans arrêt…


votre avatar







Zorglob a écrit :



Qu’est-ce que t’es obtu et fébrile quand même… et médiocre par la même occasion. C’est dingue de le révéler sans arrêt…







<img data-src=" />


votre avatar

<img data-src=" />

votre avatar



Cependant, on ne peut s’empêcher de regretter que tous les efforts ne soient pas réellement réunis en un unique lieu, en l’occurrence OpenSSL qui bénéfice déjà de l’attention d’un grand nombre de géants de l’informatique et des réseaux.





Pas d’accord.



Chacun des 3 projets a ses propres buts, chercher à tout fusionner serait rechercher les ennuis.



Et comme les échanges restent possibles, les bonnes idées de l’un pourront fort bien se retrouver chez les autres.

votre avatar

Bizzare comme nom de projet !

votre avatar



Theo de Raadt est d’ailleurs satisfait de la décision de Google



Theo de Raadt qui ne trolle pas ?

Manifestement, d’après le courrier électronique mis en lien, l’écriture correcte de son implémentation est LibReSSL, avec un R majuscule. Sans doute un jeu de mot qui se casse derrière cette particularité typographique.

votre avatar







levhieu a écrit :



Pas d’accord.





D’accord avec le fait que tu sois pas d’accord. <img data-src=" />



Les autres projets vont sans doute oser des choses qu’OpenSSL n’aurait pas osé, comme d’énormes nettoyages de code, qui au final seront bénéfiques également pour OpenSSL.

OpenSSL s’est peut-être un peu trop encroûté, les forks vont sans doute venir mettre un grand coup de pompe dans la fourmilière.


votre avatar







Hybrid Son Of Oxayotl a écrit :



Sans doute un jeu de mot qui se casse derrière cette particularité typographique.







<img data-src=" />


votre avatar







Just1_ a écrit :



Bizzare comme nom de projet !





Ah ça, ils ont la culture du LOL chez Google pour montrer à quel point ils sont cools <img data-src=" />


votre avatar

à force de faire des forks ils ont une vraie cuisine <img data-src=" />

votre avatar







Just1_ a écrit :



Bizzare comme nom de projet !









tAran a écrit :



Ah ça, ils ont la culture du LOL chez Google pour montrer à quel point ils sont cools <img data-src=" />







Ça peut aussi être une manière d’annoncer «on ne mettra pas de fonctionnalités exotiques et/ou extraordinaires, parce ce qu’on s’en tiendra au minimum nécessaire»



Soit boring par opposition à awesome


votre avatar

Peut on encore croire Google quand ils se comportent ainsi ???

Il s’agit surtout de s’approprier le code “open source”, de pousser à l’abandon des autres versions…. et d’en devenir de fait l’unique dépositaire…. un grand classique !

votre avatar







AlphaBeta a écrit :



Peut on encore croire Google quand ils se comportent ainsi ???

Il s’agit surtout de s’approprier le code “open source”, de pousser à l’abandon des autres versions…. et d’en devenir de fait l’unique dépositaire…. un grand classique !







exemple?


votre avatar

Est-ce que ça sera open source ?

On aura aussi la backdoor NSA en open source ?



Non mais franchement, qui a encore confiance en Google pour chiffrer ses données ?

votre avatar







levhieu a écrit :



Ça peut aussi être une manière d’annoncer «on ne mettra pas de fonctionnalités exotiques et/ou extraordinaires, parce ce qu’on s’en tiendra au minimum de backdoor nécessaire»



<img data-src=" />



Soit boring par opposition à awesome parce que too easy

<img data-src=" />


votre avatar

Bon vu la triple sword de ce matin par Mr.H on a va eviter de plaisanter sur un celebre service des US <img data-src=" />



sinon ca semble etre une bonne chose … sauf que … il faudrait voir un peu ce que cela donne niveau code.. pour eviter de se retrouver avec un acteur Economique qui en profiterai pour analyser les flux .. securisés <img data-src=" />

(Google Homeview approuved)

votre avatar







AlphaBeta a écrit :



Peut on encore croire Google quand ils se comportent ainsi ???

Il s’agit surtout de s’approprier le code “open source”, de pousser à l’abandon des autres versions…. et d’en devenir de fait l’unique dépositaire…. un grand classique !





Lire l’article : Google n’a jamais dit pas qu’ils forkaient pour remplacer ou concurrencer OpenSSL. Ils forkent parce qu’ils ont besoin d’un certain nombre de fonctionnalités qui leur sont spécifiques, c’est une version destinée à être utilisée uniquement en interne chez Google. Mais ils mettent leur code à dispo de tous, et il est évident que les commits les plus généraux et intéressants seront intégrés à OpenSSL.


votre avatar







draky a écrit :



Est-ce que ça sera open source ?

On aura aussi la backdoor NSA en open source ?



Non mais franchement, qui a encore confiance en Google pour chiffrer ses données ?





Y a-t-il encore des gens qui lisent les articles de nos jours ? <img data-src=" />


votre avatar

De toutes manière c’est Google qui détiendra une clé privé + celle public si j’ai bien compris ?



Autant pour le cloud, ça se comprend (c’est leur serveur), autant pour Gmail et le reste, c’est du foutage de gueule pur et simple.




votre avatar







draky a écrit :



Est-ce que ça sera open source ?

On aura aussi la backdoor NSA en open source ?



Non mais franchement, qui a encore confiance en Google pour chiffrer ses données ?







oui open source



Après tes spéculations sur la confiance qu’on peut avoir sur google qui chiffre nos données, je suis PERSUADE que google fais de son mieux pour protéger nos données du pirate MITM, et ne fera pas de son implémentation de SSL une passoire, parce qu’ils n’ont rien a y gagner: google est fort parcequ’il est le seul a avoir tes données, si tes données fuitent, ils n’ont plus de valeur ajouté - et encore une fois, ils ne VENDENT pas tes données, ils les exploitent



Par contre que la NSA, ou un gouvernement puisse jouer avec les serveurs de google, je ne me fais pas d’illusion, tout les “providers” le font - ils y sont bien obligé - et c’est pour ça que si tu as pas confiance dans les gouvernement, n’utilise pas le cloud, D’AUCUN PROVIDER!



Par contre penser que google laissera une porte dérobé dans l’implémentation SSL, ca serait une connerie monumentale …


votre avatar







draky a écrit :



Est-ce que ça sera open source ?

On aura aussi la backdoor NSA en open source ?



Non mais franchement, qui a encore confiance en Google pour chiffrer ses données ?







mais non, c’est Langley qui parle, là, donc la CIA, pas la NSA … check your facts !


votre avatar







draky a écrit :



Est-ce que ça sera open source ?

On aura aussi la backdoor NSA en open source ?



Non mais franchement, qui a encore confiance en Google pour chiffrer ses données ?





moi <img data-src=" />


votre avatar

Quelque chose me dit qu’Adam Langley ne travaille pas que pour Google <img data-src=" />

votre avatar



Cependant, on ne peut s’empêcher de regretter que tous les efforts ne soient pas réellement réunis en un unique lieu, en l’occurrence OpenSSL qui bénéfice déjà de l’attention d’un grand nombre de géants de l’informatique et des réseaux.





Le problème d’OpenSSL est la rétrocompatibilité qui y est maintenue coûte que coûte, ce qui pose des problèmes assez divers comme le code complexe à maintenir, et je ne parle même pas de sa ligne de commande tout bonnement horrible, plus du tout au goût du jour et qui ne respecte pas les conventions des systèmes hôtes.

votre avatar







Zyami a écrit :



De toutes manière c’est Google qui détiendra une clé privé + celle public si j’ai bien compris ?



Autant pour le cloud, ça se comprend (c’est leur serveur), autant pour Gmail et le reste, c’est du foutage de gueule pur et simple.







Il sont obligés si ils veulent t’afficher tes données dans ton navigateur <img data-src=" />



Apres il y a la solution tout chiffrénextinpact.com Next INpact



votre avatar







Zyami a écrit :



De toutes manière c’est Google qui détiendra une clé privé + celle public si j’ai bien compris ?



Autant pour le cloud, ça se comprend (c’est leur serveur), autant pour Gmail et le reste, c’est du foutage de gueule pur et simple.





bah c’est le principe du SSL hein, rien de nouveau <img data-src=" />


votre avatar







canti a écrit :



exemple?







Open source Oracle java, GNU Classpath –&gt; Open source Google dalvik art

Open source Apple webkit –&gt; Open source Google blink

Open source Ogg/Theora –&gt; Open source Google WebM/VP8



Google préfère créer son propre écosystème open source plutot que de participer aux projets open source existant.



Ca se comprend, dans le sens où Google veut être libre d’orienter les développements suivant son business-plan, et pas dépendre d’autres entités pour sortir/modifier du code.



Ca reste tout de même gentil à eux de mettre ces projets en “open source”. <img data-src=" />



votre avatar







Konrad a écrit :



Y a-t-il encore des gens qui lisent les articles de nos jours ? <img data-src=" />







Nope, so … boring


votre avatar



C’est ce qu’explique le développeur et cryptologue Adam Langley, qui travaille chez Google. Il ajoute que l’entreprise a besoin d’un nombre croissant de ces patchs pour ses propres produits et la maintenance du code, ajoutée à la vérification de la compatibilité, sont devenues de vrais casse-têtes





Je veux pas mettre de cheveux dans la soupe mais si MS avait dit ça d’un projet open source, j’imagine pas le tollé que cela aurait levé chez certains…



Au final ils vont bosser dans leur coin, mais ils disent vouloir faire profiter OpenSSL après les vérifications faites, ça fera du pareil au même pour eux mais avec un timming différent. J’imagine que ces intégrations demanderont tôt ou tard de revérifier le code d’OpenSSL pour tout mettre ensemble avec les tests que cela inclue.

votre avatar







after_burner a écrit :



Je veux pas mettre de cheveux dans la soupe mais si MS avait dit ça d’un projet open source, j’imagine pas le tollé que cela aurait levé chez certains…



Au final ils vont bosser dans leur coin, mais ils disent vouloir faire profiter OpenSSL après les vérifications faites, ça fera du pareil au même pour eux mais avec un timming différent. J’imagine que ces intégrations demanderont tôt ou tard de revérifier le code d’OpenSSL pour tout mettre ensemble avec les tests que cela inclue.







Rien ne force OpenSSL de réintégrer le fork de Google <img data-src=" />



Alors oui, si ils font un super boulo qui rend leur fork incontournable, oui, ils peuvent essayer de merger .. mais dans ce cas là où est le souci ? <img data-src=" />



Si ils font de la merde avec des failles & backdoor de partout personne ne voudra les forker … et si la communauté open source est meilleure que Google, c’est google qui sera obligé de reprendre les patch …


votre avatar

Expert en crypto sécurité et s’appeler Langley. …. quoi il boss pas a la cia nsa etc?

votre avatar







atomusk a écrit :



Rien ne force OpenSSL de réintégrer le fork de Google <img data-src=" />



Alors oui, si ils font un super boulo qui rend leur fork incontournable, oui, ils peuvent essayer de merger .. mais dans ce cas là où est le souci ? <img data-src=" />



Si ils font de la merde avec des failles & backdoor de partout personne ne voudra les forker … et si la communauté open source est meilleure que Google, c’est google qui sera obligé de reprendre les patch …







C’est pas google qui va travailler directement sur OpenSSL mais la communauté? j’avais mal compris, je pensais qu’ils allaient faire profiter de leur expertise une fois leur boulot sur boringSSL terminé.



Ya pas de soucis mais leurs déclarations sont quand même forte, dans les débats libre vs proprios c’est souvent des arguments placardés en priorité par les libristes: audit du code, maintiens par tous le monde, compatibilité etc etc… et là Google les démontent en 2-2.



Tu me diras que si il peuvent bosser dessu dans leur coin c’est aussi parce que c’est libre, mais s’il il réécrivent beaucoup de code au final… voilà quoi. <img data-src=" />


votre avatar







after_burner a écrit :



C’est pas google qui va travailler directement sur OpenSSL mais la communauté? j’avais mal compris, je pensais qu’ils allaient faire profiter de leur expertise une fois leur boulot sur boringSSL terminé.



Ya pas de soucis mais leurs déclarations sont quand même forte, dans les débats libre vs proprios c’est souvent des arguments placardés en priorité par les libristes: audit du code, maintiens par tous le monde, compatibilité etc etc… et là Google les démontent en 2-2.



Tu me diras que si il peuvent bosser dessu dans leur coin c’est aussi parce que c’est libre, mais s’il il réécrivent beaucoup de code au final… voilà quoi. <img data-src=" />







La force du libre c’est le fork. C’est même dans sa définition <img data-src=" />



Apres la force du libre c’est que n’importe quelle société peux le forker pour “SES” besoins.



Là google se réserve le droit de virer tout ce qui ne l’intéresse pas, de réduire son code par exemple, de l’optimiser à outrance.



La dessus toute optimisation est montrée à la communauté, et tout ceux qui ont les mêmes besoins que Google peuvent reprendre leurs optimisations.



Je ne pense pas qu’il existe une personne qui apprécie le libre qui pense que le fait que Google reprenne et améliore “à sa sauce” OpenSSL soit une mauvaise nouvelle … Ils profitent du libre pour leur seul avantage, mais par la même la communauté libre profite de leur travail.



Si ils font de la merde, le libre ne regardera même pas ce qu’ils ont fait. Si leur code est meilleur ils le prendront comme nouvelle base pour les futurs projets …



QUEL EST LE SOUCI ? <img data-src=" />


votre avatar







atomusk a écrit :



QUEL EST LE SOUCI ? <img data-src=" />





C’est Google! <img data-src=" />


votre avatar







atomusk a écrit :







QUEL EST LE SOUCI ? <img data-src=" />







Il n’y a pas de soucis concernant les retours éventuels du travail de google.



Mais faut voir comment ça se passe, le code qu’ils vont faire va peut être être trop différent de celui d’OpenSSL, et il va peut être complètement le remplacer, bon se serait pas un soucis non plus.



Là j’ai pas l’impression que google va faire un fork, il n’annoncerais pas la couleur de la sorte sinon (en parlant de casse tête sur l’existant) , mais qu’il vont changer plusieurs bases du projet, de leur coté.



Ils vont contribuer mais sans participer en gros.



Tu vois pas le soucis? <img data-src=" /><img data-src=" />


votre avatar







after_burner a écrit :



Il n’y a pas de soucis concernant les retours éventuels du travail de google.



Mais faut voir comment ça se passe, le code qu’ils vont faire va peut être être trop différent de celui d’OpenSSL, et il va peut être complètement le remplacer, bon se serait pas un soucis non plus.



Là j’ai pas l’impression que google va faire un fork, il n’annoncerais pas la couleur de la sorte sinon (en parlant de casse tête sur l’existant) , mais qu’il vont changer plusieurs bases du projet, de leur coté.



Ils vont contribuer mais sans participer en gros.



Tu vois pas le soucis? <img data-src=" /><img data-src=" />







Déjà je comprend pas ta où tu veux en venir <img data-src=" />



Déjà techniquement tout changement d’un code existant est fork … donc dire qu’il va pas faire de fork … <img data-src=" />



Apres tu parle de contribuer sans participer …. c’est à dire ? la participation à un projet open source, c’est pas justement de contribuer au code ? <img data-src=" />



La contribution à l’open source c’est pas juste proposer des patch … si ton implémentation est meilleure elle peux juste la remplacer completement … Et pour le coup, dans cette réalité alternative, OpenSSL pourrait devenir un “fork” de dumb SSL à l’avenir <img data-src=" />



Mais quand bien même tout est dans les mains de la communauté du libre … si Google ne fait pas de bon boulo, rien ne change si ils font un travail exceptionnel on prend leur implementation … c’est tout <img data-src=" />


votre avatar







TheRarePearl a écrit :



Quelque chose me dit qu’Adam Langley ne travaille pas que pour Google <img data-src=" />







Ouaip, entre autres : il consacre (consacrait ?) pas mal de temps à OpenSSL et il code des trucs liés à SSL/TLS dans Firefox. <img data-src=" />



Maintenant, ce n’est pas le premier fork opéré par Google : citons Google Web Server qui est un fork d’Apache ou Goobuntu (utilisé sur une partie des postes en interne) qui est un fork de… rhhaaa je l’ai sur le bout de la langue <img data-src=" />


votre avatar







canti a écrit :



exemple?



Android!

regarde, ils l’ont laissé s’imposer pleinement, et maitenant ils l’ont… ah ben non ils l’ont pas abandonné <img data-src=" />


votre avatar







after_burner a écrit :



Là j’ai pas l’impression que google va faire un fork, il n’annoncerais pas la couleur de la sorte sinon (en parlant de casse tête sur l’existant) , mais qu’il vont changer plusieurs bases du projet, de leur coté.





Google va se baser sur OpenSSL pour développer ses propres fonctions, dont il a besoin en interne. Il y a peu de chances que ces fonctions servent à quelqu’un d’autre, donc peu de chances qu’elles soient intégrées à OpenSSL, mais ils les mettent sous licence libre quand même. Bref que Google code ces fonctions ou pas, ça ne va rien changer pour OpenSSL. C’est justement une des forces du libre, comme le disait atomusk : chacun (y compris une entreprise) est libre d’utiliser le code et de le modifier pour que ça colle à ses besoins. Ceux qui disent que «Google pille le code d’OpenSSL», sont complètement à côté de la plaque, et n’ont rien compris au libre.



Par ailleurs, Google va aussi sans doute être amené à modifier du code existant de OpenSSL. Si cela améliore le code, la sécurité, la rapidité, etc., il y a toutes les chances pour que ça soit intégré dans OpenSSL. Dans ce cas tout le monde y gagnera.



Bref que Google forke OpenSSL en restant dans son coin, ou qu’il apporte des contributions qui soient à terme intégrées à OpenSSL, je ne vois pas non plus où est le problème…


votre avatar







atomusk a écrit :



Déjà je comprend pas ta où tu veux en venir <img data-src=" />



Déjà techniquement tout changement d’un code existant est fork … donc dire qu’il va pas faire de fork … <img data-src=" />



Apres tu parle de contribuer sans participer …. c’est à dire ? la participation à un projet open source, c’est pas justement de contribuer au code ? <img data-src=" />



La contribution à l’open source c’est pas juste proposer des patch … si ton implémentation est meilleure elle peux juste la remplacer completement … Et pour le coup, dans cette réalité alternative, OpenSSL pourrait devenir un “fork” de dumb SSL à l’avenir <img data-src=" />



Mais quand bien même tout est dans les mains de la communauté du libre … si Google ne fait pas de bon boulo, rien ne change si ils font un travail exceptionnel on prend leur implementation … c’est tout <img data-src=" />







Si il refont 90% du code par exemple, c’est plus qu’un simple fork, c’est carrément un autre produit.



Quand à la contribution c’est quand par exemple, google fait un code neuf qu’il laisse à disposition des autres que ceux ci l’implémente à leur manière.



Mais il ne participe pas directement sur le projet OpenSSL en modifiant cette base.



Je sais pas si c’est clair. <img data-src=" />


votre avatar



BoringSSL



<img data-src=" />

Ça s’invente pas.

votre avatar



Cependant, on ne peut s’empêcher de regretter que tous les efforts ne soient pas réellement réunis en un unique lieu





Ce n’est pas toujours une bonne chose de vouloir à tout prix tout centraliser. Particulièrement en ce qui concerne un composant de sécurité aussi important.



D’autant qu’il ne faut pas oublier que dans le libre, on peut faire des échanges sans forcément faire partie d’une entité unique.



Bref, il ne faut pas appliquer au libre les raisonnements qui ne sont valables que dans le monde propriétaire.

votre avatar







atomusk a écrit :



QUEL EST LE SOUCI ? <img data-src=" />







phase 1: Google crée un pur fork de OpenSSL: BoringSLL



phase 2: Google ajoute un mode “Fast SSL”, complètement optionnel et open-source



phase 3: Gmail, Gsearch, Youtube, Chrome, Android,& Chromecast exploitent le mode Fast SSL (en option) qui donne un gain de perf de 25%



phase 4: FFox, IE et autres browser migrent vers BoringSLL afin d’avoir le mm gain de perf sans avoir a tout recoder



phase 5: Google met ce qu’il veut dans BoringSLL, et tout le monde suit le leader





votre avatar







127.0.0.1 a écrit :



phase 1: Google crée un pur fork de OpenSSL: BoringSLL



phase 2: Google ajoute un mode “Fast SSL”, complètement optionnel et open-source



phase 3: Gmail, Gsearch, Youtube, Chrome, Android,& Chromecast exploitent le mode Fast SSL (en option) qui donne un gain de perf de 25%



phase 4: FFox, IE et autres browser migrent vers BoringSLL afin d’avoir le mm gain de perf sans avoir a tout recoder



phase 5: Google met ce qu’il veut dans BoringSLL, et tout le monde suit le leader





phase 6: Google change la licence de BoringSSL et le rend propriétaire.



phase 7: Google met une backdoor dans BoringSSL et prend le contrôle de tous les serveurs de la planète.



phase 8: après une épidémie zombie, tous les concurrents ont été éradiqués et Google domine le monde.



Ouais ça doit être ça le plan de Google… <img data-src=" />


votre avatar







127.0.0.1 a écrit :



(…)







Google est aussi “force de proposition” pour faire de leur machin une RFC. C’est ce qu’ils sont en train de faire avec HTTP 2 (qui prendra SPDY pour base donc)


votre avatar







sr17 a écrit :



Ce n’est pas toujours une bonne chose de vouloir à tout prix tout centraliser. Particulièrement en ce qui concerne un composant de sécurité aussi important.





C’est a double tranchant … Certes une failles ne va plus toucher que 15% des users mondiaux au lieu de 50 % (chiffre non contractuelle <img data-src=" />) mais en même temps tu divise automatiquement le nombre de personnes vérifiant ton code au fur et a mesure que les forks se différencient …





John Shaft a écrit :



Google est aussi “force de proposition” pour faire de leur machin une RFC. C’est ce qu’ils sont en train de faire avec HTTP 2 (qui prendra SPDY pour base donc)





Mais parfois j’ai l’impression qu’ils vont trop vite dans l’implémentation plutôt que de réfléchir au défaut du brouillon … Je pense notamment au WebRTC qui dans sa version original était centralisé (MS avait même fait une proposition pour pallier a ca) et FF/Chrome commençait déjà a faire mumuse alors que le point faible etait évident … (Aujourd’hui je crois que le WebRTC n’est plus forcement centralisé)

Je remets pas en cause le besoin de tester en vrai un brouillon, ca a été utile pour les websockets mais un peu moins de précipitations peu pas faire de mal …


votre avatar







psn00ps a écrit :



Regarde Firefox, ça tire le tout en avant <img data-src=" />





AMHA il y a trop de différence entre certains navigateurs pour parler véritablement de fork contrairement à ce qui semble se passer avec OpenSSL.


votre avatar







Konrad a écrit :



Il y a des gens qui n’ont de toute évidence pas lu la news <img data-src=" />



Je résume :





  • ça ne change rien à l’indépendance de OpenSSL

  • Google ne va pas contrôler OpenSSL

  • Google ne développe pas un concurrent de OpenSSL

  • tout code développé par Google et qui sera intéressant sera ensuite intégré à OpenSSL, donc Google va bien contribuer à l’existant.



    Alors parler de «torpillage»… <img data-src=" />







    Google ne va rien contribuer du tout à OpenSSL, “tu espères que” alors que Google ne va pas “agir dans l’intérêt de tous”… Mais dans son intérêt, le but premier d’un fork d’ailleurs.




votre avatar







iosys a écrit :



Google ne va rien contribuer du tout à OpenSSL, “tu espères que” alors que Google ne va pas “agir dans l’intérêt de tous”… Mais dans son intérêt, le but premier d’un fork d’ailleurs.





Ça c’est du troll anti-Google primaire, étayé par rien du tout.



Je n’espère rien, je m’en tiens aux faits : BoringSSL sera sous licence libre, et Google en publiera le code. Ça veut dire que si des fonctionnalités sont intéressantes, elles seront reprises ailleurs (par exemple dans OpenSSL).


votre avatar







iosys a écrit :



Google ne va rien contribuer du tout à OpenSSL, “tu espères que” alors que Google ne va pas “agir dans l’intérêt de tous”… Mais dans son intérêt, le but premier d’un fork d’ailleurs.







Un fork ne se fait toujours que pour son interet. La licence libre permet de faire en sorte qu’un fork serve AUSSI à la communauté.



votre avatar







atomusk a écrit :



Un fork ne se fait toujours que pour son interet. La licence libre permet de faire en sorte qu’un fork serve AUSSI à la communauté.







Et j’ai dit le contraire ?

A part que j’ai oublié le “peut-être”



JE corrige : Google ne va peut-être rien contribuer du tout à OpenSSL.





Voila.


votre avatar







iosys a écrit :



Et j’ai dit le contraire ?

A part que j’ai oublié le “peut-être”



JE corrige : Google ne va peut-être rien contribuer du tout à OpenSSL.





Voila.





J’adore comment tu dois tourmenter ta phrase à l’affirmative pour te justifier <img data-src=" />



Franchement relis ta phrase un peu, c’est risible <img data-src=" />


Google officialise sa propre implémentation d’OpenSSL : BoringSSL

  • Alléger le code autant que possible

  • Un SSL visiblement « ennuyeux » pour Google 

  • Une communication avec les autres forks... 

  • ... mais pas non plus de fédération de tous les efforts 

Fermer