アカウント名:
パスワード:
未初期化の変数って本当に十分なエントロピー持ってるのか?
認識が違います。OpenSSLは本来それに頼ってないです。Debian Bug report #363516 [debian.org] にもありますが、ssleay_rand_add()のほうのbufは純粋にinputとしての引数です。 # これくらいその関数内のコード追っかけるだけで分かるのに、ほんとに何やってんだか。 本来はアプリケーション側がランダムなデータを用意してssleay_rand_add()に
原因は、valgrind使ったアプリケーションが本当にタコで未初期化のバッファを渡していたか、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
いやしかし (スコア:0)
Re: (スコア:2, 参考になる)
認識が違います。OpenSSLは本来それに頼ってないです。Debian Bug report #363516 [debian.org] にもありますが、ssleay_rand_add()のほうのbufは純粋にinputとしての引数です。
# これくらいその関数内のコード追っかけるだけで分かるのに、ほんとに何やってんだか。
本来はアプリケーション側がランダムなデータを用意してssleay_rand_add()に
Re:いやしかし (スコア:2, 参考になる)
OpenSSL内部で未初期化のバッファを渡している部分があるという指摘がありました。
http://www.links.org/?p=328 [links.org]
しかしOpenSSLが未初期化のバッファに依存しないということには変わりありません。
上述のページには「何が問題だったか」と「今後どうすべきか」がまとめてありますので、詳しく知りたい方は是非読んでみてください。