Szerző: Gálffy Csaba

2014. július 29. 11:45

Hivatalos: BoringSSL-re vált a Chrome

"Házifőzésű" biztonsági könyvtárára, a BoringSSL-re bízza a Chrome titkosítási algoritmusait a Google. Az OpenSSL-ből elágazgatott könyvtár egyelőre a Chromiumba került be, hamarosan a "konzumer" Chrome-ban is átveheti a főszerepet.

Hamarosan a Chrome-ban is lecserélheti a beépített biztonsági könyvtárat a Google a saját fenntartású, OpenSSL-ből elágaztatott BoringSSL-re. Erre utal, hogy a Chrome alapjául szolgáló szabad szoftveres Chromiumban a fejlesztői közösség múlt héten megtette ezt a lépést, a böngésző minden kiadásában a BoringSSL látja el a titkosítással összefüggő funkciókat.

A Chrome jelenleg platformtól függően OpenSSL-t vagy NSS-t (Network Security Services) használ a titkosítási algoritmusokhoz. A böngésző asztali kiadásaiban a Mozilla által karbantartott NSS dolgozik, az androidos verzió azonban OpenSSL-t használ. A BoringSSL-re váltással ez a kettősség megszűnne és a Chrome egységesen a Google saját karbantartású biztonsági könyvtárát használná. Ez a fejlesztést nagyban egyszerűsítené, az NSS és az OpenSSL ugyanis nem API-kompatibilis, így a Google jelenleg külön adapter-réteget ír mindkét könyvtárhoz - ez a BoringSSL-re váltással szükségtelenné válna, és a tesztelés is egy fokozattal rövidebb lehetne.

A BoringSSL chromiumos integrációjával a fejlesztők az elmúlt hónapban többször is megpróbálkoztak. Egy ilyen központi komponens cseréje azonban nem triviális, David Benjamin Google-mérnök megjegyzése szerint ez legalább a negyedik próbálkozás. Az új könyvtár előbb a WebView buildet törte el, majd a WebRTC teszteken bukott el, harmadszorra pedig a komponensek fordítását akasztotta meg a könyvtár.

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

A negyedik próbálkozás sikeresnek tűnik, a változást már többen is leokézták a csapatból, így hamarosan a stabil kiadásban is BoringSSL-re válthat a Chromium. Ha ez a kísérlet sikeresnek bizonyul, akkor várhatóan a Chrome különböző fázisban lévő kiadásai is fokozatosan felkarolják az új biztonsági könyvtárat - ennek az átfutási ideje azonban néhány hónap is lehet. Azt érdemes leszögezni, hogy a csere elméletben sem a végfelhasználót, sem a webfejlesztőket nem érinti, a BoringSSL ugyanúgy támogatja a webes titkosítási szabványokat (SSL vagy TLS), mint az NSS vagy az OpenSSL.

Ideje saját könyvtárat készíteni

A Google június végén jelentette be, hogy elágaztatja az OpenSSL könyvtárat és készít belőle egy saját fenntartású, korlátozottabb célú kiadást, amelyet BoringSSL-nek nevezett el a cég. Az elágazás a jövőben nem fejlődik az OpenSSL-től teljesen függetlenül, a Google rendszeresen emel át kódot és funkcionalitást. A cég teljes API-kompatibilitást nem garantál, a BoringSSL az eredeti könyvtár képességeinek csak részhalmazát fogja támogatni, azt viszont a projekt ígérete szerint magasabb minőségű kóddal és megbízhatóbban. Az elágaztatásra (forkolásra) vonatkozó döntést a Google a Heartbleed hiba nyilvánosságra kerülése után hozta meg, az OpenSSL kódbázisának kétségbeejtő minőségére adott (egyik válaszként). A részletekért érdemes fellapozni az akkor írt cikkünket.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról