Menü
aus ein
Ansicht umschalten Baum an
Avatar von Valentin Hilbig
  • Valentin Hilbig

mehr als 1000 Beiträge seit 08.01.2000

Wo steht wie man es richtig macht?

Beim Überfliegen dieser Studie nach brauchbaren Codestücken konnte
ich leider nichts finden.  Meckern, das können auch wir Deutsche auch
bestens.  Die Herausforderung aber ist, es wirklich besser zu machen.

Ergo hätte ich von der Studie erwartet - immerhin sind es Akademiker,
kommen also aus Forschung UND Lehre -, dass sie auch zeigen, wie man
es richtig machen muss.  Anhand von Beispielen, prominent, plakativ
und unübersehbar im Text.

Es ist richtig dass man die Doku lesen muss.  Was aber z. B. von
OpenSSL ins Netz gestellt wird kann man eigentlich nicht als
Dokumentation bezeichnen.  Es ist ein Sammelsurium von mehr oder
weniger veralteten Hinweisen auf Dinge, die so oder inzwischen ganz
anders gelöst werden.  Es ist kein einziges praktikables Guide
darunter, das man nehmen und adaptieren kann, auf das auch nur
ansatzweise der Ausdruck "den Ansprüchen gerecht werden" verdient.

Bei einer derart wichtigen (ich halte OpenSSL für extrem wichtig)
Lib, von der die Autoren ernsthaft wollen dass sie auch genutzt wird
(wovon ich ausgehe), würde ich ernsthaft brauchbare Dokumentation
wünschen.  Gerne würde ich ja helfen, aber ich bin kein echter
Chipherpunk.  Ich bräuchte extrem tiefgehende Recherchen um bei dem
Thema OpenSSL mehr als auch nur Bahnhof zu verstehen.  Das bisschen
das ich in mühsamer Kleinarbeit über Jahre hin über OpenSSL
herausgefunden habe steht zwar in meinem CMS, aber das ist halt nur
worüber ich gestolpert bin.  Dort suche ich jedenfalls immer als
erstes wenn ich mal wieder was zu OpenSSL brauche, und wenn es nicht
drinnensteht suche ich - oft tagelang - mit Hilfe von Google,
Codeschnipseln aus anderen Projekten und gucken in den OpenSSL-Source
nach, ob ich irgendwie weiterkomme.  Nicht selten geht dann die Zeit
aus und wieder ist nichts geworden.

Nein, der Hinweis der Autoren der Studie auf schlechte Libs, oder
eher deren mehr als unvollständige Doku, ist vollkommen berechtigt. 
Allerdings wäre es eben schön gewesen, wenn sie etwas dazu
beigetragen hätten, die Situation deutlich zu verbessern - z. B. über
einen Leitfaden, ein Beispiel, wie man es richtig macht.

-Tino
PS: Übrigens sitze ich gerade mal wieder genau an diesem Thema.  Ein
kleines Python-Programm das nur innerhalb einer eigenen CA-ROOT SSL
sprechen soll.  In meinem Fall brauche ich z. B. keinen Test des CN,
da ich mit einem festgelegten Root-Zertifikat arbeite.  Äh, ja, und
nun stehe ich auch schon im Wald.  Kann ich mich z. B. nun an den
Code von socat anlehnen, und diesen in Python übertragen, oder nicht?
 Meine Tests mit der Chain-Verifikation von Socat jedenfalls sahen
eigentlich ganz gut aus.  Aber letztendlich sicher bin ich mir
natürlich ganz und gar nicht.

Bewerten
- +
aus ein
Ansicht umschalten Baum an
Anzeige