Open Source Helvedet

Jeg har taget mig et par R&D dage, for at lege med et lille hobbyprojekt.

Det er mit firmas version af Googles "20% regel": nogen gange skal der laves mentale strækøvelser.

Og mens jeg et kort øjeblik er uopmærksom udvikler min inbox akut fedme.

Først er der de automatiske emails, de bliver med hård hånd slettet, den eneste grund til at de ikke bliver procmail'et, er at de giver et godt overblik over aktivitetsniveauer og tidlig varsel om katastrofer.

Der er emails, fra firmaer der betaler mine faktura, selvom det ikke altid er nemt at se hvordan den tid jeg bruger på dem, kommer på en faktura.

Der er emails fra skolen, spejder og venner.

Men så er der de andre, de emails jeg kalder "open source helvedet".

Den eneste ret man aldrig kan slippe af med i Open Source sammenhæng er "den moralske ret".

Man kan sælger sin copyright eller give den væk, men i sidste ende er man stadig manden der skrev dette eller hint stykke software.

Og derfor henvender folk sig selvfølgelig til mig når de har problemer, ideer eller spørgsmål.

Eller opgavesæt i CS.

En eller anden CS professor i Japan bruger noget af mit mere spændende FreeBSD kode i et opgavesæt.

Jeg har overvejet at spørge en af hans mange studenter om hans navn, så jeg kan bede om course-credits og tutor-betaling.

Pt. får de et standardbrev om værdien af sand lærdom og tilfredsstillelsen ved at gennemskue ting selv.

Der er emails fra en folk der ikke kan få noget software jeg skrev til at virke.

Muligvis forstår de heller ikke helt hvad det egentligt skal bruges til eller hvordan det i givet fald gør det det gør.

Jeg burde skrive en bog, der pædagogisk og struktureret kunne stå på deres hylder, mens de sender mig en email, fordi det er hurtigere.

Der er folk der har fået softwaren til at virke og som synes det kunne være så fedt hvis jeg også lige tilføjede en teksteditor og porterede det til java så de kunne køre det på deres mobiltelefon.

Eller deres (kommende) firma kunne tjene så mange flere penge hvis jeg lavede en hel masse specielle features som de lige står og mangler.

Nice try.

Bonus hint: Det nytter ikke at blive skide fornærmet.

Så er der folk der har fundet fejl, folk der tror de har fundet fejl, folk der tager fejl når de tror de har fundet fejl og folk der tror at jeg har taget fejl når jeg siger de har taget fejl med hensyn til den fejl.

Hint: inkluder et patch eller i det mindste en testcase der ikke indebærer "Byg en af verdens største sociale sites og bliv derefter feature't i CNN", så går det lidt hurtigere med at få svar.

Der er også en sjakbajs fra FreeBSD der har fundet noget underligt kode og lige vil have en "second opinion" inden han roder med det. Det er ikke kode jeg har set i flere år og det vil tage mig en halv dags tid at give ham et kompetent svar.

Så er der emails der indeholder et gran af salt der potientielt kunne vælte en kamel og derfor ikke bør gå i glemmebogen. Nogle af den kræver blot lidt rettidig omhu ved lejlighed, andre vil tage en uge eller mere at komme til bunds i.

Jeg kunne bruge 10 timer om dagen, bare på at svare ordentligt og anstændigt på disse emails og det piner mig hver gang jeg ikke gør det.

Lidt længere nede af svovlpølen bor Sisyfos, jeg fik den ide at vi begge kunne trænge til lidt jobrotation, men han svarer ikke på mine emails.

phk

Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Jeg har selv udgivet et par bidder OSS og får jævnligt mail om det, dog ikke i nær det omfang, du beskriver. Jeg er i reglen glad for disse mails, da de nogen gange påpeger faktiske problemer, som jeg så kan få løst.

Men jeg giver dig ret i, at det ikke har den højeste prioritet, når en eller anden siger, at han ikke kan oversætte mit program, fordi han ikke kunne installere GCC på sin AMD-64-baserede Windows maskine og derfor spørger, om jeg ikke kan oversætte det for ham og sende en executable.

  • 0
  • 0
Thomas Ammitzbøll-Bach

Linus Torvalds citerede en gang for mange år siden en mail, han havde fået. Jeg kan ikke finde den eksakte mail, men den gik i retning af dette:

"I bought this Linux CDROM and it doesn't work. Make it work, or I want my money back!"

Det undrer en, at han faktisk var i stand til at finde Linus' email-adresse.

Thomas

  • 0
  • 0
Poul-Henning Kamp Blogger

Jeg har selv udgivet et par bidder OSS og får jævnligt mail om det, dog ikke i nær det omfang, du beskriver. Jeg er i reglen glad for disse mails, da de nogen gange påpeger faktiske problemer, som jeg så kan få løst.

Den del værdsætter jeg bestemt også, det skal bestemt ikke forstås sådan at jeg prøver at få folk til at lade være med at ende email, langt fra[1].

Det varmer bestemt om hjertet når man nogen tager sig tid til at skrive:

Varnish saved my team's arse last night. Thankyou guys! We launched a new www.marines.com last night[...]

Det der gør inboxen til et helvede er frustrationen over alle de mennesker jeg ikke kan nå at hjælpe og i mindre grad skuffelsen over dem der spilder min tid med urimelige krav på min tid.

Poul-Henning

[1] http://phk.freebsd.dk/pubs/ieee.software.pdf

  • 0
  • 0
Martin Nissen

De har max 15 sekunder til at fanger min interesse for at læse videre, når jeg modtager en email.

Når så folk begynder at sende den samme email til flere af mine email adresser på samme tid, for at være sikker på at jeg nu læser den, blokker jeg dem som regel med hilsen fra mit SPAM filter.

Email burde være et kommunikationsmiddel, ikke en belastning!

  • 0
  • 0
Jacob Christian Munch-Andersen

http://phk.freebsd.dk/pubs/ieee.software.pdf

Du er vel klar over at MD5 er stærkt kompromiteret, og som sådan ikke kan betegnes som en kryptografisk hash funktion? Af de 4 hash funktioner som nu er at finde i koden er det kun Blowfish som nogenlunde holder vand. Har du overvejet ihvertfald at få smækket et "deprecated" skilt på download siden? Og evt. henvise folk til en mere tidssvarende hasher?

I øvrigt er der da også nogle guldæg i din gamle kode, fx:

/* Then something really weird... */

Sublim kommentar ;-)

  • 0
  • 0
Poul-Henning Kamp Blogger

Du er vel klar over at MD5 er stærkt kompromiteret, og som sådan ikke kan betegnes som en kryptografisk hash funktion?

Lad os se, skal vi tage min private FAQ fra en ende ? :-)

"Stærkt kompromiteret" ?

Nej, det er den ikke.

Der er f.eks endnu ingen der har lavet en "reverse MD5"

Men der er lavet append angreb der giver kollisioner.

I forbindelse med MD5crypt er det dog et meget meget MEGET teoretisk problem, da du ikke har mulighed for at append'e med andet end det password du taster ind.

Ud over de lavpraktiske problemer som f.eks at få kontroltegn igennem, så ville det være direkte idiotisk at foretage et append-only angreb fordi det forudsætter at du kender folks password til at starte med så du kan append'e til det...

Det er meget nemmere at gætte folks tåbelige, eller for den sags skyld gode, passwords end det vil være at finde et andet password der efter en masse ture igennem MD5 giver samme hash.

"ikke kan betegnes som en kryptografisk hash" ?

Herregud, selv f(x) = (x mode 13) er en kryptografisk hash, men af en helt utilstrækkelig styrke til noget som helst,

MD5 er en fin hurtig kryptografisk hash, men den har en veldokumenteret svaghed, til fælles med alle andre Merkle-Damgaard strukturerede hash funktioner: den er følsom for append hash angreb.

Det betyder at hele denne familie af Hash funktioner ikke uassisteret kan bruges som vidner til et en datastrøms indhold og det har naturligvis store implikationer, men md5crypt er ikke en af dem.

Endelig og det er det sygeligt ironiske i det her:

Hvis du læser den oprindelige korrespondance om spørgsmålet, så var min "opfindelse" ikke md5crypt som sådan, men det princip at du kan skifte din password-scrambler en hver 2*N sekunder, forudsagt at du har en password politik der siger "skift mindst hver N sekunder.

Det er grunden til at md5 passwords har '$1$' prefix'et, så man kan skifte version senere.

Men dette princip gik fuldstændig hen over hovedet på folk og md5crypt er nu kanoniseret alle mulige steder, fra cisco routere over flash-animationer til guderne vide hvad...

Det kan, her 13-14 år senere, godt få mig til at ryste på hovedet...

Hvis jeg havde en enkrone for hver gang en eller anden crypto-wannabee har skreget "MD5 ER BRUDT, JERES PASSWORDS ER I FARE" så ville jeg ikke have problemer med ballast til en båd.

Poul-Henning

  • 0
  • 0
Jan Keller Catalan

Du er vel klar over at MD5 er stærkt kompromiteret, og som sådan ikke kan betegnes som en kryptografisk hash funktion?

Kan du uddybe lidt? Jeg har umiddelbart fundet en del om kollisioner i forbindelse med fil-hashing, men det er lidt anderledes end password-hashing - primært fordi md5-summen er kendt.

Men jeg er nysgerrig efter at læse om den stærke kompromitering af md5 som password-hashing algoritme.

(Edit: PHK beat me to it...)

  • 0
  • 0
Henrik Kramselund Jereminsen Blogger

Jeg kan forestille mig der er en del i indbakken.

Hvis du ikke har tid til at skrive så meget om hvordan Open Source "virker" så kunne du evt. henvise folk til bogen: Producing Open Source Software How to Run a Successful Free Software Project by Karl Fogel

Den kan findes på hjemmesiden i flere formater. http://www.producingoss.com/

Den bog har jeg benyttet mig af flere gange og den forklarer det meget pædagoisk.

Du kunne også overveje en løsning i stil med Julian Assange der sender en automatisk besked tilbage. "Hvis du spørger om MD5 så læs venligst http://blah..." "Hvis du har spørgsmål om FreeBSD generelt så læs http://www.freebsd.org" osv.

Ja ja, jeg hader det selv - men indimellem ville det måske besvare spørgsmål som folk havde hurtigt og du kunne evt. vælge det ud fra længere udtryk/sætninger som folk oftest bruger.

  • 0
  • 0
Log ind eller Opret konto for at kommentere