IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chrome : Google remplace OpenSSL par BoringSSL
Son fork de la bibliothèque de chiffrement open source

Le , par Hinault Romaric

269PARTAGES

3  0 
BoringSSL, l’outil de chiffrement open source de Google a été adopté par les développeurs du projet Chromium, ce qui signifie que la solution devra remplacer OpenSSL dans une prochaine mise à jour du navigateur Chrome.

Il y a pratiquement un mois, Google avait présenté le projet BoringSSL, avec pour objectif de réduire les efforts de maintenance d’OpenSSL, qui avait fait les choux gras de la presse IT il y a quelques mois pour la faille Heartbleed.

BoringSSL est donc un fork d’OpenSSL, qui n’a cependant pas pour ambition de remplacer OpenSSL. La vision des développeurs de Google est de disposer d’un socle sur lequel ils importeront les modifications qui ont été apportées à OpenSSL, plutôt que d’appliquer leurs changements au-dessus de l’outil. Il faut noter que Google dispose actuellement de plus de 70 correctifs développés en interne pour OpenSSL. Les maintenir pour l’ensemble de ses produits utilisant la solution (Android, Chrome, etc.), demande beaucoup trop d’efforts. De plus, avec BoringSSL, Google pourra également profiter des évolutions de LibreSSL, le fork d’OpenSSL maintenu par la fondation OpenBSD.

BoringSSL a déjà été intégré dans une build de Chrome. Les développeurs intéressés peuvent déjà tester cette version qui est disponible sur le « dev channel » du projet Chromium.

Il faut souligner que selon les notes de révision du navigateur, la migration vers BoringSSL n’a pas été aussi facile que prévu. Le 16 juillet, les développeurs du projet Chromium ont ajouté BoringSSL à l’arbre de Chrome, avant de le supprimer par la suite à cause de problèmes de compatibilité avec le composant WebView pour Android.

Une deuxième tentative a eu lieu le 17 juillet, mais les développeurs auraient constaté un problème de compatibilité avec WebRTC sur Android. Puis, le 18 juillet, BoringSSL a été intégré à Chrome et a été par la suite supprimé à cause d’un problème de Build, avant une dernière tentative le 22 juillet.

L’intégration de BoringSSL dans Chrome amorce une migration qui verra la solution remplacer OpenSSL dans tous les produits de Google dans lesquels la solution de sécurité open source est utilisée.

Télécharger Chrome sur le Dev channel

Source : site du projet Chromium

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Juda-Priest
Membre actif https://www.developpez.com
Le 28/07/2014 à 7:38
@Thorna :o ! Cela donne une certaine flexibilité à Google.

Google avait tellement de correctifs/patch sur leur banche, (Pas tous approuvé ou mergé sur la branche principale) que cela devenait laborieux de la maintenir. Dans ce cas, il vaut mieux faire un fork et continuer de contribuer à OpenSSL. L'avantage que c'est tout tes correctifs sont directement sur ton fork, et plus sous forme de Patch non mergé, que tu vas perdre/re-écrire/re-debugger à chaque MAJ.

Enfin c'est comme ça que je vois les choses.
0  0 
Avatar de Lynix
Membre habitué https://www.developpez.com
Le 28/07/2014 à 10:02
Moi je me demande quand même pourquoi ils n'ont pas fait ça plus tôt, forker un projet pour ajouter ses propres modifications c'est monnaie courante dans le monde du développement (Quand c'est vraiment nécessaire).
0  0 
Avatar de Thorna
Membre éprouvé https://www.developpez.com
Le 27/07/2014 à 8:57
Citation Envoyé par Hinault Romaric Voir le message
Il faut souligner que selon les notes de révision du navigateur, la migration vers BoringSSL n’a pas été aussi facile que prévu.
Ah, ils se sont rendu compte que développer sa propre backdoor, c'est pas si facile que ça?

Plus sérieusement, quelle est l'utilité d'une "n+1ème" version dont on n'a aucune garantie de sérieux ni de sécurité ni de fonctionnement, qui sera développée et maintenue par un cercle plus restreint que le précédent, et qui va embrouiller encore plus tout le monde ?
0  2