Apple OpenSSL के पुराने संस्करण का उपयोग क्यों कर रहा है?

नवीनतम ओएस एक्स अपडेट ( 10.10.5 ) के साथ, एप्पल ओपनएसएसएल 0.9.8 पेश कर रहा है । मैंने आधिकारिक ओपनएसएसएल पेज के माध्यम से खोजा , और वहां मुझे संस्करण 1.0.2 मिल सकता है ।

मेरा प्रश्न है: Apple OpenSSL के पुराने संस्करण का उपयोग क्यों कर रहा है? क्या यह संस्करण 1.0 में पदावनत किए गए कार्यों के कारण है या इसके पीछे क्या कारण है?

स्रोत: Apple सुरक्षा पृष्ठ

Apple ओपनएसएसएल के एक कमजोर संस्करण का उपयोग क्यों कर रहा है?

यह नहीं है।

यदि आप अपने प्रश्न में पोस्ट किए गए लिंक पर क्लिक करते हैं, तो आप देखेंगे कि इस अपडेट में कई कमजोरियां हैं, जो ओपनएसएसएल 0.9.8, 1.0.0, 1.0.1, और 1.0.2 में समान रूप से मौजूद हैं।

तो, दूसरे शब्दों में, बाद में आप जिस संस्करण के विकल्प के रूप में सुझाव दे रहे हैं, 1.0.2, वह केवल 0.9.8 के रूप में असुरक्षित था, और दोनों एक ही समय में तय किए गए थे।

नवीनतम ओएस एक्स अपडेट ( 10.10.5 ) के साथ, एप्पल ओपनएसएसएल 0.9.8 पेश कर रहा है । मैंने आधिकारिक ओपनएसएसएल पेज के माध्यम से खोजा , और वहां मुझे संस्करण 1.0.2 मिल सकता है ।

Apple OpenSSL को 0.9.8zg पर अपडेट कर रहा है, जो अभी 2 महीने का है, और 1.0.2d से केवल 4 सप्ताह बड़ा है।

मेरा प्रश्न है: Apple OpenSSL के पुराने संस्करण का उपयोग क्यों कर रहा है? क्या यह संस्करण 1.0 में पदावनत किए गए कार्यों के कारण है या इसके पीछे क्या कारण है?

यह कुछ ऐसा है जो आपको Apple से पूछना होगा। मेरा सबसे अच्छा अनुमान है कि 0.9.8 वह संस्करण है जिसके साथ उन्होंने अपनी संगतता परीक्षण किया था, और एक नए संस्करण में अपग्रेड करने के लिए एक घटक के लिए पूरी तरह से नए दौर की आवश्यकता होगी जो वैसे भी पदावनत है। चूंकि यह पदावनत है, इसलिए नए सॉफ़्टवेयर (जो संभवतः नई सुविधाओं पर निर्भर होंगे) का उपयोग वैसे भी नहीं करना चाहिए, और पुराने सॉफ़्टवेयर जो अभी भी इसका उपयोग करते हैं वे नई सुविधाओं का उपयोग नहीं करते हैं (क्योंकि वे मौजूद नहीं थे) और यहां तक ​​कि टूट भी सकते हैं। एक अद्यतन द्वारा, तो क्यों परेशान?

जब तक ओपनएसएसएल समुदाय अभी भी 0.9.8 शाखा रखता है, तब तक ऐप्पल को बैकपोर्टिंग पैच का काम भी नहीं करना पड़ता है।

ध्यान दें कि यह कुछ भी असामान्य नहीं है। Apple ने रूबी के एक पुराने संस्करण को बहुत लंबे समय के लिए भेज दिया, और वे आम तौर पर एक रिलीज चक्र के दौरान अपडेट नहीं करते हैं, केवल रिलीज के बीच में। लिनक्स वितरण के साथ-साथ बीएसडी और अन्य यूनिक्स वितरण भी आमतौर पर एक रिलीज के दौरान संस्करणों को अपडेट नहीं करते हैं, वे केवल बगफिक्स और सुरक्षा सुधार लागू करते हैं। डेबियन, विशेष रूप से, आमतौर पर सभी बगों को भी ठीक नहीं करता है, केवल सुरक्षा भेद्यता और कीड़े जिसके परिणामस्वरूप उपयोगकर्ता डेटा का नुकसान हो सकता है - कोई भी बदलाव, यहां तक ​​कि एक बगफिक्स एक संभावित असंगतता और नए बग के लिए एक संभावित क्षमता है; ज्ञात कीड़े अज्ञात से बेहतर हैं!

ओपनएसएसएल को आधिकारिक तौर पर हटा दिया गया है। यह मौजूद है (कितने समय के लिए Apple आगे जाने की अनुमति देता है) सॉफ्टवेयर को नहीं तोड़ना है जो या तो ऐप्पल के विकल्प पर नहीं जाता है या ऐप के साथ आंतरिक रूप से SSL बंडल करता है।

पदावनति की घोषणा के लिए Apple डेवलपर लिंक देखें: (अन्य लिंक पढ़ने में आसान हैं / क्यों क्या है के रूप में अधिक संश्लेषण )

• /programming/7406946/why-is-apple-deprecating-openssl-in-macos-10-7-lion
• http://rentzsch.tumblr.com/post/33696323211/wherein-i-write-apples-technote-about-openssl-on
• https://developer.apple.com/library/mac/documentation/Security/Conceptual/cryptoservices/GeneralPurposeCrypto/GeneralPurposeCrypto.html