プロローグ（既にご存知ですか？）

Question

プロローグ（既にご存知ですか？）

より簡単なソリューションであり、唯一のソリューション安全私の考えの解決策は、まだSSLv3に依存するという点で最新バージョンのTLSを使用することです。これらのライブラリのAPIは実際には変更されておらず、現在SSL3よりも最新のTLSをサポートしています。 SSL3は12年前に廃止されました（！）。 2014年に比較的マイナーな攻撃（POODLE）が発見され、それを悪用するための使いやすいツールがいくつか見つかりました。

したがって、現在POODLE緩和なしでSSL3を使用している場合、通信を暗号化したとは限りません。これは弱く難読化されており、メッセージを復号化するにはインターネット接続のみが必要です。

お尻を覆う

私はこれが要件であることを理解していますが、責任あるソフトウェア開発者として上司または顧客から「はい、これは安全ではありません。。行く。あなた何かが間違っていると、斜線から出ることができます。

SSL3トラフィックがそのシステムを離れないように、同じシステムにTLSプロキシを設定するのに問題がある安全でないサービスを実行しているチームが、同じデータを最新のTLS1.3パケットに配置することをお勧めします。セキュリティとソフトウェアエンジニアリングの問題を同時に解決してください。（もちろん、正しいことはアプリを修正することであり、修正することではありません。しかし、レガシーソフトウェアがどのように機能するかを理解しています。）

それをする方法

と言った、プログラムが使用しているQt5ライブラリを実際に置き換える必要があります。つまり、単にインストールすることはできません。一部Qt5バージョンを使用し、a）問題は発生せず、b）新しいバージョンが実際に使用しているバージョンを置き換えることを願っています。

したがって、Qt5ソースコードを手動でビルドする必要はありません。必要Debianメカニズムを使用して互換性のあるQt5パッケージを構築し、パッチを適用します（もう一度申し上げますが、これは悪い考えです）。

したがって、次の手順に従ってください。

前進、手動で構築したものを削除します。そうしないと、問題が発生する可能性があります。

Debian開発ツールをインストールします。
sudo apt-get install build-essential fakeroot devscripts
変更したいライブラリを含むDebianパッケージを見つけます。
行くhttps://packages.debian.org、Debianのバージョンに適したバージョンで見つけてください。
パッケージ情報ページの右側には、ソースパッケージの.dscファイルへのリンクがあります（ファイル私の考えではここにqtbase-opensource-srcがあるので、リンクは次のようになります。これ
このリンクをコピーしてください。
Debian 開発マシンで新しいディレクトリを作成し、cdそのディレクトリに移動します。
dget THE_LINK_YOU_JUST_COPIED
すべてのビルド依存関係がインストールされていることを確認してください。
mk-build-deps; sudo apt-get install ./*build-deps*.deb
サブフォルダーにある抽出されたソースコードに移動します。cd debian
すべての既存のパッチを適用して準備します。quilt push -a
新しいパッチを開始します。quilt new enable_ssl_v3_verybadidea
どのファイルを変更したいかを知っているので：quilt add file1 file2 file3 …
その後、ファイルを編集してください。
パッチ変更の送信quilt refresh
次に、解凍したdebianの最上位ディレクトリに戻り、次のものをビルドします。
debuild -b -uc -us
5.で作成したディレクトリには、変更した新しいqt5 debianパッケージがあり、それを直接インストールしてからqt5パッケージを置き換えることができます。sudo apt-get install ../*.debこれらをインストールしてください！

なぜそんなに複雑なのですか？

まあ、私たちはQt5を構築するのが複雑であることにすべて同意することができます。 Debianはあなたのためにこれを行う方法を見つけたので、私たちは彼らのスクリプトを使うべきです。さらに、私たちは必要Debianと互換性があるにはライブラリが必要なので、Debianと同じようにビルドしてください。それ以外の場合、qt5 に依存する他の Debian パッケージの機能が中断されます。

だから私たちはDebianの方法で仕事をしなければなりません。利点は、アプリケーションをデプロイするすべてのコンピュータにコピーし、単一dpkg -i package.debまたはapt-get install ./package.debコマンドを使用してインストールできる.debパッケージを入手できることです。

必要に応じてファイルを変更するときにパッチをインポートしてから、Debian ビルドプロセスを「新しい」ソースに適用して、ビルドが実際に安定していることを確認する必要があります。

あなたも

他のバグを修正できる Debian アップデートがファイルを上書きしないようにインストールされたパッケージを修正します。（これはインストール方法に関係なく適用されます。）
手動でビルドしたすべてのアップデートにパッチを渡します（圧縮されたソースのdebian / patchesからパッチファイルをコピーしてdebian / patches / seriesに追加します）。

全体的に、あなたの要求により、あなたはシステムQt5の事実上の管理者になりました。Qt5の構築方法にかかわらず完全に。これは、管理者がユーザーのシステムのセキュリティを損なうよりも、他の解決策を見つけることを検討する必要があるという強力な主張でなければ、よくわかりません。他の会社ではそうしないので、次の給与交渉で考慮すべき事項かもしれません。あなたにこのようなことをするよう強要するのです。

Answer 1

プロローグ（既にご存知ですか？）

より簡単なソリューションであり、唯一のソリューション安全私の考えの解決策は、まだSSLv3に依存するという点で最新バージョンのTLSを使用することです。これらのライブラリのAPIは実際には変更されておらず、現在SSL3よりも最新のTLSをサポートしています。 SSL3は12年前に廃止されました（！）。 2014年に比較的マイナーな攻撃（POODLE）が発見され、それを悪用するための使いやすいツールがいくつか見つかりました。

したがって、現在POODLE緩和なしでSSL3を使用している場合、通信を暗号化したとは限りません。これは弱く難読化されており、メッセージを復号化するにはインターネット接続のみが必要です。

お尻を覆う

私はこれが要件であることを理解していますが、責任あるソフトウェア開発者として上司または顧客から「はい、これは安全ではありません。。行く。あなた何かが間違っていると、斜線から出ることができます。

SSL3トラフィックがそのシステムを離れないように、同じシステムにTLSプロキシを設定するのに問題がある安全でないサービスを実行しているチームが、同じデータを最新のTLS1.3パケットに配置することをお勧めします。セキュリティとソフトウェアエンジニアリングの問題を同時に解決してください。（もちろん、正しいことはアプリを修正することであり、修正することではありません。しかし、レガシーソフトウェアがどのように機能するかを理解しています。）

それをする方法

と言った、プログラムが使用しているQt5ライブラリを実際に置き換える必要があります。つまり、単にインストールすることはできません。一部Qt5バージョンを使用し、a）問題は発生せず、b）新しいバージョンが実際に使用しているバージョンを置き換えることを願っています。

したがって、Qt5ソースコードを手動でビルドする必要はありません。必要Debianメカニズムを使用して互換性のあるQt5パッケージを構築し、パッチを適用します（もう一度申し上げますが、これは悪い考えです）。

したがって、次の手順に従ってください。

前進、手動で構築したものを削除します。そうしないと、問題が発生する可能性があります。

Debian開発ツールをインストールします。
sudo apt-get install build-essential fakeroot devscripts
変更したいライブラリを含むDebianパッケージを見つけます。
行くhttps://packages.debian.org、Debianのバージョンに適したバージョンで見つけてください。
パッケージ情報ページの右側には、ソースパッケージの.dscファイルへのリンクがあります（ファイル私の考えではここにqtbase-opensource-srcがあるので、リンクは次のようになります。これ
このリンクをコピーしてください。
Debian 開発マシンで新しいディレクトリを作成し、cdそのディレクトリに移動します。
dget THE_LINK_YOU_JUST_COPIED
すべてのビルド依存関係がインストールされていることを確認してください。
mk-build-deps; sudo apt-get install ./*build-deps*.deb
サブフォルダーにある抽出されたソースコードに移動します。cd debian
すべての既存のパッチを適用して準備します。quilt push -a
新しいパッチを開始します。quilt new enable_ssl_v3_verybadidea
どのファイルを変更したいかを知っているので：quilt add file1 file2 file3 …
その後、ファイルを編集してください。
パッチ変更の送信quilt refresh
次に、解凍したdebianの最上位ディレクトリに戻り、次のものをビルドします。
debuild -b -uc -us
5.で作成したディレクトリには、変更した新しいqt5 debianパッケージがあり、それを直接インストールしてからqt5パッケージを置き換えることができます。sudo apt-get install ../*.debこれらをインストールしてください！

なぜそんなに複雑なのですか？

まあ、私たちはQt5を構築するのが複雑であることにすべて同意することができます。 Debianはあなたのためにこれを行う方法を見つけたので、私たちは彼らのスクリプトを使うべきです。さらに、私たちは必要Debianと互換性があるにはライブラリが必要なので、Debianと同じようにビルドしてください。それ以外の場合、qt5 に依存する他の Debian パッケージの機能が中断されます。

だから私たちはDebianの方法で仕事をしなければなりません。利点は、アプリケーションをデプロイするすべてのコンピュータにコピーし、単一dpkg -i package.debまたはapt-get install ./package.debコマンドを使用してインストールできる.debパッケージを入手できることです。

必要に応じてファイルを変更するときにパッチをインポートしてから、Debian ビルドプロセスを「新しい」ソースに適用して、ビルドが実際に安定していることを確認する必要があります。

あなたも

他のバグを修正できる Debian アップデートがファイルを上書きしないようにインストールされたパッケージを修正します。（これはインストール方法に関係なく適用されます。）
手動でビルドしたすべてのアップデートにパッチを渡します（圧縮されたソースのdebian / patchesからパッチファイルをコピーしてdebian / patches / seriesに追加します）。

全体的に、あなたの要求により、あなたはシステムQt5の事実上の管理者になりました。Qt5の構築方法にかかわらず完全に。これは、管理者がユーザーのシステムのセキュリティを損なうよりも、他の解決策を見つけることを検討する必要があるという強力な主張でなければ、よくわかりません。他の会社ではそうしないので、次の給与交渉で考慮すべき事項かもしれません。あなたにこのようなことをするよう強要するのです。

プロローグ（既にご存知ですか？）

ベストアンサー1

プロローグ（既にご存知ですか？）

お尻を覆う

それをする方法

なぜそんなに複雑なのですか？

おすすめ記事