16/c737126191d6fb5c3b04292d4fb3e8874cb6a8

   1 Return-Path: <jeff@ocjtech.us>\r
   2 X-Original-To: notmuch@notmuchmail.org\r
   3 Delivered-To: notmuch@notmuchmail.org\r
   4 Received: from localhost (localhost [127.0.0.1])\r
   5         by olra.theworths.org (Postfix) with ESMTP id D0D65431FBC\r
   6         for <notmuch@notmuchmail.org>; Fri, 27 Nov 2009 21:41:42 -0800 (PST)\r
   7 X-Virus-Scanned: Debian amavisd-new at olra.theworths.org\r
   8 Received: from olra.theworths.org ([127.0.0.1])\r
   9         by localhost (olra.theworths.org [127.0.0.1]) (amavisd-new, port 10024)\r
  10         with ESMTP id kfF3ztnSvf6s for <notmuch@notmuchmail.org>;\r
  11         Fri, 27 Nov 2009 21:41:41 -0800 (PST)\r
  12 Received: from mail-yx0-f187.google.com (mail-yx0-f187.google.com\r
  13         [209.85.210.187])\r
  14         by olra.theworths.org (Postfix) with ESMTP id D28AD431FAE\r
  15         for <notmuch@notmuchmail.org>; Fri, 27 Nov 2009 21:41:41 -0800 (PST)\r
  16 Received: by yxe17 with SMTP id 17so2102779yxe.33\r
  17         for <notmuch@notmuchmail.org>; Fri, 27 Nov 2009 21:41:41 -0800 (PST)\r
  18 MIME-Version: 1.0\r
  19 Received: by 10.90.159.16 with SMTP id h16mr2831001age.24.1259386900699; Fri, \r
  20         27 Nov 2009 21:41:40 -0800 (PST)\r
  21 In-Reply-To: <87ws1be35o.fsf@vertex.dottedmag>\r
  22 References: <1259378883-9181-1-git-send-email-jeff@ocjtech.us>\r
  23         <87ws1be35o.fsf@vertex.dottedmag>\r
  24 Date: Fri, 27 Nov 2009 23:41:40 -0600\r
  25 Message-ID: <935ead450911272141g7ecf917ds1547fc95da3178aa@mail.gmail.com>\r
  26 From: Jeffrey Ollie <jeff@ocjtech.us>\r
  27 To: Mikhail Gusarov <dottedmag@dottedmag.net>\r
  28 Content-Type: text/plain; charset=UTF-8\r
  29 Content-Transfer-Encoding: quoted-printable\r
  30 Cc: Not Much Mail <notmuch@notmuchmail.org>\r
  31 Subject: Re: [notmuch] [PATCH] Use libgcrypt for hashing.\r
  32 X-BeenThere: notmuch@notmuchmail.org\r
  33 X-Mailman-Version: 2.1.12\r
  34 Precedence: list\r
  35 List-Id: "Use and development of the notmuch mail system."\r
  36         <notmuch.notmuchmail.org>\r
  37 List-Unsubscribe: <http://notmuchmail.org/mailman/options/notmuch>,\r
  38         <mailto:notmuch-request@notmuchmail.org?subject=unsubscribe>\r
  39 List-Archive: <http://notmuchmail.org/pipermail/notmuch>\r
  40 List-Post: <mailto:notmuch@notmuchmail.org>\r
  41 List-Help: <mailto:notmuch-request@notmuchmail.org?subject=help>\r
  42 List-Subscribe: <http://notmuchmail.org/mailman/listinfo/notmuch>,\r
  43         <mailto:notmuch-request@notmuchmail.org?subject=subscribe>\r
  44 X-List-Received-Date: Sat, 28 Nov 2009 05:41:43 -0000\r
  45 \r
  46 On Fri, Nov 27, 2009 at 9:31 PM, Mikhail Gusarov\r
  47 <dottedmag@dottedmag.net> wrote:\r
  48 > Twas brillig at 21:28:03 27.11.2009 UTC-06 when jeff@ocjtech.us did gyre =\r
  49 and gimble:\r
  50 >\r
  51 > =C2=A0JCO> Instead of including a private implementation of the SHA1 hash\r
  52 >\r
  53 > xserver went this road, and now it has\r
  54 > --with-sha1=3Dlibc|libmd|libgcrypt|libcrypto|libsha1|CommonCrypto in\r
  55 > configure.\r
  56 \r
  57 I doubt that we'll get to that level of insanity.\r
  58 \r
  59 > =C2=A0JCO> This means less code of our own to maintain and\r
  60 >\r
  61 > As libsha1 maintainer I'm volunteering to maintain in-tree copy in\r
  62 > notmuch :)\r
  63 \r
  64 That's great that you're willing to take on the task, but as I do a\r
  65 lot of work for Fedora I tend to think about these things differently.\r
  66  It's not about a project here or there making private copies of some\r
  67 code, it's about tracking down *all* of the projects that have private\r
  68 copies of the code when something goes wrong, especially when there\r
  69 are security implications.\r
  70 \r
  71 The most famous example is Zlib.  Based upon what Google turned up I\r
  72 see that you've been around long enough that you should have heard of\r
  73 the problems the computer world had when security flaws turned up in\r
  74 Zlib.  There's even a project[1] that developed methods for\r
  75 identifying vulnerable code in binaries the problem was so pervasive.\r
  76 \r
  77 A more recent example is a cross-site ajax request vulnerability in\r
  78 the Prototype JavaScript framework[2].  A lot of projects copied that\r
  79 code into their repositories as well, and now someone has to track all\r
  80 of those down and get them fixed as well.\r
  81 \r
  82 When projects copy code into their repositories like this, it makes\r
  83 things a lot more difficult for someone else down the road.  Both\r
  84 Fedora[3] and Debian[4] (and Ubuntu by extension), while not expressly\r
  85 forbidding the practice, *strongly* recommend against it.  I'd really\r
  86 recommend reading the Fedora page that explains the policy as it has a\r
  87 great summation of the problem.\r
  88 \r
  89 [1] http://www.enyo.de/fw/security/zlib-fingerprint/\r
  90 [2] http://cve.mitre.org/cgi-bin/cvename.cgi?name=3DCVE-2008-7220\r
  91 [3] https://fedoraproject.org/wiki/Packaging:No_Bundled_Libraries\r
  92 [4] http://www.debian.org/doc/debian-policy/ch-source.html#s-embeddedfiles\r
  93 \r
  94 --=20\r
  95 Jeff Ollie\r