<div dir="ltr"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span style="font-size:12.8px">I realize keepng up with the Asterisk code base is a lot to ask, but for one thing it buys you is security.  While it is certainly true that "improvements"  do introduce new security holes, a more mature and current Asterisk is more likely to have fewer security holes.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Since many nodes face the public internet, it would certainly be catastrophic if a black hat were to have the ability to knock any public facing AllStar node in the world off the air by exploiting a previously undisclosed vulnerability.  Combining such an exploit with a router exploit to get to private networks of nodes is a real possibility, and there are LOTS of people around the world, including some big players, that invest heavily in having such a toolset ready for when it would benefit them.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Having what is essentially a static code base makes it easier for those folks.  I know that sounds rather paranoid, but just sayin....</span><br style="font-size:12.8px"></blockquote><div><br></div><div>I don't refute that. Security is a real threat and something that everyone should keep fingers on, but I really have to ask myself, if I was so concerned about something being attacked why is it on the internet in the first place? If my box were to get owned, I most likely would discover it in a timely manner and take corrective action anyhow, which would probably involve me laughing at it, wiping the drive, and restoring my configs from backup. This is pure hobby to me, not a mission critical production system. <br><br>It's no excuse to have any insecure software or protocols running on any platform whatsoever, but I know of no single product in existence that has ever been made 100% bullet proof and secure out of the box, so that leads me to wonder what the real threat vector is here besides the "what if" factor. Believe me, as a security conscious guy who locks down his own servers and gear, I totally get it, but I view app_rpt in a different light because it's only existence in life for me is to control a repeater and provide network connectivity to other nodes. </div><div><br></div><div>All in all, I like things where they are now, and if progress can be made on a newer platform, great, but otherwise the work others have done to this point on it has been phenomenal and I am in 100% support and appreciative of it. </div><div><br></div><div>73</div><div>Stephen </div><div>K1LNX</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 12, 2016 at 1:04 PM, Willem Schreuder <span dir="ltr"><<a href="mailto:willem@prinmath.com" target="_blank">willem@prinmath.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Mon, 12 Sep 2016, Stephen - K1LNX wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
What exactly does it gain for us?<br>
</blockquote>
<br></span>
I realize keepng up with the Asterisk code base is a lot to ask, but for one thing it buys you is security.  While it is certainly true that "improvements"  do introduce new security holes, a more mature and current Asterisk is more likely to have fewer security holes.<br>
<br>
Since many nodes face the public internet, it would certainly be catastrophic if a black hat were to have the ability to knock any public facing AllStar node in the world off the air by exploiting a previously undisclosed vulnerability.  Combining such an exploit with a router exploit to get to private networks of nodes is a real possibility, and there are LOTS of people around the world, including some big players, that invest heavily in having such a toolset ready for when it would benefit them.<br>
<br>
Having what is essentially a static code base makes it easier for those folks.  I know that sounds rather paranoid, but just sayin....<br>
<br>
73 -Willem AC0KQ<br>
</blockquote></div><br></div>