Skocz do zawartości
Miłosz

Babol w OpenSSL

Polecane posty

Algorytmy szyfrujące są zaprojektowane głównie przez agencje rządowe USA, więc zakładam, że każdego z Nas mogą podsłuchać sprawdzić itd. Jedyną opcją to jest to, że szaraczek raczej nikogo póki co nie obchodzi :)

Reasumując błąd zabójczy, ale mi to loto :)

 

https://mail.google.com jest bezpieczne :)

Edytowano przez Syndrom (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dziura jest dość poważna, wgrywam cały czas łaty na obsługiwane serwery. Ciekawostka, że podatnych jest kilka polskich banków, nawet te z pierwszej ligi :ph34r:

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Sporo firm to olało...

Najszybciej zareagowała branża finansowa, a taka branża social media to już w ogóle pogrom patrząc po topowych firmach i ich logowaniu https:// ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na ten moment jedyna opcja jaka jest to zmiana domeny :D

 

Cofnąć starego certyfikatu się nie da. (praktyka tak pokazuje). Więc jak ktoś ma twój "stary" klucz publiczny to jest już pozamiatane. W praktyce system certyfikatów jaki mamy można olać i nie przywiązywać do niego znaczenia...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@theONE - jest CRL, więc teoretycznie da się stary certyfikat "zablokować".

 

Nie polecam ogólnodostępnych skanerów podatności online, bo zbierają tylko adresy stron zamiast pokazywać rzeczywisty stan.

 

Dziura piękna, reakcja ze stron gigantów dość szybka, ale wiele serwisów teraz stoi i długo poprawki nie zazna, bo niestety firmy zlecają jakimś freelancerom-nauczycielom z technikum strony i buble będą stać :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A pratyka pokazuje że często to nie działa i nie można mieć pewności czy operacja się powiodła.

 

A tak ogólnie to dużo bardziej problematyczne w tej dziurze jest to że można za jej pomocą wyciągnąć wszystko z pamięci do czego ma dostęp proces serwera www a nie tylko klucz prywatny. Wiecie hasła, klucze szyfrujące, dostępy do bazy, dane userów itd.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie pierwsza i nie ostatnia taka informacja. Jest więcej kwiatków o których nawet najlepsi administratorzy nie mają pojęcia i jak zawsze wyciekną one przez "przypadek". Bo przecież wszyscy chcą kontrolować sieć i podsłuchiwać :wacko: i wcale nie chodzi o amrykańców którzy są zdrowo trzepnięci na tym punkcie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Open Source ? Ilu z was przeczytało "ze zrozumieniem" każdą linie kodu choćby w kernelu ? ... a to tylko początek :)

Jestęśmy tylko ludźmi, środowisko ewouluje, teraz to jeszcze nic... ale pomyślcie sobie ze za x lat nasze najszybsze HPC, będa XXXXXXXXX razy słabsze niz wielowymiarowy procesor działający pewnie już na optyce,a wzrost mocy to nowe możliwości, nowe możliwości to wzrost złożoności obliczeniowej... pytanie kto nad tym zapanuje ? :) asbtrachuje już kompletnie od tendencji rynku do "oraclowania wszystkiego", kto wie czy za 10 czy 20 lat będzie jakiekolwiek "open source" a jeśli jakieś się ostatnie to ile będzie warte... i ile wtedy będą warte jakiekolwiek słowa o "bezpieczeństwie" to tak jak dzisiaj do łez może rozbawić adm complex sap czy jakiegokolwiek systemu ze stajni m$, mówiący o bezpieczeństwie :)

 

Przykre to ale prawdziwe, najlepsze "wolne" czasy za nami, współczuje tylko przyszłym pokoleniom, orwellowska wizja pędzi niczym towarowy na wschód za "komuny"...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Najgorsze jest to, że ten pracownik G zgłosił błąd jakiś czas temu. Ciekawe ile osób i przede wszystkim jakich osób wiedziało o tej luce wcześniej. Myślę, że Googlowi wystarczyły by 2-3 tygodnie z wiedzą o tym błędzie, żeby przeskanować wszystkie httpsy z bazy i wyciągnąć certy. To taki przykład.

 

Takich błędów może być mnóstwo i wszędzie. W tych popularniejszych są dobrze zaszyte przez najlepsze zespoły szpiegowskie i tak jak w tym przypadku wymagana jest duża ilość czasu, by dziurę odkryć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×