<HELP> for explanation

sander

Heartbleed - время менять пароли!

Друзья, это важно предупреждение всем кто… ВСЕМ.
Да, это относится к трейдигу — все у кого есть личные кабинеты, почта, любые регистрации — стоит сменить пароль.

Heartbleed - время менять пароли!

Интернет столкнулся с, возможно, самой серьёзной опасностью со времени своего создания.
Дело в том, что скомпрометирован OpenSSL 1.0.1 — это такой протокол, который использовался для установления доверенного соединения между сервером и клиентом. Представьте себе, что некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. (конспирологи, МОЛЧАТЬ!)
Чем это опасно? Масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Интересно, что эксплуатация данной уязвимости не оставляет никаких следов в логах веб-сервера.

Вот несколько ссылок по теме.
http://habrahabr.ru/post/218609/
http://habrahabr.ru/company/yandex/blog/218951/
http://habrahabr.ru/post/219151/
http://habrahabr.ru/post/218661/

СМЕНИТЕ ПАРОЛИ!!!


Кому интересно — вот как действует сервер, подврежденный уязвимости:

Heartbleed - время менять пароли!
 

Не совсем всегда трафик, а случайное содержимое памяти сервера, а уж если вытащить приватный ключ с сервера, то тогда — да) прослушивать трафик.
п.с. соревнование устроенное cloudflare показало что вытащить приватный ключ с сервера не такая уже и сложная задача.
лучше оберну монитор алюминиевой фольгой
avatar

Joe

спать, фольга не работает, вот кактус всегда выручал
А зачем биткоин повашему? :) На самом деле он майнит все эти SSL и прочее, и всё больше и больше, больше и больше.
avatar

AndyI

AndyI, точно!!!111 :) :) :)
Главное, что для данной уязвимости не нужно ничего, кроме скрипта для отправки запросов.
… кстати вброс о срочной тотальной смене паролей не может быть, как раз и необходим тем, кто нашёл некую(необязательно описываемую)уязвимость и вложился в некую техническую возможность поиметь самых осторожных и предусмотрительных???
Я полный чайник, но при смене паролей обычно нужно засветить и старый, и новый)))

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
Регистрация
UP