sander

Heartbleed - время менять пароли!

    • 13 апреля 2014, 21:57
    • |
    • sander
  • Еще
Друзья, это важно предупреждение всем кто… ВСЕМ.
Да, это относится к трейдигу — все у кого есть личные кабинеты, почта, любые регистрации — стоит сменить пароль.

Heartbleed - время менять пароли!

Интернет столкнулся с, возможно, самой серьёзной опасностью со времени своего создания.
Дело в том, что скомпрометирован OpenSSL 1.0.1 — это такой протокол, который использовался для установления доверенного соединения между сервером и клиентом. Представьте себе, что некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. (конспирологи, МОЛЧАТЬ!)
Чем это опасно? Масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Интересно, что эксплуатация данной уязвимости не оставляет никаких следов в логах веб-сервера.

Вот несколько ссылок по теме.
http://habrahabr.ru/post/218609/
http://habrahabr.ru/company/yandex/blog/218951/
http://habrahabr.ru/post/219151/
http://habrahabr.ru/post/218661/

СМЕНИТЕ ПАРОЛИ!!!


Кому интересно — вот как действует сервер, подврежденный уязвимости:

Heartbleed - время менять пароли!
Данная публикация является личным мнением автора. Мнение владельца сайта может не совпадать с мнением автора.
25 | ★4
7 комментариев
Не совсем всегда трафик, а случайное содержимое памяти сервера, а уж если вытащить приватный ключ с сервера, то тогда — да) прослушивать трафик.
п.с. соревнование устроенное cloudflare показало что вытащить приватный ключ с сервера не такая уже и сложная задача.
avatar
лучше оберну монитор алюминиевой фольгой
avatar
спать, фольга не работает, вот кактус всегда выручал
avatar
А зачем биткоин повашему? :) На самом деле он майнит все эти SSL и прочее, и всё больше и больше, больше и больше.
avatar
AndyI, точно!!!111 :) :) :)
Главное, что для данной уязвимости не нужно ничего, кроме скрипта для отправки запросов.
avatar
… кстати вброс о срочной тотальной смене паролей не может быть, как раз и необходим тем, кто нашёл некую(необязательно описываемую)уязвимость и вложился в некую техническую возможность поиметь самых осторожных и предусмотрительных???
Я полный чайник, но при смене паролей обычно нужно засветить и старый, и новый)))
avatar

Читайте на SMART-LAB:
Каждую пятую ипотеку россияне будут закрывать на пенсии
По данным ЦБ РФ, доля заемщиков, которые по первоначальному графику будут погашать ипотеку в возрасте 70–75 лет, с 17% в первом полугодии 2025-го...
Фото
🔥 Главные фавориты российского рынка на ближайшие месяцы
На основе новой стратегии от аналитиков ВТБ Мои Инвестиции мы подобрали список из десяти компаний, которые могут принести наибольшую пользу...
Фото
МГКЛ выходит на рынок Индии
Совет директоров ПАО «МГКЛ» принял решение учредить юридическое лицо в международном финансовом центре GIFT City в штате Гуджарат. Это...
Фото
АЛРОСА на дне (18 руб за 1 акцию), но со дна продолжают стучать - есть ли шансы на иксы?
5 лет назад акции АЛРОСы стоили 150 рублей за 1 акцию и были сверхпопулярны — классный вечный сектор (все девушки любят бриллианты), большие...

теги блога sander

....все тэги



UPDONW
Новый дизайн