13 апреля 2014, 21:57
Heartbleed - время менять пароли!
Друзья, это важно предупреждение всем кто… ВСЕМ.
Да, это относится к трейдигу — все у кого есть личные кабинеты, почта, любые регистрации — стоит сменить пароль.
Интернет столкнулся с, возможно, самой серьёзной опасностью со времени своего создания.
Дело в том, что скомпрометирован OpenSSL 1.0.1 — это такой протокол, который использовался для установления доверенного соединения между сервером и клиентом. Представьте себе, что некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. (конспирологи, МОЛЧАТЬ!)
Чем это опасно? Масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Интересно, что эксплуатация данной уязвимости не оставляет никаких следов в логах веб-сервера.
Вот несколько ссылок по теме.
http://habrahabr.ru/post/218609/
http://habrahabr.ru/company/yandex/blog/218951/
http://habrahabr.ru/post/219151/
http://habrahabr.ru/post/218661/
Кому интересно — вот как действует сервер, подврежденный уязвимости:
Да, это относится к трейдигу — все у кого есть личные кабинеты, почта, любые регистрации — стоит сменить пароль.
Интернет столкнулся с, возможно, самой серьёзной опасностью со времени своего создания.
Дело в том, что скомпрометирован OpenSSL 1.0.1 — это такой протокол, который использовался для установления доверенного соединения между сервером и клиентом. Представьте себе, что некто, знавший об уязвимости, мог прослушивать «зашифрованный» трафик почти во всем интернете с марта 2012 года, когда вышла версия OpenSSL 1.0.1. (конспирологи, МОЛЧАТЬ!)
Чем это опасно? Масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Интересно, что эксплуатация данной уязвимости не оставляет никаких следов в логах веб-сервера.
Вот несколько ссылок по теме.
http://habrahabr.ru/post/218609/
http://habrahabr.ru/company/yandex/blog/218951/
http://habrahabr.ru/post/219151/
http://habrahabr.ru/post/218661/
СМЕНИТЕ ПАРОЛИ!!!
Кому интересно — вот как действует сервер, подврежденный уязвимости:
При трех входных точках(1934 1586 1640), расширение fibo рисует интересный уровень.
261.803 728.926
Интересный уровень коррекции по fibo
при max=3522 и min=1775
38.1 2442.29
а для расширения при трех точках 3522 3032 3226, тоже интересный уровень.
161.8 2433.17
СПБВ БИРЖВА
Епт что творится то ну ладно ждем 175
Дык а во что тут верить, VK всё просрал и не справляется даже чисто технически. Вечерами, вон, лежит целыми подсетями.
Если Яндекс хотя бы скам включил как в 2000 (подписки без согласия, инсталлы), ...
вамсат вамирекс, вашу знакомую зовут Эльвира Н. ?
А… тогда вообще все понятно.
Эльвира Н. — слушает звезды,
Владимир П. — слушает на спиритических сеансах Петра Первого...
:)
Nordstream,
В чем проблема? Пусть наличными платят, как 200 лет тому назад
Президент по добыче Exxon Mobil заявил, что при Трампе маловероятно существенное увеличение добычи нефти в ближайшие годы.
Bloomberg| Tuesday, November 26, 2024 | 3:00 PM ES
Производители не...
YgrOK, возможно нужные люди уже давно знают и объем и цену допки. И шортят под это дело. Потом полученными с допки бумагами шорт закроют с хорошим профитом.
D-Aleksandr, без плеча? зачем переживать то? Все хорошо, отличная инвестиция. уже весной все окупится уверен почти на сто процентов. С плечом позиция может не дожить до этого времени )
п.с. соревнование устроенное cloudflare показало что вытащить приватный ключ с сервера не такая уже и сложная задача.
Главное, что для данной уязвимости не нужно ничего, кроме скрипта для отправки запросов.
Я полный чайник, но при смене паролей обычно нужно засветить и старый, и новый)))