LINUX.ORG.RU
ФорумTalks

Сердце кровью обливается

 


0

2

Сап сосаны.

Мне тут на почту разные сервисы начали слать письма, что так мол и так, всех поимели, дыра в ссл, мы все умрем. Это что, теперь надо везде пароли менять или как?

Deleted

Как бы да. По крайней мере на сайтах, которые использовали уязвимую версию OpenSSL.

Policeman
()

Дело твое, я бы на всякий сменил. Но и не дергаться тоже никто не запрещает...

yars068 ★★★★
()

У меня около 200 разных аккаунтов - ни от одного сервиса письма не получил. Кажись им всем плевать.

fornlr ★★★★★
()

На самых важных поменял, конечно, остальные десятки аккаунтов, которыми пользуюсь раз в пару лет - не особо важны, данных важных нет, завести новый - не проблема, а пароли на каждом аккаунте разные.

Ну это на моём примере.

Lilly
()

Ну кульхацкеры о дыре не знали. А большие компании вроде бы выкатили фиксы еще до того как все стало известно публике.

Если речь о АНБ, который вероятно ее туда засунул, то это же АНБ и ты, анон, им не нужен. И воровать твою кредитку они не станут

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 3)

У сервисов, которые мне важны, двухфакторная аутентификация.
Остальные ССЗБ.

ritsufag ★★★★★
()
Ответ на: комментарий от mono

Уверенности нет, есть рациональное допущение на основе того как развивались события с этой дырой

vertexua ★★★★★
()
Ответ на: комментарий от vertexua

Ну кульхацкеры о дыре не знали

Новые сведения об эксплуатации уязвимости OpenSSL «Heartbleed»

Более того, зафиксированы свидетельства того, что уязвимость эксплуатировалась злоумышленниками еще в 2013 году.

observer ★★★
()
Ответ на: комментарий от observer

Они же должны были знать об этом. Я думаю что как только это опубликовали, тогда да, кульхацкеры набесились.

vertexua ★★★★★
()

Лишний раз сменить никогда не вредно.

Dispetcher14 ★★★★★
()
Ответ на: комментарий от vertexua

Тогда остается ненулевая вероятность того, что многое было взломанно до обнаружения уязвимости. Верно?

observer ★★★
()
Ответ на: комментарий от vertexua

Я просто стараюсь больше информации узнать о проблеме. Подозревал, что у тебя есть какие-то опровергающие пруфы.

observer ★★★
()
Ответ на: комментарий от Dmitry_Sokolowsky

Это понифаги так друг-друга приветствуют

Siado ★★★★★
()

Да блджад, как же вы зае...ли с этим OpenSSL!!! Никуда ваши пароли не утекли! Чтобы это случилось, нужно совпадение ох...го количества факторов.

Утекли сертификаты, которые могу позволить устроить MITM, но чтобы его устроить в подавляющем большинстве случаев, нужно действовать на уровне провайдера.

Сама по себе утечка секретного ключа сертификата в общем-то и не страшна и не поможет ни в какой мере расшифровать переданные данные, поскольку в сессии используется генерируемый одноразовый сеансовый ключ, который нельзя восстановить даже если прослушать поток и иметь сертификат и его секретный ключ!

no-dashi ★★★★★
()
Ответ на: комментарий от drakmail

Не сервера, а процесса. И только той части, которая живёт в памяти до начала собственно сессии (на этапе согласования SSL/TLS). С учетом того, что практически все данные всплывают только после начала сессии, который случается после успешного завершения TLS-согласования, вероятность вытащить сколь-нибудь значимые данные становится настолько малой, что может быть использована как детектор предклиническогосостояния паранойи.

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Ну да, паранойи... недавно кричали, что сертификат вытащить невозможно.. гугла и яндекса забили менять сертификаты, ибо «компрометация маловероятна»... а тут.. грустно смотреть на левый сайт, валидно подписанный.

naszar
()
Ответ на: комментарий от naszar

А я тебе по-русски и сказал, что для успешного завершения атаки по этой уязвимости надо быть провайдером

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Ты неверно истолковал мое сообщение. Для примера яндекс. 11 апреля они говорили так:

Мы, как и обнаружившие уязвимость исследователи, считаем, что кража приватных SSL-ключей с помощью данной атаки маловероятна. Хоть в 64 кб данных из памяти веб-сервера можно вложить небольшое эссе про безопасность паролей, для появления в ней SSL-ключей требуется совпадение многих факторов.

В этот же день случается то на что ссылку давал, и на вуаля, на следующий день у яндекса новый сертификат.

Я всего лишь хотел сказать, что крикуны кричат: «фу, паранойя», ровно до тех пор, пока им в нос не ткнут рабочим эксполоитом и примером его работы. Ты наверное из тех ребят, которые хотят чтобы им показали ИХНИЙ ПАРОЛЬ или ИХНИЙ НОМЕР кредитной карты, чтобы они сказали: «да ты прав, возможно сдесь есть уязвимость».

для успешного завершения атаки по этой уязвимости надо быть провайдером

Ты только что, по русски, сказал, что MITM могут реализовать только провайдеры? Ты доказал абсолютную безопасность DNS? Травить кэши невозможно? ARP спуфинг не бывает? Ты вывел сетевую безопасность на качественно новый уровень! Жаль, но я тебе не верю.

naszar
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.