Miłosz 2311 Zgłoś post Napisano Kwiecień 8, 2014 ciekawe.. http://niebezpiecznik.pl/post/krytyczna-dziura-w-openssl-ponad-65-serwerow-w-internecie-podatnych-na-podsluch-i-to-od-2-lat/ Udostępnij ten post Link to postu Udostępnij na innych stronach
Syndrom 95 Zgłoś post Napisano Kwiecień 8, 2014 (edytowany) Algorytmy szyfrujące są zaprojektowane głównie przez agencje rządowe USA, więc zakładam, że każdego z Nas mogą podsłuchać sprawdzić itd. Jedyną opcją to jest to, że szaraczek raczej nikogo póki co nie obchodzi Reasumując błąd zabójczy, ale mi to loto https://mail.google.com jest bezpieczne Edytowano Kwiecień 8, 2014 przez Syndrom (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
mmmm21 98 Zgłoś post Napisano Kwiecień 8, 2014 Dziura jest dość poważna, wgrywam cały czas łaty na obsługiwane serwery. Ciekawostka, że podatnych jest kilka polskich banków, nawet te z pierwszej ligi Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Kwiecień 8, 2014 Sporo firm to olało... Najszybciej zareagowała branża finansowa, a taka branża social media to już w ogóle pogrom patrząc po topowych firmach i ich logowaniu https:// Udostępnij ten post Link to postu Udostępnij na innych stronach
theONE 526 Zgłoś post Napisano Kwiecień 8, 2014 Na ten moment jedyna opcja jaka jest to zmiana domeny Cofnąć starego certyfikatu się nie da. (praktyka tak pokazuje). Więc jak ktoś ma twój "stary" klucz publiczny to jest już pozamiatane. W praktyce system certyfikatów jaki mamy można olać i nie przywiązywać do niego znaczenia... Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Kwiecień 8, 2014 No niedługo będą do sprzedaży klucze za bitcoiny Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Kwiecień 8, 2014 @theONE - jest CRL, więc teoretycznie da się stary certyfikat "zablokować". Nie polecam ogólnodostępnych skanerów podatności online, bo zbierają tylko adresy stron zamiast pokazywać rzeczywisty stan. Dziura piękna, reakcja ze stron gigantów dość szybka, ale wiele serwisów teraz stoi i długo poprawki nie zazna, bo niestety firmy zlecają jakimś freelancerom-nauczycielom z technikum strony i buble będą stać Udostępnij ten post Link to postu Udostępnij na innych stronach
spindritf 240 Zgłoś post Napisano Kwiecień 8, 2014 Na ten moment jedyna opcja jaka jest to zmiana domeny Cofnąć starego certyfikatu się nie da. Oczywiście, że można unieważnić certyfikat. I współczesne przeglądarki na bieżąco sprawdzają, czy certyfikat nie został unieważniony łącząc się z serwerem CA. Udostępnij ten post Link to postu Udostępnij na innych stronach
theONE 526 Zgłoś post Napisano Kwiecień 8, 2014 A pratyka pokazuje że często to nie działa i nie można mieć pewności czy operacja się powiodła. A tak ogólnie to dużo bardziej problematyczne w tej dziurze jest to że można za jej pomocą wyciągnąć wszystko z pamięci do czego ma dostęp proces serwera www a nie tylko klucz prywatny. Wiecie hasła, klucze szyfrujące, dostępy do bazy, dane userów itd. Udostępnij ten post Link to postu Udostępnij na innych stronach
robson345 53 Zgłoś post Napisano Kwiecień 9, 2014 Nie pierwsza i nie ostatnia taka informacja. Jest więcej kwiatków o których nawet najlepsi administratorzy nie mają pojęcia i jak zawsze wyciekną one przez "przypadek". Bo przecież wszyscy chcą kontrolować sieć i podsłuchiwać i wcale nie chodzi o amrykańców którzy są zdrowo trzepnięci na tym punkcie. Udostępnij ten post Link to postu Udostępnij na innych stronach
m0t 0 Zgłoś post Napisano Kwiecień 9, 2014 Open Source ? Ilu z was przeczytało "ze zrozumieniem" każdą linie kodu choćby w kernelu ? ... a to tylko początek Jestęśmy tylko ludźmi, środowisko ewouluje, teraz to jeszcze nic... ale pomyślcie sobie ze za x lat nasze najszybsze HPC, będa XXXXXXXXX razy słabsze niz wielowymiarowy procesor działający pewnie już na optyce,a wzrost mocy to nowe możliwości, nowe możliwości to wzrost złożoności obliczeniowej... pytanie kto nad tym zapanuje ? asbtrachuje już kompletnie od tendencji rynku do "oraclowania wszystkiego", kto wie czy za 10 czy 20 lat będzie jakiekolwiek "open source" a jeśli jakieś się ostatnie to ile będzie warte... i ile wtedy będą warte jakiekolwiek słowa o "bezpieczeństwie" to tak jak dzisiaj do łez może rozbawić adm complex sap czy jakiegokolwiek systemu ze stajni m$, mówiący o bezpieczeństwie Przykre to ale prawdziwe, najlepsze "wolne" czasy za nami, współczuje tylko przyszłym pokoleniom, orwellowska wizja pędzi niczym towarowy na wschód za "komuny"... Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Kwiecień 9, 2014 Najgorsze jest to, że ten pracownik G zgłosił błąd jakiś czas temu. Ciekawe ile osób i przede wszystkim jakich osób wiedziało o tej luce wcześniej. Myślę, że Googlowi wystarczyły by 2-3 tygodnie z wiedzą o tym błędzie, żeby przeskanować wszystkie httpsy z bazy i wyciągnąć certy. To taki przykład. Takich błędów może być mnóstwo i wszędzie. W tych popularniejszych są dobrze zaszyte przez najlepsze zespoły szpiegowskie i tak jak w tym przypadku wymagana jest duża ilość czasu, by dziurę odkryć. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Czerwiec 5, 2014 Nie tworząc nowego tematu, pojawił się niestety nowy błąd w OpenSSL src: https://www.openssl.org/news/secadv_20140605.txt Debian 7 dostał poprawkę, jednak jeszcze wersja 6 jej nie ma: https://security-tracker.debian.org/tracker/CVE-2014-0224 Udostępnij ten post Link to postu Udostępnij na innych stronach
