The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

10.04.2014 13:03  Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года

Стали появляться свидетельства возможного применения Heartbleed-уязвимости в OpenSSL (CVE-2014-0160) для совершения вредоносных действий за несколько месяцев до выявления проблемы сотрудниками компаний Google и Codenomicon. Следы одной из таких атак зафиксированы компанией MediaMonks в журналах аудита, датированных ноябрём прошлого года. Сохранённые в журналах пакеты с нескольких серверов, подозреваемых во вредоносной активности, совпали по своему характеру с пакетами, применяемыми при эксплуатации Heartbleed-уязвимости.

По мнению Брюса Шнайера, известного эксперта в области компьютерной безопасности, Heartbeat-уязвимость в OpenSSL следует причислить к категории катастрофических уязвимостей, уровень опасности которой составляет 11 баллов, если рассматривать существующую 10-бальную шкалу степеней опасности с учётом того, что OpenSSL является самой распространённой криптографической библиотекой в Сети.

Благодаря широкому освещению проблемы за два дня с момента её обнародования около 1/3 всех серверов уже применили обновление с устранением уязвимости. Тем не менее, по предварительным данным в Сети ещё остаются уязвимыми около 600 тысяч серверов. Но проблема далека от своего решения - непонятно, что делать со встраиваемыми и мобильными продуктами, подверженными уязвимости, но не предусматривающими возможность автоматического обновления прошивки.

Кроме того, начинается волна атак на клиентские приложения, использующие OpenSSL. Например, вслед за появлением эксплоитов для серверных систем уже доступен прототип эксплоита с реализацией фиктивного HTTPS-сервера, при обращении к которому осуществляется атака на клиента. Эксплоит успешно протестирован для извлечения данных из памяти таких приложений, как wget 1.15, curl 7.36.0, links 2.8, git 1.9.1, MariaDB 5.5.36 (клиент), nginx 1.4.7 (в режиме прокси). Например, можно извлечь параметры прошлых запросов, в том числе содержащих пароли доступа.

В условиях возможности незаметного проведения атаки, без оставления следов в логе, также предстоит длительный процесс смены SSL-сертификатов, ключей шифрования и обычных паролей, отсутствие утечки которых невозможно гарантировать. Потенциально любой пароль и сертификат мог попасть в руки злоумышленников, и непонятно, когда и где подобные утечки могут проявиться. Из крупных сайтов, которые потенциально могли подвергнуться атаке отмечаются Twitter, GitHub, Yahoo, Tumblr, Steam, DropBox, а также многие банки и финансовые сервисы.

Шнайер считает близкой к единице вероятность того, что различные спецслужбы уже успели воспользоваться уязвимостью для массового извлечения приватных ключей. Другой вопрос, случайно или нет подобная уязвимость появилась в OpenSSL. Даже если проблема была внесена случайно, за два года присутствия в кодовой базе заинтересованные лица вполне могли её обнаружить и молча использовать.

Дополнение: администраторам у которых сохранились дампы трафика за время до публикации информации об уязвимости, предлагается проанализировать наличие в них сигнатур "18 03 02 00 03 01 40 00" или "18 03 01 00 03 01 40 00" (вместо "40 00" в конце может быть меньшее число), свидетельствующих о применении эксплоита. Особое внимание рекомендуется уделить на подсеть 193.104.110.* с которой в ноябре была выявлена подобная активность, а также другие подсети с которых наблюдается активность ботов.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL
  3. OpenNews: Сервисы Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL
  4. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  5. Блокирование попыток эксплуатации heartbeat-уязвимости в OpenSSL средствами iptables
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssl, heartbeat
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, rob pike (?), 13:38, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +9 +/
    >а также многие банки и финансовые сервисы

    А как ругали карточки одноразовых кодов ВТБ-шные, а.
    Как же, каменный век, Java, сертификаты, прогресс, СМС.

     
     
  • 2.47, Аноним (-), 19:16, 10/04/2014 [^] [ответить]     [к модератору]
  • –2 +/
    Карточки одноразовых кодов - это круто А в почту тоже логиниться по карточке од... весь текст скрыт [показать]
     
     
  • 3.78, XoRe (ok), 22:26, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Не стоит передергивать Если когда-нибудь лишитесь 3700 евро со счета, поймете п... весь текст скрыт [показать]
     
     
  • 4.84, Аноним (-), 23:17, 10/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Странно, ворочаю килобаксами килоевро по счетам уже 7 лет Как-то пока все ок д... весь текст скрыт [показать]
     
     
  • 5.91, rob pike (?), 23:59, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну если клобаксами, то, полагаю, можете чувствовать себя спокойно, изготовление ... весь текст скрыт [показать]
     
     
  • 6.108, Аноним (-), 02:15, 11/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Весьма зависит от симкарты Старые можно дома, на коленке Древняя атака с вычис... весь текст скрыт [показать]
     
     
  • 7.114, rob pike (?), 02:26, 11/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Какие ж вы, гики, предсказуемые Килобакс - это верхняя граничная оценка оформле... весь текст скрыт [показать]
     
     
  • 8.117, Аноним (-), 02:59, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Такие же как и вы Люди вообще достаточно предсказуемы Особенно глупые А тут у... весь текст скрыт [показать]
     
  • 6.206, XoRe (ok), 23:59, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Да каво, дешевле можно Но сейчас банки палят смену симкарты и не присылают смс ... весь текст скрыт [показать]
     
  • 5.207, XoRe (ok), 00:03, 13/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Тю Атаки уровня heartbleed тоже годами не было Анализа уже совершенных транзак... весь текст скрыт [показать]
     
  • 3.92, rob pike (?), 00:05, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Если такая карточка будет реализована в отдельном чипе того устройства, с которо... весь текст скрыт [показать]
     
     
  • 4.109, Аноним (-), 02:16, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Сканирование Сетчатки глаза Чипом с проприетарной фирмварой Не-не-не, Дэвид Б... весь текст скрыт [показать]
     
     
  • 5.115, rob pike (?), 02:36, 11/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Как тонка эта грань между паранойей и шизофренией Вы в чипе CCD-камеры не пробо... весь текст скрыт [показать]
     
     
  • 6.118, Аноним (-), 03:10, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Маленький кусочек кремния может нынче содержать много вентилей И реализовывать ... весь текст скрыт [показать]
     
     
  • 7.124, bugmenot (ok), 05:06, 11/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Вы таки не поверите, но...
    http://www.opennet.ru/opennews/art.shtml?num=38583
    http://www.pvsm.ru/radiosvyaz/55388/print/
     
     
  • 8.135, Аноним (-), 10:32, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Это вообще к чему? Ну TCP/IP. Ну по побочному каналу. И что?
     
     
  • 9.161, bugmenot (ok), 17:43, 11/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    К тому, что машина, не имеющая доступ к сети, но стоящая в одном помещении с маш... весь текст скрыт [показать]
     
     
  • 10.175, Аноним (-), 20:59, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Потенциально, вам завтра на голову может упасть метеорит Ничему не противоречит... весь текст скрыт [показать]
     
     
  • 11.177, iZEN (ok), 21:17, 11/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    У ноутбуков есть микрофоны И они практически всегда включены ... весь текст скрыт [показать]
     
     
  • 12.180, Аноним (-), 22:31, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну а вот у моего десктопа микрофона нет Если ты думал что меня интересует _твоя... весь текст скрыт [показать]
     
     
  • 13.191, Аноним (-), 00:08, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Компьютеры в оффлайне, а сотовый наверняка с андроидом И наверняка подключали е... весь текст скрыт [показать]
     
     
  • 14.196, Аноним (-), 08:29, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    это чаще использется для сопоставления данных по мобильным устройствам и ноутам ... весь текст скрыт [показать]
     
  • 2.215, iZEN (ok), 18:50, 16/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Алексей Шипилёв 8212 Прагматика Java Memory Model http www youtube com wat... весь текст скрыт [показать]
     
     ....нить скрыта, показать (22)

  • 1.2, Аноним (-), 13:46, 10/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • –12 +/
    Столько паники из-за капли в океане Про спецслужбы - вообще смешно Они и без т... весь текст скрыт [показать]
     
     
  • 2.17, Нанобот (ok), 14:55, 10/04/2014 [^] [ответить]    [к модератору]  
  • +8 +/
    >Думаю, они о ней знали (и эксплуатировали) уже через месяц - два после её появления

    зря ты недооцениваешь спецслужбы... об уязвимости они знали (и эксплуатировали) за месяц-два то её появления

     
     
  • 3.20, rob pike (?), 15:17, 10/04/2014 [^] [ответить]    [к модератору]  
  • +4 +/
    За десятки лет до появления OpenSSL спецслужбы уже написали инструментарий для эксплуатации её будущих уязвимостей. Срочно в номер.
     
     
  • 4.38, EuPhobos (ok), 17:24, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    <irony>
    Были особые люди, которые решили создать спецслужбы для того, что бы они спроектировали и написали сам OpenSSL
    </irony>
     
  • 4.50, Аноним (-), 19:30, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    В каком-то роде SSL и TLS наархитектили так, что секурно ими пользоваться почти... весь текст скрыт [показать]
     
     
  • 5.85, rob pike (?), 23:38, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    >наархитектили так, что секурно ими пользоваться почти невозможно

    И это вы тоже склонны приписать страшным спецслужбам?

     
     
  • 6.156, Аноним (-), 14:09, 11/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Учитывая как NIST-у протолкали несекурный ГПСЧ, не удивлюсь если и протокол стар... весь текст скрыт [показать]
     
  • 5.98, Аноним (-), 00:24, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Сказано словно можно создать (и уже создано) что-то более простое и секьюрное.
     
     
  • 6.102, rob pike (?), 01:33, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Это вы шутите так или действительно видели человека, утверждающего что чего-то более простого и секьюрного чем OpenSSL создать невозможно, и он над вами не глумился в этом момент?
     
  • 6.110, Аноним (-), 02:18, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Такого человека звали D J Berstein И он таки сделал это - либу NaCl У нее про... весь текст скрыт [показать]
     
  • 3.46, Аноним (-), 19:15, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Всё может быть. Только тогда это спецслужбы какой-то одной страны... с хорошим мозговым центром.
     
  • 1.3, iZEN (ok), 14:07, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Да всё протроянено на высшем уровне. Вы как вчера родились.

    Как можно доверять секретную и конфиденциальную информацию иностранной операционной системе, которая подключена к их же сети?!

     
     
  • 2.54, Аноним (-), 19:47, 10/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    Это ты сам у себя спрашиваешь? ;)
     
     
  • 3.130, Andrey Mitrofanov (?), 09:44, 11/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > Это ты сам у себя спрашиваешь? ;)

    У голосов в голове. И они отвеча-а-ают...

     
  • 2.79, XoRe (ok), 22:32, 10/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Как вы можете пользоваться буржуйским браузером, который запущен во вражеской ОС... весь текст скрыт [показать]
     
     
  • 3.82, iZEN (ok), 22:47, 10/04/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Всё просто все заинтересованные в обладании конфиденциальной информации юридиче... весь текст скрыт [показать]
     
     
  • 4.86, Аноним (-), 23:41, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну это еще вопрос Вон нашим чиновникам после санкций гопстопнули карточки Впро... весь текст скрыт [показать]
     
     
  • 5.153, user (??), 14:04, 11/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Насчет гопстопа У нас на работе несколько человек получали з п на карточки Соби... весь текст скрыт [показать]
     
     
  • 6.155, Аноним (-), 14:06, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    И зачем нужна карточка, которой можно пользоваться только в отделении какого-то ... весь текст скрыт [показать]
     
     
  • 7.159, user (??), 16:36, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Получайте, разрешаю... весь текст скрыт [показать]
     
     
  • 8.174, Аноним (-), 20:55, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Получайте, разрешаю

    Ну а вы оставьте такие карточки себе, для меня они ничего кроме дополнительного геморроя не дают.

     
     
  • 9.189, user (??), 23:16, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Так уж и быть, можете не брать такие карточки.
     
  • 4.200, t28 (?), 12:00, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Все эти механизмы, интерфейсы и протоколы были учтены и разработаны в CCITT при ... весь текст скрыт [показать]
     
     ....нить скрыта, показать (11)

  • 1.4, Андрей (??), 14:20, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А в роутерах на WRT прошивке или в серверных IMPI интерфейсах эта библиотека случайно не используется?
     
     
  • 2.9, Sabakwaka (ok), 14:44, 10/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Совершенно случайно нет.
    Уязвимостью чревата сама идея TLS Heartbeat. На уровне замысла.
    И мы еще услышим.
     
     
  • 3.27, Аноним (-), 15:40, 10/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Расскажите.
     
     
  • 4.31, Sabakwaka (ok), 16:20, 10/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Суть TLS Heartbeat, как следует из драфта http tools ietf org html draft-ietf-... весь текст скрыт [показать]
     
     
  • 5.60, Аноним (-), 20:41, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Хотя идея heartbeat довольно дурная сама по себе, сабж тут не виноват. В сабже довольно крутой баг с утеканием памяти в сеть. Это не было задумано. Это просто лютый баг в либе. Одной конкретной либе.
     
     
  • 6.125, balda (?), 06:26, 11/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    В сабже довольно крутой баг с утеканием памяти в сеть Это не было задумано Это... весь текст скрыт [показать]
     
     
  • 7.136, Аноним (-), 10:34, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    В других либах именно этого бага - нет Зато может быть куча иных, не менее весе... весь текст скрыт [показать]
     
  • 6.193, Аноним (-), 04:56, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    да не, автор коммента - прав реально убогая идея для решения несуществующей про... весь текст скрыт [показать]
     
  • 4.162, Тампарам (?), 17:50, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Для реализации heartbeat достаточно было бы определить пакеты для запроса и отве... весь текст скрыт [показать]
     
  • 2.12, pavlinux (ok), 14:49, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    На OpenWRT какой-то свой шайтан-ssl-сервер писанный на LUA.
     
     
  • 3.24, rob pike (?), 15:36, 10/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Сервер-то свой, а суть всё та же.

    http://luci.subsignal.org/trac/browser/luci/trunk/libs/nixio/axTLS/ssl/openss

     
  • 3.61, Аноним (-), 20:43, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    На LUA там написаны скрипты которые морду рисуют Сервер там самопальный, uhttpd... весь текст скрыт [показать]
     
  • 2.29, Онаним (?), 16:01, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    1 ATTITUDE ADJUSTMENT 12 09, r36088 root OpenWrt opkg info libopenssl Pac... весь текст скрыт [показать]
     
     
  • 3.30, mickvav (?), 16:19, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    У меня единственное место, где живет IPMI настолько древнее, что 1.0 openssl еще не написали тогда. И в инет не смотрит :)
     
  • 3.62, Аноним (-), 20:44, 10/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    > Да и gnutls-utils - 2.8.6-2 там есть.

    А при тем тут gnutls? В нем какие-то баги есть? В openssl баг специфичный для этой либы.

     
     
  • 4.94, rob pike (?), 00:07, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту Хов... весь текст скрыт [показать]
     
     
  • 5.111, Аноним (-), 02:22, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    А, про это я уже забыл Ну а что, нагородили меганавороченные протоколы с кучей ... весь текст скрыт [показать]
     
     
  • 6.116, rob pike (?), 02:40, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Осталось ответить на вопрос почему им никто не пользуется.
     
     
  • 7.119, Аноним (-), 03:15, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Появился относительно недавно И, кстати, кто сказал что им не пользуются В пос... весь текст скрыт [показать]
     
  • 6.163, Тампарам (?), 17:51, 11/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Эллептические кривые - прямиком из лабораторий АНБ Хрен знает что они там приду... весь текст скрыт [показать]
     
     
  • 7.173, Аноним (-), 20:51, 11/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    У я так смотрю, вы мегамозг Только не спрашивайте как я это узнал Вы пер... весь текст скрыт [показать]
     
     
  • 8.195, Тампарам (?), 08:12, 12/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Берштейну или какому-нибудь его помощнику АНБ просто заплатило немножко денег, чтобы направить его поиск в нужном направлении. Никто ж не заметит и все доверяют.
     
     
  • 9.197, Аноним (-), 08:33, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    про скандал с обоим закладками от АНБ, проплаченными RDA за миллионы баксов - чи... весь текст скрыт [показать]
     
     
  • 10.202, Sabakwaka (ok), 13:26, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    ВСЕ 171 системы шифрования 187 уязвимы ПРИНЦИПИАЛЬНО На уровне ДИЗАЙНА, на ... весь текст скрыт [показать]
     
     
  • 11.204, rob pike (?), 22:26, 12/04/2014 [^] [ответить]    [к модератору]  
  • +/
    >бумажку с набором одноразовых

    Вот видите, совсем не все "системы шифрования» уязвимы ПРИНЦИПИАЛЬНО"

    >108-буквенных паролей

    Пяти-шести-цифровых вполне достаточно IRL

     
  • 7.201, Sabakwaka (ok), 13:17, 12/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Эллиптические кривые - прямиком из оснований математики, вообще-то.
     
  • 2.154, Аноним (-), 14:05, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > А в роутерах на WRT прошивке

    Там по дефолту ничего SSLного в сеть не торчит вроде. Но если торчит - да, заапдейтить надо.

     
     ....нить скрыта, показать (26)

  • 1.5, MPEG LA (ok), 14:25, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    gmail, fb и vk попали под раздачу?
     
     
  • 2.63, Аноним (-), 20:47, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > gmail, fb и vk попали под раздачу?

    Вполне вероятно. Более того - баг вывешивает память процесса в сеть, так что даже приблизительно оценить масштабы пи...ца будет довольно сложно.

     
     
  • 3.131, Andrey Mitrofanov (?), 09:47, 11/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > что даже приблизительно оценить масштабы пи...ца будет довольно сложно.

    Шнайер облегчает наши сомнения: 11 из 10 баллов.

     
  • 1.6, Sw00p aka Jerom (?), 14:36, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    баг специально внесли из-за коммерческой выгоды, все попёрли менять ssl сертификаты - круто
     
     
  • 2.10, Sabakwaka (ok), 14:44, 10/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > баг специально внесли из-за коммерческой выгоды, все попёрли менять ssl сертификаты -
    > круто

    Да ну?

     
  • 2.11, Нанобот (ok), 14:46, 10/04/2014 [^] [ответить]     [к модератору]  
  • –10 +/
    попёрли менять сертификаты только истерички, паникёры и лохи, которые начитались... весь текст скрыт [показать]
     
     
  • 3.22, pavlinux (ok), 15:25, 10/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Для "истеричек, паникёров и лохов..." ниже показал скриншот,
    с реально рабочего сервера, с довольно полезной инфой для конкурентов.
     
  • 3.65, Аноним (-), 20:48, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    которые не хотят сливать свои пароли и приватные ключи всему миру Только вот... весь текст скрыт [показать]
     
  • 2.16, serverX (??), 14:54, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    я бесплатно перевыпустил свои сертификаты. причем сроки сертификатов остались старыми.
     
     
  • 3.194, Тампарам (?), 08:10, 12/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Старые-то заэкспайрить не забыли? :)
     
  • 1.7, pavlinux (ok), 14:36, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Redmine тоже дырявый. http://i59.fastpic.ru/big/2014/0410/2e/9fd0122735fb7d475abc718466343d2e.png
     
     
  • 2.18, Xaionaro (ok), 14:57, 10/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Как данный скриншот указывает на дырявость Redmine?
     
     
  • 3.19, pavlinux (ok), 15:01, 10/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Cookie _redmine_session и далее по тексту assword v_pupkin login Login vasya... весь текст скрыт [показать]
     
     
  • 4.80, XoRe (ok), 22:35, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Но это не значит, что его надо так запускать Вообще, веб сервер на Ruby - не са... весь текст скрыт [показать]
     
  • 4.128, Xaionaro (ok), 08:25, 11/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    А причём тут дырявость redmine-е, если данные получены через уязвимость libssl... весь текст скрыт [показать]
     
     
  • 5.138, Аноним (-), 10:37, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > А причём тут "дырявость" redmine-е,

    При том что пароль в открытом виде фигачат, полагаясь на "защиту соединения", которая не очень то и защищает.

     
     
  • 6.178, Xaionaro (ok), 22:01, 11/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    >> А причём тут "дырявость" redmine-е,
    > При том что пароль в открытом виде фигачат, полагаясь на "защиту соединения",
    > которая не очень то и защищает.

    А другие Web ITS как работают?

     
     
  • 7.181, Аноним (-), 22:34, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > А другие Web ITS как работают?

    Так же как и все остальное от веб хомячья, разумеется. Т.к. дыра на дыре и дырой погоняет.

     
     
  • 8.192, Xaionaro (ok), 00:19, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну, получается, что 95 сайтов с поддержкой аутентификации включая www opennet... весь текст скрыт [показать]
     
  • 2.23, anonymus (?), 15:31, 10/04/2014 [^] [ответить]     [к модератору]  
  • +5 +/
    А потом все удивлялись, откуда такой ажиотаж вокруг сноудена, все же знали, что ... весь текст скрыт [показать]
     
     
  • 3.41, Аноним (-), 17:58, 10/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    мало того, некоторым и выступлений Сноудена недостаточно
     
  • 2.66, Аноним (-), 20:50, 10/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Redmine тоже дырявый.

    Ну что ты как маленький, скрипткидизы думали что мегалиба сделает им зашибись. Поэтому слали пароль открытым текстом, как есть. А теперь пора выкусить результаты.

     
  • 1.21, Аноним (-), 15:20, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > но не предусматривающими возможность автоматического обновления прошивки.

    А Столман давно говорит, что надо делать.

     
     
  • 2.120, Аноним (-), 03:15, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > А Столман давно говорит, что надо делать.

    Ну дык. Использовать девайсы где исходники прошивки есть.

     
  • 1.26, Ansomgsom (?), 15:40, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Писали открытый ССЛь, скопипастили проприетарный код не глядя :)
     
  • 1.32, Аноним (-), 16:32, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    причем наверняка АНБ :)
     
     
  • 2.39, anonymous (??), 17:43, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > причем наверняка АНБ :)

    Как будто список спецслужб мира состоит из одного АНБ. Все они одним миром мазаны.

     
     
  • 3.42, Аноним (-), 18:00, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Как будто список спецслужб мира состоит из одного АНБ. Все они одним
    > миром мазаны.

    может и не АНБ, но американская точно

     
     
  • 4.48, Аноним (-), 19:20, 10/04/2014 [^] [ответить]     [к модератору]  
  • +4 +/
    Вы про русские спецслужбы вообще слышали Нет А ведь они есть А ведь это наши ... весь текст скрыт [показать]
     
     
  • 5.74, Аноним (-), 21:54, 10/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, наши занимают первые места в олимпиадах А потом они работают в их интелах, ... весь текст скрыт [показать]
     
  • 2.198, Аноним (-), 09:09, 12/04/2014 [^] [ответить]    [к модератору]  
  • +/
    ха, я был прав http://lenta.ru/news/2014/04/12/heartbleed/
     
  • 1.33, Аноним (-), 16:37, 10/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Ловим гадов через iptables code iptables -I INPUT -p tcp -m string --algo km... весь текст скрыт [показать]
     
     
  • 2.67, Аноним (-), 20:51, 10/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > "ScriptKiddy detected: "

    Действительно, detected: залоггил и забил. Ну а дропать пакет кто будет, Пушкин? :)


     
     
  • 3.69, Аноним (-), 21:15, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    ...и вместо 40 00 может быть нечто другое...
     
     
  • 4.73, Аноним (-), 21:53, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > ...и вместо 40 00 может быть нечто другое...

    Я знаю. Зато запись в логе понтовую - нарисовал. Вот как-то так скрипткидисы и детектируются :).

     
  • 4.75, Аноним (-), 21:56, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    И детектировать как string ну в общем, намного более нормальный рецепт написа... весь текст скрыт [показать]
     
     
  • 5.150, pavlinux (ok), 12:30, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    То чудное правило, банит всех подряд кто пытается установить соединение с heatbe... весь текст скрыт [показать]
     
  • 1.34, Аноним (-), 16:37, 10/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +5 +/
    Появились сведения http techrights org 2014 04 08 howard-schmidt-codenomicon ... весь текст скрыт [показать]
     
     
  • 2.35, pavlinux (ok), 16:40, 10/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну чо, спасибо посанам из маздайсофта, спалили бэкдор Дайте иcчо А под D... весь текст скрыт [показать]
     
  • 2.43, Аноним (-), 18:02, 10/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    всё может быть
     
  • 2.55, Аноним (-), 19:54, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    И шо они скажут? В Windows Next самое неуязвимое шифрование? :) Кто им поверит? Не, ну конечно, те кто и раньше безропотно заглатывали их "продукты" и дальше глотать будут. Таких и убеждать не надо.
     
  • 2.76, некто (ok), 22:03, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    типа не переходите c XP на сторонние nix-системы, там все плохо, вот например д... весь текст скрыт [показать]
     
     
  • 3.81, Волкот (?), 22:36, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    http://www.securitylab.ru/vulnerability/449697.php
    дыра во всех виндах с 2001 года. им и без openssl хорошо.
     
  • 3.126, Адекват (ok), 08:15, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Оффтоп - а почему IE не может пройти авторизацию, если пароль передается в виде ... весь текст скрыт [показать]
     
     
  • 4.139, Аноним (-), 10:40, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Возьми снифер да посмотри что там передается по факту. Может он digest авторизацию считать не умеет? Или что ты там используешь...
     
  • 2.89, ALex_hha (ok), 23:48, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    а какое отношение имеет openssl к линуксу как таковому ... весь текст скрыт [показать]
     
     
  • 3.121, Аноним (-), 03:17, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    А никакого Чуть погодя юзеры виндов узнают сколько софта юзало статически влинк... весь текст скрыт [показать]
     
     
  • 4.132, Andrey Mitrofanov (?), 09:51, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > либу и по этому поводу бессовестно продалбывало их данные злонамеренным серверам.

    Ну, за здоровье IIS! Не чокаясь.

     
     
  • 5.140, Аноним (-), 10:40, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Ну, за здоровье IIS! Не чокаясь.

    Ага, здоровый зомбяк. Все время из могилы вылезает, зараза.

     
     
  • 6.142, Andrey Mitrofanov (?), 10:49, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Спонсер-вурдалак-некромансер бдит и собирает opennet ru openforum vsluhforumID3 ... весь текст скрыт [показать]
     
     
  • 7.160, Аноним (-), 17:31, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Спонсер-вурдалак-некромансер бздит

    //fixed.

    > и собирает

    И апачует.

    > opennet.ru/openforum/vsluhforumID3/74800.html#285 жатву.

    Что-то нет там ничего, видимо потерли.

     
     ....нить скрыта, показать (13)

  • 1.36, некто (ok), 16:47, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    У них там в загашниках типа еще есть гостинцы?
     
  • 1.37, axe (??), 16:56, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вангую появление новой библиотеки
     
     
  • 2.40, anonymous (??), 17:44, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > вангую появление новой библиотеки

    Попроси вангователь у анонима сверху. NaCl уже есть.

     
     
  • 3.44, pavlinux (ok), 18:21, 10/04/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    > ... NaCl уже есть.

    а PoCl и NeСl будут?

     
     
  • 4.49, Аноним (-), 19:23, 10/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    >> ... NaCl уже есть.
    > а PoCl и NeСl будут?

    Не, не так. KCl и Na(OH)2

     
     
  • 5.52, Michael Shigorin (ok), 19:37, 10/04/2014 [^] [ответить]    [к модератору]  
  • +8 +/
    > Не, не так. KCl и Na(OH)[B]2[/B]

    Выделил оценку по неорганике, если что.

     
     
  • 6.93, Аноним (-), 00:06, 11/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Извиняюсь, перепутал валентность металлов.
    Если так напишу:
    Na(OH)2-
    Ион сойдёт за оправдание? :)
     
     
  • 7.112, Аноним (-), 02:24, 11/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ион сойдёт за оправдание? :)

    А что за ион такой странный? NaOH диссоциирует на Na+ и OH-. А это что за хрень?

     
     
  • 8.129, Аноним (-), 08:53, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Теоретически возможный в какой-либо момент времени. Разумеется, сразу распадётся, как образуется.
     
     
  • 9.133, Andrey Mitrofanov (?), 09:53, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Теоретически возможный в какой-либо момент времени. Разумеется, сразу распадётся, как
    > образуется.

    полимеры Na[NN]OH[MM] тоже по броску кости могут образовываться!

     
  • 4.58, Аноним (-), 20:38, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Если и будут, то будет PoCl на всех 3х, ибо NeCl
     
     
  • 5.113, Аноним (-), 02:25, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > ибо NeCl

    Да, удачи вам заставить неон провзаимодействовать с хлором...

     
     
  • 6.127, Адекват (ok), 08:16, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    >> ибо NeCl
    > Да, удачи вам заставить неон провзаимодействовать с хлором...

    При помощи кувалды и такой-то матери...

     
     
  • 7.141, Аноним (-), 10:45, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > При помощи кувалды и такой-то матери...

    Сдается мне, тут даже термоядерная кувалда может спасовать.

     
     
  • 8.149, pavlinux (ok), 12:24, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    >> При помощи кувалды и такой-то матери...
    > Сдается мне, тут даже термоядерная кувалда может спасовать.

    Вдуваешь в баллон 50% неона, 50% хлора, взбалтываешь! Опа!  

     
     
  • 9.151, Michael Shigorin (ok), 12:49, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Вдуваешь в баллон 50% неона, 50% хлора, взбалтываешь! Опа!

    Расслаивается и продолжает болтаться себе.  Неон вообще-то инертен.

     
     
  • 10.152, pavlinux (ok), 13:17, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Надо было добавить, Взболтать перед употреблением Ну это его проблемы, взболта... весь текст скрыт [показать]
     
     
  • 11.182, Аноним (-), 22:37, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Надо было добавить, "Взболтать перед употреблением"

    Ну вот в сабже не добавили, видишь чего получилось?

     
  • 2.45, некто (ok), 18:28, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > вангую появление новой библиотеки

    давно пора разнообразие, хотя на примере ffmpeg/libav особенного прогресса не наблюдается...

     
     
  • 3.87, rob pike (?), 23:42, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Да и ядро ОС неплохо бы, основанное не на идеях 50-летней давности.
    А множатся что-то лишь нескучные хипстерские обои. Странно, да?
     
     
  • 4.99, Аноним (-), 00:25, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    А зачем чинить то что не сломано А электродвигатели и трансформаторы работают у... весь текст скрыт [показать]
     
     
  • 5.101, rob pike (?), 01:31, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Точно не сломано Что ж тогда всё чинят и чинят, и всё костылями да костылями, о... весь текст скрыт [показать]
     
     
  • 6.104, Аноним (-), 01:59, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    А это потому что симпатичные дизайны хорошо смотрятся как демонстрационная модел... весь текст скрыт [показать]
     
  • 1.51, Аноним (-), 19:34, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Я всегда знал, что даже на Tor полностью надеяться нельзя.
     
     
  • 2.103, anonymous (??), 01:49, 11/04/2014 [^] [ответить]    [к модератору]  
  • –2 +/
    В области распространения германских языков Тору посвящён день недели — четверг (англ. thursday, нем. Donnerstag). по четвергам можно пользоваться
     
  • 2.143, Аноним (-), 11:07, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Я всегда знал, что даже на Tor полностью надеяться нельзя.

    В конструкции сети Tor есть минимум 2 серьезных упущения, вообще никак не связанных с SSL.

     
  • 2.210, Аноним (-), 08:07, 13/04/2014 [^] [ответить]    [к модератору]  
  • +/
    учитывая кем и для чего был разработан Тор, ваша ремарка - может лишь улыбку, вызвать )
     
  • 1.53, Аноним (-), 19:42, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Другой вопрос, случайно или нет подобная уязвимость появилась в OpenSSL.

    Это вопрос не "другой", это вопрос самый главный.

     
  • 1.56, lucentcode (ok), 20:23, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Да, такого фейла ещё не было наверное в истории IT. А некоторые люди ещё и отказываются обновлять OpenSSL на своих серверах. Это было бы смешно, если не было бы так печально...
     
     
  • 2.64, Oinari (ok), 20:47, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Debian oldstable спасает.
     
     
  • 3.72, Аноним (-), 21:51, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Debian oldstable спасает.

    Совсем не включать компьютер - надежнее.

     
  • 2.172, Аноним (-), 20:26, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > люди ещё и отказываются обновлять OpenSSL на своих серверах.

    Не пользуйтесь такими серверами. Проипут они ваши данные и логины с паролями.

     
  • 1.57, iZEN (ok), 20:24, 10/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    C/C++ всё погубил.
     
     
  • 2.59, Аноним (-), 20:40, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > C/C++ всё погубил.

    Но жабка мало чего годного из либ родила

     
  • 2.68, Аноним (-), 20:55, 10/04/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    Остальные облажались бы еще раньше, ибо GC и тому подобные - криптографии не дру... весь текст скрыт [показать]
     
     
  • 3.70, iZEN (ok), 21:25, 10/04/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Java написана на C C , поэтому в ней полно дыр Очевидно и логично ... весь текст скрыт [показать]
     
     
  • 4.71, Аноним (-), 21:49, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Логика жабиста во всем виноваты нет, не программисты Си и плюсы во всем ви... весь текст скрыт [показать]
     
     
  • 5.77, iZEN (ok), 22:06, 10/04/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    Потому что ЯП C C допускают использование памяти небезопасным способом даже из... весь текст скрыт [показать]
     
     
  • 6.90, Anonym2 (?), 23:52, 10/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Не де Билл ли - ... весь текст скрыт [показать]
     
  • 6.95, Аноним (-), 00:15, 11/04/2014 [^] [ответить]     [к модератору]  
  • +2 +/
    У криптографов свои, очень кастомные понятия отом что такое безопасность , чува... весь текст скрыт [показать]
     
     
  • 7.148, vn971 (ok), 12:07, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ругаетесь вы клёво, но всё-таки выход за рамки массива -- это таки то что хочетс... весь текст скрыт [показать]
     
     
  • 8.165, Аноним (-), 18:46, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    По конкретно этому пункту - я даже согласен до некоторой степени И сдается мне ... весь текст скрыт [показать]
     
     
  • 9.170, vn971 (ok), 20:21, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Это хорошая и приятная теорема, да Но она на самом деле немного о другом Теоре... весь текст скрыт [показать]
     
     
  • 10.183, Аноним (-), 22:56, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Во первых, если посмотреть на реальный мир, то у нас дофига программ Во вторых,... весь текст скрыт [показать]
     
     
  • 11.185, vn971 (ok), 23:03, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ээээ, я просто объяснял что значит компьютерно-верифицированная программа И, к... весь текст скрыт [показать]
     
  • 5.83, Anonym2 (?), 22:53, 10/04/2014 [^] [ответить]     [к модератору]  
  • –2 +/
    А зачем её чистить Вся программа должна быть достаточно надёжной, в составе кот... весь текст скрыт [показать]
     
     
  • 6.96, Аноним (-), 00:21, 11/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Чтобы врагам не досталось Ну там другим процессам, другим юзерам, etc Не айс б... весь текст скрыт [показать]
     
     
  • 7.100, rob pike (?), 01:23, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Но заказчики хотят Java, так что будут допинывать Вот у low-latency лагеря те ж... весь текст скрыт [показать]
     
     
  • 8.105, rob pike (?), 02:04, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    А в real-time мире так и к С++ больше вопросов чем ответов.
    http://www.embedded.com/design/programming-languages-and-tools/4429790/1/How-
     
     
  • 9.107, Аноним (-), 02:10, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Меньше чем к яве А так то да - чем проще некая конструкция, тем она предсказуем... весь текст скрыт [показать]
     
  • 8.106, Аноним (-), 02:04, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ну, если заказчик просит веревку и мыло - надо ему их выдать А если он в них по... весь текст скрыт [показать]
     
  • 7.122, Anonym2 (?), 04:07, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Нельзя сказать, что UNIX не подразумевает Многие не верят, что кое у кого все... весь текст скрыт [показать]
     
     
  • 8.166, Аноним (-), 19:08, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Сами по себе многозадачки общего назначения не страдают в общем случае такой пар... весь текст скрыт [показать]
     
     
  • 9.167, Anonym2 (?), 20:00, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    сказал Микрософт вслед за кое кем вероятно и выпустил DOS NIX ... весь текст скрыт [показать]
     
     
  • 10.169, Аноним (-), 20:15, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > выпустил DOS NIX.

    Нечто такое называлось DJGPP и было GCC для DOS и даже какие-то либы. Правда я не в курсе насколько там POSIX и стандартные вызовы всяких libc были реализованы :).

     
  • 7.123, Anonym2 (?), 04:36, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Много уже было украдено до нас ... весь текст скрыт [показать]
     
  • 4.88, rob pike (?), 23:46, 10/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Предлагаю сразу кремний.. да что там, просто физику во всём обвинять. Какие к нам вопросы, это всё Бор с Эйнштейном, да.

     
     
  • 5.97, Аноним (-), 00:22, 11/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну а что, это процессор во вем виноват Он программу написанную лабухом выполняе... весь текст скрыт [показать]
     
  • 3.146, vn971 (ok), 11:54, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    конкретно в этом вы не правы, кажется Никто не мешает уничтожать Хочешь - унич... весь текст скрыт [показать]
     
     
  • 4.147, vn971 (ok), 11:59, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    * я конкретно про приход gc.
     
  • 4.168, Аноним (-), 20:09, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Жабисты все время уповают что за них рантайм подумает и GC освободит А с GC и п... весь текст скрыт [показать]
     
     
  • 5.171, vn971 (ok), 20:25, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Да, тут с вами полностью согласен Человек просто говорил именно о GC и сборке м... весь текст скрыт [показать]
     
     
  • 6.186, Аноним (-), 23:09, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Я в целом имел в виду мою возможность анализировать поведение получившейся конст... весь текст скрыт [показать]
     
     
  • 7.190, iZEN (ok), 23:43, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Анализу помогают модульные и другие виды тестов В C C это на зачаточном уровн... весь текст скрыт [показать]
     
     
  • 8.205, Michael Shigorin (ok), 23:52, 12/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Когда у человека обе запятые в предложении на предположительно родном языке явля... весь текст скрыт [показать]
     
     
  • 9.208, iZEN (ok), 00:27, 13/04/2014 [^] [ответить]     [к модератору]  
  • +/
    См придаточные определительные Союзное слово которая , которым прикрепляется ... весь текст скрыт [показать]
     
     
  • 10.209, Michael Shigorin (ok), 01:03, 13/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Изя, если человек допускает детские ошибки -- он неграмотен Если в них упорств... весь текст скрыт [показать]
     
     
  • 11.212, iZEN (ok), 20:18, 13/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Давай я тебя Мичманом буду называть, хорошо Если человек хочет, но по каким-то ... весь текст скрыт [показать]
     
     
  • 12.213, Michael Shigorin (ok), 21:34, 13/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Если другого человека не пнул аргументированно только ленивый из как минимум т... весь текст скрыт [показать]
     
     
  • 13.214, iZEN (ok), 21:44, 13/04/2014 [^] [ответить]     [к модератору]  
  • +/
    gt оверквотинг удален От себя лишь могу выразить сожаление о случившемся Ты м... весь текст скрыт [показать]
     
  • 5.176, iZEN (ok), 21:14, 11/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    >[оверквотинг удален]
    > что-то еще делает, потенциально имея дело с нашими данными. Насколько он
    > там внутри себя параноидально относится к утечкам этих данных - очень
    > отдельный такой вопрос. И я не думаю что типовой жабист вообще
    > имеет хоть какое-то понятие как его жаба с массивами работает. Это
    > делает схему в целом куда менее предсказуемой и стало быть чреватой
    > самыми неожиданными прострелами пяток в самых разнообразных местах. Просто потому что
    > например array[i]=0 не трансформировалось в физическую запись в память по нужному
    > адресу и значение ключа там по факту допустим убито не было.
    > Мало ли чего там мегаумный рантайм оптимизнуть решит, etc. Для этого
    > надо очень хорошо знать как он работает и мониторить его развитие.

    Ты нам поведал историю о том, что должен делать рядовой программист на C/C++, разрабатывая свою либу. Однако ж, это же самое относится и к программистам JVM, которые должны следовать соглашениям по модели памяти Java. Хорошо, что это не входит в круг решаемых задач прикладных программистов на языках JVM, а то бы они как разработчики OpenSSL/GnuTLS всё время находились между двух огней — небезопасным инструментом разработки и лёгкостью его применения не по назначению. ;)

     
     
  • 6.179, vn971 (ok), 22:10, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > это же самое относится и к программистам JVM

    щито?

     
     
  • 7.184, iZEN (ok), 23:00, 11/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    >> это же самое относится и к программистам JVM
    > щито?

    JVM написана на C++. OpenJDK7u51 для компиляции JVM нужен GCC 4.6+ (LLVM/Clang не по зубам).


     
     
  • 8.187, Аноним (-), 23:10, 11/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Изя, попробуй поспорить с берштейновским определением проблем безопасности проб... весь текст скрыт [показать]
     
  • 7.188, Аноним (-), 23:11, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > щито?

    Знакомьтесь, это - изен. Жабист. Я чертовски уверен что он не сможет написать безопасную программу ни на каком ЯП вообще.

     
     ....нить скрыта, показать (42)

  • 1.157, Аноним (-), 15:10, 11/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Кто-нибудь подскажет, ошибка при apt-get update с https mirrors kernel org ... весь текст скрыт [показать]
     
     
  • 2.158, Аноним (-), 15:26, 11/04/2014 [^] [ответить]    [к модератору]  
  • +/
    А не, не из-за этой, само исправилось..
     
  • 2.211, Аноним (-), 08:14, 13/04/2014 [^] [ответить]     [к модератору]  
  • +/
    что GNUTLS, что GNUPG - мало того что код, вежливо говоря - написан странно, так... весь текст скрыт [показать]
     
  • 1.164, V (??), 17:58, 11/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    http://istheinternetfixedyet.com/
     
  • 1.199, t28 (?), 11:27, 12/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > могла эксплуатироваться с ноября прошлого года

    Не было ни единого разрыва! Не-бы-ло!

     
  • 1.203, Аноним (-), 14:35, 12/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    http://dlang.ru/211-heartbeat-cve-2014-0160
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor