https://www.opennet.ru/openforum/vsluhforumID3/113013.html Ракрыты (http://openwall.com/lists/oss-security/2017/12/12/6) детали новой атаки на TLS, которая получила кодовое имя ROBOT (https://robotattack.org/) (Return Of Bleichenbacher's Oracle Threat). Проблема позволяет выполнить операции расшифровки трафика и формирования цифровых подписей без знания закрытого RSA-ключа уязвимого TLS-сервера. Атаке подвержены только режимы TLS-шифров, использующие RSA. В качестве демонстрации успешного проведения атаки было представлено произвольно составленное сообщение, подписанное закрытым ключом Facebook. <br><br><br><br>Проблема выявлена на 27 из 100 крупнейших сайтов по рейтингу Alexa, включая Facebook и PayPal. При этом при рассмотрении миллиона крупнейших сайтов уязвимость наблюдается всего на 2.8% ресурсах. Подобное расхождение объясняется тем, что атаке подвержены в основном коммерческие реализации TLS (Cisco ACE, F5 BIG-IP SSL, Citrix NetScaler, Radware), применяемые в крупных проектах. Из открытых проектов уязвимость присутствует Erlang (http://erlang.org/), Java/JSSE (https https://www.opennet.ru/openforum/vsluhforumID3/113013.html#80 Thu, 14 Dec 2017 14:33:35 GMT в мусорке, куда я перекладывал их бумажные копии из каждой очередной коробки с циской - смотрятся совершенно одинаково.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/113013.html#79 Thu, 14 Dec 2017 14:18:20 GMT Если за результат отвечаете в любом случае вы, то делать самим, конечно, лучше (ну или аутсорсить зарекомендовавшим себя знакомым). Но часто выбор стоит между отвечать самому и сложить ответственность на другого, при этом нужно хорошо выглядеть в глазах начальства.<br> https://www.opennet.ru/openforum/vsluhforumID3/113013.html#78 Thu, 14 Dec 2017 11:34:04 GMT &gt; От чего вы офигели?<br>&gt; Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете, <br>&gt; что любое решение рано или поздно может сломаться. И вы можете <br>&gt; либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить <br>&gt; что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания, <br>&gt; кто ж знал-то?".<br>&gt; В каком случае вы выберете вариант с OpenSource.<br>&gt; Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО <br>&gt; верит, или когда вы сам начальние прошу не рассматривать.<br><br>например когда при приёмке поделки подрядчика вы уже 3 недели находите разные и новые ошибки после каждой доделки подрядчика<br>зы: другого подрядчика нет, или они пишут нужные подмодули или своими силами<br>выбор своих сил всё ближе<br> https://www.opennet.ru/openforum/vsluhforumID3/113013.html#77 Thu, 14 Dec 2017 06:17:44 GMT Ну согласен. Техническая грамотность руководства действительно играет большую роль.<br>Хотя частично-грамотные подчас вреднее полностью неграмотных. Сколько раз я слышал "Мы будем строить сеть на Cisco!". А на вопрос зачем, ответ "ну ты чооо, этож лидеры рынка у них всё самое самое! Поэтому у нас везде будут они". А потом начинается, что у лидеров покупаются самые дрищенские решение, а подчас начинают искать на б/у-барахолках, потому что денег нет, а хотим чтоб "всё от лидеров".<br><br>А бывает закупят SCCM. И не знают что с ним делать. Начинают на него натягивать всё, что без него прекрасно решалось. Нанимают отдельных админов для него, штат разрастается. Красота-ляпота. Зато самое дорогое и крутанское решение!<br><br>Про то как у нас любят SAP внедрять я даже рассказывать не буду. Большие дяди любят считать копейки. Любят внедрять SAP за миллиарды, а потом страдать.<br> https://www.opennet.ru/openforum/vsluhforumID3/113013.html#76 Thu, 14 Dec 2017 00:33:18 GMT Все компании (юридические лица) всегда работают между собой по договору, EULA к этому отношения вообще не имеет. Просто большинство анонимов опеннета ещё учатся в школе и не знают об этом.<br> https://www.opennet.ru/openforum/vsluhforumID3/113013.html#75 Thu, 14 Dec 2017 00:30:34 GMT Волнует каждая копейка.<br> https://www.opennet.ru/openforum/vsluhforumID3/113013.html#74 Thu, 14 Dec 2017 00:26:33 GMT Когда вы что-то покупаете за деньги в понятиях отношений ынтерпрайзов, то вы подписываете договор, в котором оговариваете права и обязанности сторон, форс-мажор и прочие вещи. EULA это совсем другое.<br> https://www.opennet.ru/openforum/vsluhforumID3/113013.html#73 Wed, 13 Dec 2017 19:41:36 GMT &gt; Зависит от страны<br><br>вряд ли. "и хрен вы меня найдете" - идея интернациональная. Но, к сожалению, инвесторы не лохи (то есть они очень даже могут быть лохи во всем, кроме как раз идеи сп..ть денег и смотаться - именно так и нажили свои капиталы ;-)<br><br>разница скорее в том, что в околоэксовковой действительности еще есть, пусть и очень небольшой, шанс убедить инвестора выбрать хорошее решение самостоятельно, а в прочих местах - только через тендерную документацию.<br><br>&gt; Особенно когда какое-нибудь шифрование вообще не имеет отношения к деятельности компании<br><br>тогда ты точно пойдешь настраивать наколеночное решение на базе ssl, еще не хватало тебе денег платить. "Вы же специалист, и мы вам платим офигенную зарплату (в два раза меньше средней по рынку, поскольку вы не имеете прямого отношения к тому, чем мы зарабатываем) - сделайте нам бесплатно - и срок исполнения вчера днем!"<br><br>&gt; а является просто атрибутом её сайта, который где-то сбоку и админится <br>&gt; всеми забытым отделом IT.<br><br>угу, щас ему F5 купят, конеч https://www.opennet.ru/openforum/vsluhforumID3/113013.html#72 Wed, 13 Dec 2017 18:29:22 GMT От чего вы офигели?<br><br>Вам начальник говорит "хочу безопасность". При этом вы как человек умный понимаете, что любое решение рано или поздно может сломаться. И вы можете либо накрутить какое-нибудь OpenSource без поддержки, рискуя своей головой. Либо купить что-нибудь тира энтерпрайзное, а в случае проблем сказать "Ну, солидная компания, кто ж знал-то?".<br><br>В каком случае вы выберете вариант с OpenSource.<br><br>Варианты, когда вы с начальником друзья со школы и он вам НАСТОЛЬКО верит, или когда вы сам начальние прошу не рассматривать.<br>