forum.opennet.ru

"В OpenSSL обнаружена критическая уязвимость, которая может п..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "В OpenSSL обнаружена критическая уязвимость, которая..."	+/–
Сообщение от Аноним (-), 08-Апр-14, 12:12
Нигде. OpenSSL (и SSL/TLS вообще) сделаны так, что секурно ими пользоваться может полтора академика, являющихся экспертами в криптографии. Тогда они смогут вызвать правильные алгоритмы и нигде не продолбаться. Сколько таких среди авторов софта - ну ты понял. А все остальные обречены продалбываться. Не говоря о том что сам протокол SSL/TLS и либа соответственно - жутко наворочены и имеют массу опций. Это гарантирует туеву хучу багов. ИМХО самое умное что можно сделать - просто считать что этот крап не существует. Как средство защиты данных. Не полагайся на то что это гомно сможет защитить твои данные, чтобы потом не было мучительно больно.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

В OpenSSL обнаружена критическая уязвимость, которая может п..., opennews, 08-Апр-14, 11:03 [смотреть все]

ай да АНБ, ай да молодцы это просто 5 , Аноним, 08-Апр-14, 11:03 (1) //
- Бритва херлона Никогда не приписывайте злому умыслу то, что вполне можно объясн, rshadow, 08-Апр-14, 13:56 (43) //
  - Ну SSL и TLS врядли по глупости были напроектирвоаны столь навороченными что ими, Аноним, 08-Апр-14, 14:12 (56)
  - а утверждения Херлона, типа, истина в последней инстанции, как суждения Папы Рим, Аноним, 08-Апр-14, 16:07 (95)
всегда говорил, что https не нужно, не нужно, не нужно , бедный буратино, 08-Апр-14, 11:12 (2) //
- Если в твоей системе с рождения присутствует уязвимость, то вся паранойя вокруг , Аноним, 08-Апр-14, 11:16 (4) //
  - извините, но в вашей ахинее я не вижу причинно-следственных связей, бедный буратино, 08-Апр-14, 11:46 (10)
  - А что не так с компилятором Он собран майнтайнерами системы, на пакете цифровая, Аноним, 08-Апр-14, 22:07 (143) //
    - А компилятор чем собирать будет маинтейнер, он же из воздуха не возьмётся Нужен, Аноним, 09-Апр-14, 06:43 (170)
      - Внезапно, до того как появились компиляторы, был мир где компиляторов не было Э, Аноним, 09-Апр-14, 09:02 (172)
        
        Твоё воображение ничего общего с реальностью не имеет , Аноним, 09-Апр-14, 10:57 (176)
        
        только твоё имеет, ага , arisu, 09-Апр-14, 11:04 (177)
        
        Д артаньян Столлман, Аноним, 09-Апр-14, 12:32 (187)
        
        Д Артаньян, залогинься , Аноним, 09-Апр-14, 11:46 (179)
        
        Легко, есть проблемы , ДАртаньян, 09-Апр-14, 12:33 (188)
        
        А где апостроф Говорят, Д Артаньян не настоящий , Аноним, 10-Апр-14, 02:13 (196)
        
        Возможно здесь от слова Dark, поклонение тёмным силами, всё такое , Анонимоус, 10-Апр-14, 08:47 (199)
        
        Ничего ты не понял Это Дарт Аньян Как Дарт Вейдер или Дарт Сидиус, например , Dart Anyan, 14-Апр-14, 10:53 (218)
- Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым текст, Адекват, 08-Апр-14, 12:02 (19) //
  - Шифровать ДО передачи по инету , 1, 08-Апр-14, 12:36 (29) //
    - А ты думаешь, как ssl работает , Анонем, 08-Апр-14, 13:44 (40)
      - еще раз зашифровать , Аноним, 08-Апр-14, 18:53 (119)
    - MS-виндоботы поражают воображение , Аноним, 08-Апр-14, 14:28 (63)
  - Раньше на всяких Клиент-банках и без ССЛ-я всё как-то работало, прикинь , t28, 08-Апр-14, 12:40 (31) //
    - До червя морриса вообще о многих вещах не парились, прикинь , XoRe, 08-Апр-14, 12:43 (34)
    - ага, потому что было отдельное диалап подключение для каждого банка , ваы, 08-Апр-14, 16:49 (105)
  - а, то есть твой говнобанк вот так и валит нешифрованый поток в соединение, надея, arisu, 08-Апр-14, 12:42 (33) //
    - А что, кто-то делает по другому А именно - вообще не использует https, прин, Адекват, 08-Апр-14, 12:46 (35)
      - да, все нормальные люди шифруют сами, секретными ключами впрочем, ты с домохозя, arisu, 08-Апр-14, 12:54 (36)
        
        И какими же средствами обеспечивается защита соединения В ручную что-ли кажд, Адекват, 08-Апр-14, 14:15 (58)
        
        Примерно так Только нет наружу соединения с таким https Шифровка дешифровка ид, balda, 08-Апр-14, 14:28 (64)
        
        А вот видимо и сотрудники банков появились, видимо При том ник сам за себя гово, Аноним, 08-Апр-14, 14:49 (70)
        
        Мне одно не понятно - банк как сможет расшифровать ваши данные Нет, если конеч, Адекват, 08-Апр-14, 14:59 (73)
        
        Генеришь ключи, относишь на бумажечке Покупать ничего не нужно Есть онлайн-вер, qux, 08-Апр-14, 15:38 (87)
        
        Ааа, это тот банк та система , где ключи ещё должны лежать на диске A или B И, Василий, 08-Апр-14, 19:26 (122)
        
        Сейчас в этих банках смарткарты и токены под собственным брендом, а линукс и мак, Аноним, 08-Апр-14, 20:27 (127)
        Нет, лежит где положишь Система кажись эта, тут и демка какая-то есть http ww, qux, 08-Апр-14, 23:19 (155)
        
        Ох, еще один питекантроп Блин, народ, куда у нас модно посылать питекантропов, , Аноним, 08-Апр-14, 16:00 (92)
        
        Ко криптокантропам, очевидно , Michael Shigorin, 11-Апр-14, 14:52 (215)
        
        для тебя, кретина, ещё раз повторяю соединение защищать не надо дальше повто, arisu, 08-Апр-14, 15:16 (78)
        
        К сожалению, эти люди иной раз лезут в области где подразумевается передача ценн, Аноним, 08-Апр-14, 16:02 (93)
        
        это да причём они даже не понимают, насколько они ничего не понимают эффект Да, arisu, 08-Апр-14, 16:06 (94)
        
        про крутые слова смешно читать от человека, постоянно использующего спич , Аноним, 08-Апр-14, 16:09 (97)
        
        а дуракам всегда смешно потому что дураки , arisu, 08-Апр-14, 16:12 (98)
      - p s кретин, защищать надо не 171 соединение 187 , а данные иди, осмысливай , arisu, 08-Апр-14, 12:55 (37)
        
        Если соединение скомпрометировано, то данным можно тоже помахать ручкой, т к по, Stellarwind, 08-Апр-14, 13:43 (39)
        
        оно не 171 если 187 , оно однозначно https 8212 иллюзия безопасности, и п, arisu, 08-Апр-14, 13:56 (42)
        
        Если пользоваться самоподписаными сертификатами, или же давай пруф на статью кот, Адекват, 08-Апр-14, 14:18 (59)
        
        Гуглить про comodohacker, DigiNotar и какими сайтами умел представляться этот ха, Аноним, 08-Апр-14, 14:54 (72)
        
        Но сейчас то никто его трюк повторить не сможет, так , Адекват, 08-Апр-14, 15:15 (77)
        
        Нет, не так А что принципиально изменилось с того момента Не вижу что помешает, Аноним, 08-Апр-14, 16:09 (96)
        откуда у тебя такие выводы , masudi, 08-Апр-14, 17:00 (107)
        
        Это не проблема HTTPS Проблема в некоторых CA Кто-нибудь например может выдават, Anonym2, 08-Апр-14, 17:18 (109)
        
        Как бы это сказать Толпа прихлебателей, которым либа браузер по дефолту до, Аноним, 08-Апр-14, 18:30 (117)
        
        Кем доказано, что речь идет про го но , Аноним, 08-Апр-14, 19:02 (120)
        Так проблема-то не в HTTPS а инфраструктуре CA , Аноним, 08-Апр-14, 21:10 (130)
        
        Проблем несколько 1 PKI - лохоразвод Сколь-нибудь надежно это может быть тольк, Аноним, 08-Апр-14, 22:26 (146)
        
        Вообще-то, криптография ставит своей задачей в том числе и передачу данных по не, Аноним, 08-Апр-14, 22:16 (145)
        
        сложно сказать, кто тут более кретин множество сетевых атак как раз строится на, crypt, 08-Апр-14, 13:57 (45)
        
        любая идея защищать соединиение , а не данные 8212 придумана идиотами для , arisu, 08-Апр-14, 14:00 (48)
        
        Какое хорошее описание OpenSSL и тех кто им пользуется , Аноним, 08-Апр-14, 14:10 (55)
        
        хинт OpenSSL 8212 это ещё и библиотека алгоритмов шифрования которые можно , arisu, 08-Апр-14, 15:21 (81)
        
        Это да, но понимаешь ли, там SSL TLS есть, и вон то стадо долбодятлов начинает в, Аноним, 08-Апр-14, 16:24 (99)
        
        Ну я понимаю Кэпа Иногда очень хочется честно сказать кретину что он - кретин , Аноним, 08-Апр-14, 22:38 (148)
        
        Соединение и есть данные Просвещайся, неуч , Аноним, 08-Апр-14, 21:11 (131)
        
        Совершенно не обязательно Могут быть и служебные сущности, например Но грамоте, Аноним, 08-Апр-14, 22:40 (149)
    - Еще более плохая новость обезьяны которые пишут этот банковский крап обычно не , Аноним, 08-Апр-14, 14:45 (68)
      - это совершенно не повод считать https какой-то там 171 защитой 187 , arisu, 08-Апр-14, 15:23 (83)
        
        Спасибо, я в курсе свойств SSL TLS и мне они не нравятся За все это я и не жалу, Аноним, 08-Апр-14, 16:30 (101)
        
        Пожалуйста, предложи криптографический casino-grade как на колесах рулетки пишу, Аноним, 08-Апр-14, 21:55 (136)
        
        С казино известно много приколов Как минимум одному гражданину запретили вход в, Аноним, 08-Апр-14, 22:44 (151)
        
        Хватит уже изголяться Ты альтернативу предложи , Sem, 09-Апр-14, 11:44 (178)
  - Ну передашь ты его шифрованным, только окажется что это был не тот сервер Но ни, Аноним, 08-Апр-14, 14:14 (57) //
    - Так, допустим некто организовал атаку M-I-M и стал через себя траффик пропускать, Адекват, 08-Апр-14, 14:53 (71)
      - Зачем Он ставит свой сервак, который я, типа, банковский сервер SSL делается, Аноним, 08-Апр-14, 15:06 (74)
        
        Щас попробую вникнуть 1 Мне отравили DNS, и для меня валидным ip банка теперь с, Адекват, 08-Апр-14, 15:50 (89)
        
        За кадром слышен натужный скрип мозга питекантропа электричество магнетрон , Аноним, 08-Апр-14, 16:44 (104)
        
        gt оверквотинг удален Плз, не надо столько громких слов Объясни этому баклану,, Аноним, 08-Апр-14, 21:57 (138)
        
        Это прежде всего лохотрон, который претендует на то что он типа, аутентификация,, Аноним, 08-Апр-14, 22:57 (153)
- Отключи heartbeat И всё , Sabakwaka, 09-Апр-14, 02:38 (167)
http www linuxtag org 2012 en program speaker-features featured article featur, Аноним, 08-Апр-14, 11:15 (3)
А сколько еще неизвестных общественности критических уязвимостей Бояться надо н, Аноним, 08-Апр-14, 11:20 (5) //
- все параноики так и делают, Нанобот, 08-Апр-14, 11:47 (11) //
  - И правильно, ведь всё знать невозможно и повод для страха есть всегда , Аноним, 08-Апр-14, 14:04 (53) //
    - А чё бояться то Ну есть язвы, ну может у тебя давно бэкдор, мир не без добрых , Анонимоус, 08-Апр-14, 23:57 (161)
      - А бояться надо того что чего-то не учел и не заметил, разумеется То-есть, собст, Аноним, 09-Апр-14, 01:16 (164)
Вот за что-то такое мы и любим nacl от дяденьки берштейна Хорошее средство от о, Аноним, 08-Апр-14, 11:24 (6) //
- рад за вас где можно скачать ваши патчи к софту, который использует OpenSSL, да, arisu, 08-Апр-14, 11:28 (7) //
  - Нельзя Пакет станет популярным, это вредит неуязвимости продукта , anonymous, 08-Апр-14, 12:06 (21) //
    - В SSL TLS и OpenSSL как реализации вредят совсем иные вещи, как то пи цкая нав, Аноним, 08-Апр-14, 12:14 (23)
    - Синдром неуловимого Джо , e.slezhuk, 08-Апр-14, 12:15 (24)
      - Более того, хорошая криптография проверки толпой народа не боится , Аноним, 08-Апр-14, 12:17 (26)
  - Нигде OpenSSL и SSL TLS вообще сделаны так, что секурно ими пользоваться може , Аноним, 08-Апр-14, 12:12 (22) //
    - мягко намекаю, что уже есть куча софта, которая использует OpenSSL поскольку , arisu, 08-Апр-14, 12:40 (30)
      - При том большинство оного по факту использует сие в виде декоративной бесполезно, Аноним, 08-Апр-14, 13:47 (41)
        
        ок где взять замены всему софту, который использует OpenSSL, от любителей nacl , arisu, 08-Апр-14, 13:57 (44)
        
        У меня полный аэродром самолетов выработавших свой ресурс Что же мне с ними де, Аноним, 08-Апр-14, 14:01 (49)
        
        Есть распространённые и мощные БД, есть веб-серверы, есть куча другого софта, ис, Василий, 08-Апр-14, 20:00 (124)
        
        Ну я и говорю - полон аэродром стремных самолетов с гнилыми внутренностями, кото, Аноним, 08-Апр-14, 23:08 (154)
        
        Угу Давайте запретим авиацию как класс, пока не создадут новые самолеты Есть ве, Sem, 09-Апр-14, 12:05 (183)
        
        Декоративное типа, шифрование вредно хотя-бы тем что дает ложную уверенность ч, Аноним, 10-Апр-14, 02:26 (197)
        
        лететь-то на чём, а лететь уже надо есть замена нет только вопли, что 17, arisu, 08-Апр-14, 13:59 (47)
        
        В зависимости от - я считаю что самолета нет, или конструирую новый Лететь на э, Аноним, 08-Апр-14, 14:02 (50)
        
        ещё раз повторяю лететь надо уже 171 поехали, потом заведёшь 187 , ага , arisu, 08-Апр-14, 14:05 (54)
        
        Ну раз надо - лети Правда у тебя интересно получается Если в дебиане лажа - он, Аноним, 08-Апр-14, 14:22 (61)
        
        я что-то говорил про то, что в чём не надо бредить, ты перечитай мои комментари, arisu, 08-Апр-14, 15:10 (75)
        
        Естественно Я не могу запатчить парой заплаток фюзеляж, который по всей поверхн, Аноним, 08-Апр-14, 16:57 (106)
        
        если всё ещё не дошло от воплей 171 а соль лучше 187 существующий софт с , arisu, 08-Апр-14, 15:14 (76)
        
        Да, от того факта что я сказал что на самолетах с фюзеляжем выработавшим свой ре, Аноним, 08-Апр-14, 17:05 (108)
        
        gt оверквотинг удален Откажись от уютненькой мордокниги фконтактика, связи - , Аноним, 08-Апр-14, 22:00 (140)
        Сложно Ведь я ими и не начинал пользоваться Поэтому отказаться от них будет пр, Аноним, 08-Апр-14, 23:21 (156)
        Это декоративное секурити защищает в 99 случаев От теоретического знания общ, angra, 09-Апр-14, 02:32 (166)
        Это декоративное секурити защищает лишь до тех пор, пока никто не озадачиваетс, Аноним, 09-Апр-14, 10:36 (174)
        Танковая броня не защищает от прямого попадания ядерного заряда Ох печалька, уж, Аноним, 09-Апр-14, 12:47 (189)
        В данном случае броня является фанерной И не защищает даже от пистолетной пули , Аноним, 10-Апр-14, 02:29 (198)
        От пистолетной пули не защищает Тебе дать дамп SSL траффика, а ты его расшифруе, ZiNk, 11-Апр-14, 01:16 (213)
        
        A deterministic random-bit generator is seeded by the output from the condition, Anonym2, 08-Апр-14, 17:55 (111)
openssh тоже в группе риска , Нанобот, 08-Апр-14, 11:56 (14) //
- Конечно Смотрите вывод команды и всё будет понятно ssh -version, Аноним, 08-Апр-14, 12:00 (15)
- http security stackexchange com questions 3424 how-is-openssl-related-to-opens, Аноним, 08-Апр-14, 12:01 (17)
- Нет openssh использует openssl, но не tls с heartbeat Так что, sshd не затрону, anonymous, 08-Апр-14, 20:41 (128)
Что-то на этом сервисе все чеки проходят как ОК в отличие от http filippo io H, Аноним, 08-Апр-14, 12:01 (16) //
- Эм особо предприимчивые господа уже коллекционируют пароли и ключи на своих о, Аноним, 08-Апр-14, 12:16 (25)
Эксплойт то где А то развели шум из-за ничего Где гарантия что в этих 64 кил, Аноним, 08-Апр-14, 12:01 (18) //
- А вы оставьте здесь адреса своих серверов , XoRe, 08-Апр-14, 13:31 (38) //
  - Да, вон там как раз пара сервисов уже Для проверки, так сказать, сколько ключей, Аноним, 08-Апр-14, 13:58 (46)
- ничё себе чувак губу раскатал, гарантии ему нужны Хочешь гарантию - покупай мик, Нанобот, 08-Апр-14, 16:42 (103)
Ещё увидел в рекомендациях заново по-возможности сгенерировать сертификаты , Наивный чукотский юноша, 08-Апр-14, 12:19 (27) //
- Логично Потому что если у тебя тихой сапой уперли пароли и ключи - однажды на с, Аноним, 08-Апр-14, 23:24 (158)
А что случится после того как злоумышленник вытянет из сервера закрытый ключ , Аноним, 08-Апр-14, 14:04 (52) //
- А вот тогда и увидишь, как сервак плавно-нах становится не твоим , Аноним, 08-Апр-14, 22:02 (142) //
  - это было бы круто, но я этого не увижу поскольку оргмеры рулят, потому и спрашив, Аноним, 09-Апр-14, 14:13 (190)
ssh -VOpenSSH_5 5p1 Debian-6 squeeze4, OpenSSL 0 9 8o 01 Jun 2010 Цифродрочep, Аноним, 08-Апр-14, 14:20 (60) //
- Ты айпишник сказать забыл, чтобы мы могли посмотреть сколько ключей и паролей уд, Аноним, 08-Апр-14, 14:25 (62) //
  - Тебя посодют, а ты не воруй , ryoken, 08-Апр-14, 15:35 (86) //
    - Чего-то не похоже на айпишник , Аноним, 08-Апр-14, 18:37 (118)
  - Придётся подсказать специалисту, который внимательно прочитал CVE -- 127 14 98 2, Michael Shigorin, 09-Апр-14, 00:26 (162) //
    - Надеетесь что все вокруг глупые и не умеют считать битовые маски , Аноним, 09-Апр-14, 10:42 (175)
      - Отнюдь , Michael Shigorin, 09-Апр-14, 19:17 (192)
В nginx под centos используется статическая линковка с openssl Брали из репозита, Аноним, 08-Апр-14, 15:43 (88)
Ой не верю что программист этого дела типа случайно забыл там проверку поставить, хрюкотающий зелюк, 08-Апр-14, 15:50 (90) //
- Гонорарчик , Аноним, 08-Апр-14, 15:53 (91) //
  - Ну или угрозы , Аноним, 08-Апр-14, 22:40 (150)
Вообще-то из FreeBSD только 10 0 уязвимо root as2 uname -r9 2-RELEASE-p3ro, Аноним, 08-Апр-14, 17:53 (110)
https github com openssl openssl commit 4817504d069b4c5082161b02a22116ad75f822, Аноним, 08-Апр-14, 18:14 (113) //
- https www youtube com watch v 3jQoAYRKqhghttp phk freebsd dk _downloads FOSD, Аноним, 08-Апр-14, 18:17 (114)
если я правильно понял, этот баг будет проявляться только через ssl-соединения, , Нанобот, 08-Апр-14, 20:13 (125)
Вот что происходит, когда для разработки криптографических библиотек используетс, Аноним, 08-Апр-14, 21:57 (137) //
- Он ведь тоже на си, Аноним, 08-Апр-14, 22:33 (147)
- Боюсь, SSL TLS на чем не реализуй, а получишь не секурити а буй , Аноним, 08-Апр-14, 23:27 (159) //
  - Кстати, GnuTLS как нельзя лучше подходит под это определение , iZEN, 09-Апр-14, 11:53 (182) //
    - Ты не напишешь ничего безопасного ни на каком ЯП Ни с какой библиотекой Потому, Аноним, 09-Апр-14, 12:08 (185)
      - Ты рискнешь что-нибудь съесть с той грядки Смело , Ytch, 09-Апр-14, 23:35 (193)
- А безопасный ЯП типа rust с его garbage collector и прочим вообще позволит сказо, Аноним, 09-Апр-14, 12:07 (184) //
  - Rust использует линейные типы с отслеживанием скопа вместо сборки мусора Погугли, Аноним, 10-Апр-14, 02:00 (194) //
    - А один хрен Автоматика в таких вещах только мешается и гробит предсказуемость , Аноним, 10-Апр-14, 09:04 (200)
      - у тебя руки отпали, ты надеешься на языковую магию ок, возьми D, сделай scoped , arisu, 10-Апр-14, 12:38 (207)
      - Ну так в чём проблема По выходу из скопа, данные, если уникальный указатель не , Аноним, 10-Апр-14, 16:30 (212)
ухнифигасебе щас еще тестят StrongSWAN и либресван, есть шансы что там - тоже, Аноним, 09-Апр-14, 01:13 (163)
Во FreeBSD закрыли этот ваш баг в SSL http www freebsd org security advisories, iZEN, 09-Апр-14, 11:53 (181) //
- Вот только стоит помнить что клиент мог получить кусок памяти сервера, а сервер , Аноним, 09-Апр-14, 12:10 (186) //
  - Так это стандартная процедура, выполняемая часто и регулярно Залог безопасности, iZEN, 10-Апр-14, 10:26 (203) //
    - ну да, у бсдоидов смена ключей 8212 процедура чуть ли не ежедневная а то они, arisu, 10-Апр-14, 12:47 (208)
Вброшу-ка сюда пару ссылок Theo de Raadt OpenSSL has exploit mitigation counte, Аноним, 10-Апр-14, 02:07 (195) //
- Отлично, эти умники перехватили malloc но сделать его в виде как ожидается от , Аноним, 10-Апр-14, 09:07 (201) //
  - Если я правильно понял, то почесались Но потом за-ifdef-или защиту и забыли про, Xaionaro, 10-Апр-14, 14:47 (211)
Странное дело - сервис проверки соединения на его уязвимость указанный в стать, Мавр, 10-Апр-14, 10:18 (202)
Спасибо новости, и генту-майнтейнерам, уже запилили ебилд , Аноним, 10-Апр-14, 12:18 (204)
Following up on the CVE-2014-0160 vulnerability, heartbleed We ve created some , Аноним, 10-Апр-14, 13:17 (209)
Я правильно понимаю, что если на моем сервере openssl 0 9 8e-27 el5_10 1, то дан, billybons2006, 11-Апр-14, 11:07 (214) //
- тебя -- точно нет , V, 11-Апр-14, 17:26 (216) //
  - Ну и ладушки Centos 5 рулит А ведь совсем недавно обновлялся , billybons2006, 11-Апр-14, 19:18 (217)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру