Re: уязвимость OpenSSL
On Thu, Apr 10, 2014 at 10:38:43PM +0400, Eugene Berdnikov wrote:
> On Thu, Apr 10, 2014 at 05:03:02PM +0100, Stanislav Maslovski wrote:
> [skipped]
> > ... если у заинтересованных служб была возможность
> > писать тупо _всё_ скопом (а говорят, что она у них есть уже лет как
> > несколько), то вообще _все_ защищённые соединения, которые прошли
> > через их систему, скомпрометированы. Включая пароли, личные данные,
> > номера кредиток, транзакции и т.д. и т.п.
>
> Нет, heartbleed это уязвимость против активной атаки специально
> сконструированными пакетами, которых в нормальном ssl-ном трафике
> не бывает. Прослушанный трафик в плане heartbleed бесполезен.
Что-то я в это не уверен, хоть в детали и не вникал. Если там
утечка через неинициализированные данные - то по идее достаточно
писать все подряд в течении некоторого времени + немного эвристики
и вуаля.
> А недавняя дебиановская уязвимость со слабыми ключами была настоящей
> задницей, потому там был шанс взломать пассивно прослушанный трафик.
Угу.
--
Stanislav
Reply to: