[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: уязвимость OpenSSL

On Wed, Apr 09, 2014 at 05:21:47PM +0400, yuri.nefedov@gmail.com wrote:
> On Wed, 9 Apr 2014, Artem Chuprina wrote:
> 
> >Boris Bobrov -> debian-russian@lists.debian.org  @ Wed, 9 Apr 2014 13:44:40 +0500:
> >
> >>> День добрый,
> >>>
> >>> Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta
> >>> -> http://habrahabr.ru/post/218609/
> >>>
> >>> все уже обновились?
> >
> >BB> Мало обновляться, надо ещё сертификаты поотзывать и перегенерировать.
> >
> >Это может быть уже непрофессиональная паранойя.  Если ты крупный сервис,
> >то да, конечно.
> >
> 
>  Если сертификаты скомпрометированы на крупных сервисах,
>  типа yandex, google, dropbox... то трафик слушался и пароли
>  обычных юзеров этих сервисов тоже скомпрометированы.
>  Или я чего-то не понимаю?

Всё верно. Причём, если у заинтересованных служб была возможность
писать тупо _всё_ скопом (а говорят, что она у них есть уже лет как
несколько), то вообще _все_ защищённые соединения, которые прошли
через их систему, скомпрометированы. Включая пароли, личные данные,
номера кредиток, транзакции и т.д. и т.п.

-- 
Stanislav
Reply to: