Re: уязвимость OpenSSL
On Thu, Apr 10, 2014 at 05:03:02PM +0100, Stanislav Maslovski wrote:
[skipped]
> ... если у заинтересованных служб была возможность
> писать тупо _всё_ скопом (а говорят, что она у них есть уже лет как
> несколько), то вообще _все_ защищённые соединения, которые прошли
> через их систему, скомпрометированы. Включая пароли, личные данные,
> номера кредиток, транзакции и т.д. и т.п.
Нет, heartbleed это уязвимость против активной атаки специально
сконструированными пакетами, которых в нормальном ssl-ном трафике
не бывает. Прослушанный трафик в плане heartbleed бесполезен.
А недавняя дебиановская уязвимость со слабыми ключами была настоящей
задницей, потому там был шанс взломать пассивно прослушанный трафик.
--
Eugene Berdnikov
Reply to: