Příspěvky Závažná chyba v OpenSSL
Takže vy o tom píšete dřív než si to spravíte? Už mám pár tisíc dumpů paměti vašeho serveru ^^. Děkuji :)
Zřejmě precedentní příklad toho, že i otevřený software, do kterého vidí statisíce programátorů, může mít závažnou bezpečnostní chybu.
Obecně takovou chybu nelze vyloučit nikdy, stejně jako to, že zůstane třeba i delší dobu nepovšimnuta. Ovšem vždy je větší šance takovou chybu odhalit, pokud jsou k dispozici zdrojové kódy. Pokud k dispozici nejsou, lze testovat pouze zvenčí. Pokud bude v proprietárním softwaru backdoor, šance k odhalení jsou o dost menší - nemusí být implementován přímočaře (k jeho aktivaci může být potřeba splnit více podmínek), takže může být prakticky neodhalitelný.
Je to tedy opravdu tak zlé? Má každý změnit svá hesla k emailům atd.? nebo je to spíše nafouklé? Poraďte prosím.
Nooo, dokud to na serverech neopraví, jsou změny hesla dost kontraproduktivní....
Pokud tím server není postižen (například proto, že používá starší verzi OpenSSL - týká se např. distra Debian 6 - nebo používá GnuTLS či něco jiného), není potřeba řešit nic. Jinak samozřejmě platí, že nejdřív se musí opravit servery (aktualizovat OpenSSL, přegenerovat klíče a certifikáty, staré certifikáty revokovat) a pak teprve řešit návazné věci, třeba změny hesel.
Mimochodem spousta uživatelů pořád přistupuje k poště nešifrovaně a často i s nešifrovaným heslem, takže jsou trvale v situaci, kdy je někdo může odposlechnout. Už se také objevily komentáře ve smyslu, že je celá "aféra" spíše přínosná, protože počet reálných zneužití bude nízký, ale přitom to donutí spoustu adminů konečně aktualizovat servery a aspoň dočasně se bezpečnosti více věnovat, takže se tím zamezí mnoha jiným útokům vedeným jinými způsoby.
Mimochodem spousta uživatelů pořád přistupuje k poště nešifrovaně a často i s nešifrovaným heslem, takže jsou trvale v situaci, kdy je někdo může odposlechnout. Už se také objevily komentáře ve smyslu, že je celá "aféra" spíše přínosná, protože počet reálných zneužití bude nízký, ale přitom to donutí spoustu adminů konečně aktualizovat servery a aspoň dočasně se bezpečnosti více věnovat, takže se tím zamezí mnoha jiným útokům vedeným jinými způsoby.
Jo jenže článek publikovaný na idnes a novinky.cz udělají dostatečnou paniku mezi neznalými lidmi.
A ti pak houfně mění hesla, mnohé si zapomenou zapamatovat ... a vlastně zbytečně.
Dokud neopraví server šifrování, změny hesel jsou zbytečná aktivita...
A ti pak houfně mění hesla, mnohé si zapomenou zapamatovat ... a vlastně zbytečně.
Dokud neopraví server šifrování, změny hesel jsou zbytečná aktivita...