Heartbleed bug – mám být paranoidní?

ahoj všem, možná tady budu za Ú.B., ale musím se zeptat. a to pro to, protože se přiznávám, že mi tady něco uniká. :( uniká mi ta konkrétní příčina nutnosti výměny certifikátu a hesel po aktualizaci OpenSSL. je to pro to, že x měsíců až let trvala praktická možnost za určitých okolností vytáhnout přes TLS heartbeat kusy paměti, co možná obsahovaly hesla, priv. kláče a další citlivá data. a to bez. zanechání jakékoli stopy. OK. je mi jasná ta nutnost u EXPONOVANÝCH systémů, protože jistota je kulomet! ale co např. intranetí věci se self-signed? přirovnávám si to k tomu, že sem nechal u domu pootevřené dveře na ulici a za chvíli sem si toho všimnul, tak sem je prostě zabouch. sice sem za celou tu dobu na ulici a u dveří nikoho neviděl a neslyšel a na chodbě nejsou stopy. ale co kdyby tam přeci jen někdo byl a a zkopíroval mi klíče co visely na věšáku? teď už je zabouchnuto a je to ok. ale mam pro jistotu vyměnit zámek? NEBO MI NĚCO UNIKO A NEBEZPEČÍ DALŠÍHO ZNEUŽITÍ TRVÁ? jaké? nejsem zběhlej v šifrování a PKI a tp. tak budu vděčný za každý názor. díky.

Nevím, zda jsi četl tento článek http://tech.ihned.cz/geekosfera/c1-62006020-heartbleed-bezpecnostni-chyba-openssl, je tam vše poměrně srozumitelně podané.

Napsal Plaváček;1077693

Nevím, zda jsi četl tento článek http://tech.ihned.cz/geekosfera/c1-62006020-heartbleed-bezpecnostni-chyba-openssl, je tam vše poměrně srozumitelně podané.

... tenhle zrovna. je to tam fakt dobře vysvětlený na konkrétní situaci. díky.

Technikom z CloudFlare sa stále nepodarilo získať Private Key pokiaľ používate NGINX. V článku sa spomína že niekomu sa to podarilo pokiaľ web išiel na Apache ale údaje je to možné len pri prvom requeste na server po reštarte. Viac info na http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed