Zadejte hledaný výraz...

Heartbleed bug – mám být paranoidní?

horonet
verified
rating uzivatele
11. 4. 2014 12:52:11
ahoj všem,
možná tady budu za Ú.B., ale musím se zeptat.
a to pro to, protože se přiznávám, že mi tady něco uniká. :( uniká mi ta konkrétní příčina nutnosti výměny certifikátu a hesel po aktualizaci OpenSSL.
je to pro to, že x měsíců až let trvala praktická možnost za určitých okolností vytáhnout přes TLS heartbeat kusy paměti, co možná obsahovaly hesla, priv. kláče a další citlivá data. a to bez. zanechání jakékoli stopy. OK.
je mi jasná ta nutnost u EXPONOVANÝCH systémů, protože jistota je kulomet! ale co např. intranetí věci se self-signed?
přirovnávám si to k tomu, že sem nechal u domu pootevřené dveře na ulici a za chvíli sem si toho všimnul, tak sem je prostě zabouch. sice sem za celou tu dobu na ulici a u dveří nikoho neviděl a neslyšel a na chodbě nejsou stopy. ale co kdyby tam přeci jen někdo byl a a zkopíroval mi klíče co visely na věšáku? teď už je zabouchnuto a je to ok. ale mam pro jistotu vyměnit zámek?
NEBO MI NĚCO UNIKO A NEBEZPEČÍ DALŠÍHO ZNEUŽITÍ TRVÁ?
jaké? nejsem zběhlej v šifrování a PKI a tp. tak budu vděčný za každý názor.
díky.
11. 4. 2014 12:52:11
https://webtrh.cz/diskuse/heartbleed-bug-mam-byt-paranoidni#reply1014406
Nevím, zda jsi četl tento článek http://tech.ihned.cz/geekosfera/c1-62006020-heartbleed-bezpecnostni-chyba-openssl, je tam vše poměrně srozumitelně podané.
11. 4. 2014 12:53:42
https://webtrh.cz/diskuse/heartbleed-bug-mam-byt-paranoidni#reply1014405
horonet
verified
rating uzivatele
11. 4. 2014 14:28:48
Napsal Plaváček;1077693
Nevím, zda jsi četl tento článek http://tech.ihned.cz/geekosfera/c1-62006020-heartbleed-bezpecnostni-chyba-openssl, je tam vše poměrně srozumitelně podané.
... tenhle zrovna. je to tam fakt dobře vysvětlený na konkrétní situaci. díky.
11. 4. 2014 14:28:48
https://webtrh.cz/diskuse/heartbleed-bug-mam-byt-paranoidni#reply1014404
Jamira40
verified
rating uzivatele
(4 hodnocení)
11. 4. 2014 16:31:54
Technikom z CloudFlare sa stále nepodarilo získať Private Key pokiaľ používate NGINX. V článku sa spomína že niekomu sa to podarilo pokiaľ web išiel na Apache ale údaje je to možné len pri prvom requeste na server po reštarte.
Viac info na http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed
11. 4. 2014 16:31:54
https://webtrh.cz/diskuse/heartbleed-bug-mam-byt-paranoidni#reply1014403
Pro odpověď se přihlašte.
Přihlásit