Slabo si pregledal prvi post v temi... 66% vseh spletnih strani, ki imajo SSL vključen, uporablja ravno OpenSSL. Če bi pogledal link "Seznam spletnih strani, ki so bile ranljive" bi opazil, da Google in FB in tudi nekateri drugi "major proizvajalci" uporabljajo OpenSSL.
Spremenite gesla! Google, facebook, twitter...
- Ustvarjalec teme futuristic
- Začetni datum
Ranljive verzije : OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable (najnoveša je 1.0.1g ki, pa je spet vredu)
Problem je v tem, da ja bil bug izdan že okoli 2 leti nazaj, in je vprašane koliko ljudi je že vedelo za to ranljivost.
Baje, da je NSA že nekaj časa to poznala: http://www.bloomberg.com/news/...-consumers.html
Meni osebno se zdi, da je to kar močna ranljivost, in zato bom/sem menjal gesla na vseh pomembnejših accountih ... ker zgleda, da kar večino popularnih spletnih strani uporablja openssl.
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
lp
Problem je v tem, da ja bil bug izdan že okoli 2 leti nazaj, in je vprašane koliko ljudi je že vedelo za to ranljivost.
Baje, da je NSA že nekaj časa to poznala: http://www.bloomberg.com/news/...-consumers.html
Meni osebno se zdi, da je to kar močna ranljivost, in zato bom/sem menjal gesla na vseh pomembnejših accountih ... ker zgleda, da kar večino popularnih spletnih strani uporablja openssl.
http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/
lp
Nazadnje urejeno:
1. Ravno plain textpodatki (html, urlji-z parametri) ti lahko veliko povejo, pa glede na to da je možno dobiti 64k velik blok, se da z periodičnim pobiranjem spomina iz strežnika in če gledaš samo plain-text kar veliko zvedeti.
2. To velja samo za shranjevanje na disk/bazo. Preden se geslo hash-a, je v RAM-u v plaintext obliki - http://grahamcluley.com/2014/04/heartbleed-bug-leak-yahoo-password/
lp