Heartbleed bug

Aperto da barsa90, 13 Aprile 2014, 15:32:36 PM

Discussione precedente - Discussione successiva

0 Utenti e 1 Visitatore stanno visualizzando questa discussione.

barsa90

Qualcuno di voi è a conoscenza dell'heartbleed bug? Ho letto qualche articolo in inglese dato che in italiano non ce ne sono e affermano che questo bug, inerente alla libreria di crittografia OpenSSL, permetta a chiunque di rubare informazioni protette tramite la crittografia SSL/TLS.
Sembrerebbe che tutti quei server non aggiornati all'ultima versione di OpenSSL, con il bug corretto, siano vulnerabili a questi attacchi.

Questo sito sembra piuttosto credibile e da una spiegazione approfondita del problema:


Draco

Si, è stato scoperto qualche settimana fa, ma molti dei siti interessati non hanno avvisato per evitare panico ...

Questa vignetta spiega il problema in modo abbastanza semplice ( evviva xkcd ), se pur in inglese:

"Il progresso è come un branco di porci: il branco porta parecchi vantaggi, ma nessuno dovrebbe meravigliarsi di tutta la m***a che c'è in giro ..."
                          - da "The Witcher"

barsa90

Uao... la vignetta spiega bene.
È una specie di risposta ping del server solo che vi allega delle info se le chiedete giusto?

Draco

Ehm, tipo.

Evitando di usare termini tecnici:

Non puoi richiedere informazioni specifiche, ricevi quello che c'è nei 64k di memoria dopo la "zona" nella quale il server ha memorizzato il tuo messaggio.
In questi 64k ci può essere qualsiasi cosa, di solito roba illeggibile e/o inutile, ma con un po di pazienza eventualmente otterresti informazioni compromettenti.

Altre info.
"Il progresso è come un branco di porci: il branco porta parecchi vantaggi, ma nessuno dovrebbe meravigliarsi di tutta la m***a che c'è in giro ..."
                          - da "The Witcher"

barsa90