forum.opennet.ru

"Критическая уязвимость в OpenSSL"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Критическая уязвимость в OpenSSL"	+/–
Сообщение от Аноним (-), 20-Апр-12, 14:16
> - очень подробно объяснил почему НЕ стоит пользоваться openssl. SSLем вообще пользоваться в его текущей реализации не стоит пользоваться. В браузерах - точно. В остальных местах - ну если очень аккуратно выбирать и валидировать CA (только свой и признаем только его валидные сертификаты) и аккуратно кодить программы... вот только какой процент программ и сценариев их юзежа этому удовлетворяет? Example: вот конектимся мы к жаббер серверу. Много вы знаете о том как ваш клиент валидирует сертификаты? А знаете что будет если ComodoHacker выпишет серт на то же самое но другой CA? Ну вот и правильно - при этом даже не важно какая именно либа SSL реализует, секурность от нее будет чисто номинальная в общем случае.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в OpenSSL, opennews, 19-Апр-12, 21:56 [смотреть все]

В арче уже обновился не тестинг , Толя Вихров, 19-Апр-12, 21:56 (1) //
- Build Date Fri Apr 20 00 51 33 2012Source RPM openssl10-1 0 0i-alt1 src rpm, Michael Shigorin, 21-Апр-12, 16:53 (161)
Жестачина то какая Что ни месяц то жуткие дыры которые надо в срочном порядке и, G.NercY.uR, 19-Апр-12, 21:56 (2) //
- Наоборот, радоваться надо тому что находят и фиксят Будто этих дыр раньше не был, umbr, 19-Апр-12, 22:18 (3) //
  - Этой дыре минимум 6 лет , дон педро, 22-Апр-12, 21:43 (207)
- ну не такая уж и дикая, Аноним, 19-Апр-12, 22:47 (6) //
  - DER используется для кодирования сертификатов Сайт вполне может подсунуть броузе, Dron, 19-Апр-12, 23:03 (8) //
    - Это вообще фирменный стиль дочерних проектов OpenBSD Правда, среди дилетантов бы, Аноним, 20-Апр-12, 00:39 (14)
      - Вы путайте OpenSSH и OpenSSL, OpenSSL имеет общее с OpenBSD только слово Open в , Аноним, 20-Апр-12, 09:25 (55)
        
        вы не понимаете проблема не в Open, проблема в BSD профессионалу из предыдущ, Куяврик, 20-Апр-12, 10:50 (63)
        
        Это вы наверное о себе Потому что профессионалы от бсдов обычно много о себе , Аноним, 20-Апр-12, 11:38 (67)
        
        http nuclight livejournal com 129457 html, AdVv, 20-Апр-12, 12:25 (82)
        
        Ахх нуклайт Эталонный разработчик BSD Способный сделать так что вокруг прое, Аноним, 20-Апр-12, 12:56 (85)
        
        Ну в отличии от тебя он имеет смелость подписаться под своим мнением, а уровень , AdVv, 20-Апр-12, 13:09 (86)
        
        Я рад за него Как специалист он хоть и одиозен предвзят но иногда может и дельн, Аноним, 20-Апр-12, 14:36 (99)
        
        А вы с ним работали Сейчас, кстати, хорошо видно только ваше ЧСВ , Аноним, 21-Апр-12, 02:31 (138)
        Я его коменты и посты видел Вполне достаточно Вы не дружите с головой ЧСВ - п, Аноним, 21-Апр-12, 05:10 (143)
        мне лениво это комментировать, да и как-то пофигу, nuclight сам ответит, если по, Аноним, 22-Апр-12, 06:29 (203)
        
        Вадим -- вполне толковый специалист Со своими тараканами, но кто из нас без то, Michael Shigorin, 21-Апр-12, 16:56 (163)
        
        Дружище, как так получается, профессионал всё перепутал и переврал, а речь - в, Куяврик, 22-Апр-12, 03:17 (200)
      - Можно подробнее , Michael Shigorin, 21-Апр-12, 16:54 (162)
      - Школота, сначала разберись в разнице между OpenSSL и OpenSSH, а потом придёшь и , Kibab, 25-Апр-12, 10:29 (211)
- А теперь ты вообще спать спокойно не сможешь - на ка, почитай тут http www ro, Аноним, 19-Апр-12, 23:11 (9) //
  - Спасибо за ссылку, на самом деле эту статью несколько лет назад уже читал, и оче, G.NercY.uR, 20-Апр-12, 05:23 (43) //
    - Уже к большому сожалению есть, фклфт, 20-Апр-12, 07:21 (47)
      - вас не затруднит предоставить ссылочку для ознакомления , Аноним, 20-Апр-12, 10:48 (62)
    - Так там вполне реальный факт вливки китайозами прямо на фабрике какой-то левой д, Аноним, 20-Апр-12, 13:52 (90)
      - весьма сомнительна возможность порчи китайцами, так как оно им попросту не сильн, Аноним, 20-Апр-12, 16:11 (112)
        
        У них достаточно умных голов и грамотных хакеров, в том числе и на службе правит, Аноним, 20-Апр-12, 22:54 (122)
        
        компетенция китайских специалистов не ставится под сомнение соль в том, что зан, Аноним, 20-Апр-12, 23:39 (129)
        
        И что Китайцы вполне могли решить проабузить полезную фичу для ненавязчивого ко, Аноним, 21-Апр-12, 05:24 (144)
- Открою тайну, серваки в принципе надо периодически апдейтить, ибо багфиксы В не, Влад, 20-Апр-12, 11:02 (65)
У меня на дебиан стеблэ стоит 0 9 8o, надеюсь там уязвимости нет В любом случае , Аноним, 19-Апр-12, 22:19 (4) //
- o v, значит есть , Аноним, 19-Апр-12, 22:24 (5)
- http security-tracker debian org tracker CVE-2012-2110Debian stable package op, Аноним, 20-Апр-12, 00:32 (11) //
  - Все, уже прилетели апдейты , Аноним, 20-Апр-12, 01:48 (33) //
    - Так ты того, мон шер, _последи за ними , Andrey Mitrofanov, 20-Апр-12, 14:58 (104)
      - Здравствуйте, профессор, Crazy Alex, 20-Апр-12, 16:28 (115)
- зачем , Xasd, 20-Апр-12, 01:58 (36) //
  - Чтобы втулить их ASAP, разумеется , Аноним, 20-Апр-12, 14:42 (100)
- Дальше не читал, Kibab, 25-Апр-12, 10:31 (212)
Упс, вот буллшит то Эта либа ж в каждой дырке , Аноним, 19-Апр-12, 23:03 (7) //
- Не нравится А вот в gnutls уязвимостей на порядок меньше, да и качество кода по, Аноним, 20-Апр-12, 00:46 (16) //
  - Это пока ее нигде не юзают Начнут юзать - вылезит еще и поболее чем тут , Аноним, 20-Апр-12, 05:48 (44) //
    - Наконец-то здравый коммент Кстати, фраза справедлива и по отношению к secure by, Аноним, 20-Апр-12, 12:13 (77)
Гугля планомерно обгаживает SSL, явно с намерением пропихнуть что-то своё взамен, Кирилл, 20-Апр-12, 10:35 (58) //
- у тебя больное воображение воспитанное в рашкеГугль такие вещи пихает в открытом, szh, 20-Апр-12, 12:50 (83) //
  - Гуголь ничего не делает бесплатно А сложившая инфраструктура массовых крипто-ус, Кирилл, 20-Апр-12, 13:49 (88) //
    - Как минимум реализация ауторитей в SSL натурально никакая Любой CA может выписа, Аноним, 20-Апр-12, 14:11 (94)
    - поиск бесплатенхром бесплатенандроид бесплатенгмейл бесплатенP S решение гугла , szh, 22-Апр-12, 20:49 (206)
      - Всё это оплачивается рекламодателями, а значит опосредованно, через долю на рекл, Кирилл, 23-Апр-12, 10:38 (210)
http seclists org fulldisclosure 2012 Apr 225 No because size_t is unsigned S, Аноним, 20-Апр-12, 16:18 (114)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру