| 1.2, G.NercY.uR (?), 21:56, 19/04/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Жестачина то какая! Что ни месяц то жуткие дыры которые надо в срочном порядке и на всех подведомственных серваках латать!
Чем больше ИТ-технологии вплетаются в жизнь, тем мне как ИТ-шнику страшней от мыслей как же в один прекрасный момент может быть страшно от какого-нибудь ИТ-апокалипсиса.
| | |
| |
| 2.3, umbr (ok), 22:18, 19/04/2012 [^] [^^] [^^^] [ответить]
| +9 +/– |
 Наоборот, радоваться надо тому что находят и фиксят.
Будто этих дыр раньше не было или о них вообще никто не знал.
| | |
| 2.6, Аноним (-), 22:47, 19/04/2012 [^] [^^] [^^^] [ответить]
| +3 +/– | |
ну не такая уж и дикая
> Код, связанный с SSL и TLS, проблеме не подвержен | | |
| |
| 3.8, Dron (ok), 23:03, 19/04/2012 [^] [^^] [^^^] [ответить]
| –2 +/– |
 DER используется для кодирования сертификатов.
Сайт вполне может подсунуть броузеру специальный сертификат.
Вообще OpenSSL - жуткий отстой... в коде бардак.
| | |
| |
| 4.14, Аноним (-), 00:39, 20/04/2012 [^] [^^] [^^^] [ответить]
| –7 +/– | |
> Вообще OpenSSL - жуткий отстой... в коде бардак.
Это вообще фирменный стиль дочерних проектов OpenBSD.
Правда, среди дилетантов бытует строго обратное мнение, поддерживаемое определенным пиаром.
| | |
| |
| 5.55, Аноним (-), 09:25, 20/04/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Это вообще фирменный стиль дочерних проектов OpenBSD.
> Правда, среди дилетантов бытует строго обратное мнение, поддерживаемое определенным пиаром.
Вы путайте OpenSSH и OpenSSL, OpenSSL имеет общее с OpenBSD только слово Open в названии. OpenSSL - это форк SSLeay.
| | |
| |
| 6.63, Куяврик (?), 10:50, 20/04/2012 [^] [^^] [^^^] [ответить]
| +3 +/– |
вы не понимаете. проблема не в Open, проблема в BSD. "профессионалу" из предыдущего поста очень хочется лягнуть OpenBSD, что он и делает. правда "профессионал" прилюдно покрасил штаны в коричневый, но походу это его не смутило.
| | |
| |
| 7.67, Аноним (-), 11:38, 20/04/2012 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> "профессионал" прилюдно покрасил штаны в коричневый,
Это вы наверное о себе. Потому что "профессионалы" от бсдов обычно много о себе мнят но по факту умеют много меньше а громкий пиар оказывается несколько преувеличен по сравнению с серыми буднями.
| | |
| |
| |
| 9.85, Аноним (-), 12:56, 20/04/2012 [^] [^^] [^^^] [ответить] | –1 +/– | Ахх нуклайт Эталонный разработчик BSD Способный сделать так что вокруг прое... текст свёрнут, показать | | |
| |
| 10.86, AdVv (ok), 13:09, 20/04/2012 [^] [^^] [^^^] [ответить] | +/– |  Ну в отличии от тебя он имеет смелость подписаться под своим мнением, а уровень ... текст свёрнут, показать | | |
| |
| 11.99, Аноним (-), 14:36, 20/04/2012 [^] [^^] [^^^] [ответить] | +/– | Я рад за него Как специалист он хоть и одиозен предвзят но иногда может и дельн... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 5.211, Kibab (ok), 10:29, 25/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
 Школота, сначала разберись в разнице между OpenSSL и OpenSSH, а потом придёшь и расскажешь, какое это отношение OpenSSL имеет к OpenBSD :-)
| | |
|
|
|
| 2.9, Аноним (-), 23:11, 19/04/2012 [^] [^^] [^^^] [ответить]
| +4 +/– |
> мыслей как же в один прекрасный момент может быть страшно от
> какого-нибудь ИТ-апокалипсиса.
А теперь ты вообще спать спокойно не сможешь - на ка, почитай тут: http://www.rom.by/blog/Birusy_3G_--_prodolzhenie_versija_ot_Haker
Как тебе такая красота? Между прочим статья не гон, это ресурс очень компетентных парней по биосам, архитектура сервисного проца названа верно, etc, etc - перец явно в теме ;)
| | |
| |
| 3.43, G.NercY.uR (?), 05:23, 20/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
Спасибо за ссылку, на самом деле эту статью несколько лет назад уже читал, и очень ею был впечатлён :)
Интересно, а реально есть такие уже факты как заражение биоса видях или материнок?
| | |
| |
| 4.47, фклфт (ok), 07:21, 20/04/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Интересно, а реально есть такие уже факты как заражение биоса видях или
> материнок?
Уже к большому сожалению есть
| | |
| 4.90, Аноним (-), 13:52, 20/04/2012 [^] [^^] [^^^] [ответить] | +2 +/– | Так там вполне реальный факт вливки китайозами прямо на фабрике какой-то левой д... большой текст свёрнут, показать | | |
| |
| 5.112, Аноним (-), 16:11, 20/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
весьма сомнительна возможность порчи китайцами, так как оно им попросту не сильно и нужно, в отличие от набигаторов-демократоров.
| | |
| |
| 6.122, Аноним (-), 22:54, 20/04/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> весьма сомнительна возможность порчи китайцами, так как оно им попросту не сильно
> и нужно, в отличие от набигаторов-демократоров.
У них достаточно умных голов и грамотных хакеров, в том числе и на службе правительства. Помнится гугл они грамотно взломали и унесли то что их интересовало.
А насчет не сильно надо - возможность вырубить половину инфраструктуры противника легким движением руки еще никому плохо не делала. А компьютеры нынче рулят много чем. Вырубание большой массы компьютеров по сигналу извне может довольно сильно нагнуть кого угодно. Как вы думаете, что будет делать оголодалое население которое не сможет денег с карточки снять потому что банкоматы и банковские системы дружно легли? Вероятно, начнется массовое мародерство и полный беспредел, как минимум.
| | |
| |
| 7.129, Аноним (-), 23:39, 20/04/2012 [^] [^^] [^^^] [ответить] | +/– | компетенция китайских специалистов не ставится под сомнение соль в том, что за... большой текст свёрнут, показать | | |
| |
| 8.144, Аноним (-), 05:24, 21/04/2012 [^] [^^] [^^^] [ответить] | +2 +/– | И что Китайцы вполне могли решить проабузить полезную фичу для ненавязчивого ко... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.65, Влад (??), 11:02, 20/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
Открою тайну, серваки в принципе надо периодически апдейтить, ибо багфиксы. В некоторых случаях, как в этом, срочно.
| | |
|
| 1.4, Аноним (-), 22:19, 19/04/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>OpenSSL 1.0.1a, 1.0.0i и 0.9.8v
У меня на дебиан стеблэ стоит 0.9.8o, надеюсь там уязвимости нет.
В любом случае буду внимательно следить за обновлениями.
| | |
| |
| 2.36, Xasd (ok), 01:58, 20/04/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > В любом случае буду внимательно следить за обновлениями.
зачем?
| | |
|
| |
| |
| Часть нити удалена модератором |
| 3.12, DeadLoco (ok), 00:33, 20/04/2012 [^] [^^] [^^^] [ответить]
| +12 +/– |
 По всей видимости, закрытые проприетарные решения с бэкдорами вы считаете лучшей альтернативой опенсорсу, доступному для свободного аудита?
Я, видимо, совсем ничего не понимаю в этой жизни.
| | |
| 3.13, Аноним (-), 00:34, 20/04/2012 [^] [^^] [^^^] [ответить]
| +8 +/– |
> Я не знаю людей в здравом уме, которые используют openssl. Вы можете
> баловаться с линуксом , gnu, и тд ,но Криптография - это
> не та область в которой можно использовать бесплатные решения, созданные в
> свободное время.
Вы так говорите, как будто платные продукты за сотни тысяч долларов используют для криптографии что-то, кроме openssl :)
По факту, практически все современные проприетарные криптографические решения являются форками openssl.
| | |
| |
| 4.15, Аноним (-), 00:45, 20/04/2012 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> По факту, практически все современные проприетарные криптографические решения являются форками openssl.
Причем обновление, исправляющее сабжевую дыру, придет к ним с большим опозданием (если вообще придет).
И это правильно. Пусть пpыщавые подростки балуются с бесплатными решениями, созданными в свободное время, и остаются неуязвимыми, а "серьезные бизнесмены", поверившие в красивую рекламу, светят своими корпоративными дырками на весь инет. Чем дураков больше - тем их меньше :)
| | |
| |
| |
| |
| |
| |
| |
| Часть нити удалена модератором |
| |
| |
| Часть нити удалена модератором |
| |
| |
| Часть нити удалена модератором |
|
|
|
|
|
|
|
|
|
|
| |
| 5.25, Аноним (-), 01:30, 20/04/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
А вы думали, мелкософтовцы сами осилили написать код для криптосистемы? =)
| | |
| 5.21, Аноним (-), 01:25, 20/04/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> а ресторанах подают только доширак. По крайней мере, бомжики в нашем подвале так считают.
Иногда даже доширак лучше того, что подают в ресторанах. Особенно когда повар в плохом настроении постоянно плюется в кастрюли, а официанту не понравился взгляд клиента и он специально вывалял еду по полу :)
> Если у вас нет денег на хорошую библиотеку - используйте хотя бы cryptlib или царя.
Зачем, если все то же самое можно получить бесплатно, да еще и со своевременными обновлениями безопасности?
| | |
| |
| |
| |
| |
| |
| |
| |
| Часть нити удалена модератором |
| |
| |
| Часть нити удалена модератором |
|
|
|
|
|
|
|
|
|
|
|
| 3.39, Аноним (-), 02:50, 20/04/2012 [^] [^^] [^^^] [ответить] | +2 +/– | Криптография - это не та область в которой можно использовать закрытый проприета... большой текст свёрнут, показать | | |
| |
| |
| Часть нити удалена модератором |
| |
| |
| Часть нити удалена модератором |
| 7.81, Кирилл (??), 12:21, 20/04/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
А кто это сказал, что это "закладка"? Очередной проплаченный анонимус?
| | |
| |
| |
| Часть нити удалена модератором |
|
|
|
|
| 5.61, Hety (??), 10:42, 20/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
Эта новость прозрачно намекает на то, что таки да, его проверяют.
| | |
| |
| |
| Часть нити удалена модератором |
| 7.71, Аноним (-), 11:46, 20/04/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Эта закладка находилась в OpenSSl три с лишним года. Где были все
> эти проверяльщики?
Ну вот они пришли. А сколько лет в проприерастии были закладки и просто баги реализации - мы вообще можем и не узнать.
| | |
| |
| |
| Часть нити удалена модератором |
|
| 8.79, Аноним (-), 12:14, 20/04/2012 [^] [^^] [^^^] [ответить] | +/– | Ты и линуксовое ядро проверить не способен, несмотря на полностью открытый код ... текст свёрнут, показать | | |
| |
| 9.97, Аноним (-), 14:18, 20/04/2012 [^] [^^] [^^^] [ответить] | +/– | Как минимум некоторые автоматические валидации кода и поиск характерных попыток ... текст свёрнут, показать | | |
|
|
| 7.73, Аноним (-), 11:48, 20/04/2012 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Эта закладка находилась в OpenSSl три с лишним года. Где были все
> эти проверяльщики?
Клоун, почитай что о закрытом коде в криптографии пишут известные криптографы.
| | |
| |
| |
| Часть нити удалена модератором |
| 9.89, Кирилл (??), 13:52, 20/04/2012 [^] [^^] [^^^] [ответить] | +1 +/– | Профессор защищает свою поляну Но это не отменяет того факта, что SSL -- и Ope... текст свёрнут, показать | | |
| 9.96, Аноним (-), 14:16, 20/04/2012 [^] [^^] [^^^] [ответить] | +/– | SSLем вообще пользоваться в его текущей реализации не стоит пользоваться В брау... текст свёрнут, показать | | |
| 9.98, Аноним (-), 14:25, 20/04/2012 [^] [^^] [^^^] [ответить] | +/– | Профессор читающий курс вообще не обязан быть каким-то особо-крутым криптографом... текст свёрнут, показать | | |
| |
| |
| Часть нити удалена модератором |
|
|
| |
| |
| Часть нити удалена модератором |
| |
| |
| Часть нити удалена модератором |
|
|
| 11.127, Аноним (-), 23:26, 20/04/2012 [^] [^^] [^^^] [ответить] | +/– | А, так вот почему он нападает так избирательно на именно openssl, коммерческий и... большой текст свёрнут, показать | | |
| |
| |
| Часть нити удалена модератором |
| 13.141, Аноним (-), 02:48, 21/04/2012 [^] [^^] [^^^] [ответить] | +1 +/– | т е в том, что пишет он багов нет можно ссылочку на исходняки, хочу посмотреть... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
| 3.92, Аноним (-), 14:04, 20/04/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В этой "либе" зарегистрирована каждая возможная дырка, включая экзотические, типа timing attack
Тайминг-атаки применимы на почти всю криптографию так или иначе, особенно на некоторых наборах данных типа VoIP. Эффективно их заткнуть там - вообще целое отдельное приключение.
| | |
|
| 2.16, Аноним (-), 00:46, 20/04/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Упс, вот буллшит то. Эта либа ж в каждой дырке... :\
Не нравится? А вот в gnutls уязвимостей на порядок меньше, да и качество кода повыше.
Но вот всякие апачи, желающие подстилаться под проприетарщиков, в жизни этого не признают.
| | |
| |
| 3.44, Аноним (-), 05:48, 20/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
Это пока ее нигде не юзают. Начнут юзать - вылезит еще и поболее чем тут :(
| | |
| |
| 4.77, Аноним (-), 12:13, 20/04/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
Наконец-то здравый коммент. Кстати, фраза справедлива и по отношению к secure by design системам. Якобы secure by design.
| | |
|
|
|
| 1.58, Кирилл (??), 10:35, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Гугля планомерно обгаживает SSL, явно с намерением пропихнуть что-то своё взамен. Это ж огромный неокученный пока рынок. В рашке то, скажем, КриптоПро под суетилось, законодательно монополизировав рынок. А Гугля такое же будет пытаться делать, но уже на своём уровне.
| | |
| |
| 2.83, szh (ok), 12:50, 20/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
 у тебя больное воображение воспитанное в рашке
Гугль такие вещи пихает в открытом виде, даже код протокола бесплатно отдавая.
| | |
| |
| 3.88, Кирилл (??), 13:49, 20/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
Гуголь ничего не делает бесплатно. А сложившая инфраструктура массовых крипто-услуг в Интернете сейчас, по сути, бесхозная и уязвимая. Лакомый кусок. И у Гугля сейчас есть все предпосылки, чтобы вклиниться туда со своими решениями. Но для этого нужно изгадить (вполне заслуженно, надо сказать) ныне присутствующие.
| | |
| |
| 4.94, Аноним (-), 14:11, 20/04/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> для этого нужно изгадить (вполне заслуженно, надо сказать) ныне присутствующие.
Как минимум реализация ауторитей в SSL натурально никакая. Любой CA может выписать по желанию левой пятки сертификат на что угодно и все посчитают это за чистую монету.
| | |
| 4.206, szh (ok), 20:49, 22/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
поиск бесплатен
хром бесплатен
андроид бесплатен
гмейл бесплатен
P.S. решение гугла не станет универсальным, если не будет бесплатным.
| | |
| |
| 5.210, Кирилл (??), 10:38, 23/04/2012 [^] [^^] [^^^] [ответить]
| +/– |
Всё это оплачивается рекламодателями, а значит опосредованно, через долю на рекламу и продвижение в себестоимости, потребителями.
| | |
|
|
|
|
| 1.114, Аноним (-), 16:18, 20/04/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Теоретически эксплуатация уязвимости возможна только на 64-разрядных системах.
http://seclists.org/fulldisclosure/2012/Apr/225:
> Correct me if I am wrong, but shouldn't this only be a problem on
> systems where a size_t is wider than an int i.e. not on 32 bit systems?
No because size_t is unsigned. Some attacks would rely on being 64 like he stated, but not all.
| | |
|
