Показать язык
Подмигнуть
ADYL ABILOV нет на сайте
 
freeair_dreem
Пол: мужской
Возраст: 26
Город: Алматы
Страна: Казахстан


НАВЕРХ

Ошибка «рукопожатия» OpenSSL

  Более 16 лет никто не мог обнаружить серьёзный баг в OpenSSL, в которой содержится уязвимость Man-in-the-Middle - «человек посередине» — перехватывать данные на отрезке между клиентом и сервером, расшифровывать и читать их. Брешь была обнаружена Масаси Кикути (Masashi Kikuchi) из компании Lepidum.  Эксперт предположил, что уязвимость не могли обнаружить в течение более 16 лет просто потому, что люди, выполняющие проверку, не обладают достаточным уровнем квалификации.

08 июня 2014 19:23

Комментарии

KRO  

Ошибка рукопожатия, человек посередине...всегда будет Ева рядом с Алисой и Бобом.

А где сама новость, да к тому же старая?

Зачем тут это и тем более в ТАКОМ обрезанном, недостоверном, непонятном(для не в теме людей) виде?

 

Знаете: уж лучше узнать о такой уязвимости в открытом проекте, который постоянно развивается и проверяется сотнями тысяч умных голов и пар глаз, чем брать на веру работу компании-разработчика с полностью_закрытыми_исходниками, в которых могут быть_сотни_подобных и более_серьёзных_недоработок, да еще и под присмотром правительственных организаций, которые могут инжектировать свои баги-фичи превращая криптографию в детский пазл.

 

Это всего лишь баг, ещё один баг, больше чем предыдущие и важнее, да к тому же:_уж_пофиксенный_! И это хорошо, что его нашли и продолжают находит подобные баги! Везде есть баги, просто: где-то их ещё не нашли, а может и не искали.

Или предпочитаете, чтоб их не находили и была_мнимая_уверенность_ в чистоте и несокрушимости?!

 

Достоверно, полно(относительно) и для понимания — читать тут: http://ru.wikipedia.org/wiki/Heartbleed

Более подробно — тут: http://en.wikipedia.org/wiki/Heartbleed

08 июня 21:34
robert _____

думаешь хоть кто то читает эти твои длинные коментарии?

08 июня 23:35
User Dota

скорее всего имелось ввиду не heartbleed.

а последнее латание дыр https://www.openssl.org/news/secadv_20140605.txt

Вот скажи мне, диванный аналитик, Есть крупная компания которая, разрабатывает ПО для шифрования, надёжность и безопасность это их хлеб. Им платят больше деньги что бы всё шло гладко и без багов. Думаешь их уверенность в чистоте и несокрушимости мнимая?

А есть open-source сделанный "на коленке", где каждый патч это +2 бага,..

В этом и есть недостаток всего open-source... Отсутствие ответственности и мотивации пораждает разхлябанность и как следствие дыры

10 июня 21:28
KRO  

Ну, других громких событий с этим не было за последнее время, а я как и сказал о новости: где сама новость и о чём именно?

Сделанный на коленке? >20% серверов мира с вами не согласятся! Сэр, простите, Вы в какой эпохе живёте и про какие проекты такого масштаба?! Проекты такого масштаба на кленке могут быть только рождены в крайнем случае.

Открою наверное для тебя истину: платные проекты сделаны на такой же коленке, только авторы решили заработать на этом, от этого и закрытый код, так как надо небольшой группой людей разрабатывать проект, чтоб получить деньги на дальнейшее развитие и +денежку в карман, а можно было безвозмездно выложить исходники и разрабатывать проект_целым_сообществом_, которое развивает проект на энтузиазме,_вере_и_знании,_что_это_нужно_миру. Днём на дядю работаешь, а вечером на сообщество!

А что мешает пользоваться продуктом доброго дяди и платить ему на хлеб, кто мешает? Никто!

Вот ты сидишь, не знаешь проблем, компания доброго дяди получает на хлеб, а завтра вся криптография от этой компании скомпрометирована.

 

Есть выбор чем пользоваться! Главное не прогадать! Хотя, простого обывателя это не касается.

10 июня 22:58
ADYL ABILOV

 Сама новость в том для знающего человека, что Масаси Кикути обнаружил совершенно новую уязвимость протокола OpenSSL, существовавшую 16 лет, (не heartbleed; heartbleed обнаружил ранее совершенно другой человек) CVE-2014-0224. Новая ошибка обнаружена спустя всего 2 месяца после нашумевшего бага Heartbleed.

14 июня 22:10

Авторизуйтесь, чтобы оставлять свои комментарии
Если у вас нет аккаунта на Намбе, тозаведите же его скорее!