Extrémne kritická chyba v OpenSSL umožňuje kradnúť privátne kľúče a dáta

Značky: OpenSSLbezpečnosťSSL / TLSHeartbleed

DSL.sk, 8.4.2014

V najpopulárnejšej SSL knižnici OpenSSL sa posledné viac ako dva roky nachádzala extrémne kritická bezpečnostná chyba, ktorá umožňuje útočníkovi kradnúť dáta zo serverov a prípadne klientov používajúcich túto knižnicu.

Na chybu upozornili v noci na dnes tvorcovia knižnice a bezpečnostní experti, ktorí chybu identifikovali, Neel Mehta z Google a nezávisle na ňom spoločnosť Codenomicon.

Chyba sa nachádza v implementácii tzv. Heartbeat rozšírenia SSL podľa RFC 6520. Rozšírenie umožňuje jednej strane SSL komunikácie zaslať správu pre potvrdenie funkčnosti spojenia, na ktorú druhá strana odpovedá svojou správou.

V implementácii v OpenSSL sa ale nachádzala bezpečnostná chyba typu absencie kontroly hraníc, ktorá umožňuje útočníkovi získať z pamäte zariadenia realizujúceho druhú stranu SSL spojenia 64 KB susediacich s dátovými štruktúrami použitými na spracovanie heartbeat požiadaviek pri útoku a potenciálne obsahujúcich citlivé dáta spracúvané procesom využívajúcim OpenSSL. Útočník môže útok opakovať a získať potenciálne podstatnú časť pamäte daného procesu, napríklad webového servera poskytujúceho zabezpečené HTTPS stránky.

V pamäti webového serveru pre zabezpečené stránky je možné typicky okrem iného nájsť privátne kľúče k SSL certifikátu webu, ktoré v závislosti na použitom protokole umožňujú okrem iného dešifrovať akúkoľvek zabezpečenú komunikáciu s týmto webom. V pamäti sa samozrejme môžu nachádzať aj ďalšie citlivé dáta, napríklad prístupové údaje užívateľov vrátane hesiel. Útočník tiež takýmto spôsobom môže okrem iného napríklad potenciálne vykrádať dáta z citlivých databáz.

Chyba sa nachádzala vo všetkých verziách OpenSSL 1.0.1 a 1.0.2-beta vydaných od marca 2012, do kódu sa dostala v decembri 2011. Opravená bola včera vo verzii OpenSSL 1.0.1g.

Zraniteľná verzia bola prítomná napríklad v Debian Wheezy, CentOS 6.5, FreeBSD 8.4 a 9.1, OpenSUSE 12.2, Ubuntu 12.04.

OpenSSL je dominantnou knižnicou používanou na implementáciu SSL na serveroch, keď ju používajú webové servery Apache a nginx. Či bola chyba známa útočníkom a bola reálne využívaná zatiaľ nie je známe, keď útoky sú transparentné a nezanechávajú stopy v žiadnych bežných logoch.

Ak chcú mať v súčasnosti prevádzkovatelia stránok zabezpečených SSL istotu, že ich kľúč nezískali útočníci, musia si po nainštalovaní opravenej verzie vymeniť použitý certifikát.

Knižnica OpenSSL je používaná aj vo viacerých klientských softvéroch, najpopulárnejšie webové prehliadače ju ale nepoužívajú.

Viac informácií o zraniteľnosti a jej dopadoch je možné nájsť na heartbleed.com.




Najnovšie články:



Diskusia:

commit Od: bernard | Pridané: 8.4.2014 9:12 celkom by ma zaujimalo, ci je identifikovany commit, ktorym sa tato chyba dostala do repozitara. trosku konspiracie... :) Odpovedať Známka: 10.0 Hodnotiť:

Re: commit Od: omfg wtf | Pridané: 8.4.2014 9:18 To tam isto commitol Josko, lebo chcel bespecne posielat kvety :P Odpovedať Známka: 6.0 Hodnotiť:

Re: commit Od: jdmwtja | Pridané: 8.4.2014 9:35 jozkov golonka ? Odpovedať Známka: -5.0 Hodnotiť:

Re: commit Od: mamatata. | Pridané: 8.4.2014 20:40 bubuntaci, handrojdaci a opensockari vseho druhu... in your face! Odpovedať Známka: -6.0 Hodnotiť:

Re: commit Od: XMen | Pridané: 8.4.2014 21:00 Hmm ja mam iba mageiu a update som dostal do 48 hodin. Kiez by to tak rychlo vedeli spravit aj iny vyrobcovia OS. Odpovedať Známka: 10.0 Hodnotiť:

Re: commit Od: xvzf | Pridané: 8.4.2014 22:49 spravili, spravili :) Odpovedať Hodnotiť:

Re: commit Od: obyčajne | Pridané: 8.4.2014 9:54 Musíš byť strašne nad vecou, keď jeden z najvážnejších (potenciálnym rozsahom a dopadom) prúserov Internetu komentuješ takto. :-/ Odpovedať Známka: 4.3 Hodnotiť:

Re: commit Od: omfg wtf | Pridané: 8.4.2014 10:17 hej.. musim ;) Odpovedať Známka: 7.3 Hodnotiť:

Re: commit Od: kalkulacka 365 | Pridané: 8.4.2014 13:04 Keby som mal na učte aspoň pár milionov, tak by som sa bal, ale s tymi 20€ a hypotekou na krku, mi to je jedno :D Odpovedať Známka: 8.9 Hodnotiť:

Re: commit Od: hmm. | Pridané: 8.4.2014 14:41 Ty sa mas, ja mat 20€ tak zacnem novy zivot. Odpovedať Známka: 4.7 Hodnotiť:

Re: commit Od: compilator | Pridané: 8.4.2014 14:43 no nemalo by Ti to byt jedno, co ak Ti inkrementuju hypoteku? :) Odpovedať Známka: 8.8 Hodnotiť:

Re: commit Od: obyčajne | Pridané: 8.4.2014 11:38 Podľa prehľadu zmien medzi verziami openssl 1.0.0f a 1.0.1 zmenu (support for TLS/DTLS heartbeats) do kódu zaviedol jeden konkrétny človek. Schválne nepíšem jeho meno. Kto chce, zistí si. Ten človek musí byť v riadnej šlamastike. Aspoň by mal byť. Odpovedať Známka: -5.0 Hodnotiť:

Re: commit Od: xvzf | Pridané: 8.4.2014 12:54 a takisto chlapik ktory robil code review... dalsie citanie: - sctp.fh-muenster.de/DTLS.pdf‎ - is.gd/cRNgaE Odpovedať Hodnotiť:

Re: commit Od: linux man | Pridané: 8.4.2014 13:16 nie - toto je open source, tam si moze kazdy davat to, co sa mu zachce. ak niekto chce, prida si napr. do jadra linuxu botnet a vsetko je OK. komunita mu to schvali a nie je problem. a chlapikovi, co ho tam dal tiez nic nehrozi - dokial nema podpisanu zmluvu, ktora mu taketo konanie pod hrozbou sankcii zakazuje, mozu si vsetci fukat praskovy cukor do analu. a dokial chybu protizakonne nezneuzil, tak si ho moze fukat aj policia. najvacia chyba pri opensource rieseniach, je ze pri nich ti nikto za nic neruci - a je len na tebe, ci doverujes bande neznamych programatorov. Odpovedať Známka: -5.5 Hodnotiť:

Re: commit Od: xvzf | Pridané: 8.4.2014 13:31 pri uzatvorenom sw je riziko rovnake, akurat ze chyba sa v buducnosti nenajde s este vacsou pravdepodobnostou ako v pripade OSS Odpovedať Známka: 7.9 Hodnotiť:

Re: commit Od: linux man | Pridané: 8.4.2014 13:50 ovsem, pri uzavretom softe za chyby ruci firma dobrym menom - pri open source nikto nicim neruci. a kym pri uzavretom kode je tazsie hodit do kodu nejaky dobry skodlivy kod, pri oss je to omnoho jednoduchsie. a tak isto zneuzivanie - pri oss, kde mas zdrojaky po ruke, nemas problem najist zranitelnost, ak dobre hladas. Odpovedať Známka: -4.3 Hodnotiť:

Re: commit Od: ghq | Pridané: 8.4.2014 17:32 akoze dobrym menom microsoftu a/alebo applu? #rofl Odpovedať Známka: 6.7 Hodnotiť:

Re: commit Od: .em | Pridané: 9.4.2014 21:07 si zabudol na Adobe :) Odpovedať Známka: 10.0 Hodnotiť:

Re: commit Od reg.: WinstonSmith | Pridané: 8.4.2014 17:36 Dobrým menom? Nebuď smiešny... Len napr. Adobe mala a má vo svojich produktoch 10tky extrémne kritických chýb a máš pocit, že by to niekoho (vrátane nich) nejak trápilo? A to ani nespomínam na cielené backdoory, ktoré sa úspešne používajú roky a nikoho to neserie. Odpovedať Známka: 10.0 Hodnotiť:

Re: commit Od: linux man | Pridané: 8.4.2014 18:57 na com slapes? videl si nejake kriticky dolezite aplikacie vo flashi? ved to si moze dovolit len skutocny masochista /a jedna slovenska banka/. Odpovedať Známka: -6.7 Hodnotiť:

Re: commit Od reg.: WinstonSmith | Pridané: 8.4.2014 21:48 Áno, presne tú slovenkú banku som myslel. Nepotrebuješ kriticky dôležitú aplikáciu, aby sa Ti niekto dostal do PC a prostredníctvom aj stupídnej aplikácie vyrobil kriticky nepríjemnú situáciu. Odpovedať Známka: 10.0 Hodnotiť:

Re: commit Od: obyčajne | Pridané: 8.4.2014 13:46 Parafrázujem: "Do jadra linuxu si dá kto chce čo chce, kedy sa mu zachce". Ajaj. Zjavne žijeme mi dvaja v dvoch rôznych vesmíroch. V tom mojom to tak nefunguje. Funguje to takto: http://kernelnewbies.org/UpstreamMerge V licencii ku KAŽDÉMU, nevynímajúc komerčný softvér sa dočítaš, že "Tvorca softvéru neručí za nič. Ani len za to, že SW bude robiť to, na čo je určený. Užívateľ ho používa na vlastné riziko." Kde na podobné názory ľudia vôbec chodíte!? Odpovedať Známka: 7.5 Hodnotiť:

Re: commit Od: obyčajne | Pridané: 8.4.2014 14:32 ... nevynímajúc komerčný softvér s uzatvoreným zdrojovým kódom sa dočítaš ... Odpovedať Známka: 7.1 Hodnotiť:

Re: commit Od: prepac mi velmi | Pridané: 8.4.2014 16:35 mY dvaja Odpovedať Známka: 6.7 Hodnotiť:

Re: commit Od: xvzf | Pridané: 8.4.2014 13:51 pekna analyza: http://is.gd/MHEpU1 Odpovedať Známka: 10.0 Hodnotiť:

Re: commit Od: obyčajne | Pridané: 8.4.2014 14:44 Myslím, že na netcraft budú relevantnejšie čísla. Odpovedať Hodnotiť:

Re: commit Od: obyčajne | Pridané: 9.4.2014 23:21 Moja odpoveď hore o netcraft mala byť zaradená inde (pod pojednavanim o penetracii apache a nginx), ale čo už. Tu je ďalšia analýza. Tentoraz mená a agentúry, ktoré za commitom pravdepodobne stoja. Samozrejme "všetko to bolo neopatrnostou". http://dopice.sk/95K Odpovedať Hodnotiť:

Vážna chyba. Aká bude reakcia tu v SR? Od: obyčajne | Pridané: 8.4.2014 9:52 Reakcie poskytovateľov free e-mail? centrum, post, ... IMHO je potrebné si zmeniť všetky heslá na svojich mail schránkach. Facebook a Google kontá sú na tom ako? Odpovedať Známka: 5.6 Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: xvzf | Pridané: 8.4.2014 12:39 Presne toto je to co ma zaujima... Ale podstatne je zmenit ich az potom ako updatuju na opravenu verziu OpenSSL. Co ma trochu hneva, ze ta este nie je ani v Debiane stable. Patch ma urgency ma nastavenu na high, tak dufam ze na tom chlapci horlivo pracuju... Btw, dvojfaktorova autentifikacia by v tomto pripade mala pomoct predist pristupu (napr. ku gmail uctu), nie? Odpovedať Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: xvzf | Pridané: 8.4.2014 12:59 v pripade gmailu maju problem ti ktori si nemenia casto hesla, kedze dvojfaktorova auten. bola zapnuta v dobe ked tento bug uz pravdepodobne bol pritomny... Odpovedať Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: xvzf | Pridané: 8.4.2014 13:42 trochu som nad tym este premyslal a uz som si tou ucinnostou 2-fakt. autentifikacie v tomto pripade neni az taky isty... vidite niekto do toho viac? Odpovedať Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: xvzf | Pridané: 8.4.2014 13:49 zda sa to byt jasne: http://is.gd/pQTsMP Tu asi fakt pomoze iba OPT token v style tak neznasanej tatrabankovej karty-a-citacky ;) Odpovedať Známka: 10.0 Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: xvzf | Pridané: 8.4.2014 14:03 *OTP :) Odpovedať Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: fiko nevolik | Pridané: 8.4.2014 14:26 jasne ze tam nie je, lebo tam nie je ten bug :) Odpovedať Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: xvzf | Pridané: 8.4.2014 18:29 praveze asi je: packages.debian.org/wheezy/openssl Odpovedať Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: xvzf | Pridané: 8.4.2014 18:31 urcite: security-tracker.debian.org/tracker/CVE-2014-0160 Odpovedať Hodnotiť:

Re: Vážna chyba. Aká bude reakcia tu v SR? Od: xvzf | Pridané: 8.4.2014 18:33 aha, uz vidim fix v updatoch :) Odpovedať Hodnotiť:

Ej kua Od: ParaNoik | Pridané: 8.4.2014 9:59 toto je fakt zaujímavé, že 2 roky nikto nič a zrazu sa našli dvaja, čo o tom vedeli.... Odpovedať Známka: 8.2 Hodnotiť:

Re: Ej kua Od: qwdqwdqwdqwdqd | Pridané: 8.4.2014 10:14 Vedelo sa o tom uz dlhsie ( aspon dva tyzdne dozadu ) Odpovedať Známka: 10.0 Hodnotiť:

Re: Ej kua Od: obyčajne | Pridané: 8.4.2014 10:25 Je to naozaj dlho, ale nie je to nič nevšedné. Pozri napr. článok na DSL "Aktualizácia XP opravujúca 17-ročnú chybu spôsobuje BSoD" http://dopice.sk/946 Zaujímavé okrem tej 17-ky je aj to, že výrobcovi Windows trvalo 7 mesiacov, kým váznu chybu opravil. A to bol do toho donútený až jej zverejnením. Odpovedať Známka: 10.0 Hodnotiť:

Re: Ej kua Od: obyčajne | Pridané: 8.4.2014 11:43 Samozrejme, že o chybe sa vedelo ďaleko skôr. Najprv boli však objaviteľmi zisťované podrobnosti, následne bol o.i. kontaktovaný výrobca OpenSSL a až keď bola dostupná opravená verzia knižnice, vyšlo sa so správou na bubon. Napr. Cloudflare mala svoje servery fixnuté už pred týždňom. Odpovedať Známka: 10.0 Hodnotiť:

Čo na to Polícia SR? Od: obyčajne | Pridané: 8.4.2014 10:15 Čo na to Odbor počítačovej kriminality v Polícii SR? Ulohou Polície je samozrejme reagovať na páchateľov trestných činov a priestupkov, ale snáď aj znižovať ich počet a predchádzať im. V tomto prípade sú ohrozené všetky služby poskytujúce prístup cez HTTPS s OpenSSL protokolom. Odpovedať Známka: 10.0 Hodnotiť:

Re: Čo na to Polícia SR? Od: quix_ | Pridané: 8.4.2014 10:39 policia pride po funuse, najlepsie po 2rokoch od "datumu udiania sa skutku". take typicke.. Odpovedať Známka: 10.0 Hodnotiť:

Re: Čo na to Polícia SR? Od: sensei-san | Pridané: 8.4.2014 12:18 Nie len polícia. Existuje aj https://www.csirt.gov.sk/ Ale tento konkrétny problém tam ešte vyvesený nemajú. Uvidíme, koľko im to potrvá. Odpovedať Známka: 10.0 Hodnotiť:

Re: Čo na to Polícia SR? Od: sensei-san | Pridané: 8.4.2014 15:02 A už to tam je. https://www.csirt.gov.sk/ oznamenia-a-varovania-803.html?id=93 Odpovedať Hodnotiť:

Re: Čo na to Polícia SR? Od: quix_ | Pridané: 8.4.2014 15:31 niekto im tam napikacu nastavil error_reporting :D Notice: Trying to get property of non-object in /data/webs/csirt.gov.sk/www/shared/lib/Romboid.php on line 454 Odpovedať Hodnotiť:

Re: Čo na to Polícia SR? Od: ROFL | Pridané: 8.4.2014 15:21 nbusr123 Odpovedať Hodnotiť:

5znak Od: XMen | Pridané: 8.4.2014 10:20 Som si myslel, ze tam bude nejaky novy problem, ked som pred tyzdnom dostal update openssl na magei. Odpovedať Hodnotiť:

Re: 5znak Od: kidos | Pridané: 8.4.2014 10:29 niekto (redakcia alebo ty) ma nepresne informacie: "Opravená bola včera vo verzii OpenSSL 1.0.1g." Odpovedať Hodnotiť:

Re: 5znak Od: XMen | Pridané: 8.4.2014 11:24 No musel by som pozriet na to co sa vlastne updatlo. Ja som len videl, ze sa updatovalo openssl. Kazdopadne by bolo divne keby oznamili, ze chybu opravili vcera a nedali tak nejaky cas na updatovanie hlavnych distribucii. To by bolo riziko same o sebe aj ked je pravda, ze do par dni to ma opravenych 90% distribucii. Odpovedať Známka: 3.3 Hodnotiť:

Re: 5znak Od: obyčajne | Pridané: 8.4.2014 11:48 Vo verziách 1.0.1 stačí zmeniť 1 compile option (Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.) a z deravej OpenSSL sa stala verzia fixnutá. Voi'la. Predchádzajúca 1.0.1 OpenSSL verzia bola 1.0.1f a vydaná bola v januári. Takže ak sa mu minulý týždeň OpenSSL updatlo, tak je dosť možné, že to bolo práve kôli tomuto bugu. Odpovedať Známka: 10.0 Hodnotiť:

Re: 5znak Od: XMen | Pridané: 8.4.2014 20:35 Takze tento fix pre openssl na magei bol stiahnuty az dnes. Odpovedať Hodnotiť:

Re: 5znak Od: xvzf | Pridané: 8.4.2014 22:51 som sa divil zeby skorej... Odpovedať Hodnotiť:

som sklamany Od: leporelo | Pridané: 8.4.2014 10:31 linux je predsa bezpecny, kokoti. Odpovedať Známka: -6.2 Hodnotiť:

Re: som sklamany Od: mysql | Pridané: 8.4.2014 10:38 Co ma OpenSSL spolocne s Linuxom? Zhruba tolko ako s Windows alebo s Mac OS X. Je to len jeden z balikov, ktory si mozes instalovat ak chces ... Odpovedať Známka: 4.7 Hodnotiť:

..... Od reg.: raketa | Pridané: 8.4.2014 12:29 bodaj by nie ked je to OPEN... Odpovedať Známka: -5.0 Hodnotiť:

Re: ..... Od: KOHOČKA | Pridané: 8.4.2014 12:50 Koho zabilo? Odpovedať Známka: 3.3 Hodnotiť:

..... Od: xvzf | Pridané: 8.4.2014 12:41 taketo klucove kniznice by mali za sebou mat bezpecnostny audit... dufam ze objavene bezpecnostne bugy poslednych tyzdnov k tomu casom povedu... Odpovedať Známka: 5.0 Hodnotiť:

Re: ..... Od: linux man | Pridané: 8.4.2014 13:18 robis si prdel? a kto to zaplati? taky audit nie je zadarmo a pre 1-2% blaznov sa ho neoplati robit. alebo nech sa komunita vyzbiera - kazdy nech prispeje po 10-20 eur :o) Odpovedať Známka: -7.5 Hodnotiť:

Re: ..... Od: xvzf | Pridané: 8.4.2014 14:04 presne ako pises. priklad: istruecryptauditedyet.com Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: xvzf | Pridané: 8.4.2014 14:05 btw, tvojich 1-2% blaznov je minimalne 60% serverov sveta... zranitelnost v OpenSSL zahrna aj teba, i keby si pouzival Windows 8 ;) Odpovedať Známka: 7.5 Hodnotiť:

Re: ..... Od: xvzf | Pridané: 8.4.2014 14:06 dokonca viac: http://is.gd/V00JwW Odpovedať Známka: 6.7 Hodnotiť:

Re: ..... Od: XMen | Pridané: 8.4.2014 20:58 Audit vykonava komunita okolo projektu a velke firmy, ktore projekt pouzivaju. To, ze je tam chyba dlhsie teda 2 roky nie je az take podstatne. V BSD nasli chybu po 25 rokoch a nikto o nej nevedel. 1-2% blanov? Ak pouzivate router tak vam gratulujem, pretoze ste blazon. Odpovedať Známka: 6.0 Hodnotiť:

Re: ..... Od: linux man | Pridané: 9.4.2014 5:12 sa len neposer, moj router bezi na klone unixu. Odpovedať Hodnotiť:

Re: ..... Od: XMen | Pridané: 11.4.2014 14:23 no schvalne napis meno toho klonu... Odpovedať Hodnotiť:

Re: ..... Od: obyčajne | Pridané: 8.4.2014 14:23 Bezpečnostný audit urobil real life. Tak to je pri každom inom SW. Open či closed, je jedno či má SW zatvorený alebo otvorený kód. Chyba sa občas stane. Ide o to, ako sa rieši. A tam je už medzi open a closed source rozdiel. Mimochodom, MS Windows je tiež open source. http://dopice.sk/94k Odpovedať Známka: 10.0 Hodnotiť:

Re: ..... Od: obyčajne | Pridané: 8.4.2014 14:26 ... mala byť odpoveď na linux man-a Odpovedať Hodnotiť:

Re: ..... Od: sensei-san | Pridané: 8.4.2014 15:04 http://www.openssl.org/docs/fips/fipsnotes.html Odpovedať Hodnotiť:

Re: ..... Od: StanoB | Pridané: 8.4.2014 15:38 V pripade opensource spravna otazka namiesto "preco to uz neopravili skor, a preco neurobili bezpecnostny audit" je "preco si to neurobil uz ty"? Odpovedať Hodnotiť:

Re: ..... Od: xvzf | Pridané: 8.4.2014 15:41 nie som kryptolog :) ale financne taky audit v blizkej buducnosti rad podporim ;) Odpovedať Hodnotiť:

Re: ..... Od: reg.: x x l l | Pridané: 9.4.2014 8:24 Audit neaudit, OpenSSL je predovsetkym na dnesnu dobu uplne prasacky naprogramovane. 20 rokov spät to bolo mozno cool programovat v C a pouzit pri tom 5-6 urovni vnorenych makier, no dnes ten kod je z pohladu sucasnych standardov, jedna neudrzovatelna velka sracka. Na toto ti uz nikto audit neurobi. Treba to cele spalit, kym to nakladie vajcia... Odpovedať Známka: 10.0 Hodnotiť:

Aké dáta útočník posiela? Od: obyčajne | Pridané: 9.4.2014 13:32 Nechápem však, ako môže útočník z Internetu zaútočiť na OpenSSL server alebo clienta. To akože ktokoľvek (akákoľvek IP adresa) môže poslať heartbeat request a pošle sa mu (zo servera resp. z clienta) zrozumiteľná heartbeat response? Ak ide o connection less spojenie, tak je to spojenie medzi dvomi entitami a mali by odmietnuť komunikovať s treťou stranou a nie jej ešte podsúvať výpis časti svojho heapu. Rozumie tomu kódu niekto? Odpovedať Hodnotiť:

Re: Aké dáta útočník posiela? Od reg.: Redakcia DSL.sk | Pridané: 9.4.2014 13:40 Heartbeat správy sú v prípade TCP SSL spojenia posielané v rámci SSL spojenia. SSL spojením s OpenSSL serverom je aj bežné pripojenie na webový server poskytujúci HTTPS web stránky, ktoré samozrejme typicky umožňujú pripojiť sa komukoľvek. Odpovedať Hodnotiť:

Re: Aké dáta útočník posiela? Od: obyčajne | Pridané: 9.4.2014 21:18 Fajn. A ako je to potom s kradnutím dát z klienta? "... umožňuje útočníkovi kradnúť dáta zo serverov a prípadne klientov ..." Odpovedať Hodnotiť:

Re: Aké dáta útočník posiela? Od reg.: Redakcia DSL.sk | Pridané: 9.4.2014 21:39 Úplne tak isto, ak útočník ovláda server. Odpovedať Hodnotiť:

tutoka je to vysvetlene Od: ak74 | Pridané: 9.4.2014 16:44 http://dopice.sk/95o Odpovedať Hodnotiť:

Pridať komentár