около часа назад почти везде обновился

открыл windows update @ там ничего

@238328 двач

Походу через эту багу скоро очень много чего будет прочитано. Большие сайты быстро обновятся, а мелкие забьют.

@engineer У мелких еще часто всякий StartSSL, который дает перевыпустить сертификат только за ДЕНЬГИ, овер 20 долларов.

http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html пишут что можно только читать случайные 64к куски памяти кучи процесса. Как они умудрились бизнес-документы спереть?

@engineer Повторяя чтение 64 килобайтных чанков до тех пор, пока не спиздили всю память.

@anonim Одного процесса, прошу заметить. Ну спёрли мы память nginx'а, там приватные ключи. Дальше что?

@engineer Там не одного процесса же вроде, по адресам вся память доступна.

@anonim Вот через что байтики крадутся: memcpy(bp, pl, payload); memcpy же обычная функция, работает на виртуальной памяти процесса. В чужую память зайти не может.

@engineer А, ну может. Тогда наверное имелось в виду что можно спиздить сертификат и пиздить документы, хотя там в конце и это ставится под сомнение, но в оригинале у них получилось спиздить.

@anonim Интересно повторить, что мы не хэкки чтоле

@engineer спёрли память nginx'а @ нашли пароли юзера @ залогинились @ спёрли бизнес-документы // тупой штоле

@engineer lessons нормик: > I'm a fan of C. It was my first programming language and it was the first language I felt comfortable using professionally. But I see its limitations more clearly now than I have ever before. > > Between this and the GnuTLS bug, I think that we need to do three things: > > 1. Pay money for security audits of critical security infrastructure like OpenSSL > 2. Write lots of unit and integration tests for these libraries > 3. Start writing alternatives in safer languages > > Given how difficult it is to write safe C, I don't see any other options. I would donate to this effort. Would you?

@ulidtko На джаваскрипте.

@anonim пруф или на coq // пок-пок

@ulidtko Вот так, например https://pbs.twimg.com/media/BksqeV-IEAAl4i2.png:large

@anonim нiрм // маловероятно

@238328 Что маловероятно, до сих пор бля вюнерейбл.

@anonim А, это yahoo.com вюнерейбл, а mail.yahoo.com уже пофиксили.

@ulidtko Это понятно, но с чего логин и пароль для доступа именно к серверу (по SSH, подразумеваю я) должен быть именно в памяти процесса веб-сервера. Ему там неоткуда взяться.

@engineer Можно спиздить пароль от какой-нибудь админки, или от почты, например. Не только веб-сервера, также мейл-сервера, жаббер-сервера, впн-сервера и что там еще юзает опенссл.

@anonim Openssh @ openssl? Вот разве что так.

@anonim лан

https://www.mattslifebytes.com/?p=533 удобно