On Thu, Apr 10, 2014 at 10:38:43PM +0400, Eugene Berdnikov wrote: > On Thu, Apr 10, 2014 at 05:03:02PM +0100, Stanislav Maslovski wrote: > [skipped] > > ... если у заинтересованных служб была возможность > > писать тупо _всё_ скопом (а говорят, что она у них есть уже лет как > > несколько), то вообще _все_ защищённые соединения, которые прошли > > через их систему, скомпрометированы. Включая пароли, личные данные, > > номера кредиток, транзакции и т.д. и т.п. > > Нет, heartbleed это уязвимость против активной атаки специально > сконструированными пакетами, которых в нормальном ssl-ном трафике > не бывает. Прослушанный трафик в плане heartbleed бесполезен.
Что-то я в это не уверен, хоть в детали и не вникал. Если там утечка через неинициализированные данные - то по идее достаточно писать все подряд в течении некоторого времени + немного эвристики и вуаля. > А недавняя дебиановская уязвимость со слабыми ключами была настоящей > задницей, потому там был шанс взломать пассивно прослушанный трафик. Угу. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140412104609.ga27...@kaiba.lan
