On 09 Apr 2014, at 11:22, Tommaso Gagliardoni <[email protected]> wrote: > Cioe' ma 'sta cosa e' praticamente l'apocalisse... Non solo HTTPS, ma > pure OpenVPN e simili, perfino Tor... Chiunque abbia loggato in passato > queste connessioni ora se le puo' spulciare comodamente...
Ma da quello che credo di aver capito, aver loggato connessioni non fa granché, il bug permette tramite una richiesta ben forgiata di leggere parte della memoria, il che non vuol dire sistematicamente estrarre dati sensibili e/o chiavi, dipende dall'implementazione quello che si riesce a tirar fuori, pare che ci siano stati casi in cui si è riuscito a leggere chiavi private, ma non credo sia così comune. E' un bug gravissimo, ma come sempre le notizie hanno un po aggravato e ingigantito la cosa. related http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html Niko Usai m0gui - Keep calm & code in C --- pub 1024D/3BF6890C Key fingerprint = CEDD 4512 3248 4C9C 2493 FE56 2E55 A884 3BF6 890C server: pgp.mit.edu________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
