On 11 Apr 2014, at 06:59, Roberto Battistoni <[email protected]> wrote:
> Mumble mumble...scusa Niko (a proposito ci troviamo in un posto insolito...), vero :) > Poi 2 anni in giro, mi puzza e anche molto. Può anche essere che fosse ben > conosciuta da chi di dovere ed utilizzata appropriatamente. O venduta > appropriatamente (la vulnerabilità). Questa è la questione più seria senza dubbio, se è in giro da parecchio sono veramente cavoli amari. > Poi non capisco sinceramente perché sia difficile estrarre una chiave privata > di 2K da un leak di 64K. Certo non sarà banale ma se uno ci si mette, la > becca... Il difficile è trovarla in quella zona di memoria che il bug permette di estrarre, non è che si possa leggere tutta la memoria è un po un terno al lotto Comunque non vorrei essere frainteso non sto dicendo che la cosa non è seria, ma solo che l'equazione Heartbleed == Leak chiavi private non è vera. Niko Usai m0gui - Keep calm & code in C --- pub 1024D/3BF6890C Key fingerprint = CEDD 4512 3248 4C9C 2493 FE56 2E55 A884 3BF6 890C server: pgp.mit.edu ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
