Re: уязвимость OpenSSL
Eugene Berdnikov writes: > On Thu, Apr 10, 2014 at 05:03:02PM +0100, Stanislav Maslovski wrote: > [skipped] >> ... если у заинтересованных служб была возможность >> писать тупо _всё_ скопом (а говорят, что она у них есть уже лет как >> несколько), то вообще _все_ защищённые соединения, которые прошли >> через их систему, скомпрометированы. Включая пароли, личные данные, >> номера кредиток, транзакции и т.д. и т.п. > > Нет, heartbleed это уязвимость против активной атаки специально > сконструированными пакетами, которых в нормальном ssl-ном трафике > не бывает. Прослушанный трафик в плане heartbleed бесполезен. > > А недавняя дебиановская уязвимость со слабыми ключами была настоящей > задницей, потому там был шанс взломать пассивно прослушанный трафик. Тем не менее, насколько я понимаю, кто-то с 2012 года имел возможность воровать сертификаты при помощи этой уязвимости. А воровство сертификатов делает потенциально возможным совершение MITM-атаки на защищённые соединения. Так что вроде бы пароли тоже менять надо. Меня одно радует. Мои серверы TLS не используют, так что мне менять сертификаты не придётся. pgpfrzFRcbP9S.pgp Description: PGP signature
Re: уязвимость OpenSSL
On Thu, Apr 10, 2014 at 05:03:02PM +0100, Stanislav Maslovski wrote: [skipped] > ... если у заинтересованных служб была возможность > писать тупо _всё_ скопом (а говорят, что она у них есть уже лет как > несколько), то вообще _все_ защищённые соединения, которые прошли > через их систему, скомпрометированы. Включая пароли, личные данные, > номера кредиток, транзакции и т.д. и т.п. Нет, heartbleed это уязвимость против активной атаки специально сконструированными пакетами, которых в нормальном ssl-ном трафике не бывает. Прослушанный трафик в плане heartbleed бесполезен. А недавняя дебиановская уязвимость со слабыми ключами была настоящей задницей, потому там был шанс взломать пассивно прослушанный трафик. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140410183843.gb21...@sie.protva.ru
Re: уязвимость OpenSSL
On Wed, Apr 09, 2014 at 05:21:47PM +0400, yuri.nefe...@gmail.com wrote: > On Wed, 9 Apr 2014, Artem Chuprina wrote: > > >Boris Bobrov -> debian-russian@lists.debian.org @ Wed, 9 Apr 2014 13:44:40 > >+0500: > > > >>> День добрый, > >>> > >>> Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta > >>> -> http://habrahabr.ru/post/218609/ > >>> > >>> все уже обновились? > > > >BB> Мало обновляться, надо ещё сертификаты поотзывать и перегенерировать. > > > >Это может быть уже непрофессиональная паранойя. Если ты крупный сервис, > >то да, конечно. > > > > Если сертификаты скомпрометированы на крупных сервисах, > типа yandex, google, dropbox... то трафик слушался и пароли > обычных юзеров этих сервисов тоже скомпрометированы. > Или я чего-то не понимаю? Всё верно. Причём, если у заинтересованных служб была возможность писать тупо _всё_ скопом (а говорят, что она у них есть уже лет как несколько), то вообще _все_ защищённые соединения, которые прошли через их систему, скомпрометированы. Включая пароли, личные данные, номера кредиток, транзакции и т.д. и т.п. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140410160302.ga17...@kaiba.lan
Re: mozilla CA
sergio -> debian-russian@lists.debian.org @ Wed, 09 Apr 2014 17:10:53 +0400: s> А где в системе живут CA которым доверяют iceweasel и icedove? s> Как редактировать этот список? Сколь я помню, у firefox и клонов свое отдельное хранилище сертификатов. Через меню настройки. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/87ioqhz15g@wizzle.ran.pp.ru