Nerozumiem preco k tomu doslo.
Podla dostupnych informacii, zneuzitie je zalozene na tom, ze klient sa
spoji zo serverom cez TLS a normalne komunikuje.
Pri normalnej komunikacii, prave ked sa nekomunimuje behaju udrzovacie
pakety, aby spojenie cez preklady adries, fw atd., zostalo zachovane.
Zrada je prave v tom, ze server, pre mna z nepochopiteneho dovodu =
zamernej diery, zacne vykonavat prikazy obsahnute v udrzovacom pakete.
Je to tak alebo sa mylim?
Pridavam odkaz na trochu obsirne napisany clanok k danej problematike:
http://www.osel.cz/index.php?clanek=7558
Chyba Krvácející srdce se týká rozšíření TLS „Heartbeat Extension“.
Heartbeat (tlukot srdce) umožňuje připojenému klientovi sítě anebo
aplikaci posílat zprávy, aby tak udrželi aktivní spojení během přenosu
dat. Za normálních okolností dostane server vzkaz s tlukotem srdce
Krvácející srdce postihuje zacházení s pamětí a zavinilo, že se při
každém úderu srdce internetové komunikace nabídne případnému útočníku
obsah paměti dotyčné aplikace. Chybu lze využít tak, že útočník
zmanipuluje vzkaz tlukotu srdce a zpátky dostane vše, co bylo v paměti
serveru, třeba cookies, uživatelská jména anebo hesla. Útočník pak může
ukrást identitu uživatelů a třeba i serveru, aby mohl zorganizovat útok
typu Man-in-the-middle (člověk uprostřed) a aktivně odposlouchávat
komunikaci jiných počítačů.
Jozef
Dňa 10.4.2014 18:35 Dan Lukes wrote / napísal(a):
Urcite se objevi spousta ruznych a casto protichudnych nazoru na to co
vsechno je zasazene. U pruseru hvezdne velikosti (a tohle je ten
pripad) je trocha paniky normalni. V oblasti bezpecnosti ale nastesti
existuje jednoduchy "standardni postup v pripade pochybnosti": pokud
si nejsi jisty, zda konkretni aplikace je zasazena nejakym
bezpecnostnim problemem, pak proste predpokladej, ze je.
Dan
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
