Dan Lukes wrote:
On 04/23/14 11:03, Miroslav Lachman:
Heartbleed a jeste jedna provokacni poznamka od Theo de Raadta ohledne
OpenSSH na FreeBSD se resi v security mailinglistu a zajimave je i tohle:
http://lists.freebsd.org/pipermail/freebsd-security/2014-April/007581.html
[...]
Podle (tehle konkretni verze tohohle konkretniho) analyzatoru je v kodu
182 mist, ktere by mel prohlednout clovek.
Ta informace rozhodne je zajimava, ale rika prave jen tohle.
Proto jsem tam taky dal i ten odkaz na cely thread, kde prave tohle
nekdo zminuje. :)
I tak si ovsem na (ne)kvalitu kodu OpenSSL stezuji vyvojari uz roky (co
tak vidim v ruznych mailinglistech).
Panika urcite neni na miste, ale nejaka lepsi kontrola kodu urcite ano.
Kor u veci, ktera se stava v podstate "single point of failure" pro
znacne mnozstvi online aplikaci dnesni doby.
Nasledky Heartbleedu jsou dobre patrne napriklad diky extension
"Certificate Patrol" pro SeaMonkey / Firefox, ktera hlida zmeny v
certifikatech. Ted je skoro u kazdeho HTTPS webu videt, ze vystavovali
novy certifikat po 10.4.2014.
Mirek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
