Проект Mozilla опубликовал информацию (https://blog.mozilla.org/security/2014/04/08/heartbleed-secu.../) с анализом проявления уязвимости в OpenSSL в своих продуктах и сервисах. Проблема проявлялась только на серверах, обеспечивающих работу сервисов Persona и Firefox Account. Данные серверы были размещены на платформе Amazon Web Services (AWS), шифрованное соединение в которой обеспечивалось с использованием уязвимой версии OpenSSL. Браузер Firefox проблема в OpenSSL не касается, так как для шифрования в нём используется libnss.

Amazon достаточно оперативно выполнил обновление OpenSSL, поэтому в настоящий момент службы защищены от атак. Свидетельств о проведении атак на сервисы Mozilla не выявлено, но потенциально не исключается утечка идентификаторов сессий для доступа к инфраструктуре Persona и параметров пользователей, осуществлявших аутентификацию в сервисе Firefox Account (утечка возможна только при входе с вводом пароля, при дальнейшем обращении и синхронизации данных в процессе работы использовалось дополнительное шифрование).

Так как нет возможности убедиться в отсутствии атак на сервисы Mozilla, произведена смена TLS-ключей для сервисов проекта и отзыв сертификатов и ключей, которые могли быть затронуты потенциальной атакой. Также почищены сессионные идентификаторы Persona, что может потребовать повторно ввести пароль при обращении к сервису. В качестве дополнительного средства предосторожности пользователи Firefox Accounts и Persona на своё усмотрение могут поменять пароли, но фактов утечки данных пока не зафиксировано.

URL: https://blog.mozilla.org/security/2014/04/08/heartbleed-secu.../
Новость: http://www.opennet.me/opennews/art.shtml?num=39533

• Сервисы Mozilla Persona и Firefox Account были подвержены уя...,Аноним, 13:17 , 09-Апр-14
  • Сервисы Mozilla Persona и Firefox Account были подвержены уя...,пак, 07:06 , 10-Апр-14
• Сервисы Mozilla Persona и Firefox Account были подвержены уя...,Аноним, 13:17 , 09-Апр-14
  • Сервисы Mozilla Persona и Firefox Account были подвержены уя...,Аноним, 13:41 , 09-Апр-14
• Сервисы Mozilla Persona и Firefox Account были подвержены уя...,ILYA INDIGO, 18:56 , 09-Апр-14
  • Сервисы Mozilla Persona и Firefox Account были подвержены уя...,Аноним, 19:40 , 09-Апр-14
    • Сервисы Mozilla Persona и Firefox Account были подвержены уя...,Аноним, 20:20 , 09-Апр-14
    • Сервисы Mozilla Persona и Firefox Account были подвержены уя...,Аноним, 20:21 , 09-Апр-14
    • Сервисы Mozilla Persona и Firefox Account были подвержены уя...,Аноним, 23:18 , 09-Апр-14
    • Сервисы Mozilla Persona и Firefox Account были подвержены уя...,пак, 07:11 , 10-Апр-14

Не прячьте ваши парольчики по файлам в PGP.
Несите ваши парольчики, иначе быть беде.
И в полночь ваши парольчики заройте в землю там.
И в полночь ваши парольчики заройте в землю где? -

Ага, ага в мозила персоне.

наркоман йопт, персона это не хранилище паролей, это удобный для разработчиков и пользователей мост между твоим сервисом и всякого вида oauth, openid.

firefox account это замена старому firefox sync, он хранит все для синхронизации firefox, там все персональное твоё личное, одна дырка в openssl не означает что до файлов твоей персональных ещё можно добраться.

Теперь им придется переименоваться в Mozilla Public Person...

Так как после пользование данного сервиса появилась реальная угроза покрыться спамом, и потерять ценности, то скорее в Public House aka Mozilla Brothel/

Главное, что FireSync незатронут, остальное не важно.

С чего вы взяли что не затронут?

Раз говорит - значит знает.

Всплыло незакрывающееся окно в браузере с надписью "Не бойся смертный, FireSync не трогали мы, Митником клянемся".

Подними глаза повыше... там такой текст, новость называется. Двигай глазками слева на право да проговаривай...

> С чего вы взяли что не затронут?

в firefox sync, твои данные хранятся в зашифрованном виде по твоему ключу во время регистрации, без ключа их нельзя восстановить, ключ можно сбросить через настройки, но тогда все шифрованные данные на сервисе удаляются.