https://www.opennet.me/openforum/vsluhforumID3/42416.html Исследование (http://news.netcraft.com/SSL-survey), проведенное компанией Netcraft в июне выявило значительное количество SSL сертификатов, на которые наложила отпечаток недавно обнаруженная уязвимость (http://www.opennet.ru/opennews/art.shtml?num=15846) в пакете Debian OpenSSL. Не остались в стороне ни Extended Validation SSL сертификаты, ни сертификаты, принадлежащие банкам.<br><br>Пораженные сертификаты позволяют злоумышленникам создавать сайты, которые используют имитации легитимных сертификатов. В случае EV сертификатов, при входе на такой сайт его адрес будет подсвечен зеленым, даже если использован клонированный сертификат.<br><br>С точки зрения взломщика, основная трудность заключается в подавлении сообщения браузера о том, что адрес сайта в сертификате не совпадает с адресом, который вводит пользователь. В этом случае взломщику необходимо как-то подделать результат DNS-запроса или завладеть ресурсами локальной сети пользователя.<br><br> 13 мая Debian выпустил предупреждение, сообщающее об уя...<br><br>URL: http://news.ne https://www.opennet.me/openforum/vsluhforumID3/42416.html#13 Thu, 19 Jun 2008 02:55:26 GMT &gt;Вот это у дебианщиков немного бесит если честно.Например они в stable таскают lighttpd<br>&gt;1.4.13 версии с секурити фиксами в то время как все вменяемые люди юзают .18 давно.Может<br>&gt;конечно они самые умные и за стабильность пекутся но если 18 крутится на соурсфорже,<br>&gt;википедии и еще куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге<br>&gt;дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я -<br>&gt;Д`Артаньян".<br><br>Если честно, сильно бесит когда трындят на форуме о чём не знают!<br>Позиция дебианщиков (почитай дебиан-полиси) в данном случае не в том, что .18 нестабильная<br>версия, а в том что в stable принципиально не меняется версия. Ибо в апстриме может , к примеру, формат сонфигурационного файла измениться или название каких либо опций и тп. В этом случае после aptitude update && aptitude upgrade получаем ситуацию в которой " вчера всё работало, проапдейтился - работать перестало!"<br>С другой стороны. Предположим, я год назад настроил тот же lighttpd v1.4.13 так, как мне https://www.opennet.me/openforum/vsluhforumID3/42416.html#12 Wed, 18 Jun 2008 08:12:02 GMT &gt;&gt;Нет, это таки дебиановцы самые умные -- забыли правило don't fix what <br>&gt;&gt;ain't broke и решили, что умней апстрима. <br>&gt;<br>&gt;Вот это у дебианщиков немного бесит если честно.Например они в stable таскают <br>&gt;lighttpd 1.4.13 версии с секурити фиксами в то время как все <br>&gt;вменяемые люди юзают .18 давно.Может конечно они самые умные и за <br>&gt;стабильность пекутся но если 18 крутится на соурсфорже, википедии и еще <br>&gt;куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге <br>&gt;дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я - <br>&gt;Д`Артаньян". <br><br>на вкус и цвет....<br>а вообще РЫБЯТЫ -- долго мы будем ещё это обсуждать? -- всё ведь просто "Не ошибается тот, кто ничего не делает". Да есть косяк, зато его очень быстро починили и предоставили в кратчайший срок инструменты для исправления/тестирования пользователям.<br>Забыть уж давно пора... ан нет ... Debian то, Debian сё... а главный вопрос заключается в том что "Так ли вы уверенны в своём дистрибутиве чтобы говорить об отсутст https://www.opennet.me/openforum/vsluhforumID3/42416.html#11 Wed, 18 Jun 2008 08:02:14 GMT &gt;Нет, это таки дебиановцы самые умные -- забыли правило don't fix what <br>&gt;ain't broke и решили, что умней апстрима. <br><br>Вот это у дебианщиков немного бесит если честно.Например они в stable таскают lighttpd 1.4.13 версии с секурити фиксами в то время как все вменяемые люди юзают .18 давно.Может конечно они самые умные и за стабильность пекутся но если 18 крутится на соурсфорже, википедии и еще куче сайтов - наверное он просто трындец какой нестабильный, ага.В итоге дебиановская политика содержания репозиториев отдает позицией "все 3.14..сы а я - Д`Артаньян".<br> https://www.opennet.me/openforum/vsluhforumID3/42416.html#10 Wed, 18 Jun 2008 07:55:53 GMT Нет, это таки дебиановцы самые умные -- забыли правило don't fix what ain't broke и решили, что умней апстрима.<br> https://www.opennet.me/openforum/vsluhforumID3/42416.html#9 Wed, 18 Jun 2008 06:16:18 GMT &gt;"Организации выдающие такие сертивикаты", скорее всего не используют Debian, применяют аппаратные криптографические модули (HSM), и в этом инциденте нет их вины.<br><br>та это понятно, никто вроде и не спорит<br> https://www.opennet.me/openforum/vsluhforumID3/42416.html#6 Tue, 17 Jun 2008 22:58:59 GMT Нет, это разработчики OpenSSL самые умные, чтобы отклонить патч не пояснив почему он не корректен. Мейнтейнеры просто посчитали что нашли ошибку и исправили.<br> https://www.opennet.me/openforum/vsluhforumID3/42416.html#5 Tue, 17 Jun 2008 20:21:34 GMT &gt;&gt;баян <br>&gt;<br>&gt;Речь про купленные SSL сертификаты, которые организации выдающие такие сертификаты генерировали на <br>&gt;Debian серверах. Это не баян, а п%&^#$. <br><br>Обычно клиент сам генерирует пару ключей, замем открытый ключ в виде запроса на сертификат отправляет в СА где ему выпускают и продают сертификат.<br>В данном случае "попали" клиенты, которые генерировали пары ключей для своих сайтов у себя, с использованием кривого OpenSSL. <br>"Организации выдающие такие сертивикаты", скорее всего не используют Debian, применяют аппаратные криптографические модули (HSM), и в этом инциденте нет их вины. <br> https://www.opennet.me/openforum/vsluhforumID3/42416.html#3 Tue, 17 Jun 2008 18:08:31 GMT &gt;баян <br><br>Речь про купленные SSL сертификаты, которые организации выдающие такие сертификаты генерировали на Debian серверах. Это не баян, а п%&^#$.<br> https://www.opennet.me/openforum/vsluhforumID3/42416.html#2 Tue, 17 Jun 2008 17:14:39 GMT баян<br>