1.1, rob pike (?), 13:38, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
>а также многие банки и финансовые сервисы
А как ругали карточки одноразовых кодов ВТБ-шные, а.
Как же, каменный век, Java, сертификаты, прогресс, СМС.
| |
|
2.47, Аноним (-), 19:16, 10/04/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
Карточки одноразовых кодов - это круто. А в почту тоже логиниться по карточке одноразовых кодов? И в жаббер? Слушай, а может проще тогда сообщения доставлять голубями? Впрочем, на этот случай есть граждане с рогатками. Хотя стоп, они уже давно проапгрейдились до пневматики с оптическим прицелом, так что перехватят ваши сообщения, как пить дать.
| |
|
3.78, XoRe (ok), 22:26, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Карточки одноразовых кодов - это круто. А в почту тоже логиниться по
> карточке одноразовых кодов? И в жаббер? Слушай, а может проще тогда
> сообщения доставлять голубями? Впрочем, на этот случай есть граждане с рогатками.
> Хотя стоп, они уже давно проапгрейдились до пневматики с оптическим прицелом,
> так что перехватят ваши сообщения, как пить дать.
Не стоит передергивать.
Если когда-нибудь лишитесь 3700 евро со счета, поймете прелесть одноразовых паролей при работе с деньгами.
| |
|
4.84, Аноним (-), 23:17, 10/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Если когда-нибудь лишитесь 3700 евро со счета, поймете прелесть одноразовых паролей при
> работе с деньгами.
Странно, ворочаю килобаксами/килоевро по счетам уже 7 лет. Как-то пока все ок (да, я очень внимательно изучаю все списки транзакций).
| |
|
5.91, rob pike (?), 23:59, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ну если клобаксами, то, полагаю, можете чувствовать себя спокойно, изготовление копии сим-карты оценивается как раз примерно в килобакс. Когда дойдете до хотя бы десятков, чего я вам искренне желаю, а лучше - сотен, тогда советую задуматься.
| |
|
6.108, Аноним (-), 02:15, 11/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> изготовление копии сим-карты оценивается как раз примерно в килобакс.
Весьма зависит от симкарты. Старые можно дома, на коленке. Древняя атака с вычислением Ki по куче запросов. Сейчас вроде oпcocы перешли на другой алгоритм генерации ответа, как минимум кто-то из них, там этой проблемы нет. Но честно говоря не особо мониторил что там сейчас творится.
> Когда дойдете до хотя бы десятков, чего я вам искренне желаю,
> а лучше - сотен, тогда советую задуматься.
Ну, знаешь, если ты сотнями ворочаешь - тут и охрана пригодится уже, etc.
| |
|
7.114, rob pike (?), 02:26, 11/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Древняя атака с вычислением Ki по куче запросов
Какие ж вы, гики, предсказуемые. Килобакс - это верхняя граничная оценка оформления (как "потерянной") любым заинтересованным лицом новой сим-карты (с вашим номером) в салоне связи по "левым" документам с учетом материальной заинтересованности работника этого салона связи. Без всяких вычислений.
| |
|
8.117, Аноним (-), 02:59, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | Такие же как и вы Люди вообще достаточно предсказуемы Особенно глупые А тут у... большой текст свёрнут, показать | |
|
|
6.206, XoRe (ok), 23:59, 12/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Ну если клобаксами, то, полагаю, можете чувствовать себя спокойно, изготовление копии
> сим-карты оценивается как раз примерно в килобакс.
Да каво, дешевле можно)
Но сейчас банки палят смену симкарты и не присылают смс на новую симку.
После замены надо позвонить в банк/зайти в отделение.
А там килобакса не хватит.
| |
|
5.207, XoRe (ok), 00:03, 13/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Если когда-нибудь лишитесь 3700 евро со счета, поймете прелесть одноразовых паролей при
>> работе с деньгами.
> Странно, ворочаю килобаксами/килоевро по счетам уже 7 лет. Как-то пока все ок
> (да, я очень внимательно изучаю все списки транзакций).
Тю. Атаки уровня heartbleed тоже годами не было)
Анализа уже совершенных транзакций мало.
Если счет на физ лицо, можно очень быстро вывести деньги на только что созданный кошелек qiwi/yandex/etc, потом на другой, потом вывести на какую-нибудь не именную карточку, и снять.
| |
|
|
3.92, rob pike (?), 00:05, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>А в почту тоже логиниться по карточке одноразовых кодов?
Если такая карточка будет реализована в отдельном чипе того устройства, с которого вы это делаете, с надежной защитой по, например, сканированию сетчатки вашего глаза, всё это будет работать прозрачно для вас, не требуя каких-то особых телодвижений и в то же время поддерживаться сервером - то почему бы и нет.
| |
|
4.109, Аноним (-), 02:16, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> почему бы и нет.
Сканирование? Сетчатки глаза? Чипом с проприетарной фирмварой? Не-не-не, Дэвид Блейн, засуньте ваши зонды себе. А я такой системой пользоваться вообще не буду - целиком перейду на какой-нибудь биткоин и полностью возьму ответственность за их кражу у меня на самого себя.
| |
|
5.115, rob pike (?), 02:36, 11/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Сканирование? Сетчатки глаза? Чипом с проприетарной фирмварой? Не-не-не, Дэвид Блейн,
> засуньте ваши зонды себе. А я такой системой пользоваться вообще не
> буду
Как тонка эта грань между паранойей и шизофренией.
Вы в чипе CCD-камеры не пробовали зонды искать? А в LM317?
> целиком перейду на какой-нибудь биткоин и полностью возьму ответственность
> за их кражу у меня на самого себя.
Непонятно что здесь меняет конечная цель аутентификации (биткойн, e-mail, пароль к сейфу с почтовыми голубями), если мы говорим о способах аутентификации.
А по большому счету ответственность и так на вас. Вы попробуйте как-нибудь на досуге оспорить транзакцию, проведенную вами через интернет-банкинг в российском банке, на практике. Узнаете много интересного.
| |
|
6.118, Аноним (-), 03:10, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | Маленький кусочек кремния может нынче содержать много вентилей И реализовывать ... большой текст свёрнут, показать | |
|
|
|
|
|
1.2, Аноним (-), 13:46, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –12 +/– |
Столько паники из-за капли в океане. Про спецслужбы - вообще смешно. Они и без того обязаны следить за разработкой таких продуктов и проводить аудит всех патчей к ним. Думаю, они о ней знали (и эксплуатировали) уже через месяц - два после её появления.
| |
|
2.17, Нанобот (ok), 14:55, 10/04/2014 [^] [^^] [^^^] [ответить]
| +8 +/– |
>Думаю, они о ней знали (и эксплуатировали) уже через месяц - два после её появления
зря ты недооцениваешь спецслужбы... об уязвимости они знали (и эксплуатировали) за месяц-два то её появления
| |
|
3.20, rob pike (?), 15:17, 10/04/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
За десятки лет до появления OpenSSL спецслужбы уже написали инструментарий для эксплуатации её будущих уязвимостей. Срочно в номер.
| |
|
4.38, EuPhobos (ok), 17:24, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
<irony>
Были особые люди, которые решили создать спецслужбы для того, что бы они спроектировали и написали сам OpenSSL
</irony>
| |
4.50, Аноним (-), 19:30, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> За десятки лет до появления OpenSSL спецслужбы уже написали инструментарий для эксплуатации
В каком-то роде. SSL и TLS наархитектили так, что секурно ими пользоваться почти невозможно. А навороченная либа неизбежно содержит 100500 багов.
| |
|
5.85, rob pike (?), 23:38, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>наархитектили так, что секурно ими пользоваться почти невозможно
И это вы тоже склонны приписать страшным спецслужбам?
| |
|
6.156, Аноним (-), 14:09, 11/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И это вы тоже склонны приписать страшным спецслужбам?
Учитывая как NIST-у протолкали несекурный ГПСЧ, не удивлюсь если и протокол старались сделать так, чтобы секурно и без лажи его фиг с два получилось реализовать.
| |
|
5.98, Аноним (-), 00:24, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Сказано словно можно создать (и уже создано) что-то более простое и секьюрное.
| |
|
6.102, rob pike (?), 01:33, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Это вы шутите так или действительно видели человека, утверждающего что чего-то более простого и секьюрного чем OpenSSL создать невозможно, и он над вами не глумился в этом момент?
| |
6.110, Аноним (-), 02:18, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Сказано словно можно создать (и уже создано) что-то более простое и секьюрное.
Такого человека звали D.J. Berstein. И он таки сделал это - либу NaCl. У нее простое логичное апи, даже дуболому негде облажаться. А еще она может шифровать даже отдельные пакеты, не в пример меньше кластрефака чем в SSL.
| |
|
|
|
3.46, Аноним (-), 19:15, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Всё может быть. Только тогда это спецслужбы какой-то одной страны... с хорошим мозговым центром.
| |
|
|
1.3, iZEN (ok), 14:07, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Да всё протроянено на высшем уровне. Вы как вчера родились.
Как можно доверять секретную и конфиденциальную информацию иностранной операционной системе, которая подключена к их же сети?!
| |
|
2.79, XoRe (ok), 22:32, 10/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Да всё протроянено на высшем уровне. Вы как вчера родились.
> Как можно доверять секретную и конфиденциальную информацию иностранной операционной системе,
> которая подключена к их же сети?!
Как вы можете пользоваться буржуйским браузером, который запущен во вражеской ОС, работающей на ПК, собранным потенциальным противником?
| |
|
3.82, iZEN (ok), 22:47, 10/04/2014 [^] [^^] [^^^] [ответить] | –2 +/– | Всё просто все заинтересованные в обладании конфиденциальной информации юридиче... большой текст свёрнут, показать | |
|
4.86, Аноним (-), 23:41, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> карточки любого гражданина их или не их страны, но не делают
> этого. Вопрос: почему?
Ну это еще вопрос. Вон нашим чиновникам после санкций гопстопнули карточки. Впрочем, там же и ответ почему: потому что это вызывает нехилый бугурт у клиентуры. Вот местные чиновники уже например всерьез взялись за национальную платежную систему. Которая оттянет на себя часть оборота бабла. А это означает что виза и мастеркард недополучат баблишка...
| |
|
5.153, user (??), 14:04, 11/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Насчет гопстопа. У нас на работе несколько человек получали з/п на карточки Собин-банка. Картой раплатиться они не могли, да, но снять с нее деньги в отделении банка - без проблем, ни одной копейки не потерялось.
| |
|
6.155, Аноним (-), 14:06, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Картой раплатиться они не могли, да, но снять с нее деньги
> в отделении банка - без проблем, ни одной копейки не потерялось.
И зачем нужна карточка, которой можно пользоваться только в отделении какого-то банка? Мне тогда проще получать сразу наликом - его в любом магазине принимают, минус время на посещение банка.
| |
|
7.159, user (??), 16:36, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Картой раплатиться они не могли, да, но снять с нее деньги
>> в отделении банка - без проблем, ни одной копейки не потерялось.
> И зачем нужна карточка, которой можно пользоваться только в отделении какого-то банка?
> Мне тогда проще получать сразу наликом - его в любом магазине
> принимают, минус время на посещение банка.
Получайте, разрешаю
| |
|
|
|
4.200, t28 (?), 12:00, 12/04/2014 [^] [^^] [^^^] [ответить] | +/– | Все эти механизмы, интерфейсы и протоколы были учтены и разработаны в CCITT при ... большой текст свёрнут, показать | |
|
|
|
1.4, Андрей (??), 14:20, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А в роутерах на WRT прошивке или в серверных IMPI интерфейсах эта библиотека случайно не используется?
| |
|
2.9, Sabakwaka (ok), 14:44, 10/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Совершенно случайно нет.
Уязвимостью чревата сама идея TLS Heartbeat. На уровне замысла.
И мы еще услышим.
| |
|
|
4.31, Sabakwaka (ok), 16:20, 10/04/2014 [^] [^^] [^^^] [ответить] | +1 +/– | Суть TLS Heartbeat, как следует из драфта http tools ietf org html draft-ietf-... большой текст свёрнут, показать | |
|
5.60, Аноним (-), 20:41, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Хотя идея heartbeat довольно дурная сама по себе, сабж тут не виноват. В сабже довольно крутой баг с утеканием памяти в сеть. Это не было задумано. Это просто лютый баг в либе. Одной конкретной либе.
| |
|
6.125, balda (?), 06:26, 11/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
В сабже довольно крутой баг с утеканием памяти в сеть. Это не было задумано. Это просто лютый баг в либе. Одной конкретной либе.
...Одной конкретной либе.
...Одной конкретной либе.
...Одной конкретной либе.
...Одной конкретной либе.
...Одной конкретной либе.
...Одной конкретной либе.
и там до посинения. Может станет правдой )))
| |
|
7.136, Аноним (-), 10:34, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> и там до посинения. Может станет правдой )))
В других либах именно этого бага - нет. Зато может быть куча иных, не менее веселых. Навороченному протоколу - куча багов, все честно.
Впрочем, вам с вашим ником простительно нести чушь.
| |
|
6.193, Аноним (-), 04:56, 12/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
да не, автор коммента - прав.
реально убогая идея для решения несуществующей проблемы.
та-же хрень с курисами в браузерах для аутентификации, благодаря чем - мы до сих пор не имеем нормальной авторизации в веб-е.
| |
|
|
4.162, Тампарам (?), 17:50, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Для реализации heartbeat достаточно было бы определить пакеты для запроса и ответа. Они же там наворотили зачем-то "отправку запрошенного количества байтов". Ну и программер явно был в доле, потому что не специально отправить по запросу произвольное количество байт - очень сложно.
| |
|
|
|
3.61, Аноним (-), 20:43, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> На OpenWRT какой-то свой шайтан-ssl-сервер писанный на LUA.
На LUA там написаны скрипты которые морду рисуют. Сервер там самопальный, uhttpd, но писан он таки на сях. А шифрование он таки из OpenSSL вроде как использует, так что если некто вывесил его в WAN или публично доступный LAN - ахтунг, ахтунг, ахтунг.
| |
|
2.29, Онаним (?), 16:01, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А в роутерах на WRT прошивке или в серверных IMPI интерфейсах эта
> библиотека случайно не используется?
1. ATTITUDE ADJUSTMENT (12.09, r36088):
root@OpenWrt:~# opkg info libopenssl
Package: libopenssl
Version: 1.0.1e-1
"Системы, использующие выпуски OpenSSL 1.0.1[abcdef], требуют срочного обновления."
Да и gnutls-utils - 2.8.6-2 там есть. Одна радость, что ни то, ни другое по умолчанию не стоит.
2. Не "IMPI", а IPMI. И скорее всего да! Хотя, кто ее - блобятину знает... Если ниже 1.0.1, то нет. Можете проверить свои сервера одэем и нам их IP рассказать )
| |
|
3.30, mickvav (?), 16:19, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
У меня единственное место, где живет IPMI настолько древнее, что 1.0 openssl еще не написали тогда. И в инет не смотрит :)
| |
3.62, Аноним (-), 20:44, 10/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Да и gnutls-utils - 2.8.6-2 там есть.
А при тем тут gnutls? В нем какие-то баги есть? В openssl баг специфичный для этой либы.
| |
|
4.94, rob pike (?), 00:07, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А при тем тут gnutls? В нем какие-то баги есть?
"Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту. Ховард Чу (Howard Chu), главный архитектор проекта OpenLDAP, ещё в 2008 году выступал с рекомендацией прекращения использования GnuTLS в связи с несоблюдением элементарных правил безопасности в кодовой базе GnuTLS, в частности, повсеместном использовании функций strlen и strcat. По мнению Ховарда, исправить ситуацию может только полный пересмотр API GnuTLS"
http://www.opennet.me/opennews/art.shtml?num=39239
| |
|
5.111, Аноним (-), 02:22, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> "Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту.
А, про это я уже забыл. Ну а что, нагородили меганавороченные протоколы с кучей фич - получите кучу багов в их реализациях. Вроде логично. Хорошие вещи должны быть простыми. Теперь вы понимаете почему мне нравится NaCl. Очень прикольно сделанный диффи-хеллман на эллиптических кривых с неплохой подборкой алгоритмов. И апи которым может пользоваться даже простой смертный, а не только супергуру.
| |
|
|
7.119, Аноним (-), 03:15, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Осталось ответить на вопрос почему им никто не пользуется.
Появился относительно недавно. И, кстати, кто сказал что им не пользуются? В последнее время NaCl/libsodium(более портабельный вариант) использует довольно много софта. Откуда я про них и узнал, собственно.
| |
|
6.163, Тампарам (?), 17:51, 11/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> "Уязвимость оценивается как очень серьёзная и подрывающая доверие к проекту.
> А, про это я уже забыл. Ну а что, нагородили меганавороченные протоколы
> с кучей фич - получите кучу багов в их реализациях. Вроде
> логично. Хорошие вещи должны быть простыми. Теперь вы понимаете почему мне
> нравится NaCl. Очень прикольно сделанный диффи-хеллман на эллиптических кривых с неплохой
> подборкой алгоритмов. И апи которым может пользоваться даже простой смертный, а
> не только супергуру.
Эллептические кривые - прямиком из лабораторий АНБ. Хрен знает что они там придумали.
| |
|
7.173, Аноним (-), 20:51, 11/04/2014 [^] [^^] [^^^] [ответить] | +1 +/– | У я так смотрю, вы мегамозг Только не спрашивайте как я это узнал Вы пер... большой текст свёрнут, показать | |
|
|
|
|
|
2.154, Аноним (-), 14:05, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А в роутерах на WRT прошивке
Там по дефолту ничего SSLного в сеть не торчит вроде. Но если торчит - да, заапдейтить надо.
| |
|
|
2.63, Аноним (-), 20:47, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> gmail, fb и vk попали под раздачу?
Вполне вероятно. Более того - баг вывешивает память процесса в сеть, так что даже приблизительно оценить масштабы пи...ца будет довольно сложно.
| |
|
3.131, Andrey Mitrofanov (?), 09:47, 11/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> что даже приблизительно оценить масштабы пи...ца будет довольно сложно.
Шнайер облегчает наши сомнения: 11 из 10 баллов.
| |
|
|
|
2.10, Sabakwaka (ok), 14:44, 10/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> баг специально внесли из-за коммерческой выгоды, все попёрли менять ssl сертификаты -
> круто
Да ну?
| |
2.11, Нанобот (ok), 14:46, 10/04/2014 [^] [^^] [^^^] [ответить]
| –10 +/– |
>все попёрли менять ssl сертификаты
попёрли менять сертификаты только истерички, паникёры и лохи, которые начитались страшилок в интернетах и теперь жутко бояцца. на таких по жизни наживаются предприимчивые дельцы, баг в openssl - лишь очередной способ из подоить, не первый и не последний
| |
|
3.22, pavlinux (ok), 15:25, 10/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Для "истеричек, паникёров и лохов..." ниже показал скриншот,
с реально рабочего сервера, с довольно полезной инфой для конкурентов.
| |
3.65, Аноним (-), 20:48, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> попёрли менять сертификаты только истерички, паникёры и лохи, которые
...которые не хотят сливать свои пароли и приватные ключи всему миру. Только вот они то как раз не лохи. Лохи - те кто этого не сделал. По поводу чего в будущем их будет ждать мнооооого интересных поимений.
> предприимчивые дельцы, баг в openssl - лишь очередной способ из подоить,
> не первый и не последний
То что PKI лохоразвод - вы, конечно, правы, но в данном случае пи...ц таки имеет место быть.
| |
|
2.16, serverX (??), 14:54, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
я бесплатно перевыпустил свои сертификаты. причем сроки сертификатов остались старыми.
| |
|
|
|
3.19, pavlinux (ok), 15:01, 10/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Как данный скриншот указывает на дырявость Redmine?
Cookie: _redmine_session и далее по тексту ...assword=v_pupkin&login=Login+vasya
Для тех кто не в курсе: Redmine может работать как в режиме CGI, или как самостоятельный сервер.
| |
|
4.80, XoRe (ok), 22:35, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Для тех кто не в курсе: Redmine может работать как в режиме
> CGI, или как самостоятельный сервер.
Но это не значит, что его надо так запускать.
Вообще, веб сервер на Ruby - не самый лучший фронтенд :)
Лучше спрячьте за nginx, мой вам совет.
nginx обновить может быть куда проще.
| |
4.128, Xaionaro (ok), 08:25, 11/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Как данный скриншот указывает на дырявость Redmine?
> Cookie: _redmine_session и далее по тексту ...assword=v_pupkin&login=Login+vasya
> Для тех кто не в курсе: Redmine может работать как в режиме
> CGI, или как самостоятельный сервер.
А причём тут "дырявость" redmine-е, если данные получены через уязвимость libssl? (или может вообще обычным tcpdump - не знаю как были получены данные не screenshot-е).
| |
|
5.138, Аноним (-), 10:37, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А причём тут "дырявость" redmine-е,
При том что пароль в открытом виде фигачат, полагаясь на "защиту соединения", которая не очень то и защищает.
| |
|
6.178, Xaionaro (ok), 22:01, 11/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> А причём тут "дырявость" redmine-е,
> При том что пароль в открытом виде фигачат, полагаясь на "защиту соединения",
> которая не очень то и защищает.
А другие Web ITS как работают?
| |
|
7.181, Аноним (-), 22:34, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А другие Web ITS как работают?
Так же как и все остальное от веб хомячья, разумеется. Т.к. дыра на дыре и дырой погоняет.
| |
|
|
|
|
|
2.23, anonymus (?), 15:31, 10/04/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
А потом все удивлялись, откуда такой ажиотаж вокруг сноудена, все же знали, что следят. Видимо, без капитана сноудена наивные обыватели не способны представить во что выливаются те или иные технические проколы. А как только посмотрят презентацию с надписью "собрано 2 миллиарда ключей" - так сразу начнут вопить как резанные.
| |
2.66, Аноним (-), 20:50, 10/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Redmine тоже дырявый.
Ну что ты как маленький, скрипткидизы думали что мегалиба сделает им зашибись. Поэтому слали пароль открытым текстом, как есть. А теперь пора выкусить результаты.
| |
|
1.21, Аноним (-), 15:20, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> но не предусматривающими возможность автоматического обновления прошивки.
А Столман давно говорит, что надо делать.
| |
|
2.120, Аноним (-), 03:15, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> А Столман давно говорит, что надо делать.
Ну дык. Использовать девайсы где исходники прошивки есть.
| |
|
|
2.39, anonymous (??), 17:43, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> причем наверняка АНБ :)
Как будто список спецслужб мира состоит из одного АНБ. Все они одним миром мазаны.
| |
|
3.42, Аноним (-), 18:00, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Как будто список спецслужб мира состоит из одного АНБ. Все они одним
> миром мазаны.
может и не АНБ, но американская точно
| |
|
4.48, Аноним (-), 19:20, 10/04/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
>> Как будто список спецслужб мира состоит из одного АНБ. Все они одним
>> миром мазаны.
> может и не АНБ, но американская точно
Вы про русские спецслужбы вообще слышали? Нет? А ведь они есть. А ведь это наши занимают первые места на всяких хакерски-программерских олимпиадах. Есть над чем задуматься, правда? ;)
| |
|
5.74, Аноним (-), 21:54, 10/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> над чем задуматься, правда? ;)
Да, наши занимают первые места в олимпиадах. А потом они работают в их интелах, фэйсбуках, гуглах и прочих. Потому что там нормально платят и с управлением компаниями порядок.
| |
|
|
|
|
1.33, Аноним (-), 16:37, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ловим гадов через iptables
iptables -I INPUT -p tcp -m string --algo kmp --hex-string '|18 03 02 00 03 01 40 00|' -j LOG --log-level debug --log-prefix "ScriptKiddy detected: "
| |
|
2.67, Аноним (-), 20:51, 10/04/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> "ScriptKiddy detected: "
Действительно, detected: залоггил и забил. Ну а дропать пакет кто будет, Пушкин? :)
| |
|
|
4.73, Аноним (-), 21:53, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> ...и вместо 40 00 может быть нечто другое...
Я знаю. Зато запись в логе понтовую - нарисовал. Вот как-то так скрипткидисы и детектируются :).
| |
|
5.150, pavlinux (ok), 12:30, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> ...и вместо 40 00 может быть нечто другое...
> И детектировать как string... ну в общем, намного более нормальный рецепт написан
> в советах: http://www.opennet.me/tips/2830_openssl_block_iptables_heartbeat.shtml
> Тут вам и логгинг, и удавка пакета, и, блин, ищется u32 а
> не string, что по идее заметно быстрее.
То чудное правило, банит всех подряд кто пытается установить соединение с heatbeat опцией.
Например 128.140.169.183 - mail.ru, забанило.
DKIM: d=mail.ru s=mail2 c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
P=esmtps X=TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32
| |
|
|
|
|
1.34, Аноним (-), 16:37, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Появились сведения (http://techrights.org/2014/04/08/howard-schmidt-codenomicon/), что публикация данных о Heartbeat-уязвимости является манёвром Microsoft, отвлекающим от проблем, вызванных прекращением поддержки Windows XP, и направленным на будущую дискредитацию СПО в глазах потребителей.
Уязвимость раскрыта в день прекращения поддержки Windows XP и активно продвигается с использованием ранее не применяемых в СПО PR-методов (например, был создан отдельный сайт heartbleed.com). Председателем совета директоров открывшей уязвимость компании Codenomicon является Howard Schmidt, бывший глава службы безопасности Microsoft.
| |
|
2.35, pavlinux (ok), 16:40, 10/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну чо, спасибо посанам из маздайсофта, спалили бэкдор!!! Дайте иcчо! :)
А под Debian 6 и SLES нету? А то какбэ они не дырявые.
> Уязвимость раскрыта в день прекращения поддержки Windows XP и активно продвигается
Google, Dropbox, Facebook уже бегут ставить на свои сервера Вантуз 8, ога.
| |
2.55, Аноним (-), 19:54, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
И шо они скажут? В Windows Next самое неуязвимое шифрование? :) Кто им поверит? Не, ну конечно, те кто и раньше безропотно заглатывали их "продукты" и дальше глотать будут. Таких и убеждать не надо.
| |
2.76, некто (ok), 22:03, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
типа не переходите c XP на сторонние *nix-системы, там все плохо, вот например дыра в openssl. Но ведь стэк openssl используется и на винде и во многом входит/заимствован в составе инфраструктуры винды в части криптографии. Ибо как IE реализует https?
| |
|
3.126, Адекват (ok), 08:15, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> криптографии. Ибо как IE реализует https?
Оффтоп - а почему IE не может пройти авторизацию, если пароль передается в виде хеша md5 ?
Просто тупо правильный пароль не подходит - во всех остальных браузерах все ок.
| |
|
4.139, Аноним (-), 10:40, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Возьми снифер да посмотри что там передается по факту. Может он digest авторизацию считать не умеет? Или что ты там используешь...
| |
|
|
|
3.121, Аноним (-), 03:17, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> а какое отношение имеет openssl к линуксу как таковому?
А никакого. Чуть погодя юзеры виндов узнают сколько софта юзало статически влинкованную либу и по этому поводу бессовестно продалбывало их данные злонамеренным серверам.
| |
|
4.132, Andrey Mitrofanov (?), 09:51, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> либу и по этому поводу бессовестно продалбывало их данные злонамеренным серверам.
Ну, за здоровье IIS! Не чокаясь.
| |
|
5.140, Аноним (-), 10:40, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, за здоровье IIS! Не чокаясь.
Ага, здоровый зомбяк. Все время из могилы вылезает, зараза.
| |
|
6.142, Andrey Mitrofanov (?), 10:49, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>Все время из могилы вылезает, зараза.
Спонсер-вурдалак-некромансер бдит и собирает opennet.ru/openforum/vsluhforumID3/81138.html#34 opennet.ru/openforum/vsluhforumID3/74800.html#285 жатву. [тёмный жнец]
| |
|
7.160, Аноним (-), 17:31, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Спонсер-вурдалак-некромансер бздит
//fixed.
> и собирает
И апачует.
> opennet.ru/openforum/vsluhforumID3/74800.html#285 жатву.
Что-то нет там ничего, видимо потерли.
| |
|
|
|
|
|
|
|
2.40, anonymous (??), 17:44, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> вангую появление новой библиотеки
Попроси вангователь у анонима сверху. NaCl уже есть.
| |
|
|
4.49, Аноним (-), 19:23, 10/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> ... NaCl уже есть.
> а PoCl и NeСl будут?
Не, не так. KCl и Na(OH)2
| |
|
|
6.93, Аноним (-), 00:06, 11/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
Извиняюсь, перепутал валентность металлов.
Если так напишу:
Na(OH)2-
Ион сойдёт за оправдание? :)
| |
|
7.112, Аноним (-), 02:24, 11/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ион сойдёт за оправдание? :)
А что за ион такой странный? NaOH диссоциирует на Na+ и OH-. А это что за хрень?
| |
|
|
|
|
5.113, Аноним (-), 02:25, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> ибо NeCl
Да, удачи вам заставить неон провзаимодействовать с хлором...
| |
|
6.127, Адекват (ok), 08:16, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> ибо NeCl
> Да, удачи вам заставить неон провзаимодействовать с хлором...
При помощи кувалды и такой-то матери...
| |
|
7.141, Аноним (-), 10:45, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> При помощи кувалды и такой-то матери...
Сдается мне, тут даже термоядерная кувалда может спасовать.
| |
|
|
|
|
|
2.45, некто (ok), 18:28, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> вангую появление новой библиотеки
давно пора разнообразие, хотя на примере ffmpeg/libav особенного прогресса не наблюдается...
| |
|
3.87, rob pike (?), 23:42, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Да и ядро ОС неплохо бы, основанное не на идеях 50-летней давности.
А множатся что-то лишь нескучные хипстерские обои. Странно, да?
| |
|
4.99, Аноним (-), 00:25, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Да и ядро ОС неплохо бы, основанное не на идеях 50-летней давности.
А зачем чинить то что не сломано? А электродвигатели и трансформаторы работают уже пару столетий, с довольно небольшими усовершенствованиями.
| |
|
5.101, rob pike (?), 01:31, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Да и ядро ОС неплохо бы, основанное не на идеях 50-летней давности.
> А зачем чинить то что не сломано?
Точно не сломано? Что ж тогда всё чинят и чинят, и всё костылями да костылями, один другого неприглядней.
> А электродвигатели и трансформаторы работают уже пару столетий, с довольно небольшими усовершенствованиями.
То-то у всех ваших гаджетов блоки питания линейные, с большими трансформаторами. Хотя постойте..
| |
|
6.104, Аноним (-), 01:59, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | А это потому что симпатичные дизайны хорошо смотрятся как демонстрационная модел... большой текст свёрнут, показать | |
|
|
|
|
|
|
2.103, anonymous (??), 01:49, 11/04/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
В области распространения германских языков Тору посвящён день недели — четверг (англ. thursday, нем. Donnerstag). по четвергам можно пользоваться
| |
2.143, Аноним (-), 11:07, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Я всегда знал, что даже на Tor полностью надеяться нельзя.
В конструкции сети Tor есть минимум 2 серьезных упущения, вообще никак не связанных с SSL.
| |
2.210, Аноним (-), 08:07, 13/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
учитывая кем и для чего был разработан Тор, ваша ремарка - может лишь улыбку, вызвать )
| |
|
1.53, Аноним (-), 19:42, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>Другой вопрос, случайно или нет подобная уязвимость появилась в OpenSSL.
Это вопрос не "другой", это вопрос самый главный.
| |
1.56, lucentcode (ok), 20:23, 10/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Да, такого фейла ещё не было наверное в истории IT. А некоторые люди ещё и отказываются обновлять OpenSSL на своих серверах. Это было бы смешно, если не было бы так печально...
| |
|
|
3.72, Аноним (-), 21:51, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Debian oldstable спасает.
Совсем не включать компьютер - надежнее.
| |
|
2.172, Аноним (-), 20:26, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> люди ещё и отказываются обновлять OpenSSL на своих серверах.
Не пользуйтесь такими серверами. Проипут они ваши данные и логины с паролями.
| |
|
|
2.68, Аноним (-), 20:55, 10/04/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> C/C++ всё погубил.
Остальные облажались бы еще раньше, ибо GC и тому подобные - криптографии не друг и не товарищ: ключи из памяти требуется изничтожать предсказуемо, как только они перестали требоваться, затерев явным образом. А не "когда GC раздуплится" и "хрен его знает насколько он там почистит". На твоей жабе способов прострела себе пятки в криптографии в 100500 раз больше. И уж там дыр сроду было всех сортов и размеров. Их по 30 штук критикалов в каждом релизе давят. Просто все уже привыкли к тому что там постоянный п....ц и уже не обращают на него внимания.
| |
|
3.70, iZEN (ok), 21:25, 10/04/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> C/C++ всё погубил.
> Остальные облажались бы еще раньше, ибо GC и тому подобные - криптографии
> не друг и не товарищ: ключи из памяти требуется изничтожать предсказуемо,
> как только они перестали требоваться, затерев явным образом. А не "когда
> GC раздуплится" и "хрен его знает насколько он там почистит". На
> твоей жабе способов прострела себе пятки в криптографии в 100500 раз
> больше. И уж там дыр сроду было всех сортов и размеров.
> Их по 30 штук критикалов в каждом релизе давят. Просто все
> уже привыкли к тому что там постоянный п....ц и уже не
> обращают на него внимания.
Java написана на C/C++, поэтому в ней полно дыр. Очевидно и логично.
| |
|
4.71, Аноним (-), 21:49, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Java написана на C/C++, поэтому в ней полно дыр. Очевидно и логично.
Логика жабиста: во всем виноваты ... нет, не программисты. Си и плюсы во всем виноваты, о как. Вот это я понимаю, ламерство. Впрочем, в openssl есть ламерство и на уровне чистейшей алгоритмики, вообще без привязки к сям и плюсам. Ну вот например, почему криптографическая либа, поюзав память, вообще не чистит ее после юзежа? Ах, авторы раздолбаи и не парятся? Ах, еще и malloc перехватили, чтобы система на могла поумничать. Замечательно. Правда такое по смыслу долбоклюйство можно повторить на любом ЯП, а экспонаты с GC еще и помогут наступить на грабли дюжиной неочевидных способов, прихранив ключи в памяти еще на полчасика, хотя об этом никто не просил. Ведь GC лучше знает когда ключ протух, правда?
| |
|
5.77, iZEN (ok), 22:06, 10/04/2014 [^] [^^] [^^^] [ответить] | –2 +/– | Потому что ЯП C C допускают использование памяти небезопасным способом даже из... большой текст свёрнут, показать | |
|
6.90, Anonym2 (?), 23:52, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Впрочем,
>> в openssl есть ламерство и на уровне чистейшей алгоритмики, вообще без
>> привязки к сям и плюсам. Ну вот например, почему криптографическая либа,
>> поюзав память, вообще не чистит ее после юзежа?
> Наверно потому, что в C/C++ нет возможности определить, понадобится эта память ещё
> раз или нет - лучше перестраховаться, чем нарываться периодически на NullPointerException
> (или что там у вас обозначает NPE: Error, "сливай воду -
> программа выполнила недопустимую операцию и будет свалена в кору", "память не
> может быть Read"?).
Не де Билл ли? :-)
| |
6.95, Аноним (-), 00:15, 11/04/2014 [^] [^^] [^^^] [ответить] | +2 +/– | У криптографов свои, очень кастомные понятия отом что такое безопасность , чува... большой текст свёрнут, показать | |
|
7.148, vn971 (ok), 12:07, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ругаетесь вы клёво, но всё-таки выход за рамки массива -- это таки то что хочется чтобы запрещал язык.
Я понимаю что всегда можно обвинить в тупизне разраба -- и так оно и есть. Но умных разрабов не бывает (имхо). Так что до тех пор пока мы не идеальны, а проги наши не верифаятся "математически" компьютером -- надо ожидать от себя ошибок. В частности, не говорить что без плохого менеджмента и руководства мы написали бы хороший софт. И признавать недостатки языка вместо оправдывания оного.
| |
|
8.165, Аноним (-), 18:46, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | По конкретно этому пункту - я даже согласен до некоторой степени И сдается мне ... большой текст свёрнут, показать | |
|
9.170, vn971 (ok), 20:21, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | Это хорошая и приятная теорема, да Но она на самом деле немного о другом Теоре... текст свёрнут, показать | |
|
10.183, Аноним (-), 22:56, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | Во первых, если посмотреть на реальный мир, то у нас дофига программ Во вторых,... большой текст свёрнут, показать | |
|
|
|
|
|
5.83, Anonym2 (?), 22:53, 10/04/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Ну вот например, почему криптографическая либа,
> поюзав память, вообще не чистит ее после юзежа? Ах, авторы раздолбаи
> и не парятся? Ах, еще и malloc перехватили, чтобы система на
> могла поумничать.
А зачем её чистить? Вся программа должна быть достаточно надёжной, в составе которой работает эта библиотека. И которой программе как-то все секретные пароли даются и она ими управляет... :-)
| |
|
6.96, Аноним (-), 00:21, 11/04/2014 [^] [^^] [^^^] [ответить] | +1 +/– | Чтобы врагам не досталось Ну там другим процессам, другим юзерам, etc Не айс б... большой текст свёрнут, показать | |
|
7.122, Anonym2 (?), 04:07, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> А зачем её чистить?
> Чтобы врагам не досталось! Ну там другим процессам, другим юзерам, etc. Не
> айс будет если какой-то хмырь выделит себе блок памяти, а там
> бац - привкей от банка с миллионом лежит! Потому что его
> никто оттуда не снес, вы прикиньте?
>> Вся программа должна быть достаточно надёжной,
> И в рамках криптографии надежность кроме всего прочего подразумевает защиту ключей от
> утечки. Блокирование памяти от доступа другими процессами. Запрет выгрузки в своп.
> Затирание нулями как только ключ более не требуется, etc.
Нельзя сказать, что UNIX не подразумевает...
Многие не верят, что кое у кого все программы на отдельных машинах. (при чём виртуальных) :-)
Но вообще OPENSSL_cleanse есть. И иногда используется... Затирает даже не нулями.
| |
|
8.166, Аноним (-), 19:08, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | Сами по себе многозадачки общего назначения не страдают в общем случае такой пар... большой текст свёрнут, показать | |
|
7.123, Anonym2 (?), 04:36, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Не
> айс будет если какой-то хмырь выделит себе блок памяти, а там
> бац - привкей от банка с миллионом лежит! Потому что его
> никто оттуда не снес, вы прикиньте?
Много уже было украдено до нас...
| |
|
|
|
4.88, rob pike (?), 23:46, 10/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Предлагаю сразу кремний.. да что там, просто физику во всём обвинять. Какие к нам вопросы, это всё Бор с Эйнштейном, да.
| |
|
5.97, Аноним (-), 00:22, 11/04/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Предлагаю сразу кремний.. да что там, просто физику во всём обвинять. Какие
> к нам вопросы, это всё Бор с Эйнштейном, да.
Ну а что, это процессор во вем виноват! Он программу написанную лабухом выполняет! Вот детектировл бы он IQ автора программы и отказывался бы запускать код от изенов - сразу стало бы безопаснее в два раза.
| |
|
|
3.146, vn971 (ok), 11:54, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> ключи из памяти требуется изничтожать предсказуемо, как только они перестали требоваться, затерев явным образом
конкретно в этом вы не правы, кажется. Никто не мешает уничтожать. Хочешь - уничтожай.
array[i] = 0
(или какой там синтаксис у джавы, забыл уже.)
| |
|
4.168, Аноним (-), 20:09, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | Жабисты все время уповают что за них рантайм подумает и GC освободит А с GC и п... большой текст свёрнут, показать | |
|
5.171, vn971 (ok), 20:25, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
Да, тут с вами полностью согласен. Человек просто говорил именно о GC и сборке мусора (имея в виду, видимо, иммутабельные String-и). А между тем проблем куча, но таки они не в том как GC стринги чистит.
| |
|
6.186, Аноним (-), 23:09, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> и сборке мусора (имея в виду, видимо, иммутабельные String-и).
Я в целом имел в виду мою возможность анализировать поведение получившейся конструкции и понимать что в какой момент времени она делает и является ли фактический результат работы тем чем было задумано в изначальной логики оной, что в криптографии важно. Чем сложнее конструкция, тем сложнее ее анализировать. Поэтому в жабе неизбежно будут кучи багов. И в реализациях SSL. Они просто навороченные до ж...ы. Так что кучи багов там обеспечены, независимо от ЯП. Некоторые баги будут проблемами безопасности. Так что в этом плане мне очень нравится тезис Берштейна: меньше кода - меньше багов. Проблема лишь в том что софт который ничего не умеет - никому и даром не сдался... :)
| |
|
7.190, iZEN (ok), 23:43, 11/04/2014 [^] [^^] [^^^] [ответить] | +/– | Анализу помогают модульные и другие виды тестов В C C это на зачаточном уровн... большой текст свёрнут, показать | |
|
|
9.208, iZEN (ok), 00:27, 13/04/2014 [^] [^^] [^^^] [ответить] | +/– | См придаточные определительные Союзное слово которая , которым прикрепляется ... текст свёрнут, показать | |
|
|
11.212, iZEN (ok), 20:18, 13/04/2014 [^] [^^] [^^^] [ответить] | +/– | Давай я тебя Мичманом буду называть, хорошо Если человек хочет, но по каким-то ... текст свёрнут, показать | |
|
|
13.214, iZEN (ok), 21:44, 13/04/2014 [^] [^^] [^^^] [ответить] | +/– | gt оверквотинг удален От себя лишь могу выразить сожаление о случившемся Ты м... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
5.176, iZEN (ok), 21:14, 11/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>[оверквотинг удален]
> что-то еще делает, потенциально имея дело с нашими данными. Насколько он
> там внутри себя параноидально относится к утечкам этих данных - очень
> отдельный такой вопрос. И я не думаю что типовой жабист вообще
> имеет хоть какое-то понятие как его жаба с массивами работает. Это
> делает схему в целом куда менее предсказуемой и стало быть чреватой
> самыми неожиданными прострелами пяток в самых разнообразных местах. Просто потому что
> например array[i]=0 не трансформировалось в физическую запись в память по нужному
> адресу и значение ключа там по факту допустим убито не было.
> Мало ли чего там мегаумный рантайм оптимизнуть решит, etc. Для этого
> надо очень хорошо знать как он работает и мониторить его развитие.
Ты нам поведал историю о том, что должен делать рядовой программист на C/C++, разрабатывая свою либу. Однако ж, это же самое относится и к программистам JVM, которые должны следовать соглашениям по модели памяти Java. Хорошо, что это не входит в круг решаемых задач прикладных программистов на языках JVM, а то бы они как разработчики OpenSSL/GnuTLS всё время находились между двух огней — небезопасным инструментом разработки и лёгкостью его применения не по назначению. ;)
| |
|
|
7.184, iZEN (ok), 23:00, 11/04/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> это же самое относится и к программистам JVM
> щито?
JVM написана на C++. OpenJDK7u51 для компиляции JVM нужен GCC 4.6+ (LLVM/Clang не по зубам).
| |
7.188, Аноним (-), 23:11, 11/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> щито?
Знакомьтесь, это - изен. Жабист. Я чертовски уверен что он не сможет написать безопасную программу ни на каком ЯП вообще.
| |
|
|
|
|
|
|
|
2.211, Аноним (-), 08:14, 13/04/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Кто-нибудь подскажет, ошибка при apt-get update (с https://mirrors.kernel.org/):
> GnuTLS recv error (-9): A TLS packet with unexpected length was received.
> Из-за исправления этой уязвимости? Как исправляется?
что GNUTLS, что GNUPG - мало того что код, вежливо говоря - написан странно, так еще и бинарники себя чудно ведут. даже версию под оффтопик - не раз ловили за "лазанием не туда", как-бы.
| |
|
1.199, t28 (?), 11:27, 12/04/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> могла эксплуатироваться с ноября прошлого года
Не было ни единого разрыва! Не-бы-ло!
| |
|