У меня короткий литдыбрно-графический пост сегодня. Ниже под катом подробное объяснение устройства нашумевшей уязвимости Heartbleed OpenSSL для гуманитариев, которая приведена в новом выпуске гикового комикса xkcd.
Также даю всем страждущим простой удаленный веб-сервис для теста любого сайта на эту уязвимость (лучше провериться самим, чтобы вас не «проверили» на этот баг другие).
Вот по этой ссылке (аналогичный веб-сервис, а также вариант этой атаки — «Обратный Heartbleed») можно провести удаленный тест любого хоста и проверить эту ошибку, если она ещё там активна. Напомню, что проверить можно вообще любой сайт, который поддерживает работу с ним по протоколу https.
В случае отсутствия оного будет неопределенный результат, например, как у моего блога:
На самом деле, сейчас в сети уже есть фейковые уязвимости (т.н. «honeyspot») косящие под Heartbleed, которые на самом деле эмулируют её, возвращая, например, подобную выдачу:
Это обратная сторона популярности: одни хакеры прикалываются над другими хакерами. «Никогда не знаешь до конца, что перед тобой — реальность или иллюзия, — поэтому нужно просто верить» © Морфеус.
И, наконец, обещанная простая суть уязвимости Heartbleed в виде комикса для гуманитариев и начинающих программистов-любителей. А природа этой атаки, в общем-то, самая простая: переполнение буферов и отсутствие самого банального контроля над длиной передаваемых строк.
В нагрузочку вот вам ссылочка на недавнее интервью немецкого программиста Робина Зеггельмана (Robin Seggelmann), который и добавил в пакет OpenSSL эту критическую уязвимость год назад.
Краткая выжимка из его словоблудия для занятых: «Так получилось. Я ничего не замышлял. Я извиняюсь».
1 комментарий
Вот есть мнение что робен зиблерман этот просто конь тёплый,взял токой на анбешичал под шумок а теперь наминает по ушам не свежее.. математеком ещё прикидывался паразит токой)