Le domande su Heartbleed sono state mostrate nella popolare lista delle domande oggi dal mattino, dallo scambio di stack di sicurezza ad Android
Ho letto molti di loro, molti di loro sono tecnici e da una prospettiva di amministratori di server così difficile da capire per l'utente medio
Questi sono alcuni semplici che ho trovato
- link
- Come funziona esattamente l'heartbeat OpenSSL TLS (Heartbleed) exploit work?
- Cosa devono fare gli utenti finali in Heartbleed?
- La vulnerabilità heartbleed ha un impatto sui client così grave?
Non capisco i dettagli tecnici, quindi come utente medio di Windows, come dovrei essere paranoico, e c'è qualcosa che dovrei (o posso fare), se un servizio che uso è vulnerabile?
Ad esempio, la risposta accettata per il punto 4 sopra dice questo sui sistemi vulnerabili:
Information on common clients:
Windows (all versions): Probably unaffected (uses SChannel/SSPI), but attention should be paid to the TLS implementations in individual applications. For example, Cygwin users should update their OpenSSL packages.
OSX and iOS (all versions): Probably unaffected. SANS implies it may be vulnerable by saying "OS X Mavericks has NO PATCH available", but others note that OSX 10.9 ships with OpenSSL 0.9.8y, which is not affected. Apple says: "OpenSSL libraries in OS X are deprecated, and OpenSSL has never been provided as part of iOS"
Chrome (all platforms except Android): Probably unaffected (uses NSS)
Chrome on Android: 4.1.1 may be affected (uses OpenSSL). Source. 4.1.2 should be unaffected, as it is compiled with heartbeats disabled. Source. Mozilla products (e.g. Firefox, Thunderbird, SeaMonkey, Fennec): Probably unaffected, all use NSS
Quindi, se io sono un utente medio di Windows con Chrome come browser predefinito, non sono vulnerabile? Non penso che sia vero quindi probabilmente non sto ottenendo qualcosa qui. Questa pagina dice che Yahoo è il più grande fornitore di servizi Web noto per essere vulnerabile (include anche stackexchange). Quindi, se ho un account email o stackexchange di Yahoo, significa che la mia password è vulnerabile dal lato del mio computer quando la digito? Nella risposta che ho citato sopra, si dice che Windows e Chrome non sono probabilmente interessati poiché non usano openssl. Quindi, come mi rende vulnerabile quando utilizzo Yahoo e StackExchange che apparentemente usano openssl? C'è qualcosa che posso fare al riguardo, e se sì, cosa posso fare? Cambia subito la password o attendi che mi contattino e cambia password dopo?
Ho un'altra domanda. La risposta accettata per l'elemento 1 ha questo da dire:
Well, errant code in OpenSSL. Here is the commit that fixed the vulnerability. I won't speculate on whether this was truly a mistake or possibly a bit of code slipped in on behalf of a bad actor. The bug showed up in December of 2011 and was patched today, April 7th, 2014.
Se il bug è così vecchio, ed è davvero così grave, allora perché non è stato fatto nulla fino ad ora?