Da quanto ho capito, hai bisogno di un accesso basato sulla memoria locale per accedere anche alla chiave privata? È tutto questo parlare e preoccuparsi di "Sono stato hackerato ?!" "Heartbleed ti ha solo reso completamente hackerabile" ecc ... davvero esagerando il problema?
Ad esempio, eseguo alcuni siti Web piuttosto grandi utilizzando SSL Certs per HTTPS. Sono davvero lontanamente sfruttabile in cui tutti possono vedere il semplice passaggio di testo?
L'intera storia senza cuore è andata ben oltre la sanità mentale, di sicuro.
Il bug è reale e può essere una seria minaccia per qualsiasi server. Tuttavia, il bug non è più grave di tutti gli altri attacchi di "overrun del buffer", e probabilmente meno gravi di overflow di write , che possono più facilmente portare al dirottamento di server ostili. Puoi avere un elenco di problemi di sicurezza segnalati per OpenSSL su questa pagina . Nessuno di loro ha innescato un tale panico come quello a cui stiamo assistendo attualmente; tuttavia alcuni erano del tipo "esecuzione di codice remoto", tecnicamente molto più spaventoso di questa canard heartbleed (ma senza il logo nifty).
Il settore IT, nel suo complesso, ha messo a punto una strategia con la gestione di questo tipo di bug. Si chiama "applica le dannate patch di sicurezza dal fornitore del sistema operativo". Questa strategia non è alla fine elegante, ma funziona. Non vi è alcun motivo per individuare questo bug e assegnargli un trattamento speciale, come se fosse un nuovo tipo di cosa (non lo è) o esposto a circostanze particolarmente disastrose (non lo è - le sue conseguenze rientrano nella gamma normale di buchi di sicurezza).
L'unico vantaggio di questo pandemonio è che mostra chi fa il suo lavoro correttamente. Quando un amministratore di sistema in preda al panico chiede se deve applicare immediatamente la correzione e / o resettare tutte le sue password e / o uccidere il suo cane (solo per essere sicuro), ammette implicitamente che non di solito applica sicurezza patch, o almeno non prontamente - e che è il problema.
Leggi altre domande sui tag openssl tls heartbleed