L'estensione "heartbeat disabled" significa che il sito era precedentemente vulnerabile?

Naviga le tue risposte
1

Uno dei servizi che uso sta dicendo che non sono stati influenzati da chi ha problemi di cuore. Ma quando controllo il loro sito con lo strumento link , questo è quello che dice: 

Looking for TLS extensions on https://xxxxxxxxxx

ext 65281 (renegotiation info, length=1)
TLS extension 15 (heartbeat) seems disabled, so your server is probably unaffected.

Avevo l'impressione che il battito cardiaco fosse stato precedentemente considerato benigno e che la gente lo abbia disabilitato solo negli ultimi due giorni se non volevano aggiornare OpenSSL. C'è qualche ragione per cui un server potrebbe averlo disabilitato per tutto il tempo?

In alternativa, è possibile che lo strumento restituisca questa risposta se sta utilizzando un diverso software SSL che non ha mai avuto l'heartbeat disponibile? C'è un modo per ottenere informazioni più complete su questo?

    
posta octern 09.04.2014 - 20:17
fonte

2 risposte

3

No. "Disabilitato" significa che il client ha annunciato il supporto dell'estensione heartbeat e il server non ha risposto con "hey, lo so anche io! Facciamo un battito cardiaco insieme!".

Questo termine non significa che l'estensione heartbeat era supportata, ma poi rimossa in qualche modo. Questa informazione non è accessibile dall'esterno. Tutto ciò che si può sapere è se il server attualmente sembra gestire heartbeat, o meno.

Dato che le distribuzioni di Linux hanno prontamente spinto le correzioni attraverso i normali meccanismi di aggiornamento della sicurezza (come si addice al caso), è previsto che qualsiasi server gestito in modo corretto sia stato risolto o lo sarà presto. I server che hanno il bug e continuano ad averli sono server che sono mal gestiti, il che significa che probabilmente hanno già falle di sicurezza più grandi.

    
risposta data 09.04.2014 - 20:41
fonte
1

In breve, non c'è modo di dire esplicitamente che prima era vulnerabile. Come Nathan ha menzionato nel suo commento, i server che non sono stati aggiornati da 0.9.8 non avrebbero avuto l'heartbeat disponibile, il che significa che il server era al sicuro da Heartbleed. Se fossero vulnerabili e da allora hanno disattivato la funzionalità heartbeat, non avresti modo di saperlo. Se sei ancora preoccupato per le tue informazioni riguardanti il servizio, prova a contattare l'amministratore e chiedere loro personalmente. Se sono stati colpiti in precedenza, c'è molto di più che devono fare per rimediare a Heartbleed piuttosto che spegnere il battito del cuore.

    
risposta data 09.04.2014 - 20:40
fonte

Leggi altre domande sui tag

Qual è il punto dell'IPEK in DUKPT? Perplessità sull'handshake TLS