Avere un indirizzo conosciuto non è un grosso rischio. L'unica misura di sicurezza che sconfigge è ASLR , e ASLR è semplicemente una tecnica per rendere gli exploit più difficili, raramente li rende impossibile.
La migliore difesa contro gli exploit non è avere una vulnerabilità in primo luogo!
Questo , non l'indirizzo fisso, è il motivo per cui l'uso di una versione certificata FIPS di OpenSSL è dannoso per la sicurezza. Poiché i nuovi bug vengono inevitabilmente scoperti, gli utenti devono correggerli il più velocemente possibile, prima che gli exploit vengano fuori. Non appena hai corretto il bug, non esegui più una versione certificata. Se avevi bisogno della certificazione, in primo luogo, dovrai aspettare una versione certificata con la correzione del bug, che in genere richiede mesi se il venditore si preoccupa anche di crearne uno.
Dato che la certificazione FIPS di OpenSSL non è realmente una certificazione di sicurezza (FIPS 140 livello 1 è poco più di un controllo che le funzioni siano calcolate correttamente, gli aspetti di sicurezza sono praticamente nulli), l'unica ragione per usare la versione FIPS piuttosto che l'ultima versione stabile è necessario spuntare la casella di controllo "FIPS validata" su un modulo di approvvigionamento.