La vulnerabilità di Heart Bleed non implica che dobbiamo cambiare le password per * tutti * i sistemi? [duplicare]

Question

La vulnerabilità di Heart Bleed non implica che dobbiamo cambiare le password per * tutti * i sistemi? [duplicare]

#1 da (2 voti)

0

Comprendo la parte relativa a un server con vulnerabilità.

Ma da quello che ho capito, la vulnerabilità è esistita anche nei browser che utilizzano le implementazioni OpenSSL vulnerabili.

Quindi, se per la prima volta visito un sito che non ha un'implementazione vulnerabile di OpenSSL, accedi allora, e poi in seguito (o forse attraverso alcune oscure reti AD) viene instradato su un server malware (che normalmente non sarebbe in grado di attaccare il mio computer), questo server non sarebbe in grado di inviare una risposta di battito cardiaco errata e quindi ottenere quel 64KB dal mio browser inviato ad esso?

Quindi, in sostanza, la vulnerabilità di Heart Bleed nel mio browser non significa che avrei potenzialmente potuto filtrare tutti i dati dal mio browser a un sito?

openssl heartbleed

posta Lasse Vågsæther Karlsen 10.04.2014 - 12:36

fonte

1 risposta

Leggi altre domande sui tag openssl heartbleed

Identifica lo scanner di vulnerabilità web di un utente malintenzionato in base alla velocità di richiesta IP [chiusa] ci sono gravi carenze in questo sistema di gestione delle password gratuito?

score 2 · Accepted Answer

L'unico browser principale che conosco che utilizza OpenSSL è Opera, e le versioni che ho controllato sembrano utilizzare una versione precedente che non è vulnerabile all'attacco Heartbleed. Firefox, Chrome e i browser correlati utilizzano NSS per SSL. IE e derivati (inclusa la maggior parte dei renderer HTML incorporati su Windows) utilizzano SSPI di Microsoft. Safari su MacOSX e iOS utilizza l'implementazione SSL di Apple. Dillo e Lynx sono la cosa più vicina che conosco ai principali browser che utilizzano OpenSSL e quelli che hanno una quota di mercato migliore misurata in parti per milione.

I client vulnerabili tendono ad essere strumenti per scopi speciali come "wget" e "arricciatura" (strumenti da riga di comando per effettuare richieste HTTP) o programmi non browser come i client di posta elettronica.