Ho un server basato su Windows che serve un'applet JAVA firmata. Il sito Web non è protetto (HTTP), ma tutte le applet JAVA devono essere firmate ora, quindi il sito pubblica un'applet JAVA firmata come parte di una pagina web. In quanto tale, l'applet avrebbe accesso al computer client.
Non riesco a trovare esplicitamente OpenSSL ovunque sul server, ma non sono chiaro se Apache (su Windows) lo abbia in qualche modo integrato e se l'applet è vulnerabile a questo exploit.
Mi piace tenerlo così semplice.
Se il server web esegue OpenSSL 1.0.1 attraverso 1.0.1f e accetta connessioni SSL, sarà molto probabilmente vulnerabile. Come dice Steven, questo è il protocollo SSL / TLS che è la sicurezza del livello di trasporto.
Questo exploit non si trova nel livello applicazione del livello OSI.
Dai un'occhiata a heartbleed.com per informazioni dettagliate sull'exploit.
Se stai ospitando il sito Web in Internet Information Services (IIS), non ne risentirai perché IIS non usa OpenSSL per supportare SSL / TLS protocollo. Vedi Nota di vulnerabilità VU # 720951 come riferimento.
Non sono sicuro quale sia l'implementazione SSL / TLS che Apache per Windows utilizza. È probabile che usi OpenSSL, nel qual caso ti consigliamo di applicare una patch di sicurezza il prima possibile.
Leggi altre domande sui tag windows apache webserver heartbleed