Re: Nem csak szervereket érint a Heartbleed
#1
Elküldve: 2014. 04. 11. 11:46
https://www.hwsw.hu/hirek/52125/openssl-heartbleed-sebezhetoseg-cisco-juniper-android-biztosag.html
#2
Elküldve: 2014. 04. 11. 11:46
Az OpenSSL, mint kod szinvonala meg egeszen elkepeszto, erdemes belenezni. A visszateresi ertekeknel hol az 1 jelenti az igent, hol a 0. A "sebesseg" miatt irtak maguknak egy primitiv allokatort a malloc fole, amit ha nem tettek volna meg, akkor jo esellyel ez a hiba se lett volna (csomo esetben segfaultolt volna a tamadas). Satobbi. Remes az egesz.
*nem tudomanyos erteku becsles
#3
Elküldve: 2014. 04. 11. 12:09
Viszont menedzselt nyelv hasznalata sem megoldas mert ha jol emlekszem java is elegge lukas..pont mert c alapra epitkezik
#4
Elküldve: 2014. 04. 11. 12:19
Persze lehet ilyet csinalni, ha tenyleg nagyon el akarod cseszni (pl. foglalsz egy X meretu tombot, irsz egy allokatort ami azt hasznalja a JVM heap helyett), de Java*-ban ehhez erolkodni kell, nagyon.
*Java helyett mondhatnek rengeteg mast is, nem kell annal leragadni, hogy akkor most a Java jo vagy rossz.
#5
Elküldve: 2014. 04. 11. 12:21
#6
Elküldve: 2014. 04. 11. 12:29
Egyébiránt a managelt nyelveknél a jittelt kós is azért assabb kb mindig mint a C kód, mert mindig készül explicit 0-ra inicializáló kód minden változónak helyfoglalásnál a natív kódba. Ez egy tervezési döntés volt, ami az ilyen esetek előfordulásának valószínűségét csökkenti. Az immutable string is sokat ad a biztonsághoz, a C stílusú stringkezelés hüyleségeinek kivédésével. A jól definiált karakter és byte típusok is segítenek, hogy a multibyte szövegek ne legyenk kihívás.
Mindezek egyben a sebességen túl egyéb hátulütőket is behoznak: Például az immutable string jó, hogy ne csinálj buffer overrunt, de ellenben sokáig bennemaradhat a GC-s működés esetén a memórában pl egy jelszó szring, ezért ott azt nem szabad sima String ttípusban tárolni, hogy a rendszer meg tudja gátolni többek közt a jelszó kiswappelődését, és egyáltalán minimalizálja a memórában nyersen olvasható formában töltött idejét.
Remélem, hogy a D nyelv elterjed, ami sokkal igényesebb és alkalmasabb ilyen feladatok kezelésére, ellenben támogatja a sima scoped nem GC-s objektum életcklus modellt, kód bizalmi szint annotációkat, és általában, C++ agyfasz nélkül.
#7
Elküldve: 2014. 04. 11. 13:00
Idézet: Emvy - Dátum: 2014. 04. 11. 11:46
Ez elég régóta ismert probléma.
Szerintem itt van az ideje annak, hogy a web-es nagyok, akik erősen függnek ettől a ****kupactól (google, apple, fb, amazon, tanúsítványkiadók, bankok, telkók, stb.) összedobjanak egy team-et az openssl auditálására, még inkább újraírására.
#8
Elküldve: 2014. 04. 11. 13:01
#9
Elküldve: 2014. 04. 11. 13:08
#10
Elküldve: 2014. 04. 11. 13:12
#11
Elküldve: 2014. 04. 11. 14:34
#14
Elküldve: 2014. 04. 11. 16:44
dettó. ez azért "mennek a picsába" szituáció nem kicsit. persze frissítés nulla, majd jön a 4.4.3...talán
#15
Elküldve: 2014. 04. 11. 18:51
#17
Elküldve: 2014. 04. 11. 19:30
#18
Elküldve: 2014. 04. 11. 19:38
http://www.smh.com.au/it-pro/security-it/who-is-robin-seggelmann-and-did-his-heartbleed-break-the-internet-20140411-zqtjj.html
http://www.smh.com.au/it-pro/security-it/man-who-introduced-serious-heartbleed-security-flaw-denies-he-inserted-it-deliberately-20140410-zqta1.html
Mellesleg Segglemann jegyzi többek között az RFC6520-at is aminek implementálása ilyen jól sikerült az openssl-ben.
A Google fejlesztője fedezte fel a hibát egyébként, nézd meg az openssl forrástárolóját, meg azt is mennyi kód megy bele a Google-tól.
#19
Elküldve: 2014. 04. 11. 19:43
#20
Elküldve: 2014. 04. 11. 20:41
És ez hol is van benne a cikkben? Az, hogy most épp ott dolgozik az egy dolog. Értem én mit akarsz mondani, de szerintem az állításod itt eléggé félrevezető..