Просмотров: 10280

Объяснение сути Heartbleed в виде комикса


У меня короткий литдыбрно-графический пост сегодня. Ниже под катом подробное объяснение устройства нашумевшей уязвимости Heartbleed OpenSSL для гуманитариев, которая приведена в новом выпуске гикового комикса xkcd.

Также даю всем страждущим простой удаленный веб-сервис для теста любого сайта на эту уязвимость (лучше провериться самим, чтобы вас не «проверили» на этот баг другие).

Как проверить на Heartbleed?

Вот по этой ссылке (аналогичный веб-сервис, а также вариант этой атаки — «Обратный Heartbleed») можно провести удаленный тест любого хоста и проверить эту ошибку, если она ещё там активна. Напомню, что проверить можно вообще любой сайт, который поддерживает работу с ним по протоколу https. В случае отсутствия оного будет неопределенный результат, например, как у моего блога:

Объяснение сути Heartbleed в виде комикса OpenSSL баг ошибка

На самом деле, сейчас в сети уже есть фейковые уязвимости (т.н. «honeyspot») косящие под Heartbleed, которые на самом деле эмулируют её, возвращая, например, подобную выдачу:

Объяснение сути Heartbleed в виде комикса OpenSSL баг ошибка

Это обратная сторона популярности: одни хакеры прикалываются над другими хакерами. «Никогда не знаешь до конца, что перед тобой — реальность или иллюзия, — поэтому нужно просто верить» © Морфеус.

Суть случившегося

И, наконец, обещанная простая суть уязвимости Heartbleed в виде комикса для гуманитариев и начинающих программистов-любителей. А природа этой атаки, в общем-то, самая простая: переполнение буферов и отсутствие самого банального контроля над длиной передаваемых строк.

Объяснение сути Heartbleed в виде комикса OpenSSL баг ошибка

В нагрузочку вот вам ссылочка на недавнее интервью немецкого программиста Робина Зеггельмана (Robin Seggelmann), который и добавил в пакет OpenSSL эту критическую уязвимость год назад.

Краткая выжимка из его словоблудия для занятых: «Так получилось. Я ничего не замышлял. Я извиняюсь».

Объяснение сути Heartbleed в виде комикса OpenSSL баг ошибка

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , , , ,
Эта запись опубликована: Пятница, 11 апреля 2014 в рубрике Литдыбр.

1 комментарий

Следите за комментариями по RSS
  1. Вот есть мнение что робен зиблерман этот просто конь тёплый,взял токой на анбешичал под шумок а теперь наминает по ушам не свежее.. математеком ещё прикидывался паразит токой)

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз