Tråd bedømmelse:
  • 0 Stemmer - 0 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Heartbleed
09-04-2014, 10:58 (Denne besked var sidst ændret: 09-04-2014, 10:58 af Abenborg.)
#1
Heartbleed
Hey all :)

Har i noget tid læst lidt løst og fast om en sårbarhed i openSSL, men har ikke kunne finde noget brugbart.

Nu kan jeg så læse på flere nyhedssites, at Heartbleed, som sårbarheden bliver kaldt, sådan endelig er blevet offentliggjort.

Har søgt og søgt, men kan ikke helt finde ud af, hvad i sårbarheden er.


Er der nogle, som kan forklare, hvad problemet i Heartbleed er ?
Count me in
Find alle beskeder fra denne bruger
Citer denne besked i et svar
09-04-2014, 11:04
#2
RE: Heartbleed
(09-04-2014, 10:58)Abenborg Skrev: Hey all :)

Har i noget tid læst lidt løst og fast om en sårbarhed i openSSL, men har ikke kunne finde noget brugbart.

Nu kan jeg så læse på flere nyhedssites, at Heartbleed, som sårbarheden bliver kaldt, sådan endelig er blevet offentliggjort.

Har søgt og søgt, men kan ikke helt finde ud af, hvad i sårbarheden er.


Er der nogle, som kan forklare, hvad problemet i Heartbleed er ?

Det er en infoleak. Når du sender et heartbeat request, skal du have det sendt tilbage af serveren (lidt ligesom ICMP ECHO aka. ping).
Du specificerer så størrelsen af den besked, du sendte, og hvis din besked kun er en byte lang, men du skrev, at den var 65k, så sendes der 65k tilbage.
Det, der sendes, starte så med din ene byte, og derefter er der tilfældig ting fra heapen...som kan være hvadsomhelst, krypteringsnøgler, brugerdata, whatever.
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)