Tramvision
Новости => Новости IT => Тема начата: Lamborg от 11 Апрель 2014, 21:59:55
-
http://blog.yandex.ru/post/78158/ (http://blog.yandex.ru/post/78158/)
https://security.yandex.ru (https://security.yandex.ru)
7 апреля стало известно об уязвимости в пакете шифрования данных OpenSSL. (О том, что такое шифрование данных и зачем оно нужно, мы рассказывали некоторое время назад.) Эта уязвимость стала настолько известной, что у нее даже есть имя - Heartbleed. Так важна она потому, что пакет OpenSSL используют две трети интернет-ресурсов, и среди них – практически все популярные сервисы. И Яндекс, и Google, и Facebook, и еще очень многие. Суть уязвимости – в том, что злоумышленники могли получить до 64 килобайт случайных данных из памяти процесса веб-сервера в незашифрованном виде. При наличии времени и терпения они могли повторять запросы, пока среди полученной информации не окажутся, например, логины и пароли пользователей.
Мы начали устанавливать обновления безопасности на сервисах Яндекса сразу после сообщения о Heartbleed. Некоторые из наших сервисов – например, и это важно, Яндекс.Деньги – проблема вообще не затронула, остальные перестали быть подвержены уязвимости уже через несколько часов. Эти несколько часов были самыми опасными – о проблеме уже могли знать злоумышленники, а интернет-компании еще не успели ее устранить. Поэтому мы тщательно проверили статистику наших сервисов – никаких массовых обращений к нашим серверам, которые могли бы свидетельствовать об атаке, не было.
Тем не менее мы очень рекомендуем нашим пользователям поменять свои пароли. Это касается не только паролей от Яндекса, а вообще от всех сервисов, которыми вы пользуетесь и которые успели устранить уязвимость (проверить это можно здесь). Heartbleed еще раз показала, что ни один сервис в интернете не может быть абсолютно безопасным. Но защитить себя не так сложно – достаточно почаще менять пароли. А чтобы еще немного упростить эту задачу, мы сделали специальную страницу-помощника. Кроме того, напоминаем наши советы – как придумать хороший пароль и как сохранить его.
Чо за фигня ?!!
-
Протокол HTTPS (который с шифрованием) теоретически можно прослушать и выудить оттуда пароли.
Яшко в своем же блоге: "К счастью, мы имеем на руках список пользователей, которые теоретически могли пострадать. И с помощью механизмов автоматического определения зловредной активности в рамках пользовательской сессии будем направлять таких пользователей на разлогин и смену пароля."
Мыло.Ру вообще забило на проблему: http://habrahabr.ru/company/mailru/blog/218913/ (http://habrahabr.ru/company/mailru/blog/218913/)
-
Я, грешным делом, подумал, что Яндекс стал работать на ФСБ ;D
-
С мыла.ру прёт такой плотный поток спама, что мне пришлось внести его в спам-фильтр.
-
Да, нехилая заварушка... Весь мир жил более года на гнилой библиотеке, написанной долбоёбами. Воистину - если бы строители строили дома так, как программисты пишут программы, то...