Время менять пароли

[Lamborg]

http://blog.yandex.ru/post/78158/
https://security.yandex.ru
7 апреля стало известно об уязвимости в пакете шифрования данных OpenSSL. (О том, что такое шифрование данных и зачем оно нужно, мы рассказывали некоторое время назад.) Эта уязвимость стала настолько известной, что у нее даже есть имя - Heartbleed. Так важна она потому, что пакет OpenSSL используют две трети интернет-ресурсов, и среди них – практически все популярные сервисы. И Яндекс, и Google, и Facebook, и еще очень многие. Суть уязвимости – в том, что злоумышленники могли получить до 64 килобайт случайных данных из памяти процесса веб-сервера в незашифрованном виде. При наличии времени и терпения они могли повторять запросы, пока среди полученной информации не окажутся, например, логины и пароли пользователей.

Мы начали устанавливать обновления безопасности на сервисах Яндекса сразу после сообщения о Heartbleed. Некоторые из наших сервисов – например, и это важно, Яндекс.Деньги – проблема вообще не затронула, остальные перестали быть подвержены уязвимости уже через несколько часов. Эти несколько часов были самыми опасными – о проблеме уже могли знать злоумышленники, а интернет-компании еще не успели ее устранить. Поэтому мы тщательно проверили статистику наших сервисов – никаких массовых обращений к нашим серверам, которые могли бы свидетельствовать об атаке, не было.

Тем не менее мы очень рекомендуем нашим пользователям поменять свои пароли. Это касается не только паролей от Яндекса, а вообще от всех сервисов, которыми вы пользуетесь и которые успели устранить уязвимость (проверить это можно здесь). Heartbleed еще раз показала, что ни один сервис в интернете не может быть абсолютно безопасным. Но защитить себя не так сложно – достаточно почаще менять пароли. А чтобы еще немного упростить эту задачу, мы сделали специальную страницу-помощника. Кроме того, напоминаем наши советы – как придумать хороший пароль и как сохранить его.

Чо за фигня ?!!

[Почта сайта]

Протокол HTTPS (который с шифрованием) теоретически можно прослушать и выудить оттуда пароли.

Яшко в своем же блоге: "К счастью, мы имеем на руках список пользователей, которые теоретически могли пострадать. И с помощью механизмов автоматического определения зловредной активности в рамках пользовательской сессии будем направлять таких пользователей на разлогин и смену пароля."

Мыло.Ру вообще забило на проблему: http://habrahabr.ru/company/mailru/blog/218913/

[Lamborg]

Я, грешным делом, подумал, что Яндекс стал работать на ФСБ 

[Садисто]

С мыла.ру прёт такой плотный поток спама, что мне пришлось внести его в спам-фильтр.

[SaAnVi]

Да, нехилая заварушка... Весь мир жил более года на гнилой библиотеке, написанной долбоёбами. Воистину - если бы строители строили дома так, как программисты пишут программы, то...