Heartbleed на пальцах / xkcd :: шифрование :: безопасность :: ssh :: heartbleed :: и не только сам :: перевел сам :: xkcd.ru :: geek (Прикольные гаджеты. Научный, инженерный и айтишный юмор) :: Смешные комиксы (веб-комиксы с юмором и их переводы)

Способ не ломать мозги в попытке понят что происходит.

Примерно так. Проблема была в этих запросах "скажи" (т.н. "heartbeat-запросы"): сервер не проверял границы запрашиваемой памяти, поэтому можно было так изменить запрос, чтобы вытащить не только кусок памяти, содержащий ответ, но и еще кучу рандомной информации, которая лежит "дальше" в памяти.

Да, команда типа пинга. У тебя с сервером защищенное соединение. И тебе надо знать - оно живо или нет? Как сделать? Вот есть такая фича Hearbeat где была команда типа "спросить что живой" вида: Сервер, скажи слово ЯЖИВ (4буквы)
но по ошибке в этой фиче он отдавал столько букв, сколько реально запросили, и брал он их откуда-то типа из оперативки.

В протоколе SSL идет проверка на разрыв соединений "heartbeat" (сердцебиение). Клиент опрашивает сервер на разрыв соединения и просит вернуть какую-то часть данных для этого. Сервер покорно возвращает, но при этом размер данных он не проверяет и можно запросить больше, чем надо. В этом случае сервер вернет эти данные, взяв их из оперативной памяти.

http://www.computerra.ru/98046/heartbleed-simple/

8 апреля в популярной криптографической библиотеке OpenSSL, использующейся многими веб-сервисами для шифрования передаваемого трафика была обнаружена критическая уязвимость, позволяющая злоумышленникам получать доступ к чужим логинам и паролям от этих самых сервисов.
А теперь ещё раз и более человеческим языком. Начиная с марта 2012 года, когда обновлялся этот компонент, отвечающий за сохранность ваших данных на различных сайтах (включая Skrill), в нём присутствовала дыра, через которую любой компетентный хакер, прознавший о её существовании раньше остальных, мог без шума и пыли тырить конфиденциальные данные типа логинов и паролей от подверженных уязвимости сервисов типа Facebook, Twitter, Gmail, Skrill и множества других (включая популярный VPN-сервис HideMyAss).
Так вот, во вторник (8 апреля) информация о баге была широко освещена в СМИ, когда большинство подсуетившихся уже успели накатить патч и залатать брешь, потому как обнаружили её заметно раньше (один из сотрудников Гугла, кстати) и сообщили разработчикам OpenSSL.
Короче говоря, суть этого поста - предупредить о потенциальной опасности увода аккаунтов на различных сервисах (особенно это касается платёжных систем: Skrill, Neteller) и посоветовать заменить пароли везде, где только можно. И дело тут вот в чём.
Несмотря на то, что те же Skrill поспешно пропатчили свою систему и отбрехались, мол, в Багдаде всё спокойно, стоит сказать: если сегодня дыру залатали - это совсем не значит, что вчера (когда она была ещё открытой) у вас не утащили пароль. Смекаете, да? В общем, бережёного бог бережёт. (источник pokeroff.ru)

xkcd без этой картинки в комментариях - это как оглаф, в котором никого не выебали.

в слове «шляпа» 500 букв, что неясного?

Уже пофиксили везде давно. Ну, нормальные люди.

по-твоему любой баг - причина, чтобы автора называть быдлокодером?
кроме того OpenSSL open-source продукт, и пол-интернета пользуются им совершенно не заморачиваясь насчет доната
..но как только там нашли баг - люди, тащащие его практически бесплатно оказались мудилами и быдлокодерами, логичнос

На сколько известно мне из хабра, там какой-то умный доктор наук в области матана и прочего, связанного с криптографией. Только вот тот доктор - не совсем девелопер и поэтому допустил такую глупую ошибку, как он