LOL, banky jsou největší komedianti...- Tvrdí, že nepoužívají OpenSSL. Místo toho ale používají nějaký proprietární SSL crap, který bude mít bugy typu Goto fail jako Apple.Banky by měly přejít na nějaký otevřený systém.
a tomu tvrzeni, ze ani jedna ceska banka nepouziva openssl... verite? Ja ne
Já bych s okamžitou platností za tenhle článek bez milosti autora zive.cz vyhodil a na tvrdo. Hlavně, že komanduje lidi okolo sebe!
Veřejné lynčování!🙂
Nemysli si, že nevíme kdo seš (prase jedno)
Pikantní je že v článku autor píše, že mf.cz/źivě je zalepené, bezpečné a doporučují se měnit hesla.Přitom aktuální wildcard certifikát *.mf.cz byl vydaný v loni v záři a děravou verzi openssl jste měli na proxy ještě včera ráno.Proč si teda jako máme měnit hesla? K čemu?Spíš mi to přijde že píšete články a nechápete která bije.
Článek je úplně o ničem, autor evidentně nepochopil, o co v této zranitelnosti šlo. Heslo nemá smysl měnit ani poté, co se zaktualizuje openssl, pokud nebyl zároveň vyměněn i certifikát! Protože na starém certifikátu, který již mohl být kompromitován, bude i s novým openssl provoz nadále lousknutelný.Nemíním příliš komentovat další závažné pomatenosti, které se v článku objevují, jako (jen namátkou):1) "teoreticky umožňuje sledování zabezpečené komunikace" (teoreticky? Když jeden z objevitelů prokázal, že chyba je opravdu lehce zneužitelná tím, že zvenčí úspěšně zkompromitoval svůj server?)2) "si nemohou být jisti, že někdo získá přístup" (snad NEzíská, ne?)3) "Hertbleed" (neschopnost opsat správně dokonce i pouhé jméno zranitelnosti)...Chjo, práce kvapná, málo platná. Nebylo by lepší psát méně, ale ještě před uveřejněním si to po sobě alespoň zběžně projet?🙁
Nakupoval jsem v jednom e-shopu a po testu mi to píše: "Uh-oh, something went wrong" znamená to, že daný server nevyužívá ohrožený OpenSSL ? A mohu být klidný ?
Ano i ne. Se mrkni do toho FAQu. Tam je vysvětleno proč. Tedy na jedné straně to může být opraveno, ale také ne. Jednoduše výsledek je nejistý.
hezky jste tu nejdůležitější informaci schovaliŽIVĚ - ani čtvrtý den po objevení kritické zranitelnosti jsme nebyli schopni dát jeden příkaz pro aktualizaci openssl... to není neschopnost, to už je snad vědomá sabotáž
No a nejlíp je na tom vidět, že všechny ty mojeID a opedID jsou pro tyhle útočníky jak dělaný, jelikož z toho by pak měli přístup všude. Já naštěstí tohle zlo nepoužívám, všude mám jiný nick, takže ať jde můj živě účet klidně k čertu, další služby to neovlivní. B-]
Dobrýý !No, zřejmě slušnej oddíl !
K té opravě - to se těžko dělá, když majitel je kriminálník a utíká před policií, kdo to má pak schválit? 😀
Že jste to Vy apt-get update; apt-get upgrade😀
Mno. Nevím zda na to stačí jen jeden příkaz. On totiž Živě.cz nejede na Linuxu, ale ve Windows. Nebo snad existuje Microsoft-IIS/8.0 i pro Linux?
V tomto případě se jednalo o problém na linuxovém proxy serveru, který je nad ostatními servery. A už bych řekl, že je to opravené.
Ano mate tam reverzni proxy na linuxu pred IIS serverama, ktera je zalepena az od dnesniho rana (teda dva dny po te co hackeri masivne sosali data).Ale dva dny po zverejneni (jeste dnes rano) te chyby jste tam meli diru, takze nemuzete vedet jestli vam nekdo klic ukradl nebo ne. To je proste fakt.Certifikat novy taky nemate. Navic ted to vypada, ze se nove uzivatele prihlasuji plain textem. WTF?
Tak to mě nenapadlo. Dík za upřesnění. Vím, že se někde používají proxy servery. I nás to používáme. Jen mě to jaksi teď nedocvaklo 🙂
zrejme maju reverzne proxy na load balancing, ssl, cache/static serve cez linux
+1 za poznámku.edit: článek byl upraven. Poznámka obsahovala info o tom, že redakce ví, že jejich web je stále zranitelný a na opravě pracují. Osobně takové prohlášení beru jako chlapský přístup, místo toho aby se tvářili jako mrtvá ryba a komentáře na toto téma mazali.
Názor byl 2× upraven, naposled 10. 4. 2014 17:52
A odkdy má živě https?
To je zajímavá otázka. Dokonce tak zajímavá, že na ni nedokážu odpovědět. Ale naštěstí mi to vůbec srdce netrhá protože na odpovědi nezáleží. Nezajímá nás totiž "od kdy" ale "zda-li"Při přihlašování na zive.cz jsem přesměrován na https://klub.mf.cz/Login.aspx... edit: což pro nechápající znamená že živě při přihlašování přenáší hesla pomocí https a to je to co nás v hlavní míře zajímá.edit2: tak po troše snahy s pomocí wayback machine jsem se dozvěděl, že https přihlašování bylo zavedeno kolem 6-8. listopadu 2011 . Spokojen odpovědí na položenou otázku? B-]
Názor byl 2× upraven, naposled 10. 4. 2014 15:10
Chápu to dobře, že když se nebudu nikam přihlašovat, dokud to neaktualizují, tak mi nic nehrozí? 😁
Názor byl 1× upraven, naposled 10. 4. 2014 12:04
ne, nechápete. To že byla chyba odhalena veřejně až teď neznamená, že teď vznikla. Chyba tu je s námi už od 14. března 2012. Pokud ji tedy chytrý útočník našel den po vydání, pak měl skoro měsíc na ukládání údajů.Je to podobné, jako klasické nepochopení záplat linux vs windows. Linuxáci se windowsu smějí, jak je děravý, že na něj pořád chodí nějaké záplaty. Přitom existence bezpečnostních děr není podmíněna vydáváním záplat. Díry mohou existovat i bez těchto záplat. Jen se o nich třeba moc neví.
Tak to je dobrý, já byl poslední měsíc na dovolené, tak jsem se stejně nikam nepřihlašoval.
* Utocnik mel v podstate 2 roky, ne mesic...
No musel jsem si rejpnout, ale je jasný, že jestli o tom poslední 2 roky vědělo pár lidí, tak to riziko bylo PODSTATNĚ menší, než teď, kdy to ví všichni a kdo se přihlásí na neopravenej web = zive.cz, je sebevrah.
On to pravděpodobně nevěděl nikdo - buď by to nahlásil a opravilo se to dávno nebo by toho zneužil a na to by se za ty dva roky nejspíš přišlo.
Heh http://www.bloomberg.com/news/2014-04-11/nsa-said-... ...
uh, díky. Uplně jsem ignoroval rok a přečetl si jen den a měsíc 😃 No tak to je dobrý průšvih 😃
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.