Link all'Articolo: http://www.hwupgrade.it/articoli/sicurezza-software/3987/bug-heartbleed-dati-a-rischio-per-il-66-dei-siti-web-https_index.html

Le fonti internazionali parlano di una delle vulnerabilità più pericolose della storia dell'informatica, e con ottime ragioni: a rischio sono tutti i dati passati attraverso protocollo HTTPS, se la versione implementata di OpenSSL era nella versione 1.0.1 fino alla versione f

Click sul link per visualizzare l'articolo.

Purtroppo e' inutile girarci intorno.
La sicurezza online NON esiste.
Chi ha un interesse maggiore della spesa nel craccare un sistema, lo fara'. Altrimenti no.

Giulio.

Da mettere in conto, per gli utenti, un cambio completo delle password, anche se è meglio aspettare ancora un po' affinché chi non ha ancora aggiornato OpenSSL alla versione 1.0.1f lo faccia, altrimenti non serve a nulla.


Errato. Bisogna anche aspettare che chi amministri il server richieda un nuovo certificato utilizzando una nuova chiave privata.

Saluti,
Stefano

Cambiare tutte le password???
E' la volta buona che ne scelgo una per tutti gli account :D

E come facciamo a sapere, lato utente, che versione di openssl usa il server a cui ci colleghiamo ?

E come facciamo a sapere, lato utente, che versione di openssl usa il server a cui ci colleghiamo ?

Puoi testare se e' vulnerabile usando questo tool: http://filippo.io/Heartbleed/

Mega menata.
Dei siti che frequento ancora nessuno si è espresso in merito, magari consigliandomi di cambiare password...

Il 66% è un po' fuorviante. Diciamo che i sistemi mission critical sono, o dovrebbero, essere rimasti con il ramo 0.9.8 di OpenSSL. Ieri in tarda mattinata la maggior parte dei vendor nel mondo opensource avevano rilasciato aggiornamenti (RedHat, Canonical e le varie distro), anche vendor del calibro si Cisco si sono mossi.

La cosa che mi spaventa sono i software e firmware closed source. Chissà quanti usano OpenSSL, senza magari nemmeno citarlo nei credits, che mai riceveranno aggiornamenti.

Diciamo che i sistemi mission critical sono, o dovrebbero, essere rimasti con il ramo 0.9.8 di OpenSSL.


In teoria si, i rami oldstable sia di Debian che di CentOS sono sempre stati al sicuro. Le stable invece avevano dentro la versione buggata.

La cosa che mi spaventa sono i software e firmware closed source. Chissà quanti usano OpenSSL, senza magari nemmeno citarlo nei credits, che mai riceveranno aggiornamenti.

Gia', dovro' tenere d'occhio pure le immagini dei vari router :muro:

Puoi testare se e' vulnerabile usando questo tool: http://filippo.io/Heartbleed/

Testando i vari siti che uso abitualmente che usano https, nessuno risulta vulnerabile !

Testando i vari siti che uso abitualmente che usano https, nessuno risulta vulnerabile !

Vero, ma probabilmente perchè tutte le aziende coinvolte avranno fatto l'upgrade stamattina appena saputo la notizia. :rolleyes:

In teoria si, i rami oldstable sia di Debian che di CentOS sono sempre stati al sicuro. Le stable invece avevano dentro la versione buggata.

In effetti per una volta la pigrizia dei nostri sysadmins si è rivelata saggia :D

nooo :mad: :mad: :mad: scopriranno tutte le mie amanti in giro per il web :(

Testando i vari siti che uso abitualmente che usano https, nessuno risulta vulnerabile !

Avranno aggiornato di recente... il problema e' quello che e' successo nei 2 anni in cui la falla era aperta.

Avranno aggiornato di recente... il problema e' quello che e' successo nei 2 anni in cui la falla era aperta.

Ah probabile...

Il problema è che non si può sapere se in questi due anni era chiusa o aperta !

Ahah terribile, della serie
If((decodekey(key) && valid(certificate) && isCorrect(password)) || (1==1))
Passthrough();
Else
print("accesso RIGOROSAMENTE bloccato furbacchione");

Non c'è niente di meglio per un hacker se non informazioni di questo tipo. Braavi complimenti. Avete lavorato dietro stipendio per la sicurezza e una volta scoperta la falla l'avete condivisa. Maachebraaavii. Idiozie del nuovo millennio. C'era da fare un update e avvisare gli utenti banche e co che la versione attuale non è sicura PUNTO

"OpenSSL 1.0.1 è disponibile dal marzo del 2012, mentre la versione che risolve il problema è di due giorni fa. Come a dire che per due anni le transazioni sicure in realtà non lo sono state affatto, con tutte le potenziali conseguenze"

a mio avviso se fosse stata una vulnerabilità nota già in passato ne avremmo di certo già sentito parlare..

Ahah terribile, della serie
If((decodekey(key) && valid(certificate) && isCorrect(password)) || (1==1))
Passthrough();
Else
print("accesso RIGOROSAMENTE bloccato furbacchione");

Quasi :D http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902

Quasi :D http://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=96db902

Ah proprio "dimmi quanti byte vuoi leggere caro" :muro:

Invasione di nuovi certificati stamattina ...chissà come mai

Quindi un utente che usa periodicamente il pc andando sui vari siti, e ha memorizzato le diverse password sul browser cosa dovrebbe fare?
Idem per la posta elettronica. :confused: :confused: :confused:

Grazie a XKCD una bella spiegazione del bug:

http://imgs.xkcd.com/comics/heartbleed_explanation.png

Una lista dei maggiori siti affetti da tale bug, con annessa spiegazione se erano affetti, se l'hanno risolta, se è meglio cambiarne la password di accesso.

http://www.cnet.com/news/which-sites-have-patched-the-heartbleed-bug/

Una lista dei maggiori siti affetti da tale bug, con annessa spiegazione se erano affetti, se l'hanno risolta, se è meglio cambiarne la password di accesso.

http://www.cnet.com/news/which-sites-have-patched-the-heartbleed-bug/

e la madosca... insomma bisogna cambiare la password di tutto...che sbattimento di :mad: :mad: :mad: :cry: :cry: :cry: :cry:

e la madosca... insomma bisogna cambiare la password di tutto...che sbattimento di :mad: :mad: :mad: :cry: :cry: :cry: :cry:

Io quella di Facebook non la cambio, aspetto che mi freghino l'account cosi' lo abbandono definitivamente. :sofico:

Io quella di Facebook non la cambio, aspetto che mi freghino l'account cosi' lo abbandono definitivamente. :sofico:

Ahahahahhaa...ma quindi c'è il 99% delle probabilità che i ns account vengano fregati ed utilizzati per altri scopi?

Non capisco!! :confused: :confused: :confused:

Una lista dei maggiori siti affetti da tale bug, con annessa spiegazione se erano affetti, se l'hanno risolta, se è meglio cambiarne la password di accesso.

http://www.cnet.com/news/which-sites-have-patched-the-heartbleed-bug/

i primi nella lista sono quelli più "social"!!!:p

Il problema più pressante è per coloro che utilizzano la stessa password per vari siti (sappiamo tutti che non va fatto, ma moltissimi sono semplicemente pigri): basta che ne abbiano beccata una con questo metodo (che esiste da 2 anni ormai), e saranno vulnerabili anche gli altri account con la stessa password.

Un aiuto può essere l'autenticazione a 2 fattori, che molti siti offrono: senza il secondo fattore (sms, codice con l'app, ecc.), l'accesso non si può effettuare, ma non tutti i siti la offrono, e quasi nessun utonto medio sa nemmeno che esista.

Personalmente uso 1password per la creazione e lo stoccaggio ci password casuali sempre diverse, e, dove esiste, ho sempre attiva l'autenticazione a due fattori, quindi sono relativamente preoccupato. Nonostante questo, ieri sera, ho speso una ventina di minuti a cambiare tutte le password dei siti elencati.

Bello...
Ok, ora come detto molti siti hanno protocolli di sicurezza aggiuntivi come la conferma via sms ecc...
in questo caso, è comunque necessario cambiare la password?

Voglio dire, se qualcuno mi avesse rubato la psw di facebook mediante questo bug (ipotesi remota, dubito che qualcuno a conoscenza del bug fosse interessato al mio profilo :asd: ), e avesse tentato il login dovrebbe essermi arrivato un sms no?

idem per altri siti più rilevanti come banche, paypal ecc