Heartbleed, bag o kojem bruji internet

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)
Ako su tebi poruke i slike sa fejsa najosetljiviji podaci, onda ti mozes bezbrizno da zivis

persej jesi ti citao tekst? nema veze sa hardverom koji koristis nego sa webom. eplovci...

@Persej
Fasciniraju me ljudi opsednuti nekim uredjajima/kompanijama. Apple mitomani i oni koji veruju u neranjivost Apple uredjaja vec prelaze u vode religioznog fanatizma.

Ne koristim trenutno ni jedan Apple uredjaj, pa nisam bas u toku sa patch-evima i ne znam sta je navedeni patch ispravio. Ono sto znam je da sam danas testirao komunikaciju iPhone 5 sa kompanijskim mail serverom i da sam bez problema pokupio pristupnu sifru. Lakse cak nego kod Androida. Android makar ima neku bazicnu enkripciju kada prosledjuje sifre (koja se doduse razbije za par sekundi), pa ne moze bas svako dete koje pokupi skript sa neta da skida navodno zasticene podatke.

Apple je neuporedivo sigurniji od drugih platformi? Pa, o verskim ubedjenjima se ne raspravlja...

Nije primena nego implementacija. I ova bezbedonosna rupa je veliki problem zato što omogućava trećim licima neovlašćen pristup serverskoj memoriji, prisutna je čak dve godine i ne ostavlja tragove. Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!

Slucajno? Posle sneska nije me lako ubediti u slucajnosti vezane za backdoorove u protokolima za zastitu informacija. za GSM znamo zasto ima rupu vreme je i da se i u ostalim sferama prepozna uticaj agencija

Jos lepse, neko je mogao/moze da dodje u posed vaseg privatnog kljuca, a da ne ostavi nikakav trag. Dalje sa tim moze da pristupa datom servisu, prakticno dok ne zamenite sertifikat.
I, Yahoo je ispravio gresku kod sebe jutros...

Ceo dan updatejum servere. Fu...

Bez brige, pornhub, redtube i xhamster su sigurni. Problem sto je youjizz nesiguran :(

Ja sam danas video i instalirao update za openssl. Sada je v1.0.1, a kad je stigao ne znam.

Ceo dan updatejum servere. Fu...

@ (Persej, 09. april 2014 18:34)
Komšija, ovo nema veze sa uređajem koji ti koristiš, već sa načinom na koji je realizovana sigurna komunikacija na serverima kojima pristupaš. Kao da je rečeno da su telefonske centrale u problemu i da neko preko određenih centrala može da telefonira u tvoje ime, a ti kažeš - nema Veze ja sam moj iPhone upgrade-ovao. Ok, ali problem je na centrali, kapiraš?

Nije primena nego implementacija.
(Nemanja C, 9. april 2014 17:32)
Није шија него емулжн оф офскин проупулжнс. :D

Ja koristim PC kao neki debilcic pa me ovo uopste ne pogadja.

Toliko o softveru otvorenog koda, i likovima koji pisu hvalospeve o istom.

e moj efendija...jos jedan poznati eplovac. pa nema ni nema veze sa hardverom i softverom tvog uredjaja,ja to nisam ni rekao. nego sa protokolom logovanja na sajt i njegovim softverom na nekom serveru. drzi se ti tog apdejta i nemas brige siguran si.

@Blaza

Веруј у религију коју хоћеш.

Мајкрософт ценим по квалитету софтвера у целини гледано. Наравно да има и изузетака, тј. њихових лоших програма, али свеукупно гледано праве врло квалитетан софтвер.

Е, па он је имао безбедносни пропуст у курсору миша, па ексел 2007 није знао да рачуна (помножи два броја и уместо 65535 добије 100000) итд. Такве ствари су потпуно нормалне.

Тај опен-ес-ес-ел држи 2/3 тржишта и овај случај неће то битно променити, баш као што ни поменути баг у екселу 2007 није навео банкаре да пређу на други програм исте намене.

Za sada pretpostavka da su bag prvi otkrili i "upotrebili" istraživači koji su ga i prijavili i dalje stoji - još nije prijavljen konkretan slučaj zloupotrebe.

Što se Apple-a tiče, može da se proveri u repozitorijima da su izdali patch manje-više kad i većina FLOSS zajednice - u roku od sat vremena nakon objave. Za razliku od Microsofta, koji obično čeka jesen za ovakve stvari, Apple je ovom prilikom reagovao više nego pristojno, poput većine.

Sav iole složeniji softver na svetu verovatno ima greške. Štos je u tome kako se s greškama nositi, a FLOSS to radi za svaku pohvalu, od nastanka - niko ništa ne taji, sve je javno, a popravke i poboljšanja dostupna su obično u roku od par minuta do par sati. Uporedite to s "kumulativnim pečevima" kakve Microsoft izdaje po tromesečijima, krpeći samo ono na šta ih pravni tim pištoljem natera, i sve je jasno koliko zapravo zatvoreni kod vredi!

A da je kod openssl-a generalno jedna velika svinjarija kodirana repovima, slažu se svi koji su ikada i probali da pročitaju deo koda te alatke, pisane u doba nežnog Interneta, i nikada pristojno očišćene...

Microsoft, Apple i Google servisi nisu pogođeni. Kanadske banke i većina američkih nisu pogođeni. Pogođeni su samo oni koji koriste Open SSL. Legendarni Bruce Schneier opisuje situaciju kao katastrofu: "Catastrophic is the right word. On the scale of 1 to 10, this is an 11." Preko pola miliona sajtova koji su se oslonili na "slobodan softver" je već skoro tri godine otvoreno, na izvolite. Napadač može da pokupi 64KB iz memorije servera, pa šta zahvati, od imena i lozinke za vaš bankovni račun pa na dalje.
Dodatni problem su gomile "embedded" sistema koji ne mogu da se zakrpe. Npr. ako je neko koristio Open SSL za bankomate.
Možda je ovo moglo da se desi svakome, ali se desilo "slobodnom softveru" i ovo će bez sumnje biti težak udarac za zajednicu. Leteće glave! Kanadska poreska uprava je oborila sajt dok ga ne obezbedi, i to dvadesetak dana pre roka za podnošenje poreskih prijava. Najavljeno je da će rokovi za prijavu poreza biti produženi par dana radi ovoga. (Da li znate koliko košta kada G8 nacija zakasni sa plaćanjem poreza samo jedan dan?)
Neko će pitati: u čemu je razlika, to se moglo desiti bilo kome? U odgovornosti! Imate nekoga koga možete da krivite. Imate nekoga koga možda možete i da tužite. IT Direktor može da opere ruke i kaže: kriv je Microsoft, Oracle, Apple... Ovde je sam priteran uz zid i njegova glava će da leti.

Kraljevi sad pisu o tome i rade a apple jos Zimus updajtovao zakrpu za to bukvalno update samo za to izasao i to dobili svi ajfoni od prvog do zadnjeg

@?Zoki

"samo Openssl" u praksi je skoro svaka kompanija koja koristi Linux servere, a to su sve kompanije koje si naveo, Google, Apple pa i Microsoft indirektno koristi Linux tako sto koriste usluge CDN provajdera i slicno (Akamai), a to takodje pokrecu Linux serveri. Da li su Google i ostali bili pogodjeni ovim bug-om zavisi od verzije Openssla koji je instaliran, konkrektno problem postoji samo u novijim verzijama i zavisi od toga kada su uradili update.

@mikiv

Update ni nema veze sa hardverom nego sa softverom koji ima veze sa vebom. Šta ti nije jasno?
Ne možemo apdejtovati procesor nego operativni sistem ili aplikaciju.

@Blaza
Toliko o razumevanju ljudi sta je to open source. Upravo zato je i otkriven bug. To sto je kritican i pogadja puno ljudi to je druga stvar. A ti i dalje veruj da si siguran zato sto stoji jaka firma iza necega. Npr. EMC/RSA prodaje closed source resenja, ljudi su prakticno izmislili RSA algoritam i 8g su prodavali resenje sa losim generatorom slucajnih brojeva. Mislis da su ostali bolji?

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)

Facebook koristi SSL samo za login. :D

@mikiv
Ja se nisam ni pozivao na apdejt, mene ovo generalno ne pogadja ni najmanje. Samo sam ukazao da apdejt nema nikakve veze sa hardverom, da moze da ima samo sa softverom. :)

Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...

Cim sam saznao, odmah sam apgrejdovao openssl na svim masinama.

neki su iskorsitili priliku da popljuju FOSS jer im FOSS omogucava da analiziraju source code svojerucno i nadju probleme. Pretpostavljam da to znaci da duboko veruju da kompanije koje prave closed source/propriatery NIKAD ne bi DALE pristup trecim licima iz koristi? cak iako je mogucnost otkrivanja 'backdoor' veoma mala - statisticki beznacajna? Mislite o tome...u kapitalizmu je sve na prodaju .. neke uhvate a neke ne.. izdajnici su oni koji su uhvaceni ...

Ima update vec neko vreme. yum update ssl* -y

moj ortak se svojevremeno hvalio kako upada u servere pentagona, nase.... beše to pre jedno 2, 3 godine. inače radi za oracle od 1998.

u redu je efendija,idi kuckaj na ajdedu nesto.

@mikiv

Ne znam ni što sam pokušao da prosvetlim nekoga ko daje takve odgovore :) Izgubljen slučaj očito.

@mikiv

Ne znam ni što sam pokušao da prosvetlim nekoga ko daje takve odgovore :) Izgubljen slučaj očito.

@Pao s' Marsa

A zašto izmišljaš? Da li zaista mislite da je u većem problemu neko ko jako voli odredjeni brend ili vi koji izmišljate lažne informacije o tom brendu? Pitajmo nekog psihologa to.
Ovo što si ti napisao jednostavno nije istina i plus je tragikomično.

@Zoki,

У стварности епл, мајкрософт и остале компаније не одговарају за квалитет својих производа. ИТ директор може само да се вади код генералног да су криви они, а не он, баш као и у случају опенсорс решења. Од њих с ене може добити у случају проблема ништа осим закрпе, баш као и у случају отвореног кода.

Већина производа се данас продаје са ограниченом гаранцијом до вредности уређаја. Дакле, замениће ти неиспраан уређај исправним или ће га поправити, а штета коју си претрпео коришћењем уређаја, а услед његове неисправности их не занима. Када ти у гаранцији пише да укључује повратак изгубљених података са неисправног хард диска, ту се помиње само покушај, а успех се не гарантује. Тако је и са софтвером.

Такође, у стварности се свима дешавају сличне ствари. Овај случај није нипочему посебан. Лично сматрам да је узимање затворених решења која су релевантна за безбедност, неозбиљно.

Неки мисле да је сигурност у неотварању кода да проблеми не би били пронађени. То је као када би рекли да је бацање копља лакша дисциплина од бацања кугле јер је копље лаганије или да је бацање кугле лакше јер не мора да се баци толико далко као копље. У обема дисциплинама има конкуренције која треба да се надмаши и у том смислу је тежа она где влада веће интересовање, па је конкуренција јача. Исто је и овде. Разлика је само у немогућности намерног слабљења безбедности када је опенсорс у питању.

@Milan

Није проблем у стандарду, већ у имплементацији.

"Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...
(Milan, 10. april 2014 11:32)"

Ako je ovo aluzija na ideju da je neka agencija poput NSA znala ili čak i podmetnula ovo, onda je ne samo da ne razumeš značaj otvorenog softvera, nego ne razumeš ni načine opstajanja agencije poput NSA.

NSA dobija apusrdno velike svote novca iz budžeta SAD prvenstveno (a "na papiru" isključivo) da bi "zaštitila SAD" - skrivanjem znanja o ovakvom propustu, ili namernim izazivanjem ovakvog propusta, ne bi samo omogućila sebi nadzor, nego bi istovremeno otvorila ista ta vrata Kinezima, Rusima, i uopšte svima koji požele da sabotiraju Američke kompanije na Internetu. Pita bi završila kao neuporedivo skuplja od tepsije.

Što se tiče razvoja otvorenog softvera, to je samo model razvoja softvera koji se najpre podudara sa strogim akademskim metodologijama, standardima, i zahtevima. Takozvani "peer-to-peer review" element tog metoda koji se praktikuje u FLOSS zajednicama je bez premca, i superioran je u odnosu na sve metode, pa takav softver i zbog toga koriste mnoge kompanije, uključujući i Apple i Microsoft, a ne samo zato što je jeftin ili besplatan.

Svi greše. Ono što je bitno jeste kako se nositi s greškama. Za Heartbleed je trebalo sat vremena...

Cini se da jedino MSFT nema ovaj problem:), kako to bre taman sam ih mislio nagrditi:)

@Maks

Pa ok, cak i da nisu pogodjeni ovim bug-om, imali su vec jedan SSL bug za iOS i OS X pre par meseci, to im je sasvim dovoljno :)

"Čak 66 odsto interneta možda je ugroženo sigurnosnim propustom nazvanim Heartbleed."

Eh, sad, ne preterujte - pa nije valjda 66% Interneta ovisno o FLOSS softveru? ;)

@ (Pao s' Marsa, 9. april 2014 22:12)

Vidi ovo: http://www.macrumors.com/2014/04/10/apple-heartbleed/

Apple Confirms 'Heartbleed' Security Issue Did Not Affect Apple Software and 'Key Services'

Apple today released a statement to Re/code confirming that iOS, OS X and "key web services" were unaffected by the widely publicized security flaw known as Heartbleed which was disclosed earlier this week.

“Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key web-based services were not affected,” an Apple spokesperson told Re/code.

Znači, Appleov glasnogovornik je potvrdio da taj bug ne pogađa iOS i OS X i da Appleovi web servisi nisu bili pogođeni tim bugom.

@Недељко Стефановић
Veruj mi na reč: daleko je jednostavnije okriviti npr. Microsoft nego open source zajednicu za neki propust. Koncept je komplikovan i suočavaš se gomilom pitanja. Po pravilu, inicijative za upotrebu slobodnog softvera dolaze od IT. "Sve se to ne bi desilo da vas nismo poslušali..." "Zašto ste tražili slobodan softver ako niste u stanju da ga pročitate i ispravite grešku?"
Po pitanju namernog slabljenja bezbednosti, zašto misliš da je to kod open source nemoguće? Teoretski, neko sa fizičkim pristupom serveru može da zameni softver nekom svojom verzijom. Ko će da proveri da li je to taj softver modifikovan i šta su sve bile modifikacije?

@Supercalifragilisticexpialidocious
Očigledno je da sve kompanije koje koriste Linux nisu koristile i OpenSSL. A problem je prisutan od 2011, tako da nisu u pitanju samo najnovije verzije.

@ (bager, 11. april 2014 13:41)

Taj SSL bug koji pominješ da je Apple imao pre par meseci je i zakrpljen bio tada kada su ga otkrili (nakon što je objavljeno da je taj bug postojao, vrlo brzo je izašao update i za iOS i za OS X i to je zakrpljeno još tada).... znači, to je sređeno i više nije issue, a da li su ranije imali neki bug smatram da je irelevantno ako je to ispravljeno još ranije.

Kraljevi sad pisu o tome i rade a apple jos Zimus updajtovao zakrpu za to bukvalno update samo za to izasao i to dobili svi ajfoni od prvog do zadnjeg

Toliko o softveru otvorenog koda, i likovima koji pisu hvalospeve o istom.

Nije primena nego implementacija. I ova bezbedonosna rupa je veliki problem zato što omogućava trećim licima neovlašćen pristup serverskoj memoriji, prisutna je čak dve godine i ne ostavlja tragove. Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!

Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...

Ja koristim PC kao neki debilcic pa me ovo uopste ne pogadja.

@Persej
Fasciniraju me ljudi opsednuti nekim uredjajima/kompanijama. Apple mitomani i oni koji veruju u neranjivost Apple uredjaja vec prelaze u vode religioznog fanatizma.

Ne koristim trenutno ni jedan Apple uredjaj, pa nisam bas u toku sa patch-evima i ne znam sta je navedeni patch ispravio. Ono sto znam je da sam danas testirao komunikaciju iPhone 5 sa kompanijskim mail serverom i da sam bez problema pokupio pristupnu sifru. Lakse cak nego kod Androida. Android makar ima neku bazicnu enkripciju kada prosledjuje sifre (koja se doduse razbije za par sekundi), pa ne moze bas svako dete koje pokupi skript sa neta da skida navodno zasticene podatke.

Apple je neuporedivo sigurniji od drugih platformi? Pa, o verskim ubedjenjima se ne raspravlja...

Microsoft, Apple i Google servisi nisu pogođeni. Kanadske banke i većina američkih nisu pogođeni. Pogođeni su samo oni koji koriste Open SSL. Legendarni Bruce Schneier opisuje situaciju kao katastrofu: "Catastrophic is the right word. On the scale of 1 to 10, this is an 11." Preko pola miliona sajtova koji su se oslonili na "slobodan softver" je već skoro tri godine otvoreno, na izvolite. Napadač može da pokupi 64KB iz memorije servera, pa šta zahvati, od imena i lozinke za vaš bankovni račun pa na dalje.
Dodatni problem su gomile "embedded" sistema koji ne mogu da se zakrpe. Npr. ako je neko koristio Open SSL za bankomate.
Možda je ovo moglo da se desi svakome, ali se desilo "slobodnom softveru" i ovo će bez sumnje biti težak udarac za zajednicu. Leteće glave! Kanadska poreska uprava je oborila sajt dok ga ne obezbedi, i to dvadesetak dana pre roka za podnošenje poreskih prijava. Najavljeno je da će rokovi za prijavu poreza biti produženi par dana radi ovoga. (Da li znate koliko košta kada G8 nacija zakasni sa plaćanjem poreza samo jedan dan?)
Neko će pitati: u čemu je razlika, to se moglo desiti bilo kome? U odgovornosti! Imate nekoga koga možete da krivite. Imate nekoga koga možda možete i da tužite. IT Direktor može da opere ruke i kaže: kriv je Microsoft, Oracle, Apple... Ovde je sam priteran uz zid i njegova glava će da leti.

@Pao s' Marsa

A zašto izmišljaš? Da li zaista mislite da je u većem problemu neko ko jako voli odredjeni brend ili vi koji izmišljate lažne informacije o tom brendu? Pitajmo nekog psihologa to.
Ovo što si ti napisao jednostavno nije istina i plus je tragikomično.

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)
Ako su tebi poruke i slike sa fejsa najosetljiviji podaci, onda ti mozes bezbrizno da zivis

moj ortak se svojevremeno hvalio kako upada u servere pentagona, nase.... beše to pre jedno 2, 3 godine. inače radi za oracle od 1998.

@mikiv

Update ni nema veze sa hardverom nego sa softverom koji ima veze sa vebom. Šta ti nije jasno?
Ne možemo apdejtovati procesor nego operativni sistem ili aplikaciju.

@ (Pao s' Marsa, 9. april 2014 22:12)

Vidi ovo: http://www.macrumors.com/2014/04/10/apple-heartbleed/

Apple Confirms 'Heartbleed' Security Issue Did Not Affect Apple Software and 'Key Services'

Apple today released a statement to Re/code confirming that iOS, OS X and "key web services" were unaffected by the widely publicized security flaw known as Heartbleed which was disclosed earlier this week.

“Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key web-based services were not affected,” an Apple spokesperson told Re/code.

Znači, Appleov glasnogovornik je potvrdio da taj bug ne pogađa iOS i OS X i da Appleovi web servisi nisu bili pogođeni tim bugom.

Ceo dan updatejum servere. Fu...

Nije primena nego implementacija.
(Nemanja C, 9. april 2014 17:32)
Није шија него емулжн оф офскин проупулжнс. :D

Ceo dan updatejum servere. Fu...

@mikiv

Ne znam ni što sam pokušao da prosvetlim nekoga ko daje takve odgovore :) Izgubljen slučaj očito.

@ (bager, 11. april 2014 13:41)

Taj SSL bug koji pominješ da je Apple imao pre par meseci je i zakrpljen bio tada kada su ga otkrili (nakon što je objavljeno da je taj bug postojao, vrlo brzo je izašao update i za iOS i za OS X i to je zakrpljeno još tada).... znači, to je sređeno i više nije issue, a da li su ranije imali neki bug smatram da je irelevantno ako je to ispravljeno još ranije.

u redu je efendija,idi kuckaj na ajdedu nesto.

@mikiv

Ne znam ni što sam pokušao da prosvetlim nekoga ko daje takve odgovore :) Izgubljen slučaj očito.

persej jesi ti citao tekst? nema veze sa hardverom koji koristis nego sa webom. eplovci...

Znači neko je mogao da preuzme vašu šifru, sve slike i privatne poruke sa fejsa recimo i da niko o tome nema pojma niti da može naknadno da proveri. Zastrašujuće!
(Nemanja C, 9. april 2014 17:32)

Facebook koristi SSL samo za login. :D

@mikiv
Ja se nisam ni pozivao na apdejt, mene ovo generalno ne pogadja ni najmanje. Samo sam ukazao da apdejt nema nikakve veze sa hardverom, da moze da ima samo sa softverom. :)

Jos lepse, neko je mogao/moze da dodje u posed vaseg privatnog kljuca, a da ne ostavi nikakav trag. Dalje sa tim moze da pristupa datom servisu, prakticno dok ne zamenite sertifikat.
I, Yahoo je ispravio gresku kod sebe jutros...

Slucajno? Posle sneska nije me lako ubediti u slucajnosti vezane za backdoorove u protokolima za zastitu informacija. za GSM znamo zasto ima rupu vreme je i da se i u ostalim sferama prepozna uticaj agencija

@Blaza

Веруј у религију коју хоћеш.

Мајкрософт ценим по квалитету софтвера у целини гледано. Наравно да има и изузетака, тј. њихових лоших програма, али свеукупно гледано праве врло квалитетан софтвер.

Е, па он је имао безбедносни пропуст у курсору миша, па ексел 2007 није знао да рачуна (помножи два броја и уместо 65535 добије 100000) итд. Такве ствари су потпуно нормалне.

Тај опен-ес-ес-ел држи 2/3 тржишта и овај случај неће то битно променити, баш као што ни поменути баг у екселу 2007 није навео банкаре да пређу на други програм исте намене.

Za sada pretpostavka da su bag prvi otkrili i "upotrebili" istraživači koji su ga i prijavili i dalje stoji - još nije prijavljen konkretan slučaj zloupotrebe.

Što se Apple-a tiče, može da se proveri u repozitorijima da su izdali patch manje-više kad i većina FLOSS zajednice - u roku od sat vremena nakon objave. Za razliku od Microsofta, koji obično čeka jesen za ovakve stvari, Apple je ovom prilikom reagovao više nego pristojno, poput većine.

Sav iole složeniji softver na svetu verovatno ima greške. Štos je u tome kako se s greškama nositi, a FLOSS to radi za svaku pohvalu, od nastanka - niko ništa ne taji, sve je javno, a popravke i poboljšanja dostupna su obično u roku od par minuta do par sati. Uporedite to s "kumulativnim pečevima" kakve Microsoft izdaje po tromesečijima, krpeći samo ono na šta ih pravni tim pištoljem natera, i sve je jasno koliko zapravo zatvoreni kod vredi!

A da je kod openssl-a generalno jedna velika svinjarija kodirana repovima, slažu se svi koji su ikada i probali da pročitaju deo koda te alatke, pisane u doba nežnog Interneta, i nikada pristojno očišćene...

e moj efendija...jos jedan poznati eplovac. pa nema ni nema veze sa hardverom i softverom tvog uredjaja,ja to nisam ni rekao. nego sa protokolom logovanja na sajt i njegovim softverom na nekom serveru. drzi se ti tog apdejta i nemas brige siguran si.

@Blaza
Toliko o razumevanju ljudi sta je to open source. Upravo zato je i otkriven bug. To sto je kritican i pogadja puno ljudi to je druga stvar. A ti i dalje veruj da si siguran zato sto stoji jaka firma iza necega. Npr. EMC/RSA prodaje closed source resenja, ljudi su prakticno izmislili RSA algoritam i 8g su prodavali resenje sa losim generatorom slucajnih brojeva. Mislis da su ostali bolji?

Cim sam saznao, odmah sam apgrejdovao openssl na svim masinama.

@Zoki,

У стварности епл, мајкрософт и остале компаније не одговарају за квалитет својих производа. ИТ директор може само да се вади код генералног да су криви они, а не он, баш као и у случају опенсорс решења. Од њих с ене може добити у случају проблема ништа осим закрпе, баш као и у случају отвореног кода.

Већина производа се данас продаје са ограниченом гаранцијом до вредности уређаја. Дакле, замениће ти неиспраан уређај исправним или ће га поправити, а штета коју си претрпео коришћењем уређаја, а услед његове неисправности их не занима. Када ти у гаранцији пише да укључује повратак изгубљених података са неисправног хард диска, ту се помиње само покушај, а успех се не гарантује. Тако је и са софтвером.

Такође, у стварности се свима дешавају сличне ствари. Овај случај није нипочему посебан. Лично сматрам да је узимање затворених решења која су релевантна за безбедност, неозбиљно.

Неки мисле да је сигурност у неотварању кода да проблеми не би били пронађени. То је као када би рекли да је бацање копља лакша дисциплина од бацања кугле јер је копље лаганије или да је бацање кугле лакше јер не мора да се баци толико далко као копље. У обема дисциплинама има конкуренције која треба да се надмаши и у том смислу је тежа она где влада веће интересовање, па је конкуренција јача. Исто је и овде. Разлика је само у немогућности намерног слабљења безбедности када је опенсорс у питању.

@Milan

Није проблем у стандарду, већ у имплементацији.

Ja sam danas video i instalirao update za openssl. Sada je v1.0.1, a kad je stigao ne znam.

Ima update vec neko vreme. yum update ssl* -y

neki su iskorsitili priliku da popljuju FOSS jer im FOSS omogucava da analiziraju source code svojerucno i nadju probleme. Pretpostavljam da to znaci da duboko veruju da kompanije koje prave closed source/propriatery NIKAD ne bi DALE pristup trecim licima iz koristi? cak iako je mogucnost otkrivanja 'backdoor' veoma mala - statisticki beznacajna? Mislite o tome...u kapitalizmu je sve na prodaju .. neke uhvate a neke ne.. izdajnici su oni koji su uhvaceni ...

Cini se da jedino MSFT nema ovaj problem:), kako to bre taman sam ih mislio nagrditi:)

Bez brige, pornhub, redtube i xhamster su sigurni. Problem sto je youjizz nesiguran :(

@Maks

Pa ok, cak i da nisu pogodjeni ovim bug-om, imali su vec jedan SSL bug za iOS i OS X pre par meseci, to im je sasvim dovoljno :)

@ (Persej, 09. april 2014 18:34)
Komšija, ovo nema veze sa uređajem koji ti koristiš, već sa načinom na koji je realizovana sigurna komunikacija na serverima kojima pristupaš. Kao da je rečeno da su telefonske centrale u problemu i da neko preko određenih centrala može da telefonira u tvoje ime, a ti kažeš - nema Veze ja sam moj iPhone upgrade-ovao. Ok, ali problem je na centrali, kapiraš?

@?Zoki

"samo Openssl" u praksi je skoro svaka kompanija koja koristi Linux servere, a to su sve kompanije koje si naveo, Google, Apple pa i Microsoft indirektno koristi Linux tako sto koriste usluge CDN provajdera i slicno (Akamai), a to takodje pokrecu Linux serveri. Da li su Google i ostali bili pogodjeni ovim bug-om zavisi od verzije Openssla koji je instaliran, konkrektno problem postoji samo u novijim verzijama i zavisi od toga kada su uradili update.

"Čak 66 odsto interneta možda je ugroženo sigurnosnim propustom nazvanim Heartbleed."

Eh, sad, ne preterujte - pa nije valjda 66% Interneta ovisno o FLOSS softveru? ;)

"Pa SSL standard je onda namerno i pravljen sa tim propustom kako bi neke interesne grupe ili drzave imale slobodan pristup vasim podacima i pri koriscenju SSL protokola. Nista novo. Svaki softver se sad tako pravi...
(Milan, 10. april 2014 11:32)"

Ako je ovo aluzija na ideju da je neka agencija poput NSA znala ili čak i podmetnula ovo, onda je ne samo da ne razumeš značaj otvorenog softvera, nego ne razumeš ni načine opstajanja agencije poput NSA.

NSA dobija apusrdno velike svote novca iz budžeta SAD prvenstveno (a "na papiru" isključivo) da bi "zaštitila SAD" - skrivanjem znanja o ovakvom propustu, ili namernim izazivanjem ovakvog propusta, ne bi samo omogućila sebi nadzor, nego bi istovremeno otvorila ista ta vrata Kinezima, Rusima, i uopšte svima koji požele da sabotiraju Američke kompanije na Internetu. Pita bi završila kao neuporedivo skuplja od tepsije.

Što se tiče razvoja otvorenog softvera, to je samo model razvoja softvera koji se najpre podudara sa strogim akademskim metodologijama, standardima, i zahtevima. Takozvani "peer-to-peer review" element tog metoda koji se praktikuje u FLOSS zajednicama je bez premca, i superioran je u odnosu na sve metode, pa takav softver i zbog toga koriste mnoge kompanije, uključujući i Apple i Microsoft, a ne samo zato što je jeftin ili besplatan.

Svi greše. Ono što je bitno jeste kako se nositi s greškama. Za Heartbleed je trebalo sat vremena...

@Недељко Стефановић
Veruj mi na reč: daleko je jednostavnije okriviti npr. Microsoft nego open source zajednicu za neki propust. Koncept je komplikovan i suočavaš se gomilom pitanja. Po pravilu, inicijative za upotrebu slobodnog softvera dolaze od IT. "Sve se to ne bi desilo da vas nismo poslušali..." "Zašto ste tražili slobodan softver ako niste u stanju da ga pročitate i ispravite grešku?"
Po pitanju namernog slabljenja bezbednosti, zašto misliš da je to kod open source nemoguće? Teoretski, neko sa fizičkim pristupom serveru može da zameni softver nekom svojom verzijom. Ko će da proveri da li je to taj softver modifikovan i šta su sve bile modifikacije?

@Supercalifragilisticexpialidocious
Očigledno je da sve kompanije koje koriste Linux nisu koristile i OpenSSL. A problem je prisutan od 2011, tako da nisu u pitanju samo najnovije verzije.