Как сообщает Педивикия в протоколе SSL была обнаружена уязвимость. В переводе на русский - любой почтовый пароль или пароль доступа к сайту может быть взломан без особых проблем. Подробность тут - http://ru.wikipedia.org/wiki/Heartbleed Яндекс уже во всю предлагает сменить пароль к почте и другим ресурсам. Данная ошибка распространяется на закрытые соединения с сервером. Например про протоколу https:// А также для всех почтовых протоколов. Насколько я понимаю, пароли в ВФ НЕ хранятся с использованием SSL. Поэтому означенная дыра в безопасности для ВФ не действует. Так что менять пароль ВФ нет необходимости. Но, надеюсь, сисадмин отпишется тут с разъяснением.
rr, Вы, милейший, чем щёки пузырями надувать сообщите общественности уровень Вашего понимания В каком "не протоколе", кто такой "не любой"
Redrik, "Ошибка появилась в версии OpenSSL 1.0.1 и исправлена в версии 1.0.1g." -- это по вашей ссылке OpenSSL - это криптографический пакет, который очень широко используется, - оттого и беда, что он много где установлен. Сайты, использующие старую версию, подвержены проблеме. И их много. И менять на них пароль - бессмысленно, потому что проблема остаётся прежней. Менять пароль следует для сайтов, где версия обновлена. Сказать, есть смысл менять пароль или нет, могут только владельцы сайтов. То бишь Яндекс явно обновился, раз говорит поменять. И таки да - это актуально только где используется https - то есть все банки, почта и так далее.
имхо, больше вреда будет от смены паролей, чем от некоей уязвимости, которой могли воспользоваться злоумышленники.
rr, удтвительно. именно про это же я и говорил. Вкупе с тем, что Яндекс сейчас прямо рекомендует сменить пароли, полагаю, что это будет весьма целесообразно не только на Яндекс-почте, но и на майле, жымайле, и прочих учетках, включая банковские. ИМХО, это логично сделать через два-три дня, может быть и через неделю. И вообще, раз в полгода разумно менять пароли. Во всяком случае, моя убунта и РедХат уже САМИ обновили SSL, следовательно есть уверенность в том, что другие сервера УЖЕ это проделали или проделают в ближайшие несколько дней. ======= Меня пару раз приятно порадовало, что мои хорошие друзья и знакомые посылали меня на три буквы именно по почте в весьма изысканных выражениях и лексики, которой не обладали в повседневной жизни. Перезвонив им по телефону и прочитав что "они" мне написали - мы дружно поржали. Удивило другое. Мой товарисчъ тут же поменял пароль на майле.ру, однако спам с его ящика опять начал поступать уже через месяц. Разумно озаботиться этим вопросом и позвонить в техотдел. Если они знают про обсуждаемую проблему и приняли все меры для обновления протокола SSL (пароли ломались на стороне сервера), то имеет смысл пароли поменять. Если в банке не в курсе, то от смены пароля большого смысла нет. Однако, если у Вас есть опция подтверждения банковских операций и перечислений по SMS, то можно достаточно спокойно себя чувствовать. Взломать И учетку банка, И Ваш телефон одновременно могут только супер-пупер спецслужбы. К тому же, в связи с принятием какого-то закона (номер не помню), ответственность за удаленные банковские операции лежит на банке, если тот не в состоянии доказать аутентичность транзакции лично Вами. (ЗЫ. если у Вас сбер - наверняка они обновились)
У сбера и втб проблем не было. А вот другие банки испытывали проблемы. Например, у Альфа Банка несколько дней можно было узнать логины/пароли, Русский стандарт со вчерашнего вечера САМ начал высылать новые пароли пользователям.
Но если честно,то я не понимаю, как можно скрасть деньги чужие, даже зная пароли его инетбанкинга. Ведь сейчас каждая операция подтверждается смс-кой...
rr, правда? У меня, правда, не так много банкингов, всего 6, но во всех смс-подтверждение присутствует. СБ, ГП, ТКС, айманя, РС, киви... Поэтому я и считал, что это уже стандарт для всех банкингов...
Смска смске рознь: есть пароль для подтверждения операции, далеко не везде, а есть смс-информирование об уже совершенной транзакции.. Оно конечно хорошо, только не думаю, что сильно полезно, разве что раньше узнаете о том, что ваши денежки стырили)
Пипец, как удивительно. Как подделывать заголовки писем, совсем не знаем? Я могу написать письмо хоть от имени папы римского.
May_bee, информирование видел только на вход в сам банк, а на операции везде смс-пароль. И функцию отключения видел только на вход в банк, на подтверждение операции не видел ни разу.
ДСКбанка в Болгарии не использует смс-подтверждения по дефолту. Нужно прийти заяву писать, чтобы использовать. Это платная услуга.
Хах, ну и нагнал ты тут сраху. Эта уязвимость явно избыточно сложно реализуема для задач злоумышленников, которые могли бы угрожать широкому кругу пользователей SSL. Для этого обычно намного эффективнее используют социнжинерию и тд. Так вот боятса надо именно втрого, и не только вот в это время а вообще постоянно. Тут вот с месяц назад притащили 3 ящика с бухгалтерией, где все доки и БД были зашифрованы асимметричным ключем, да так что подбирать закрытую часть ключа на каком нибудь сугубо бытовом тостере просто невыгодно ПО ВРЕМЕНИ. А всего-то пришло письмо "из сбербанка" с грамотно упакованным даунлоадером, которого долгое время не видел ни один антивирус. ---------- Сообщение добавлено 15.04.2014 01:19 ---------- Сабжевая уязвимость вообще ВФ не касается, так как SSL при обмене данными тут не используется (для этого нужна поддержка https).