1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

В протоколе SSL была обнаружена уязвимость!!! Срочно меняйте пароли!!!

Тема в разделе "О жизни", создана пользователем Redrik, 12.04.14.

  1. Redrik

    Redrik Активный участник

    14.021
    0
    Как сообщает Педивикия в протоколе SSL была обнаружена уязвимость.
    В переводе на русский - любой почтовый пароль или пароль доступа к сайту может быть взломан без особых проблем.
    Подробность тут - http://ru.wikipedia.org/wiki/Heartbleed

    Яндекс уже во всю предлагает сменить пароль к почте и другим ресурсам.

    Данная ошибка распространяется на закрытые соединения с сервером. Например про протоколу https://
    А также для всех почтовых протоколов.
    Насколько я понимаю, пароли в ВФ НЕ хранятся с использованием SSL. Поэтому означенная дыра в безопасности для ВФ не действует. Так что менять пароль ВФ нет необходимости.
    Но, надеюсь, сисадмин отпишется тут с разъяснением.
     
  2. rr

    rr Активный участник

    7.874
    1
    не в протоколе
    и не любой

    и вообще - читайте сами сначала внимательно, нефик панику разводить
     
  3. Redrik

    Redrik Активный участник

    14.021
    0
    rr, Вы, милейший, чем щёки пузырями надувать сообщите общественности уровень Вашего понимания
    В каком "не протоколе", кто такой "не любой"
     
  4. rr

    rr Активный участник

    7.874
    1
    Redrik, "Ошибка появилась в версии OpenSSL 1.0.1 и исправлена в версии 1.0.1g."

    -- это по вашей ссылке

    OpenSSL - это криптографический пакет, который очень широко используется, - оттого и беда, что он много где установлен.

    Сайты, использующие старую версию, подвержены проблеме. И их много. И менять на них пароль - бессмысленно, потому что проблема остаётся прежней.

    Менять пароль следует для сайтов, где версия обновлена.

    Сказать, есть смысл менять пароль или нет, могут только владельцы сайтов. То бишь Яндекс явно обновился, раз говорит поменять.

    И таки да - это актуально только где используется https - то есть все банки, почта и так далее.
     
  5. Залетный гость

    Залетный гость Активный

    21.570
    6
    имхо, больше вреда будет от смены паролей, чем от некоей уязвимости, которой могли воспользоваться злоумышленники.
     
  6. May_bee

    May_bee Активный участник

    2.179
    20
    Я правильно поняла, что надо пароли от интернет-банков менять?
     
  7. Redrik

    Redrik Активный участник

    14.021
    0
    rr, удтвительно. именно про это же я и говорил.

    Вкупе с тем, что Яндекс сейчас прямо рекомендует сменить пароли, полагаю, что это будет весьма целесообразно не только на Яндекс-почте, но и на майле, жымайле, и прочих учетках, включая банковские.
    ИМХО, это логично сделать через два-три дня, может быть и через неделю.
    И вообще, раз в полгода разумно менять пароли.

    Во всяком случае, моя убунта и РедХат уже САМИ обновили SSL, следовательно есть уверенность в том, что другие сервера УЖЕ это проделали или проделают в ближайшие несколько дней.
    =======
    Меня пару раз приятно порадовало, что мои хорошие друзья и знакомые посылали меня на три буквы именно по почте в весьма изысканных выражениях и лексики, которой не обладали в повседневной жизни.
    Перезвонив им по телефону и прочитав что "они" мне написали - мы дружно поржали.
    Удивило другое. Мой товарисчъ тут же поменял пароль на майле.ру, однако спам с его ящика опять начал поступать уже через месяц.

    Разумно озаботиться этим вопросом и позвонить в техотдел.
    Если они знают про обсуждаемую проблему и приняли все меры для обновления протокола SSL (пароли ломались на стороне сервера), то имеет смысл пароли поменять.
    Если в банке не в курсе, то от смены пароля большого смысла нет.
    Однако, если у Вас есть опция подтверждения банковских операций и перечислений по SMS, то можно достаточно спокойно себя чувствовать.
    Взломать И учетку банка, И Ваш телефон одновременно могут только супер-пупер спецслужбы.

    К тому же, в связи с принятием какого-то закона (номер не помню), ответственность за удаленные банковские операции лежит на банке, если тот не в состоянии доказать аутентичность транзакции лично Вами.
    (ЗЫ. если у Вас сбер - наверняка они обновились)
     
  8. IceCube

    IceCube Активный участник

    1.039
    2
    У сбера и втб проблем не было. А вот другие банки испытывали проблемы. Например, у Альфа Банка несколько дней можно было узнать логины/пароли, Русский стандарт со вчерашнего вечера САМ начал высылать новые пароли пользователям.
     
  9. Zebra21

    Zebra21 Активный участник

    16.893
    91
    Но если честно,то я не понимаю, как можно скрасть деньги чужие, даже зная пароли его инетбанкинга. Ведь сейчас каждая операция подтверждается смс-кой...
     
  10. Pilot154

    Pilot154 Активный участник

    1.288
    0
    Так же не понимаю, без возможности смс-подтверждения пароль не имеет большой ценности.
     
  11. rr

    rr Активный участник

    7.874
    1
    Вы не поверите, но это так не везде
     
  12. Zebra21

    Zebra21 Активный участник

    16.893
    91
    rr, правда? У меня, правда, не так много банкингов, всего 6, но во всех смс-подтверждение присутствует. СБ, ГП, ТКС, айманя, РС, киви... Поэтому я и считал, что это уже стандарт для всех банкингов...
     
  13. rr

    rr Активный участник

    7.874
    1
    Zebra21, мир больше, чем одна шестая суши :)
     
  14. Zebra21

    Zebra21 Активный участник

    16.893
    91
    rr, я понял. просто нас тут больше интересуют проблемы именно одной шестой части ;)
     
  15. rr

    rr Активный участник

    7.874
    1
    Zebra21, защищённые соединения - это не только банкинг, по-любому
     
  16. The Last Winged

    The Last Winged Активный участник

    11.862
    48
    Кстати говоря, пароли при входе тут передаются открытым текстом.
    Тут и дыры никакой не нужно.
     
  17. Arturvn

    Arturvn Активный участник

    6.265
    67
    так и защищают эти пароли тут пи..ец какую важную информацию:)
     
  18. Zebra21

    Zebra21 Активный участник

    16.893
    91
    rr, и это я знаю,но речь то зашла именно о банкинге ;)
     
  19. Baggein

    Baggein Активный участник

    4.929
    12
    Отрубить (вручную) подтверждение по СМС разве нельзя?
     
  20. icefrog

    icefrog Активный участник

    591
    0

    Красиво сказал
    [​IMG]
     
  21. May_bee

    May_bee Активный участник

    2.179
    20
    Смска смске рознь: есть пароль для подтверждения операции, далеко не везде, а есть смс-информирование об уже совершенной транзакции.. Оно конечно хорошо, только не думаю, что сильно полезно, разве что раньше узнаете о том, что ваши денежки стырили)
     
  22. The Chief

    The Chief Активный участник

    7.803
    4
    Пипец, как удивительно. Как подделывать заголовки писем, совсем не знаем? Я могу написать письмо хоть от имени папы римского.
     
  23. Zebra21

    Zebra21 Активный участник

    16.893
    91
    May_bee, информирование видел только на вход в сам банк, а на операции везде смс-пароль. И функцию отключения видел только на вход в банк, на подтверждение операции не видел ни разу.
     
  24. Pilot154

    Pilot154 Активный участник

    1.288
    0
    На киви кошельке только встречался с такой.
     
  25. электрик

    электрик Активный участник

    3.273
    32
    ДСКбанка в Болгарии не использует смс-подтверждения по дефолту. Нужно прийти заяву писать, чтобы использовать. Это платная услуга.
     
  26. The Godfatђer

    The Godfatђer Читатель

    900
    0
    тож хотел пароли поменять потом вспомнил что денег нет.
     
  27. FackerMAN

    FackerMAN Читатель

    3.969
    0
    Нет никакого смысла воровать пароли от ВФ
     
  28. Ирольт

    Ирольт Активный участник

    3.438
    22
    жене вчера пришло смс, от русского стандарта, что ее пароль поменяли ну и сам пароль.
     
  29. Магадан

    Магадан Активный участник

    9.265
    12
    Хах, ну и нагнал ты тут сраху. Эта уязвимость явно избыточно сложно реализуема для задач злоумышленников, которые могли бы угрожать широкому кругу пользователей SSL. Для этого обычно намного эффективнее используют социнжинерию и тд. Так вот боятса надо именно втрого, и не только вот в это время а вообще постоянно.
    Тут вот с месяц назад притащили 3 ящика с бухгалтерией, где все доки и БД были зашифрованы асимметричным ключем, да так что подбирать закрытую часть ключа на каком нибудь сугубо бытовом тостере просто невыгодно ПО ВРЕМЕНИ.

    А всего-то пришло письмо "из сбербанка" с грамотно упакованным даунлоадером, которого долгое время не видел ни один антивирус.

    ---------- Сообщение добавлено 15.04.2014 01:19 ----------

    Сабжевая уязвимость вообще ВФ не касается, так как SSL при обмене данными тут не используется (для этого нужна поддержка https).