¿Sigue siendo necesario Chromebleed?

2

He estado ejecutando 'Chromebleed' durante años ... ¿sigue siendo necesario? El último consejo que he encontrado en varios sitios tiene ahora más de 18 meses de antigüedad.

    
pregunta Guest 24.12.2016 - 06:11
fuente

2 respuestas

2

Tal vez? shrugs

Esa es probablemente la mejor respuesta que puedo dar. Digo esto porque la mayoría de los administradores responsables han tomado medidas para eliminar la vulnerabilidad del corazón de sus sistemas.

Por lo general, si la mayoría de los sitios que visitas son de uso general, es probable que esté bien.

Sin embargo, también hay esos administradores que no han parchado ... por una razón inexcusable u otra. Y su sitio sigue siendo vulnerable.

Ahora, el problema es que, sin Chromebleed ... ¿cómo sabría si un sitio nuevo (nuevo en su lista normal de urls) que visitaba era vulnerable o no, antes de pasarle información confidencial?

Claro, puede que no importe si nunca publicas nada en sitios web aleatorios que no quieras que el mundo sepa.

... ¿pero solo publicas información pública en nuevos sitios seguros?

La seguridad tiene que ver con la evaluación y mitigación de riesgos, por lo que si la mayoría de los sitios que visita en Internet son seguros, y es cuidadoso con los sitios nuevos. Entonces, en su caso, la necesidad de la herramienta para detectar amenazas desconocidas puede no ser lo suficientemente importante como para que importe.

Por otra parte, si te gusta vivir un poco más peligrosamente ... tal vez lees las últimas noticias sobre hackers en una mano llena de sitios de hackers nocturnos de fly by night o quizás te dejes llevar por algunos torrents de vez en cuando. ..

Entonces probablemente deberías seguir usándolo. Lo bueno aquí es que para continuar usando esta herramienta se requiere un esfuerzo mínimo para obtener una protección máxima contra este problema.

Como dije, esto tiene que ver con lo que considera un nivel aceptable de análisis y mitigación de riesgos.

En ese sentido, es una locura pensar que todavía hay SSLv1: sitios SSLv3 que operan en la web en la actualidad. Así que no es una locura pensar que todavía puedes encontrar un sitio afectado por Heartbleed.

A partir de 2014, aproximadamente el 18.7% de los sitios web verificados usaban SSLv2, y específicamente 38 sitios solo son compatibles con SSLv2 ... simplemente, vaya. Encuesta de TLS: 11 de enero de 2014

    
respondido por el Joshua Briefman 24.12.2016 - 06:33
fuente
1

Soy el desarrollador de Chromebleed y ya no lo uso, así que ... ¡probablemente no!

Como decía la otra respuesta, la mayoría de los sitios principales han actualizado sus versiones de OpenSSL ahora, por lo que realmente depende de sus preferencias de navegación.

    
respondido por el Jamie Hoyle 25.03.2017 - 02:46
fuente

Lea otras preguntas en las etiquetas