¿La vulnerabilidad de Heart Bleed no implica que debemos cambiar las contraseñas de * todos * los sistemas? [duplicar]

Navega tus respuestas
0

Entiendo la parte sobre un servidor con la vulnerabilidad.

Pero de lo que he recopilado, la vulnerabilidad también ha existido en los navegadores que utilizan las implementaciones vulnerables de OpenSSL.

Por lo tanto, si primero visito un sitio que no tiene una implementación vulnerable de OpenSSL, inicie sesión luego, y luego, luego (o quizás a través de algunas redes de AD desconocidas) se enruta a un servidor de malware (que normalmente no sería capaz de atacar a mi computadora), ¿este servidor no podría enviar una respuesta incorrecta de los latidos del corazón y, por lo tanto, recibir ese 64KB desde mi navegador ?

Entonces, en esencia, ¿la vulnerabilidad de Heart Bleed en mi navegador no significa que potencialmente podría haber filtrado todos los datos de mi navegador a un sitio?

    
pregunta Lasse Vågsæther Karlsen 10.04.2014 - 12:36
fuente

1 respuesta

2

El único navegador importante que conozco que usa OpenSSL es Opera, y las versiones que he verificado parecen usar una versión anterior que no es vulnerable al ataque de Heartbleed. Firefox, Chrome y los navegadores relacionados utilizan NSS para SSL. IE y los derivados (incluidos la mayoría de los renderizadores HTML incrustados en Windows) utilizan el SSPI de Microsoft. Safari en MacOSX e iOS usa la implementación SSL de Apple. Dillo y Lynx son lo más cercano que conozco a los principales navegadores que usan OpenSSL, y tienen una cuota de mercado que se mide mejor en partes por millón.

Los clientes vulnerables suelen ser herramientas de propósito especial como "wget" y "curl" (herramientas de línea de comandos para realizar solicitudes HTTP), o programas que no son del navegador, como clientes de correo electrónico.

    
respondido por el Mark 10.04.2014 - 13:01
fuente

Lea otras preguntas en las etiquetas

configuración Apache 2.2 mod_ssl Reenviar Secreto / BREACH / BEAST / CRIME ¿Es posible cifrar un archivo para que no se pueda forzar en bruto? [cerrado]