https://www.opennet.me/openforum/vsluhforumID3/93391.html Разработчики OpenSSL опубликовали (http://www.openssl.org/news/secadv_hack.txt) итоги расследования инцидента, в результате которого злоумышленники смогли совершить дефейс (http://www.opennet.ru/opennews/art.shtml?num=38747) сайта проекта. Расследование показало, что, вопреки начальному предположению (http://www.opennet.ru/opennews/art.shtml?num=38758), атакующими не были эксплуатированы уязвимости в гипервизоре. Проникновение в виртуальное окружение с сайтом проекта OpenSSL было совершено при помощи гипервизора, но для атаки был совершен подбор ненадёжного пароля к системе хостинг-провайдера, что позволило атакующим воспользоваться штатными средствами управления гипервизором для получения контроля над выполняемыми виртуальными машинами.<br><br><br><br>Атака не затронула репозитории с кодом, которые были тщательно проверены. Никаких изменений, кроме подмены файла index.html, не выявлено. Для предотвращения подобных атак в будущем предприняты надлежащие меры.<br><br>URL: http://www.openssl.org/news/secadv_hack.txt<br>Новость: h https://www.opennet.me/openforum/vsluhforumID3/93391.html#41 Thu, 09 Jan 2014 20:37:09 GMT то ли дело &#8212; Стойкие, Супернадёжные пароли! ведь ничего же страшного, если публично пароль засветить, правда? это же намного менее вероятно, нежели кража Злыми Злоумышленниками флэшки, лежащей в моей тумбочке, которая находится в моей комнате, которая находится в моей квартире и откуда посторонний её заберёт только если будет кража со взломом. ура! вот оно, крутое средство безопасности &#8212; пароли! ДАЁШЬ!<br><br>p.s. то ли дело &#8212; публичный ключ публично засветить. сразу поломают!<br> https://www.opennet.me/openforum/vsluhforumID3/93391.html#40 Thu, 09 Jan 2014 15:58:34 GMT &gt; ну, положу. и что? собственно, где-то там оно сейчас и лежит, безо <br>&gt; всяких паролей. прямо рядом с моей кроватью, в тумбочке.<br><br>И они знают об этом. И, в результате, не делают авторизацию по ключу. Я бы не стал, если бы отвечал за тему. За себя говорю.<br> https://www.opennet.me/openforum/vsluhforumID3/93391.html#39 Thu, 09 Jan 2014 09:44:11 GMT Этот ковер задавал стиль всей комнаты.<br> https://www.opennet.me/openforum/vsluhforumID3/93391.html#38 Wed, 08 Jan 2014 21:18:39 GMT ну, положу. и что? собственно, где-то там оно сейчас и лежит, безо всяких паролей. прямо рядом с моей кроватью, в тумбочке.<br> https://www.opennet.me/openforum/vsluhforumID3/93391.html#37 Wed, 08 Jan 2014 16:47:07 GMT &gt; с поддержкой https &#8212; в особенности. какого дьявола вы не умеете <br>&gt; просто принять от меня файлик с открытым ключом и больше никакой <br>&gt; фигни у меня не спрашивать? ваш-то сертификат у меня уже есть. <br><br>А Вы свой закрытый ключ положите на флешке в ящике тумбочки на работе. Без защиты ключа паролем.<br> https://www.opennet.me/openforum/vsluhforumID3/93391.html#34 Mon, 06 Jan 2014 09:24:46 GMT Правдиво и скромно, как всегда.<br><br>Ты вообще понимаешь что в микропроцессорах нет души, человечков и прочих литературных персонажей которые матерятся? Даже если твой комп не для быдла а от правильной тыблочной компании? Ломать тебя будет один универсальный ломальщик написаный и для твоего локалхоста и для королей мира, он одинаков. И он не матерится, он - программа. Ему вообще начхать кто ты. И да, ему не надоест.<br> https://www.opennet.me/openforum/vsluhforumID3/93391.html#33 Sat, 04 Jan 2014 20:20:38 GMT Если бы все было так просто. Клиентские сертификаты должны выпускать тем же CA, что и серверные, а это автоматически означает свой CA и соответствующий геморрой: для самих клиентов по добавлению CA в доверенные, усилия на эксплуатацию CA (инфраструктура, политики безопасности и т.д.). В общем-то, понятно, почему оно за пределы корпоративных сетей не вылезает, оно практически неприменимо для массовых публичных сервисов.<br> https://www.opennet.me/openforum/vsluhforumID3/93391.html#32 Sat, 04 Jan 2014 17:51:16 GMT &gt; эт какие меры? наняли провайдеру костолома?<br><br>Мотал страничку вниз, чтобы написать этот комментарий!<br> https://www.opennet.me/openforum/vsluhforumID3/93391.html#31 Sat, 04 Jan 2014 02:59:27 GMT &gt; хоть по отпечатку пальца<br><br>а по ключу?<br>