Комментарии 17
А кто-то может дать ссылку на рабочий экслоит для Heartbleed?
Ночью скачал новую версию intercepter'a и протестил свой сервер. говорит уязвимо. интересно что можно вытащить
Ночью скачал новую версию intercepter'a и протестил свой сервер. говорит уязвимо. интересно что можно вытащить
Удивляет, что это решето еще используют.
То есть, по-вашему, нерешето — это там, где уязвимости не исправляют?
Для них нерешето — это там, где про уязвимости не знают, даже если она есть (проприетарщина). То есть, как я понимаю, хейтеры опенсорса.
Для «нас» нерешето — это когда что-то разрабатывают профессионалы, а не говнокодеры-самоучки. Вот, просвещайтесь — www.libressl.org/ (проприетарщина, ага). Это drop-in replacement для OpenSSL, c нормальным процессом разработки.
Да что я тут распинаюсь вообще, все равно ведь тут «фанаты опенсорса», которые сами код не пишут, тем более такого масштаба.
Да что я тут распинаюсь вообще, все равно ведь тут «фанаты опенсорса», которые сами код не пишут, тем более такого масштаба.
Я не спорю, что код в OpenSSL, мягко говоря, плоховат. Но если бы не такие «говнокодеры-самоучки», то многих продуктов мы бы вообще не увидели.
Ок, поясняю: в криптографии разбирается _мало_ людей. Всмысле, очень мало. Ни один нормальный человек не хочет, чтобы его пароли утекли к третьим лицам, потому что криптография криво имплементирована. Поэтому все (нормальные люди) соглашаются, что подобные библиотеки должны писать те, кто разбирается, а не любой прыщавый школьник.
SSL имплементировать — это вам не говносайты писать.
SSL имплементировать — это вам не говносайты писать.
если принимать во внимание, что это форк того же OpenSSL, работая над которым, люди как-то не сообщали о найденных и исправленных багах (коих в openssl исправляют каждый месяц пачку), да хотя бы о портировании патчей, то можно предположить, что профессионалы они в чем-то другом.
или где не находят…
На сайте openssl.org исполняемых файлов нет. Предлагается всем благородным донам возиться с построением из исходников? Или я чего-то не понимаю?
Как, например, обновить OpenVPN под Windows?
Как, например, обновить OpenVPN под Windows?
Ждать, пока разработчики скомпилируют новую версию OpenVPN. Или скомпилировать самому, да. OpenVPN под Windows использует статическую линковку.
статическую линковку.А вот же в подкаталоге bin лежат
libeay32.dll и ssleay32.dllОх, ошибся. Тогда должно быть достаточно заменить эти библиотеки, но, видимо, все равно их компилировать надо.
Спасибо за наводку. Действительно, на странице Related – Binaries таки есть ссылка на сайт, где готовый установщик.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Немножко уязвимостей в OpenSSL