How to become an author
Search
Write a publication
Pull to refresh

Comments 19

А есть какие-нибудь ресурсы или скрипты, позволяющие быстро проверить целевой сервер на наличие уязвимости. Я понимаю, что такие вещи могут помочь и злоумышленникам, но получается так, что обычные пользователи не могут даже проконтролировать наличие уязвимости на тех ресурсах, которыми они пользуются. Это даже не страус и песок, а страус и бетонный пол.
Total votes 2: ↑1 and ↓1 0
Я вам уже давно карму поднял, когда еще имел возможность ее поднимать. Просто отправлять в гугл человека, который задает конкретный вопрос не самый лучший вариант. Однако, спасибо за старания.
Total votes 7: ↑1 and ↓6 -5
Возможно я был не прав, но просто если в день анонса уязвимости ещё проблематично было найти сплоит, то сейчас весь топ7 выдачи гугла предоставляет возможность проверки сервера, но так как кому-то мой варианта ответа не понравился, я решил уточнить и привёл ссылки из выдачи.
Total votes 1: ↑1 and ↓0 +1
Вот комментарий под одной из статей об HeartBleed, где товарищ ValdikSS даёт ссылки на вполне сносные чекеры.
Total votes 6: ↑6 and ↓0 +6
Самое удобное это расширения для chrome и firefox, предупреждающие при заходе на уязвимый сайт. Оба используют чекер filippo.io
Вот уязвимый демосервер, чтобы потестить.
Total votes 9: ↑9 and ↓0 +9
Спасибо, а для Opera не встречали подобные плагины?
Total votes 4: ↑3 and ↓1 +2
Неплохо было-бы если Chrome, Firefox и др. не пускали на уязвимые сайты или как минимум выдавали «кричащую» надпись.
Тогда владельцы сайтов бы задумались почему к ним не ходят, да и сами бы не смогли зайти на свой сайт. :)
Total votes 9: ↑8 and ↓1 +7
Извините, но это не повод перекладывать проблемы на пользователей.
Total votes 9: ↑3 and ↓6 -3
Самоподписанный сертификат тоже вроде как не повод.
А если у пользователя из-за хартблида пароль от интернет-банка уплывет, это не станет для него проблемой?
Total votes 17: ↑16 and ↓1 +15
Вопрос в правовом статусе проверки на уязвимость. Во многих странах это нельзя делать без согласия владельцев сайта.
Total votes 2: ↑2 and ↓0 +2
Бред, это же не эксплуатация (считайте использование с целью наживы), а лишь предупреждение с целью предостережения.

Total votes 4: ↑3 and ↓1 +2
Вот и я тоже думаю, что бред, однако для проверки на уязвимость нужно использовать эксплойт, а это много где запрещено само по себе. Производители браузеров не могут позволить себе в открытую нарушать закон.
Вот, например, цитата со страницы плагина для хрома:
Please note that, in some jurisdictions, site testing can only be carried out with the express permission of the site owner. Please check what the law says in your local area before proceeding to download this extension
Total votes 4: ↑4 and ↓0 +4
Около 20% просканированных серверов поддерживают Heartbeat TLS Extension, это говорит о том, что до 75% уязвимых серверов было пропатчено в течении первых четырёх дней после обнаружения уязвимости, т.е. до моего первого сканирования.

Немного не понял суть предложения. Если на момент первого сканирования было 5% уязвимых, и из всех просканированных около 20% поддерживают heartbeat, то откуда цифра в 75%? Речь о (20-5)/20 чтоль?
Ведь определенное количество людей при исправлении не применяли патч, а перекомпилировали OpenSSL без поддержки Heartbeat, в том числе с мыслью параноиков «Ага, в этом апдейте еще где-то закладку сделали». В итоге реальные цифры пропатченных серверов могут сильно отличаться.
This comment wasn’t rated yet 0
Да, 75% — это 75% от 20%. Как мне кажется, автор написал об этом достаточно ясно…
This comment wasn’t rated yet 0
К этому могло добавиться давление со стороны начальства с требованием «не сидеть сложа руки», в результате проводилось обновление ПО вполне защищённых от напасти серверов до новой версии, которая на тот момент ещё не была исправлена самими разработчиками.

Почти моя ситуация. Только я сказал директору успокоится и ничего не делал :)
Total votes 3: ↑3 and ↓0 +3
Вы извините, конечно, но перевод ужасен. Читайте, пожалуйста, свой текст несколько раз перед тем, как запостить.
Total votes 9: ↑2 and ↓7 -5
Sign up to leave a comment.

Articles

Unlock dark mode

Your account

Sections

Information

Services

Support
© 2006–2024, Habr