Cita:
Empezado por Al González
te sugiero que vayas cambiando el título de " ...afecta a casi todo el mundo" por algo más, como decirlo...verdadero.
|
Ya veo el problema! Por todo el mundo quise dar a entender algo diferente a todo el planeta!, mas tipo "Todo el mundo que esta involucrado con esto", una patada de mi parte. Y tambien porque afecta a muchos usuarios, como cuando se reporta que se roban claves, datos privados etc. Que titulo debería poner que mejor refleje el punto?
Cita:
Empezado por Al González
Estoy de acuerdo en que seguir usando C y otros lenguajes simbólicos son una patada a la inteligencia, pero no creo que su estresante sintaxis sea una de las principales causas del problema reportado.
|
Ya que esto puede desviar el hilo, seria bueno discutirlo luego. Spoiler: Yo digo que si
.
Cita:
Empezado por Al González
Levante la mano el miembro de Club Delphi que haya tenido algún problema grave, o que alguno de sus allegados lo haya tenido, debido al defecto de programación mencionado.
|
Cita:
Empezado por Al González
Es que si fuese algo importante ¿no habrían asaltado ya distintos sitios importantes que usan openssl?
|
Eso es lo que lo hace GRAVE.
Asi funciona el bug (mas divertido en comic):
http://xkcd.com/1354/
Esto no es un bug que "causa destruccion & ruina", que causa un crash o mata sistemas. Es un bug de "robo de informacion" de manera oportunista.
Remito de nuevo:
https://www.schneier.com/blog/archiv...eartbleed.html
Cita:
Basically, an attacker can grab 64K of memory from a server. The attack leaves no trace, and can be done multiple times to grab a different random 64K of memory. This means that anything in memory -- SSL private keys, user keys, anything -- is vulnerable. And you have to assume that it is all compromised. All of it.
|
Esto significa que uno puede, en un ciclo, estar preguntando:
Por fa sitio web de un banco, podrías regalarme 64K de lo que sea que este en memoria? Gracias!.
Y es muy difícil determinar si alguien fue o NO
atacado.
Es como si se tuviera un telescopio apuntando a una ventana abierta, esperando oportunistamente a ver que se ve, sin que haya manera en su interior de aseverar a ciencia cierta si hay algún degenerado por ahi a kilómetros de distancia interesado.
Lo que lo hace grave, es que es silencioso. No requiere penetrar el sistema. Dificilmente se puede detectar. Da información gratis sin questionar, ni recordar a quien, todo chismoso el bug.