SI lees el link que puse, en ningun lado se afirma lo de que el 66% de los servidores estan comprometidos. Este linkea a:
http://news.netcraft.com/archives/20...bleed-bug.html
Cita:
|
Our most recent SSL Survey found that the heartbeat extension was enabled on 17.5% of SSL sites
|
Lo de que afecta a casi todos es porque:
Cita:
|
Popular sites which exhibit support for the TLS heartbeat extension include Twitter, GitHub, Yahoo, Tumblr, Steam, DropBox, HypoVereinsbank, PostFinance, Regents Bank, Commonwealth Bank of Australia, and the anonymous search engine DuckDuckGo.
|
Por Twitter & Yahoo es un monton de gente. Ademas de los sitios como tales, los certificados generados estan comprometidos, lo que abarca muchas cosas que no tienen que ser necesariamente un sitio web (ie: Ademas, si el certificado lo genera OpenSSL y se usa en NGINX aun cuando no tenga ese bug, el certficado esta podrido).
---
Con respecto a lo de meneame:
Cita:
|
El ex director de Microsoft, Howard A. Schmidt, trabaja para Codenomicon, la empresa que lanzó heartbleed.com/, con un mensaje muy sensacionalista contra OpenSSL.
|
1) heartbleed no es ni de lejos el principal agente en todo esto. Ni MS. El que descubrio el bug fue Google.
2) Lo de meneame hace una falacia logica que desvia la atencion de algo serio (el bug) al ago estupido en contexto (MS is EVIILLLL!!!) y que esta de lejos de lo que personas con las credenciales del caso han mostrado.
3)
con un mensaje muy sensacionalista contra OpenSSL. OpenSSL es ALTAMANENTE RECONOCIDO como un proyecto de software mal codificado & chapuzero (para los estandares criptograficos), es solo que al igual que C & JavaScript, es la vaina que tiene mas inercia.
Remito al thread en
hacker news (donde hay un cubrimiento mucho mas profesional del tema que el de meneame. Hay hay gente de la comunidad criptografica, gente que sabe del tema).