← Conversa Geral

Segurança: Heartbleed

Lida 757 vezes

Offline

kandalf 
Membro
Mensagens 345 Gostos 15
Troféus totais: 28
Trófeus: (Ver todos)
Mobile User Apple User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3

Bem um forum como o Mais Tráfego tinha que ter um tópico sobre o Heartbleed no OpenSSL.
Alguém aqui foi afetado por isto?

Pessoalmente utilizo imensos sites que estão agora a enviar-me emails para alterar a password, essa é a maior chatice disso tudo. Acho que na maior parte dos casos a imprensa está a fazer um bicho maior do que é. Se os sites estiverem bem feitos não é simplesmente utilizando esta falha que alguém te descobre a password até pode vão ter acesso é a um ficheiro codificado, dúvido que haja muitos sites que utilizem OpenSSL e que depois tenham lá as password em plain text.

O que acham de toda esta falha?
Offline

Pundit 
Membro
Mensagens 94 Gostos 6
Troféus totais: 19
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 4 Level 3 Level 2 Level 1 50 Posts 10 Posts First Post

Pelo que entendi o problema não passa por ter as passwords encriptadas ou não mas sim a possibilidade de a comunicação entre os nossos pc's e os servidores eventualmente terem sido violadas e nesse caso sim são vistas em plain text, mesmo que estando encriptadas na base de dados
Offline

kandalf 
Membro
Mensagens 345 Gostos 15
Troféus totais: 28
Trófeus: (Ver todos)
Mobile User Apple User Super Combination Combination Topic Starter Poll Voter Poll Starter Level 5 Level 4 Level 3

Eu sinceramente não estou por dentro disto. Mas penso que o OpenSSL é uma codificação utlizada apenas nos sites https, o que essa codificação faz é que para além da codificação normal das coisas codifica todas as comunicações utilizando uma chave que é so conhecida pelo servidor e pelo nosso pc. Mas se não é isto alguém que me esclareça.

Pelo meu entender este bug basicamente acaba com essa codificação que o https introduz ou seja as nossa comunicações vão passar a ser feitas como se se trata-se de http.

Depois existem uns problemas porque se o servidor guardar as nossas passwords em plain text ao utilizar o heartbleed elas podem vir cá para fora perfeitinhas para serem logo exploradas.

Mas gostava que alguém que realmente percebesse do assunto falasse porque não percebo muito disto e gostava de entender melhor...