Eugene Berdnikov <b...@protva.ru> writes: > On Thu, Apr 10, 2014 at 05:03:02PM +0100, Stanislav Maslovski wrote: > [skipped] >> ... если у заинтересованных служб была возможность >> писать тупо _всё_ скопом (а говорят, что она у них есть уже лет как >> несколько), то вообще _все_ защищённые соединения, которые прошли >> через их систему, скомпрометированы. Включая пароли, личные данные, >> номера кредиток, транзакции и т.д. и т.п. > > Нет, heartbleed это уязвимость против активной атаки специально > сконструированными пакетами, которых в нормальном ssl-ном трафике > не бывает. Прослушанный трафик в плане heartbleed бесполезен. > > А недавняя дебиановская уязвимость со слабыми ключами была настоящей > задницей, потому там был шанс взломать пассивно прослушанный трафик.
Тем не менее, насколько я понимаю, кто-то с 2012 года имел возможность воровать сертификаты при помощи этой уязвимости. А воровство сертификатов делает потенциально возможным совершение MITM-атаки на защищённые соединения. Так что вроде бы пароли тоже менять надо. Меня одно радует. Мои серверы TLS не используют, так что мне менять сертификаты не придётся.
pgpfrzFRcbP9S.pgp
Description: PGP signature