Topic: Критическая уязвимость OpenSSL - page 2. (Read 2634 times)

боюсь что вы ее уже через 5-10 лет не узнаете - стандарт совершенствуется _непрерывно_ (других таких не знаю!),
новые версии стандарта принимаются каждые лет 10:  после 83 были уже 95, 2005, 2012 вроде...

То есть там в новых навотах даже те кто все каждый день писал на ней все эти годы разобраться не могут

Но что хорошо - совместимость со старыми версиями сохраняется полностью, так что проблем нет - фирма гарантирует что все ваши программы написанные лет 30 назад будут работать без переделки, причем в _т.ч. и на новом железе_!


То есть можете найти свой старый курсовик и откомпилировать его для бортового компьютера боинга - запуститься и там, даже без переделки.



с нуля ее можно освоить недели за 2-3(курсы для полных дебилов), но обычно нормальным людям 2-3 дней хватает.

И что главное - после этого можно вас сразу подключать к серьезным проектам, в отличии от Ц где даже 5-10 лет опыта мало.



в вашем конкретном(тяжелом ) случае все что вам надо - вычистить хотя бы все закладки из кошельков,
а для этого над чтобы ЛЮБОЙ мог разобраться в коде.   Только на Аде это делается без проблем - даже если
вообще его раньше не видели, все равно все понятно и можно проверить и разобраться что и как делается...

Vladimir
PS  ну че, может замутим народную фирму по сертификации программ?
(можно и валюту свою или криптоакции выпустить)

Собственно, в шапке форума новость появилась. Для тех, кто не очень в ладах с английским, краткий пересказ стартового поста из "More info":

Скажу честно: Аду я в первый и последний раз видел на 4-ом курсе 20 лет назад. Причем, на экзамене не смог ответить про исключения и получил "банан" (преподаватель был весьма удивлен, так как в той сессии у меня было семь пятерок подряд в зачетке по другим дисциплинам)

Читаемость кода - это относительное, а не абсолютное понятие. Если вы программируете на Паскале - вам будет плохо понятен код на Лиспе и наоборот. Так что [imho] Ада не станет "серебрянной пулей", которая враз решит все проблемы.
[Работа с памятью и range-checking мне в жаве доставляет огромное удовольствие по сравнению с тем же C++]

а смысл менять шило на мыло?   Ни на Ц, ни на жабе/Ц# код все равно толком не читаем!


А вот в переводе всего open source на Аду(ну и Q&S еще заставить читать как отче наш, если по-хорошему не понимают) смысл есть - в этом случае уже НАРОД сможет там разобраться, и исправлять ошибки и чистить закладки сам!

Доходит суть?


А счас от опенсорса пользы вообще никакой(разве что в халяве - кстати программисты на меня обижаются когда я называю все гнусное кучей бесплатного хлама) - все равно там никто вообще не понимает что написано, и можно в наглую у всех на виду засунуть любую закладку, что похоже АНБ и делает...

Vladimir
PS   проблема с дибилами-программистами в принципе легко решается - но нужны норм менеджеры кому не пофиг
http://project.megarulez.ru/forums/showthread.php?t=22585
http://project.megarulez.ru/forums/showthread.php?t=22567

PPS   если наберется несколько чел кто готов поработать менеджером(командиром) и/или дать donate(на первое время, потом я думаю можно будет перевести на самоокупаемость и даже прибыль), то эту проблему решим...
(умение программировать не требуется, и даже лучше если это будут люди кто ни разу не видел программирование - тогда наконец-то и в документации порядок наведем - заставим программистов писать нормальную документацию, точнее переписывать ее до тех пор, пока она не станет понятна нормальным людям, а не только кучке укуренных линуксоидов)
Есть желающие навести там порядок?

http://www.youtube.com/watch?v=x4C5E_eBXj8


Нет ощущения, что смена языка кардинально повлияет на качество кода.
Да, перейдя с С++ на Java и обратно на C++ мне показалось, что я уловил чем одно лучше другого.
Но в целом - программирование это "ручной" труд, который плохо автоматизируется и следовательно подвержен "человеческому фактору"

А не у кого нету ощющения, что АНБ уже просто издевается не только над чайниками и правительствами,
но и над программистами?     (если конечно эту криворукую быдломассу что-то как-то там калякающими на квазиассемблере можно называть программистами)


PS  ну че, дети, нормальные языки-то учить будем, или будете ждать пока все недобиржи обчистят?
(впрочем я смотрю даже это на пользу не идет, пофигизм и криворукость похоже не лечаться)
http://www.ada-ru.org/

PPS  ну че поняли теперь почему я хочу сделать отдельный форк базовых монет для color coin?..

так эта уязвимость не только кошельки затрагивает но и по сути весь современный "защищенный" интернет

можно скачать уже https://bitcoin.org/bin/0.9.1/

Скоро (в репах) будет 1.0.1g, где он пофиксен. Ветка 0.9 не затронута.

скоро будет 0.9.1, где будет исправлен этот баг...

http://newsbtc.com/2014/04/08/gavin-andresen-expect-bitcoin-core-0-9-1-release-soon-heartbleed-openssl-bug/

А вот что с форками на которые уже забили разработчики, но которые ещё живы и торгуются на биржах??
Хотя вроде не так всё страшно

Хоть тут порядок
Posted from Bitcointa.lk - #fdtPv5NJhrQT39zV

Это реально жесть и куча гемора админам. Чувствую скоро появятся "веселые" новости (
Posted from Bitcointa.lk - #m9MyYAzvpPo1Kffo

Я лично высрал тонну кирпичей. Это ахтунг и алярма.

Уязвимость актуальна для серверов, использующих TLS. Атакующий может "попросить" отправлять в Heartbeat кусок дампа памяти приложения до 64кб, которое работает по SSL/TLS. В дампе естественно можно выловить пароли/сертификаты и др. полезную инфу. Уязвинмость двухсторонняя. Так что если браузер использует уязвимую версию openssl, то атакующий может при установке соединения с сервером полазить в памяти процесса браузера.
Вангую очередные "банкротства" недобирж... либо по тупости - не обновившихся и не заменивших (и отозвавших старые) сертификаты; либо на волне этой уязвимости заскамят ваши денежки... как это провернул mtgox.

Пока не разобрался, влияет ли эта уязвимость на кошельки (OpenSSL большинством из них используется), однако рекомендую быть готовым к срочному переводу своих койнов на свежесгенерированные адреса (причём не из пула заранее сгенерированных адресов, лучше создать полностью новый кошелёк).