Re: вопрос про heartbleed

Anatoly Mikhailov anatoly at sonru.com
Fri Apr 11 13:02:40 UTC 2014


On 10 Apr 2014, at 12:47, Maxim Dounin <mdounin at mdounin.ru> wrote:

> Hello!
> 
> On Thu, Apr 10, 2014 at 07:24:22AM +0100, Anatoly Mikhailov wrote:
> 
>> на данный момент меня интересует только необходимость заказа новых ключей,
>> я правильно понимаю, при включенном forward secrecy приватные ключи утечь не могли?
> 
> Нет, вероятность утекания приватных ключей от включённости forward 
> secrecy никак не зависит.
> 
> Отдельный вопрос - какова эта самая вероятность.  

ребята из CloudFlare решили проверить эту вероятность экспериментальным путем
https://www.cloudflarechallenge.com/heartbleed

> 
>> 
>> Анатолий
>> 
>> On 10 Apr 2014, at 05:26, Илья Шипицин <chipitsine at gmail.com> wrote:
>> 
>>> при включенном forward secrecy наличия закрытого ключа (у злоумышленника) недостаточно для расшифровки потока. от атаки на память сервера это не защищает
>>> 
>>> четверг, 10 апреля 2014 г. пользователь Anatoly Mikhailov написал:
>>> Если SSL ciphers оставались стандартные (ssl_ciphers: дефолтное значение) на Nginx 1.3.14,
>>> то Forward Secrecy был включен.  Вопрос: надо ли генерить CSR и заказывать новые SSL ключи
>>> или Forward Secrecy помог избежать полной утечки приватных ключей?
>>> 
>>> Анатолий
>>> 
>>> 
>>> On 09 Apr 2014, at 16:46, Anton Yuzhaninov <citrin at citrin.ru> wrote:
>>> 
>>>> On 04/09/14 13:41, Vladislav Shabanov wrote:
>>>>> В типовых настройках конфигов при таких вот битых обращениях ни одной строчки в лог
>>>>> не пишется. Что нужно сделать, чтобы в логах nginX были видны такие обращения?
>>>> 
>>>> Если очень хочется знать о безуспешных аттаках, то лучше использовать что то типа SNORT. И про heartbleed он должен знать.
>>>> 
>>>> _______________________________________________
>>>> nginx-ru mailing list
>>>> nginx-ru at nginx.org
>>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>> 
>>> _______________________________________________
>>> nginx-ru mailing list
>>> nginx-ru at nginx.org
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>>> _______________________________________________
>>> nginx-ru mailing list
>>> nginx-ru at nginx.org
>>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>> 
> 
>> _______________________________________________
>> nginx-ru mailing list
>> nginx-ru at nginx.org
>> http://mailman.nginx.org/mailman/listinfo/nginx-ru
> 
> 
> -- 
> Maxim Dounin
> http://nginx.org/
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20140411/135e888e/attachment.html>


Подробная информация о списке рассылки nginx-ru