Немецкий программист Робин Зеггельман (Robin Seggelman) который добавил в пакет OpenSSL критическую уязвимость Heartbleed, заявил, что сделал это непреднамеренно. В разговоре с The Syndey Morning Herald программист подчеркнул, что Heartbleed оказался в коде по ошибке.
В интервью австралийской газете программист рассказал о подробностях попадания бага в код криптографического пакета. Ошибка, поставившая под угрозу безопасность двух третей интернет-сайтов, попала в код в конце декабря 2011 года.
По словам Зеггельмана, в то время он работал над улучшением открытого кода OpenSSL, готовя к отправке на утверждение несколько исправлений для уже существовавших багов.
В одной из написанных мною функций я, к сожалению, забыл прописать проверку длины запроса. Человек, проверявший мою работу, не заметил ошибки, и вскоре она из рабочей версии пакета попала в окончательный релиз. Робин Зеггельман, программист
Допущенную им ошибку Зеггельман назвал «довольно банальной».
Злого умысла с моей стороны не было совершенно. Это была простая ошибка в новой функции пакета. К несчастью, она была допущена в очень важном для безопасности данных месте. Робин Зеггельман, программист
О существовании в коде пакета OpenSSL критической уязвимости стало известно 7 апреля. Баг, который получил название Heartbleed, позволял проникать в зашифрованное соединение между компьютером и сервером и похищать персональные данные из оперативной памяти сервера.
В общей сложности ошибка просуществовала в коде около двух лет. Из-за того, что соединения на основе OpenSSL используются 65 процентами сайтов в сети, потенциальными жертвами бага за это время могли стать миллионы пользователей. В настоящее время баг уже исправлен. Крупнейшие интернет-ресурсы и сервисы рекомендовали своим пользователям сменить установленные ими ранее пароли.
31-летний программист Робин Зеггельман проживает в небольшом немецком городке Эльде на северо-западе ФРГ. Он является членом некоммерческой организации Internet Engineering Task Force (IETF), а также работает в Мюнстерском университете прикладных наук. В вузе Зеггельман числится в штате так называемой лаборатории сетевого программирования. В 2012 году за авторством Зеггельмана вышла научная работа, посвященная безопасным коммуникациям в интернете.
#OpenSSL #уязвимость #баг #Heartbleed #безопасность_данных #сменить_пароль
Прямой эфир
Специализированный Макс
— Ты зачем уязвимость сделал?
— Прост )))
Участковый лолипоп
Так получилось ¯\_(ツ)_/¯
Неподвижный калькулятор
Закономерность, а не случайность http://www.xakep.ru/post/62334/