Суть критической уязвимости в OpenSSL объяснили простым комиксом

На сайте комиксов xkcd появилось лаконичное объяснение бага в пакете шифрования OpenSSL, из-за которого данные миллионов пользователей были уязвимы на протяжении двух лет. TJournal перевёл этот комикс.

Рэндалл Монро, автор сайта юмористических комиксов xkcd, посвятил новую работу критической уязвимости Heartbleed, обнаруженной в апреле в пакете шифрования OpenSSL. Этот пакет широко применялся в качестве средства защиты данных в почтовых сервисах, на сайтах и в онлайн-банкинге.

TJournal перевёл комикс Монро. Оригинал можно найти на сайте автора.

Уязвимость OpenSSL была вызвана ошибкой в функции heartbeat («пульс»). Она позволяет одному компьютеру узнавать, находится ли другой онлайн.

Однако из-за ошибки heartbeat не проверял длину поступившего запроса, поэтому злоумышленник мог составить запрос таким образом, чтобы заставить сервер выдавать случайный фрагмент содержимого оперативной памяти объёмом до 64 килобайт данных. В этом участке памяти могли находиться фрагменты писем, логины, пароли и другие конфиденциальные данные. Подробнее уязвимость и её последствия TJournal разбирал в статье «Сердечная уязвимость».