א אינטערעסאנטער נקודה וועגן heartbleed
אסאך פון די סייטס וואס האבן געטשעקט אויב די באג איז פארראכטן האבן נאר געטשעקט אויב די פעטש איז געווארן אפלייעד. פאקטיש, אויב איז דער encryption key געווארן compromised בעפאר, העלפט נישט די פעטש (וואס פארזיכערט נאר אז מען קען שוין פון יעצט נישט צוקומען צו פארזיכערטע דעטע) ווייל אז די key איז נישט פרייוועט איז די ענקריפשן גארנישט ווערט
lastpass אבער טשעקט אויך ווי אלט דער SSL certificate איז און אויב איז עס פון פאר ווען די פיקס איז ארויסגעקומען זאגן זיי SSL Certificate: Possibly Unsafe בשעת אנדערע ווייזן אז ס'איז סעיף
https://lastpass.com/heartbleed/אויך איז אינטערעסאנט צו זען אז די גרויסע וואס האבן תיכף געטון וואס מען דארף איז זייער SSL Certificate פון בערך א חודש צוריק, און אסאך אנדערע קלענערע סייטס האבן זיך דערמאנט צו באנייען reissue די SSL און די לעצטע וואך צוויי אדער נאך יעצט נישט
IDG News Service - Despite taking prompt action to defend against the Heartbleed attack, some sites are no better off than before -- and in some cases, they are much worse off
Many of the sites that patched vulnerable OpenSSL installations after the Heartbleed attack was revealed on April 7 then went on to revoke compromised SSL certificates and order new ones. But 30,000 sites are now using replacements based on the same compromised private key as the old certificate, according to a study by Internet services company Netcraft released Friday
That means that anyone who managed to steal the private key of such a server before it was patched could still use the key to impersonate the server in a man-in-the-middle attack, even with the new certificate in place
http://www.pcworld.com/article/2153500/ ... tches.html