Autor chyby Heartbleed sa priznal. Nebolo to naschvál

Pô­vod­ca v sú­čas­nos­ti čas­to spo­mí­na­nej chy­by Heartbleed, kto­rá sa do pro­to­ko­lu OpenSSL dos­ta­la na Sil­ves­tra v ro­ku 2011, je zná­my. Bol ním prog­ra­má­tor Ro­bin Seg­gel­mann. Prá­ve on na­pí­sal časť kó­du OpenSSL, kto­rá vied­la k vzni­ku zra­ni­teľ­nos­ti Heartbleed. Bo­la to však ne­ho­da. Svo­ju časť sí­ce dal pre­zrieť ďal­ším čle­nom pro­jek­tu, ale nes­kôr do nej pri­dal kus kó­du na no­vú fun­kciu. A prá­ve pri­da­ná fun­kcia vnies­la do kó­du chy­bu.

Seg­gel­mann sa v roz­ho­vo­re pre Syd­ney Mor­ning He­rald vy­jad­ril, že iš­lo o „tri­viál­nu“ chy­bu, jej dôs­led­ky však bo­li váž­ne. Keď­že on ani re­cen­zen­ti si chy­bu nev­šim­li, dos­ta­la sa aj do ofi­ciál­ne­ho vy­da­nia OpenSSL z 31. de­cem­bra 2011.

Heartbleed je chy­ba v šif­ro­va­ní, kto­ré pou­ží­va mno­ho webov na za­bez­pe­če­nie to­ho, aby va­ša ko­mu­ni­ká­cia ne­moh­la byť za­chy­te­ná. Teo­re­tic­ky bo­li to­mu­to  ri­zi­ku vy­sta­ve­né dve tre­ti­ny inter­ne­to­vej pre­vádz­ky viac ako dva ro­ky, až kým ju za­čiat­kom ap­rí­la ob­ja­vi­li in­ži­nie­ri z bez­peč­nos­tnej fir­my Co­de­no­mi­con.

Ako už ná­zov na­po­ve­dá, OpenSSL je open sour­ce, čo ho ro­bí at­rak­tív­nym pre mno­ho inter­ne­to­vých slu­žieb, pre­to­že ide o ľah­ko im­ple­men­to­va­teľ­ný bez­peč­nost­ný nás­troj.

„Bo­lo by lep­šie, ke­by ho viac ľu­dí po­má­ha­lo zlep­šo­vať,“ vy­jad­ril sa Seg­gel­mann pre server Mas­hab­le. „Nao­zaj nie je jed­no, či ne­ja­ké fir­my pro­fi­tu­jú z to­ho, že pos­ky­tu­jú pod­po­ru, ale­bo to ro­bia ľu­dia len vo svo­jom voľ­nom ča­se. No ak to všet­ci jed­no­du­cho pou­ží­va­jú a naz­dá­va­jú sa, že niek­to iný sa o to pos­ta­rá, ne­bu­de to fun­go­vať. Čím viac ľu­dí sa na to po­zrie, tým bu­de me­nej prav­de­po­dob­né, že sa vy­skyt­nú chy­by, ako je tá­to.“

Ho­ci exis­tu­jú štan­dar­dy na re­ví­ziu kó­du, ťaž­ko ich mož­no pre­sa­diť v rám­ci open sour­ce sof­tvé­ru. Seg­gel­mann naz­na­ču­je, že pro­ces by sa zlep­šil vzá­jom­nou re­ví­ziou, no vy­ža­do­va­lo by si to viac ľu­dí a aj viac ča­su.

„Ke­by sa na zlep­šo­va­ní OpenSSL zú­čas­tňo­va­lo viac ľu­dí, moh­lo by sa po­ža­do­vať viac ne­zá­vis­lých re­ví­zií kaž­dé­ho návr­hu, prí­pad­ne by sa ľu­dia moh­li špe­cia­li­zo­vať na po­su­dzo­va­nie kon­krét­nych čas­tí sof­tvé­ru,“ do­dal Seg­gel­mann.

Dnes už väč­ši­na pos­tih­nu­tých  webo­vých lo­ka­lít chy­bu op­ra­vi­la. Heartbleed však upria­mil po­zor­nosť na to, že aj s open sour­ce sof­tvé­rom sa spá­ja­jú ne­ja­ké zod­po­ved­nos­ti. Ak sa nás­tro­je ako OpenSSL sta­nú ši­ro­ko pou­ží­va­ný­mi, mô­že to viesť k ne­po­me­ru me­dzi poč­tom slu­žieb, kto­ré ich pou­ží­va­jú, a poč­tom ľu­dí, kto­rí do pro­jek­tu pris­pie­va­jú. Ako Heartbleed potvr­dzu­je, nič nie je úpl­ne za­dar­mo.


Zdroj: Mas­hab­le


Ohodnoťte článok:
 
 
 

24 hodín

týždeň

mesiac

Najnovšie články

Sta­ne sa z Pi­ra­te Bay naj­väč­šia strea­min­go­vá služ­ba na sve­te?
Vďaka doplnku pre prehliadače Chrome, Firefox alebo Internet Explorer s názvom Torrenty-Time sa web The Pirate Bay premenil na najväčší svetový portál na streaming videa. čítať »
 
Fa­ce­book mu­sí pres­tať sle­do­vať webo­vé ak­ti­vi­ty ľu­dí, aj keď ne­vyu­ží­va­jú Fa­ce­book
Francúzske úrady dali spoločnosti Facebook tri mesiace na to, aby prestala bez povolenia sledovať webovú aktivitu ľudí, ktorí nevyužívajú jej služby. čítať »
 
SK-NIC: Na Slo­ven­sku je viac ako 336-ti­síc do­mén a naj­viac sa ich za­čí­na na pís­me­no S
Správca národnej domény .sk neustále eviduje trendy vo vývoji počtu domén. Z toho napríklad vidno, že za rok 2015 bolo zaregistrovaných až 21 595 tzv. prvoregistrácií. Pozrite si ďalšie štatistiky z kuchyne SK-NICu, a. s. čítať »
 
Fa­ce­book opäť me­ní al­go­rit­mus News Fee­du. Kto­ré prís­pev­ky uvi­dí­te ako pr­vé?
Facebook oznámil na svojom blogu, že opäť mení algoritmus News Feed, aby sa používateľom nezobrazovali príspevky, ktoré nechcú vidieť. čítať »
 
YouTu­be vraj chys­tá ži­vé 360° vi­deos­trea­my pre vir­tuál­nu reali­tu
Zástupcovia YouTube na stretnutí s výrobcami kamier vyhlásili, že pracujú na možnosti živého streamovania 360-stupňového videa. čítať »
 
Pre­zi­dent za­lo­žil inter­ne­to­vú strán­ku ve­rej­ná ob­jed­náv­ka
Prezident Andrej Kiska založil internetovú stránku s názvom verejnaobjednavka.sk, ktorú spúšťa ako občan Slovenskej republiky. Ako pre médiá uviedol, je potrebné vytvoriť jednoznačnú verejnú objednávku, aby politici cítili tlak a riešili veci, ktoré riešiť treba. čítať »
 
Yahoo má pre­púš­ťať, prob­lé­my jej ro­bí Goog­le a Fa­ce­book
Šéfka spoločnosti Yahoo Inc. Marissa Mayerová predstaví plán škrtov v nákladoch, ktorý bude zahŕňať zníženie počtu pracovných miest o 15 % a zatvorenie niekoľkých divízií. čítať »
 
Wra­pi­fy vo­di­čom za­pla­tí, ak ne­cha­jú svo­je auto pre­me­niť na po­jaz­dnú rek­la­mu
Prevádzkovať auto nie je lacná záležitosť. Pohonné hmoty, poistenie, údržba -náklady rýchlo rastú. A práve tu by chcel pomôcť startup Wrapify, ktorý ponúka vodičom peniaze za to, ak si nechajú svoje vozidlo „obaliť" reklamou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter