Acesso de alto desempenho para armazenamento de arquivos
À medida que a precipitação Heartbleed continua, a boa notícia é que o código para corrigir o problema no OpenSSL foi liberado. A má notícia é que o código de exploração também está disponível.
Vamos começar com o último, lançado por um rapaz que pegou de Cloudlare desafio para programadores, na esperança de que alguém, em algum lugar, seria capaz de usar Heartbleed para extrair uma chave SSL privada a partir de um servidor indefeso ergueu.
Como se observou no fim de semana , o desafio foi cumprido. O código para a "solução" de 7 º mais rápido para o desafio já está disponível aqui .
O autor pede desculpas pela deselegância do código Python, passou um dia trabalhando. Cloudflare diz o vencedor levou apenas nove horas para quebrar o servidor e fugir com o certificado SSL.
A disponibilidade desse código significa cão do mundo + pode executá-lo contra os servidores de sua escolha e ver o que está em oferta, o que é ótimo.
Felizmente, a ajuda está também na mão. Akamai publicou este patch para OpenSSL ele diz tem as seguintes qualidades:
"Ela [a correção] adiciona uma 'arena de seguro", que é usado para armazenar chaves privadas RSA. Esta arena é mmap'd, com páginas de proteção antes e depois de tanto ponteiro sobre e-under-corre não vai passear para ele. Também está bloqueado na memória para que ele não aparece no disco, e quando possível, é também mantida a partir de arquivos do núcleo. Este patch é uma variante do que temos vindo a utilizar para ajudar a proteger as chaves de clientes de uma década. "
Ufa! Bom saber que está lá fora. Mas Akamai adverte que é "mais uma prova de conceito do que algo que você quer colocar diretamente na produção." Mas a empresa diz que terá todo o prazer trabalhar com outras pessoas que pensam que pode ser melhorado. ®
Nenhum comentário:
Postar um comentário