Heartbleed, OpenSSL: работа над ошибками

Ещё немного про OpenSSL. Вся эта история с возможными утечками данных через Heartbleed является полезным уроком. Например, она показала, как очередной небольшой шаг в сторону усложнения и без того непростых протоколов семейства TLS привёл к огромному снижению уровня безопасности.

Откуда взялась уязвимость? В TLS добавили расширение Heartbeat (RFC 6520), довольно экзотическое, и уж точно не критическое для большинства современных сценариев использования TLS в Интернете. По сложившейся традиции, реализацию этого расширения быстренько загнали в OpenSSL. А в результате внедрения этой мало кем востребованной штуки – миллионы сервисов, сами того не желая, получили по огромной дыре. Они, выходит, использовали данное расширение TLS только для того, чтобы желающие могли получать несанкционированный доступ к оперативной памяти. Такая вот безопасность.

Что же было на другой чаше весов? То есть, ради чего добавляли новый код? Что могли бы получить такого полезного от данного расширения TLS все те миллионы сайтов, если бы реализация была выполнена без ошибки? Да в общем – ничего особенного: гипотетическую оптимизацию вычислительных затрат на управление TLS-сессиями. Очевидно, есть некие “структурные проблемы” в процессах создания протоколов, раз так получается.

Хотя, конечно, TLS не сломан, всё идёт своим чередом. Есть шансы, что новая версия TLS будет проще, а пачку расширений отрежут. Посмотрим.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1. 14th April 2014, 21:08 // Читатель sarin написал:

    а это всё точно случайно так сложилось?

  • 2. 14th April 2014, 23:18 // Александр Венедюхин ответил:

    Похоже, что да. Конечно, очень похоже на процесс, запущенный АНБ – но если так, то ситуация с IETF и разработкой OpenSSL получается гораздо хуже.

  • 3. 15th April 2014, 09:42 // Читатель sarin написал:

    скорее ЦРУ. внедрения, работа под прикрытием, промышленный шпионаж шпионами это по их части. но список мировых разведок не ограничивается ЦРУ и АНБ, а список заинтересованных в подобной “доработке” не ограничивается мировыми разведками. поэтому, даже если данный баг просто баг, то ожидать таких “троянских коней” определённо стоит. вроде поднималась уже такая тема на dxdt.

    и вот ещё, что важно: OpenSource тут уязвим не более чем проприетарный код. а даже скорее менее, как обычно.