Comments on: Heartbleed, une semaine plus tard http://sametmax.com/heartbleed-une-semaine-plus-tard/ Du code, du cul Sat, 07 Nov 2015 11:08:18 +0000 hourly 1 http://wordpress.org/?v=4.1 By: minus http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-142253 Tue, 30 Sep 2014 18:55:01 +0000 http://sametmax.com/?p=10007#comment-142253 solved ?
http://www.libressl.org/

]]>
By: Quentin http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-24106 Thu, 17 Apr 2014 08:49:15 +0000 http://sametmax.com/?p=10007#comment-24106 Rif, le client dit : “si tu es encore là, renvoie moi PATATE, qui fait 6 caractères”. Le serveur répond “PATATE”. Tout va bien, il est là. (C’est le client qui choisit la chaîne “PATATE”, pour être sûr que le serveur l’a bien entendu.)

Le souci c’est que le serveur faisait confiance au client qui lui donnait la longueur de “PATATE”. Suppose maintenant que le client dit au serveur “si tu es encore là, renvoie moi PATATE qui fait 65536 lettres”. Comme en C 1/ les chaînes sont stockées sous formes de tableaux de caractères 2/ les variables sont placées à côté les unes des autres en mémoire, le serveur ne va pas répondre que “PATATE” mais aussi les 65530 caractères qui se trouvaient à côté du tableau à ce moment là. Exemple illustré : http://xkcd.com/1354/

Les gens ont comme ça trouvé des login/mot de passes de gens qui dialoguaient avec le serveur à ce moment là. Mais on ne peut pas accéder à “64K de la mémoire cible, au hasard” comme le dit l’article : on peut accéder aux 64k à côté du tableau qui sont, pour le serveur nginx, très loin de la clef privée elle-même. Dommage, cette protection n’est pas suffisante : on peut reconstruire la clef privée à partir de données proches du tableau “PATATE” (des facteurs de la clef privée, semble-t-il).

]]>
By: Sam http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-24105 Thu, 17 Apr 2014 08:26:21 +0000 http://sametmax.com/?p=10007#comment-24105 @clem: yep merci.

@Rif, j’ai pas compris la question.

]]>
By: Rif http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-24065 Wed, 16 Apr 2014 16:00:33 +0000 http://sametmax.com/?p=10007#comment-24065 Si j’ai bien suivi ton explication, le serveur renvoie fréquemment 64Ko de données pour tester la connexion. Mais est-il nécessaire que ces données soient présentes sur le serveur? N’est-il pas possible de renvoyer la même quantité de données générée aléatoirement?

]]>
By: david chelly http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-24051 Wed, 16 Apr 2014 11:02:13 +0000 http://sametmax.com/?p=10007#comment-24051 merci de cet article, le plus complet en français à mon avis, avec http://www.heartbleed.fr

]]>
By: clem http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-24038 Wed, 16 Apr 2014 07:54:17 +0000 http://sametmax.com/?p=10007#comment-24038 Dans la phrase de ton frère :

… Pourquoi tu crois que tes systèmes de sécurités ne sont pas craqués aux eux aussi ?

]]>
By: antichleu http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-24004 Tue, 15 Apr 2014 21:49:31 +0000 http://sametmax.com/?p=10007#comment-24004 Cette histoire aura eu le mérite de remettre en cause la fameuse qualité allemande ;).

Encore un coup de Montebourg !

]]>
By: Aeris http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-23994 Tue, 15 Apr 2014 19:04:24 +0000 http://sametmax.com/?p=10007#comment-23994 Ils ont fait un outil qui permet de tester nos sites enregistrés afin de voir s’ils étaient sensibles à Heartbleed ou pas.

Et ils ont été capables de me lister l’intégralité de mes 400 sites en moins de 2s, dont certains sites qu’ils n’ont pas pu calculer juste sur le pouce (site avec une proba ultra faible que quelqu’un soit déjà passé avant, genre des forges privées).
Ça sent donc du précalcul à partir de tes données…

Et en wiresharkant ma ligne, y’a pas eu d’accès TLS, donc tout était de toute façon fait côté serveur. Donc encore une fois avec mes données… en clair…

]]>
By: Sam http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-23989 Tue, 15 Apr 2014 18:20:42 +0000 http://sametmax.com/?p=10007#comment-23989 je n’ai pas compris le débat du tweet, tu peux éclaircir ?

]]>
By: Aeris http://sametmax.com/heartbleed-une-semaine-plus-tard/#comment-23988 Tue, 15 Apr 2014 17:49:28 +0000 http://sametmax.com/?p=10007#comment-23988 Pour LastPass, autant je trouve(ais) cette extension très utile, et surtout la seule à avoir de l’authenfication forte (Yubikey) et de la synchro entre les postes (ce que n’a pas Keepass et tout le reste), autant suite à HeartBleed, j’ai un *GROS* doute sur eux :
https://twitter.com/LastPassHelp/status/454730429443346432

Sans parler que du coup ce n’est pas du logiciel libre, donc qu’on ne sait au final pas vraiment ce qui est réellement fait de nos données…

]]>