Image
22.4.2014 0 Comments

Autor chyby Heartbleed sa priznal. Nebolo to naschvál

INT_chyby.jpg Pôvodca v súčasnosti často spomínanej chyby Heartbleed, ktorá sa do protokolu OpenSSL dostala na Silvestra v roku 2011, je známy. Bol ním programátor Robin Seggelmann. Práve on napísal časť kódu OpenSSL, ktorá viedla k vzniku zraniteľnosti Heartbleed. Bola to však nehoda. Svoju časť síce dal prezrieť ďalším členom projektu, ale neskôr do nej pridal kus kódu na novú funkciu. A práve pridaná funkcia vniesla do kódu chybu.

Seggelmann sa v rozhovore pre Sydney Morning Herald vyjadril, že išlo o „triviálnu“ chybu, jej dôsledky však boli vážne. Keďže on ani recenzenti si chybu nevšimli, dostala sa aj do oficiálneho vydania OpenSSL z 31. decembra 2011.

Heartbleed je chyba v šifrovaní, ktoré používa mnoho webov na zabezpečenie toho, aby vaša komunikácia nemohla byť zachytená. Teoreticky boli tomuto  riziku vystavené dve tretiny internetovej prevádzky viac ako dva roky, až kým ju začiatkom apríla objavili inžinieri z bezpečnostnej firmy Codenomicon.

Ako už názov napovedá, OpenSSL je open source, čo ho robí atraktívnym pre mnoho internetových služieb, pretože ide o ľahko implementovateľný bezpečnostný nástroj.

„Bolo by lepšie, keby ho viac ľudí pomáhalo zlepšovať,“ vyjadril sa Seggelmann pre server Mashable. „Naozaj nie je jedno, či nejaké firmy profitujú z toho, že poskytujú podporu, alebo to robia ľudia len vo svojom voľnom čase. No ak to všetci jednoducho používajú a nazdávajú sa, že niekto iný sa o to postará, nebude to fungovať. Čím viac ľudí sa na to pozrie, tým bude menej pravdepodobné, že sa vyskytnú chyby, ako je táto.“

Hoci existujú štandardy na revíziu kódu, ťažko ich možno presadiť v rámci open source softvéru. Seggelmann naznačuje, že proces by sa zlepšil vzájomnou revíziou, no vyžadovalo by si to viac ľudí a aj viac času.

„Keby sa na zlepšovaní OpenSSL zúčastňovalo viac ľudí, mohlo by sa požadovať viac nezávislých revízií každého návrhu, prípadne by sa ľudia mohli špecializovať na posudzovanie konkrétnych častí softvéru,“ dodal Seggelmann.

Dnes už väčšina postihnutých  webových lokalít chybu opravila. Heartbleed však upriamil pozornosť na to, že aj s open source softvérom sa spájajú nejaké zodpovednosti. Ak sa nástroje ako OpenSSL stanú široko používanými, môže to viesť k nepomeru medzi počtom služieb, ktoré ich používajú, a počtom ľudí, ktorí do projektu prispievajú. Ako Heartbleed potvrdzuje, nič nie je úplne zadarmo.


Zdroj: Mashable


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Internet

LinkedIn predstavil najväčší redizajn svojho webu od jeho spustenia pred 15 rokmi.

20.01.2017 00:22

Nová podoba bola výrazne uprataná, obsahuje nové navigačné nástroje a beží rýchlejšie. Mobilná aplikácia aj desktopová verzia dostali konzistentnejší dizajn. Podľa vyjadrenia firmy bolo hlavným cieľom ...

Internet

Google Mapy vám už ukážu, kde sa dá dobre zaparkovať

19.01.2017 00:23

Mapy Googlu budú opäť užitočnejšie. Ich nová aktualizácia v9.44 beta totiž prináša funkciu, ktorá ukáže používateľom, aké možnosti parkovania môžu očakávať na mieste určenia. Získajú tak predstavu o t ...

Internet 10

Stroj na morálne dilemy. Moral Machine umožní rozhodnúť, koho život má autonómne vozidlo obetovať pri nehode

19.01.2017 00:40

So samojazdiacimi autami experimentuje čoraz viac firiem, a tak sa vynárajú aj otázky o tom, ako majú vozidlá rozhodovať v krízových situáciách. Ak napríklad niekto nečakane vbehne do jazdnej dráhy, m ...

Žiadne komentáre

Vyhľadávanie

ShowIT

Najnovšie videá