Image
22.4.2014 0 Comments

Autor chyby Heartbleed sa priznal. Nebolo to naschvál

INT_chyby.jpg Pôvodca v súčasnosti často spomínanej chyby Heartbleed, ktorá sa do protokolu OpenSSL dostala na Silvestra v roku 2011, je známy. Bol ním programátor Robin Seggelmann. Práve on napísal časť kódu OpenSSL, ktorá viedla k vzniku zraniteľnosti Heartbleed. Bola to však nehoda. Svoju časť síce dal prezrieť ďalším členom projektu, ale neskôr do nej pridal kus kódu na novú funkciu. A práve pridaná funkcia vniesla do kódu chybu.

Seggelmann sa v rozhovore pre Sydney Morning Herald vyjadril, že išlo o „triviálnu“ chybu, jej dôsledky však boli vážne. Keďže on ani recenzenti si chybu nevšimli, dostala sa aj do oficiálneho vydania OpenSSL z 31. decembra 2011.

Heartbleed je chyba v šifrovaní, ktoré používa mnoho webov na zabezpečenie toho, aby vaša komunikácia nemohla byť zachytená. Teoreticky boli tomuto  riziku vystavené dve tretiny internetovej prevádzky viac ako dva roky, až kým ju začiatkom apríla objavili inžinieri z bezpečnostnej firmy Codenomicon.

Ako už názov napovedá, OpenSSL je open source, čo ho robí atraktívnym pre mnoho internetových služieb, pretože ide o ľahko implementovateľný bezpečnostný nástroj.

„Bolo by lepšie, keby ho viac ľudí pomáhalo zlepšovať,“ vyjadril sa Seggelmann pre server Mashable. „Naozaj nie je jedno, či nejaké firmy profitujú z toho, že poskytujú podporu, alebo to robia ľudia len vo svojom voľnom čase. No ak to všetci jednoducho používajú a nazdávajú sa, že niekto iný sa o to postará, nebude to fungovať. Čím viac ľudí sa na to pozrie, tým bude menej pravdepodobné, že sa vyskytnú chyby, ako je táto.“

Hoci existujú štandardy na revíziu kódu, ťažko ich možno presadiť v rámci open source softvéru. Seggelmann naznačuje, že proces by sa zlepšil vzájomnou revíziou, no vyžadovalo by si to viac ľudí a aj viac času.

„Keby sa na zlepšovaní OpenSSL zúčastňovalo viac ľudí, mohlo by sa požadovať viac nezávislých revízií každého návrhu, prípadne by sa ľudia mohli špecializovať na posudzovanie konkrétnych častí softvéru,“ dodal Seggelmann.

Dnes už väčšina postihnutých  webových lokalít chybu opravila. Heartbleed však upriamil pozornosť na to, že aj s open source softvérom sa spájajú nejaké zodpovednosti. Ak sa nástroje ako OpenSSL stanú široko používanými, môže to viesť k nepomeru medzi počtom služieb, ktoré ich používajú, a počtom ľudí, ktorí do projektu prispievajú. Ako Heartbleed potvrdzuje, nič nie je úplne zadarmo.


Zdroj: Mashable


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Internet 1

Prečo Google v utorok večer nefungoval?

24.11.2016 00:15

V utorok večer postihol služby Googlu rozsiahly výpadok, ktorý trval zhruba dve hodiny a zasiahol vo veľkej miere krajiny strednej Európy vrátane Česka a Slovenska. Používatelia nemali prístup k vyhľa ...

Internet

Instagram konkuruje Facebooku a Snapchatu. Zavádza živé video a miznúce správy

24.11.2016 12:00

Instagram sa pri svojich novinkách už aj v minulosti inšpiroval Snapchatom a tentoraz podľa jeho vzoru pridáva aj živé videá a miznúce správy. Živé videá čoskoro umožnia používateľom jednoduchým stla ...

Internet

Sociálna sieť LinkedIn v Rusku končí, ďalší na rade je Facebook a Twitter

18.11.2016 00:06

Federálna služba pre dozor v oblasti telekomunikácií, informačných technológií a masmédií (Roskomnadzor) vo štvrtok oznámila, že nariadila poskytovateľom komunikačných služieb zablokovať prístup na Li ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá