Varnostna napaka Heartbleed je dobila »krivca«
Dogajanja okoli napake v odprtokodni knjižnici OpenSSL, poimenovane Heartbleed, o kateri smo že poročali, nikakor ne pojenjajo. Podjetja kot po tekočem traku svoje uporabnike obveščajo, da naj za vsak primer zamenjajo gesla, saj obstaja možnost, da jim jih je nekdo v zadnjih dveh letih prestregel, pa tega niti ne vedo/vemo. Gre namreč za napako, ki je v »zaklenjeni« komunikaciji HTTPS (v brskalniku označeno s ključavnico) omogočala pridobitev neposrednega dostopa do pomnilnika na strežniku, s tem pa dostop do šifirnega ključa za sejo oz. celo zasebnega ključa strežnika. Taka pridobitev seveda ni bila zabeležena v dnevniških zapisih strežnika. Mimogrede, kot je videti zaenkrat, slovenske banke nimajo omenjene napake, tudi zaradi tega, ker uporabljajo Microsoftov strežnik IIS, ki ne uporablja knjižnice OpenSSL. Uporabljata ga Apache in nginx.