Come funziona Heartbleed

Una simpatica strip di xkcd spiega in parole semplici il funzionamento della vulnerabilità.



[ZEUS News - www.zeusnews.it - 12-04-2014]

Questo è un articolo su più pagine: ti invitiamo a leggere la pagina iniziale
Come difendersi da Heartbleed

Megan: Server, ci sei? Se ci sei, rispondi "POTATO" (6 lettere).

Nella vignetta viene visualizzata la memoria del server e le decine di richieste che riceve (in carattere grigio chiaro, mentre quella di Megan è evidenziata in nero). L'articolo continua qui sotto.

Sondaggio
Utilizzi la funzione di salvataggio delle password nel browser?
Sì, è molto utile
Sì, ma ora non lo farò più perché non è sicuro.
Sì, ma solo per password di poco conto.
No, per sicurezza non ho mai memorizzato alcuna password nel browser.
No, perché? Le password si possono salvare?

Mostra i risultati (6192 voti)
Leggi i commenti (17)
Il server risponde "POTATO".
Spunti di approfondimento:
I server virtuali hanno un bug peggiore di Heartbleed
ShellShock, falla critica in Linux e Mac OS X
Heartbleed è ancora là fuori. Come difendersi
Heartbleed, altre info in breve

Megan: Server, ci sei? Se ci sei, rispondi "BIRD" (4 lettere).

Ancora una volta il server risponde "BIRD".

heartbleed explanation
Fonte: xkcd

Megan: Server, ci sei? Se ci sei, rispondi "HAT" (500 lettere).

Di nuovo vengono visualizzate decine di richieste che il server riceve, ma stavolta la risposta "HAT" include anche la memoria del server nella locazione immediatamente successiva.

La risposta del server completa è: "HAT. Lucas ha richiesto la pagina "connessioni mancate". Eve (amministratore) vuole modificare la chiave del server in "14835038534". Isabel ha fatto una ricerca per "serpenti ma non troppo lunghi". L'utente Karen vuole modificare la password dell'account in "CoHoBaSt". L'utente Amber ha richiesto le pagine..."

E Megan prende nota.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 20)

spacexplorer
Piccola aggiunta: OverSecurity ha scritto un bel post a tema giusto per parlare di OpenSource, della sua diffusione ecc
15-4-2014 16:28
spacexplorer
@jumpjack Se un sistema è ben fatto non ha password in chiaro, non gli servono. Salva solo gli hash salt-ati ed il salt, altra cosa da far rilevare a coloro che insistono nel salvare password in chiaro da qualche parte :-> Se nel "momento dell'attacco" nei massimo 64Kb che vengono letti c'è proprio l'hash della tua password... Leggi tutto
12-4-2014 21:29
{umby}
Aggiungo una precisazione che fin'ora nessuno ha espresso. Il baco é nato dall'aggiunta di una funzione nel software openssl due anni fa. Tutto ció che non ha subito aggiornamenti in questi due anni, non ha il baco. Per contro, fare attenzione che acquistando apparecchiature nuove (ovvio che mi riferisco ad... Leggi tutto
12-4-2014 19:27
elisam
Scusa Spacexplorer ma sono un po dura di comprendonio: e' ultra-assodato a livello universale che Heartbleed e' un problema di server e quindi non si devono attendere aggiornamenti specifici per i client : gli utenti. I CLIENT AL MASSIMO DEVONO CAMBIARE LE PASSWORD Non mi sembra questo il caso giusto per propugnare la bonta' e... Leggi tutto
12-4-2014 17:11
jumpjack
@spacexplore ma che dici ??? Qui non parliamo di dati TRASMESSI, ma di dati presenti in RAM! Se in quel momento in RAM ci sono le hash appena lette da disco, o peggio le pwd in chiaro,....
12-4-2014 13:24
Leggi gli altri 15 commenti nel forum Sicurezza
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Controlli su Facebook le tue (o i tuoi) ex?
No, non ci penso proprio.
A volte guardo il loro profilo o i loro gli aggiornamenti di stato.
Sì, controllo ogni loro mossa.
Le ex (o gli ex) in genere non sono miei amici di Facebook.
Ma quale Facebook! Io uso Twitter (o Google+ o altro social media).

Mostra i risultati (1985 voti)
Dicembre 2025
n. 4032 del 03-12-2025
Collabora Office debutta su PC: la suite online basata su LibreOffice è ora disponibile offline
n. 4031 del 01-12-2025
Il Digital Omnibus è una resa dell'Unione Europea?
Novembre 2025
n. 4030 del 27-11-2025
MediaWorld vende iPad a 15 euro per errore, adesso li vuole tutti indietro
n. 4029 del 26-11-2025
Riscaldano casa con un datacenter in giardino: giù i costi delle bollette
n. 4028 del 24-11-2025
I Baschi Grigi della Cybersicurezza
n. 4027 del 20-11-2025
Telemarketing aggressivo, operativo il filtro che impedisce lo spoofing dei numeri mobili
n. 4026 del 19-11-2025
Cloudflare in tilt. Migliaia di siti irraggiungibili, servizi bloccati in tutto il mondo
n. 4025 del 18-11-2025
E se Internet sparisse?
n. 4024 del 17-11-2025
Windows diventerà un Agentic OS. Microsoft entusiasta, gli utenti temono guai
n. 4023 del 13-11-2025
Database con dati personali di 3,8 milioni di italiani pubblicato nel dark web
n. 4022 del 12-11-2025
I crescenti segni dell'esplosione
n. 4021 del 10-11-2025
WhatsApp apre le porte a Telegram, Signal e altri servizi: inizia l'era delle chat cross-app
n. 4020 del 07-11-2025
Con Gemini Google Maps ti parla davvero: indicazioni vocali, punti di riferimento e AI
n. 4019 del 06-11-2025
La RAM costa più dell'oro: l'intelligenza artificiale fa impennare i prezzi della DRAM
n. 4018 del 05-11-2025
App di autenticazione e chiavi hardware, anche di scorta
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 3 dicembre
2025
Windows 11, l'icona della password svanisce nel nulla
2024
Windows 11 perde utenti nonostante gli sforzi di Microsoft
2022
La settimana lavorativa di quattro giorni è un successo
2021
Apple e i MacBook Pro che non si ricaricano da spenti
2020
L'iPhone 12 perde la connessione all'improvviso
2019
L'SSD che schiatta dopo 32.768 ore
2018
Huawei sta sviluppando un'alternativa ad Android, ed è a buon punto
2017
Settimana difficile per gli informatici
2016
Parte la Tv di Vivendi sugli smartphone Tim
2015
Organo del mare genera musica dalle onde
2014
Caduti nella Rete: bufale e disinformazione scientifica
2013
Nutrima, la bilancia che ti dice se il cibo è fresco
2012
Telecom, blackout dell'ADSL in tutta Italia
2011
Una server farm in casa... al posto della caldaia
2010
I buchi di Winamp
2009
Hp e Symantec offrono il backup online
2008
Il meglio del forum VoIP
2007
I lavoratori Telecom sospendono lo sciopero
2005
Venti milioni di italiani in Rete
2004
Progetto GIG: la Rete a scopi bellici
2003
Il modem è Bluetooth
2002
La Tv faidate di FastWeb
Olimpo Informatico


 
web metrics