Как выяснилось, большая «дыра» в безопасности существует уже около двух лет. Можно только представить себе, сколько пользователей подверглось нападению и какой ущерб они понесли.
OpenSSL-это специальный протокол, представляющий устройства друг другу. Скажем, используя его, сервер Yahoo или Facebook узнает ваш компьютер и считывает пароль, находящийся в оперативной памяти. Дыра в безопасности SSL, о которой узнали фактически только сегодня, предоставляла возможность любому хакеру собирать ценную служебную и личную информацию о юзере, его контактах, переписке, активности в соцсетях и многом другом.
Прелесть любых программных open source проектов в том, что любой разбирающийся в предмете может заглянуть в код. Удивительно, что сам протокол был создан и дожил до наших дней в качестве некого весьма полезного хобби пяти программистов, из которых только один постоянно наблюдает за развитием событий, а остальные учувствуют в процессе эпизодически. Подобное состояние дел объясняет тот факт, что целых два года проблема существовала без должного внимания со стороны профессионалов.
Однако если вы думаете, что проблемы с безопасностью—это чей-то дьявольский проект, то вы ошибаетесь. На самом то деле Heartbleed, а именно так назвали пробой в SSL, просто ошибка кодинга, не больше и не меньше. Вот почему проблема столь долго пряталась, а глубине леса.
Известные блоги и сайты, просвещённые компьютерному софту, уже предлагают различные рецепты по спасению SSL. Стоит отметить, что при правильно развернутом TLS/SSL получить проблемы с Heartbleed практически невозможно.