Два с половиной месяца исправляли глобальную критическую уязвимость, о которой знают практически все! Слоупоки детектед.

А ссылка или содержимое?

Для тех кто не знает о чем речь:
wiki:Heartbleed
http://habrahabr.ru/post/218661/

(1) http://www.1c.ru/news/info.jsp?id=18472

А дистрибутивы еще не выложены :(

вообще линуксойды отреагировали в течении одного дня, а может быть часа, а вот 1с...
вышла статья 8 апреля в 16:53 сейчас уже середина Июня(ну кто не в курсе)

А где в 1С OpenSSL используется?

Надо же, РЖД с ВТБ, с прошедшими через них банковскими картами, уже отгреметь уже успели на всю страну с тормозами при обновлении несколько недель назад.
А тут вот только исправили. Молодцы.

(4) вообще, есть, но в версии для тестирования

(0) А как написанное в (2) (странно, что это не написано в (0)) коррелирует с названием ветки?
Что за муть?

(8) 8.3.4.496 вот только что обновили, а 8.3.5 еще не выложена.

>>По моим оценкам, примерно ? вебсайтов используют OpenSSL для HTTPS-соединений, и примерно ? из них были уязвимы до сегодняшнего дня.

Ахренеть, неуловимый Джо.

(9) А, в (3) написано же.
Ахрененно цельная ветка, как все грамотно собрано в нулевом посте, просто восторг :))

(11) вообще то это одна из самых критичных ошибок была за последнее время

(13) Любую машину сейчас можно поджечь.
Это критическая уязвимость? Да.
Две трети машин уже сожжено? Нет.

(9) А так, что они именно эту ошибку и поправили.

мы все умрем?

(15) Да я уже понял. Странно, что суть сказанного тобой нужно собирать по всей ветке.

(16) Две трети сайтов уже умерли. Критическая уязвимость, че :))

(14) > Любую машину сейчас можно поджечь.
Там фишка в том, что можно удаленно считывать данные прямо из адресного пространства сервера.

Для онлайн-банкинга и всего e-commerce это хуже, чем сгоревшие бэнтли и виллы всех руководителей вместе взятых.

(19) Для тех, кто в танке.
Машины можно сжигать, но их не сжигают.
С онлайн-банкингом и всем e-commerce та же песня.

если что-то происходит значит это кому-то нужно )))

(20) Да что вы говорите? Не сжигают?
У меня в области машины десятками в месяц горят.

(20) Но никто не хочет, чтобы именно его машину сожгли

(17) Суть сказанного мной в (0): "Слоупоки детектед".
Остальное для тех кто не знает. Ссылку на инфописьмо, да, надо было вставить.

(22) Ну вот и посчитай, какой процент составляет несколько десятков по отношению к статриллионаммиллиардов.

(18) > Две трети сайтов уже умерли. Критическая уязвимость, че :))

Это не та критическая уязвимость, от которой умирают сайты. Это критическая уязвимость от которой страдает бизнес. Только прямые на само закрытие уязвимости оцениваются в 1 млрд долларов. А репутационные в сотни раз больше.

(24) Ну вот вставил бы и все было бы понятно.
А так "Слоупоки детектед" можно и про тебя сказать :))

(26) А где можно посмотреть огромный список разорившихся от этой уязвимости бизнесов?

(25) Если бы в области было "статриллионаммиллиард" то можно было бы и подсчитать.

(27) Так это и было главной мыслью. Остальное иллюстрация.

(26) OpenSSL обанкротился?

(19) пропустил одно важное слово - СЛУЧАЙНЫЕ данные, т.е. нельзя считать логи и пароль, моно считать случайную область памяти в которой моет оказаться логин и пароль, а моет и не оказаться

(28) А где можно посмотреть огромный список разорившихся от этой уязвимости бизнесов?
А обязательно разоряться? Я даже более скажу, куча бизнесов на этой уязвимости заработали!

(30) Так это некоммерческий продукт. Там денег нет, все на доверии.

(32) То есть можно посмотреть список бизнесов, заработавших на этой уязвимости?

(31) Да, может и не оказаться. А если окажутся идентификационные данные твой кредитки, то тебе правда от слова "случайные" будет легче?

(33) Издатели сертификатов, и все топ-фирмы по информационной безопастности точно. Вообще судя по всему, основной вал денег осваивается прямо сейчас, так что до окончательных итогов еще далеко.

PS. Сайт 1С-ный проверяли на уязвимость еще в апреле - уязвимости не было.

(34) Я так и думал.
Потенциально мы все миллиардеры, да.

(33)
Если грамотно распиарить - франчам можно мальнко подняться, которые на обновлениях зарабатывают

(35) а реально - имеем две старые шлюхи?

(36) Читай (35) :))

(37) Типа того :))

Они выложили это обновление, чтобы 8.3.5 сегодня не выкладывать :(

(35) Что думал?
У меня друзья нехило подняли денег на исправлении этой уязвимости у 100500 клиентов. Это при том, что это именно их решение использовало уязвимую версию OpenSSL.

Так что ты можешь мерять свою потенцию в миллиардах долларов дальше, а люди скромненько тысячами долларов набирают.

(41) так ты жалуешься на то, что твои друзья обогатились, а для твоего обогащения фирма 1С не постаралась?

(41) Начали за здравие, а кончили за упокой.
Начали с того, что две трети сайтов ходят по лезвию бритвы, а закончили тем, что кто-то нехило поднял денег.

(42) Я не обновлениями платформы зарабатываю, так что мимо. А с друзьями мы неплохо на выходных на морскую рыбалку съездили.

я так понимаю, что если мы не пользуемся веб-клиентом, эту обнову ставить нет нужды?

(43) Все как обычно - тысячи несут убытки, единицы получают с этого прибыль.

В данном случае, убытки несут миллионы сайтов, и существенные прибыли имеют несколько тысяч вендоров.

(46) В данном случае в (32) мы уже прочитали, что у тебя нет никаких тысяч, несущих убытки. Кроме того, тысячи — это не две третих сайтов.
Неуловимый Джо, в общем.

(45) нет, эта уязвимость потенциально дает возможность пользователю с правами админа одной базы кластера получить доступ ко всем скуль базам (в том числе и не 1с), по тому как трафик между 1с и скулем шифруется именно им

(48) Мне кажется, крайне маленькая вероятность.

Как обычно что-то где-то нашлось взломать :)