Gkx
Admin
Come forse avete già letto altrove, il 7 aprile è stata scoperta una vulnerabilità critica in OpenSSL (il software che, tra le altre cose, si occupa della crittografia HTTPS di questo forum), denominata "heartbleed", che permette a terze parti di ottenere il contenuto di parte della RAM di un server. È una falla molto grave, anche perché OpenSSL è una delle librerie crittografiche più utilizzate sui webserver, e quindi gran parte dell'internet che fino all'altro ieri era "sicuro" si trova oggi a rischio.
Questo server è stato patchato poche ore dopo l'annuncio, ma per la natura del bug (che non lascia tracce sul sistema) non è possibile sapere se e quali dati sono stati "rubati". Ritengo poco probabile che questa falla sia stata effettivamente sfruttata nel breve lasso temporale tra l'annuncio del bug e la sua risoluzione, ma per essere pronti al peggio, le chiavi private e i certificati SSL del sito sono stati rigenerati; nel frattempo, consiglio a tutti gli utenti di approfittarne per cambiare la propria password (che comunque viene sempre trasmessa in modo criptato) sul forum, specie se la utilizzate anche altrove, e di iniziare a usare un password manager (keepass è gratuito) che generi password casuali per ogni account che avete.
Il server del wiki non è invece affetto da heartbleed e per gli utenti non è necessaria nessuna azione (ma come già detto è sempre consigliato rivedere la propria politica sulle password).
Rimango a disposizione per eventuali chiarimenti.
Questo server è stato patchato poche ore dopo l'annuncio, ma per la natura del bug (che non lascia tracce sul sistema) non è possibile sapere se e quali dati sono stati "rubati". Ritengo poco probabile che questa falla sia stata effettivamente sfruttata nel breve lasso temporale tra l'annuncio del bug e la sua risoluzione, ma per essere pronti al peggio, le chiavi private e i certificati SSL del sito sono stati rigenerati; nel frattempo, consiglio a tutti gli utenti di approfittarne per cambiare la propria password (che comunque viene sempre trasmessa in modo criptato) sul forum, specie se la utilizzate anche altrove, e di iniziare a usare un password manager (keepass è gratuito) che generi password casuali per ogni account che avete.
Il server del wiki non è invece affetto da heartbleed e per gli utenti non è necessaria nessuna azione (ma come già detto è sempre consigliato rivedere la propria politica sulle password).
Rimango a disposizione per eventuali chiarimenti.
Ultima modifica di un moderatore: