Это разные вещи, они оба — правда. В логах веб-сервера действительно не остается следов атаки. Однако, если бы массовый взлом учетных записей имел место, наши механизмы контроля подозрительной активности в рамках пользовательских сессий могли бы его обнаружить. Именно это мы и тщательно проверяли, о чем сказано в блоге. Допускаю, что из формулировки это может быть не сразу понятно. Но так иногда бывает, когда с технического языка переводишь на человеческий :).
На данный момент нету подтверждений, что с марта 2012 года об уязвимости знало большое количество людей или организаций. Массовая эксплуатация стала возможна после появления PoC «запусти и получи результат» (где-то спустя часа три после публикации об уязвимости). Анализ рисков приводит нас к простому выводу: наиболее высок шанс компрометации учетных записей, заходивших после публикации PoC. За вредоносной активностью в их сессия, как я отметил в посте, мы следим _особо_. Но это не значит, что мы не следим за вредоносной активностью в сессиях _всех_ наших пользователей.
Испортить людям соревнование — это как раз пример того, как действовать не надо. Лучше направить силы на конкурс и выиграть приз. А тот «хакер» получит лучи позора :)
Позволь в твоем лице ответить всем людям, которые задают подобный вопрос.
Да, конечно, мы понимаем, что хорошим тоном считается платить за любую обнаруженную уязвимость, всем людям, ее обнаружившим. Но мы также понимаем, что это поле довольно новое для нас, так как до этого в России никто подобного мероприятия не объявлял. Мы сделали конкурс как первый, пробный подход к снаряду. А у конкурса может быть много участников, но должен быть один победитель. Надеюсь, это понятно.
Конечно, мы всегда благодарили тех, кто пишем нам об обнаруженных уязвимостях. Мы никогда не игнорировали таких людей и конкурс — не повод начать их ингорировать. Мы оставляем за собой право премировать их и в рамках данного конкурса — сувенирами ли, деньгами, или приглашением на конференцию — это неважно.
Важно то, что от результатов ближайшего месяца во многом зависит, ступим ли мы плотно на дорогу, протоптанную Мозиллой, Гуглом и Фейсбуком, или пока еще потопчемся как есть.
Старая версия OpenSSL не поддерживает TLS 1.1 и TLS 1.2, а также имеет целую пачку уязимостей: web.nvd.nist.gov/view/vuln/search-results?adv_search=true&cves=on&cve_id=&query=&cwe_id=&cpe_vendor=openssl&cpe_product=cpe%3A%2F%3Aopenssl%3Aopenssl&cpe_version=cpe%3A%2F%3Aopenssl%3Aopenssl%3A1.0.0&pub_date_start_month=-1&pub_date_start_year=-1&pub_date_end_month=-1&pub_date_end_year=-1&mod_date_start_month=-1&mod_date_start_year=-1&mod_date_end_month=-1&mod_date_end_year=-1&cvss_sev_base=MEDIUM_HIGH&cvss_av=&cvss_ac=&cvss_au=&cvss_c=&cvss_i=&cvss_a=
В России такого опыта пока что ни у кого нет, извините.
Позволь в твоем лице ответить всем людям, которые задают подобный вопрос.
Да, конечно, мы понимаем, что хорошим тоном считается платить за любую обнаруженную уязвимость, всем людям, ее обнаружившим. Но мы также понимаем, что это поле довольно новое для нас, так как до этого в России никто подобного мероприятия не объявлял. Мы сделали конкурс как первый, пробный подход к снаряду. А у конкурса может быть много участников, но должен быть один победитель. Надеюсь, это понятно.
Конечно, мы всегда благодарили тех, кто пишем нам об обнаруженных уязвимостях. Мы никогда не игнорировали таких людей и конкурс — не повод начать их ингорировать. Мы оставляем за собой право премировать их и в рамках данного конкурса — сувенирами ли, деньгами, или приглашением на конференцию — это неважно.
Важно то, что от результатов ближайшего месяца во многом зависит, ступим ли мы плотно на дорогу, протоптанную Мозиллой, Гуглом и Фейсбуком, или пока еще потопчемся как есть.
Спасибо за понимание.